Partager via

Solution Microsoft Sentinel pour SAP® : classeur des contrôles d’audit SAP (préversion)

  • Article

Cet article décrit le classeur des contrôles d’audit SAP, qui vous est fourni dans le cadre de la solution Microsoft Sentinel pour les applications SAP®.

Important

Le classeur des contrôles d’audit SAP Microsoft Sentinel est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Ce classeur vous aide à vérifier les contrôles de sécurité de votre environnement SAP® pour la conformité avec l’infrastructure de contrôle choisie, qu’il s’agisse de SOX, NIST ou d’une infrastructure personnalisée de votre choix.

Le classeur fournit des outils permettant d'affecter des règles d'analyse dans votre environnement à des contrôles de sécurité spécifiques et à des familles de contrôles, de surveiller et de classer les incidents générés par les règles d'analyse basées sur la solution SAP, et d'établir des rapports sur votre conformité.

Le classeur offre les possibilités suivantes pour votre programme de conformité :

  • Consultez les suggestions sur les règles d'analyse à activer, et activez-les en place avec la configuration prédéfinie appropriée.
  • Associez vos règles d'analyse au cadre de contrôle SOX ou NIST, ou appliquez votre propre cadre de contrôle personnalisé.
  • Examinez les incidents et les alertes résumés par contrôle, conformément au cadre de contrôle sélectionné.
  • Exportez les incidents pertinents pour une analyse plus approfondie, à des fins d'audit et d'établissement de rapports.

Commencer à utiliser le classeur

  1. Dans le portail Microsoft Sentinel, dans le menu Gestion des menaces, sélectionnez Classeurs.

  2. Dans la galerie Classeurs , accédez à Modèles et entrez SAP dans la barre de recherche, puis sélectionnez Contrôles d’audit SAP parmi les résultats.

  3. Sélectionnez Afficher le modèle pour utiliser le classeur tel quel, ou Enregistrer pour créer une copie modifiable du classeur. Une fois la copie créée, sélectionnez Afficher le classeur enregistré.

    Capture d’écran de la partie supérieure du classeur des contrôles d’audit SAP.

  4. Sélectionnez les champs suivants pour filtrer les données en fonction de vos besoins :

    • Abonnement et espace de travail. Sélectionnez l'espace de travail dont vous souhaitez contrôler la conformité des systèmes SAP. Il peut s'agir d'un espace de travail différent de celui où Microsoft Sentinel est déployé.
    • Temps de création de l’incident. Sélectionnez une plage allant des quatre dernières heures aux 30 derniers jours, ou une plage personnalisée que vous déterminez.
    • Autres attributs d’incident : état, gravité, tactiques, propriétaire. Pour chacun d'entre eux, sélectionnez parmi les choix disponibles ceux qui correspondent aux valeurs représentées dans les incidents de l’intervalle de temps sélectionné.
    • Rôles système. Rôles système SAP, par exemple : production.
    • Utilisation du système. Par exemple : SAP ERP.
    • Systèmes. Vous pouvez sélectionner tous les identifiants de systèmes SAP, un identifiant de système spécifique ou plusieurs identifiants de systèmes.
    • Infrastructure de contrôle, familles de contrôle, identifiants de contrôle. Sélectionnez-les en fonction du cadre de contrôle par lequel vous souhaitez évaluer votre couverture et des contrôles spécifiques par lesquels vous souhaitez filtrer les données du classeur.

    Les tableaux de bord de ce classeur permettent une vue agrégée des incidents et des alertes basées sur les tables SecurityAlert et SecurityIncident, qui conservent par défaut 30 jours de données. Envisagez de prolonger la période de conservation de ces tables pour qu'elle corresponde aux exigences de conformité de votre organisation. Quel que soit le choix que vous fassiez pour la stratégie de rétention de ces tables, les données d'incident elles-mêmes ne sont jamais supprimées, même si elles ne sont pas affichées ici. Les données d'alerte sont conservées conformément à la stratégie de rétention du tableau.

Vue d’ensemble du classeur

Le classeur se divise en trois onglets :

  • Configurer
  • Surveiller
  • Report

Onglet Configurer

Créer des règles d’analytique à partir de modèles encore inutilisés

Le tableau Modèles prêts à être utilisés affiche les modèles de règles d’analytique, à partir de la solution Microsoft Sentinel pour les applications SAP®, qui n’ont pas encore été implémentés en tant que règles actives. Vous devrez peut-être créer ces règles pour obtenir la conformité.

Capture d’écran du tableau des modèles de règles d’analyse à partir desquels créer des règles.

  • Les modèles de solution pour configurer le contrôle affichent les solutions installées dont vous pouvez évaluer ici les règles d’analyse de conformité avec l’infrastructure de contrôle choisie. Par défaut, seule la solution SAP est sélectionnée, mais vous pouvez sélectionner toutes les autres dans cette liste déroulante.

  • Sélectionnez le lien Affichage dans la colonne Propriétés de la ligne d’un modèle de règle particulier dans le tableau pour afficher la configuration complète du modèle dans le volet contextuel Détails. (Cette vue est en lecture seule.)

  • La colonne Configuration recommandée indique l’objectif de la règle : est-elle destinée à créer des incidents à des fins d’investigation ? Ou seulement pour créer des alertes qui seront mises de côté et ajoutées à d'autres incidents pour servir de preuves dans leurs enquêtes ?

