Interruption automatique d’attaque pour SAP (préversion)
Microsoft Defender XDR met en corrélation des millions de signaux individuels pour identifier les campagnes de ransomware actives ou d’autres attaques sophistiquées dans l’environnement avec une grande confiance. Pendant qu’une attaque est en cours, Defender XDR interrompt l’attaque en confinant automatiquement les ressources compromises que l’attaquant utilise par le biais d’interruptions automatiques d’attaque. L’interruption automatique d’attaques limite le mouvement latéral dès le début et réduit l’impact global d’une attaque, des coûts associés à la perte de productivité. En même temps, elle laisse aux équipes des opérations de sécurité un contrôle total de l’enquête, de la correction et du retour en ligne des ressources.
Lorsque vous ajoutez un nouveau système SAP à Microsoft Sentinel, votre configuration par défaut inclut des fonctionnalités d’interruption sur attaque dans la plateforme d’opérations de sécurité unifiée. Cet article explique comment vous assurer que votre système SAP est prêt à prendre en charge l’interruption automatique d’attaque pour SAP dans le portail Microsoft Defender.
Pour une démonstration vidéo d’une perturbation d’attaque pour SAP, regardez la vidéo suivante :
Le contenu de cet article est destiné à vos équipes en charge de la sécurité, de l’infrastructure et de SAP BASIS.
Interruption d’attaque pour SAP et la plateforme d’opérations de sécurité unifiées
L’interruption d’attaque pour SAP est configurée en mettant à jour votre version de l’agent de connecteur de données et en veillant à ce que les rôles appropriés soient appliqués dans Azure et dans votre système SAP. Toutefois, une interruption automatique d’attaque s’affiche uniquement dans la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender.
Pour plus d’informations, consultez Interruption automatique d’attaque dans Microsoft Defender XDR.
Version minimale de l’agent et rôles requis
L’interruption automatique des attaques pour SAP nécessite les éléments suivants :
- Une version de l’agent de connecteur de données 90847355 ou ultérieure.
- L’identité de votre machine virtuelle de l’agent de connecteur de données doit être affectée aux rôles de l’opérateur Microsoft Sentinel Business Applications Agent et leLecteur des rôles Azure.
- Le rôle SAP /MSFTSEN/SENTINEL_RESPONDER doit être appliqué à votre système SAP et affecté au compte d’utilisateur SAP utilisé par l’agent de connecteur de données SAP de Microsoft Sentinel.
Pour utiliser une interruption d’attaque pour SAP, déployez un nouvel agent ou mettez à jour votre agent actuel vers la dernière version. Veillez à affecter l’opérateur Microsoft Sentinel Business Applications Agent et auLecteur rôles Azure et le rôle SAP /MSFTSEN/SENTINEL_RESPONDER en fonction des besoins.
Pour plus d’informations, consultez l’article suivant :
- Déployer et configurer le conteneur hébergeant l’agent de connecteur de données SAP
- Mettre à jour l’agent de connecteur de données SAP de Microsoft Sentinel, en particulier Mettre à jour votre système pour une interruption d’attaque
Contenu connexe
Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender (préversion).