  • Sélectionnez Activer la règle (dans le volet description) pour créer une règle d’analytique à partir du modèle, avec la configuration recommandée déjà intégrée. Cette fonctionnalité vous évite d’avoir à deviner la bonne configuration et à la définir manuellement.

Visualiser ou modifier les attributions de contrôle de sécurité de vos règles d'analyse

Dans la table Sélectionner une règle à configurer, vous verrez la liste des règles d’analytique activées pertinentes pour SAP.

Capture d’écran illustrant la sélection d’une règle à configurer.

  • Les nombres et lignes graphiques d’incidents et d’alertes générés par chaque règle sont affichés. (Des nombres identiques suggèrent que le regroupement d’alertes est désactivé.)

  • Des colonnes indiquant que le paramètre de création d’incident de la règle est activé (colonne Incidents) et la source de la règle (colonne Source) : galerie, Hub de contenu ou Personnalisé.

  • Si la configuration recommandée pour cette règle est « En tant qu’alerte uniquement », vous devez envisager de désactiver le paramètre de création d’incident dans la règle (voir ci-dessous).

  • Lorsque vous sélectionnez une règle, un volet d'informations s'affiche avec des informations sur la règle.

    Capture d’écran du panneau latéral de configuration des règles.

    • La partie supérieure de ce panneau latéral contient des suggestions concernant l'activation ou la désactivation de la création d'incidents dans la configuration des règles d'analyse, comme indiqué ci-dessus.

    • La section suivante indique les contrôles de sécurité et les familles de contrôle auxquels la règle est identifiée, pour chacun des cadres disponibles. Pour les cadres SOX et NIST, vous pouvez personnaliser l'affectation des contrôles en choisissant un autre contrôle ou une autre famille de contrôles dans les menus déroulants correspondants. Pour les cadres personnalisés, écrivez dans les contrôles et les familles de contrôle de votre choix dans les zones de texte MyOrg. Si vous apportez des modifications, sélectionnez Enregistrer les modifications.

    Si un contrôle de sécurité ou une famille de contrôles n'a pas été attribué à une règle d'analyse particulière pour un cadre donné, une suggestion de mise en place des contrôles s'affiche. Après avoir sélectionné les contrôles, sélectionnez Enregistrer les modifications.

    • Pour afficher le reste des détails de la règle sélectionnée telle qu’elle est actuellement définie, sélectionnez Vue d’ensemble de la règle. Le volet Détails décrit précédemment dans ce document s’ouvre.

Onglet Surveiller

Cet onglet contient plusieurs représentations graphiques de divers regroupements d'incidents dans votre environnement qui correspondent aux filtres en haut du classeur.

  • Un graphique linéaire de tendance, intitulé Tendance des incidents, montre le nombre d’incidents au fil du temps. Ces incidents sont regroupés (représentés par des lignes de couleur et des ombres différentes) par défaut en fonction de la famille de contrôle représentée par la règle qui les a générés. Vous pouvez sélectionner d’autres regroupements pour ces incidents dans la liste déroulante Détails des incidents par.

    Capture d’écran de la ligne de tendance du nombre d’incidents, regroupés par règle.

  • Le graphique Ruche d’incidents montre le nombre d’incidents regroupés de deux manières. Les valeurs par défaut (pour l’infrastructure SOX) sont d’abord par famille de contrôles SOX (le tableau de cellules « en nid d’abeille ») puis par Identifiant du système (chaque cellule dans le « nid d’abeille »). Vous pouvez sélectionner différents critères selon lesquels afficher les regroupements, à l’aide des sélecteurs Forage par et Puis par.

    Faites un zoom avant sur le graphique de la ruche pour que le texte soit suffisamment grand pour être lu clairement, et faites un zoom arrière pour voir tous les groupes ensemble. Faites glisser l'ensemble du graphique pour en voir différentes parties.

    Capture d’écran des graphiques de la ruche concernant le nombre d’incidents, regroupés par famille de contrôle et par identifiant de système.

Onglet Rapport

Enfin, l’onglet Rapport contient une liste de tous les incidents dans votre environnement qui correspondent aux filtres en haut du classeur.

  • Les incidents sont regroupés par famille de contrôle et par identifiant de contrôle.

  • Le lien dans la colonne URL de l’incident ouvre une nouvelle fenêtre de navigateur ouverte à la page d’investigation d’incident pour cet incident. Ce lien est persistant et fonctionne quelle que soit la stratégie de rétention pour la table SecurityIncident.

  • Faites défiler la fenêtre jusqu'au bout (la barre de défilement extérieure) pour voir la barre de défilement horizontale, que vous pouvez utiliser pour voir le reste des colonnes du rapport.

  • Exportez ce rapport vers une feuille de calcul en sélectionnant les points de suspension (les trois points) dans le coin supérieur droit du rapport, puis en sélectionnant Exporter vers Excel.

    Capture d’écran de l’onglet Rapport dans le classeur.

    Capture d’écran de l’option d’exporter vers Excel.

Étapes suivantes

Pour plus d'informations, consultez les pages suivantes :

Consultez cette vidéo YouTube, sur la chaîne YouTube de la Communauté de sécurité Microsoft, pour une démonstration de ce classeur.