SAP integrálása több munkaterületen
A Microsoft Sentinelhez engedélyezett Log Analytics-munkaterület beállításakor több architektúralehetőséget és tényezőt is figyelembe kell vennie. Figyelembe véve a földrajzi helyet, a szabályozást, a hozzáférés-vezérlést és más tényezőket, dönthet úgy, hogy több munkaterületet is használ a szervezetben.
Az SAP használatakor előfordulhat, hogy az SAP- és SOC-csapatoknak külön munkaterületeken kell dolgozniuk a biztonsági határok fenntartása érdekében. Előfordulhat, hogy nem szeretné, hogy az SAP-csapat áttekintse a szervezet összes többi biztonsági naplóját. Az SAP BASIS csapata azonban kritikus szerepet játszik a Microsoft Sentinel-megoldás sap-alkalmazásokhoz való sikeres bevezetésében és karbantartásában. Technikai ismereteik elengedhetetlenek az SAP-rendszerek hatékony monitorozásához, a biztonsági beállítások konfigurálásához és a megfelelő incidenskezelési eljárások biztosításához. Ezért az SAP BASIS-csapatnak hozzáféréssel kell rendelkeznie a Microsoft Sentinel számára engedélyezett Log Analytics-munkaterülethez, lehetővé téve számukra, hogy együttműködjenek az SOC-csapattal, miközben kifejezetten az SAP-val kapcsolatos biztonsági monitorozásra összpontosítanak.
Ez a cikk azt ismerteti, hogyan használható a Microsoft Sentinel megoldás sap-alkalmazásokhoz több munkaterületen, és hogyan használható nagyobb rugalmassággal a következő célokra:
- Felügyelt biztonsági szolgáltatók (MSSP-k) vagy globális vagy összevont biztonsági üzemeltetési központ (SOC).
- Adattárolási követelmények.
- Szervezeti hierarchia és informatikai tervezés.
- Nincs elegendő szerepköralapú hozzáférés-vezérlés (RBAC) egyetlen munkaterületen.
Fontos
A több munkaterület használata jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
SAP- és SOC-adatok külön munkaterületeken karbantartva
Ha az SAP- és SOC-csapatok külön Log Analytics-munkaterületeket engedélyeznek a Microsoft Sentinel számára, ahol a csapatadatok vannak tárolva, javasoljuk, hogy adjon meg néhány vagy az összes SOC-csapattagnak a Sentinel Reader szerepkört az SAP BASIS-csapat munkaterületéhez. Ez lehetővé teszi mindkét csapat számára, hogy munkaterületek közötti lekérdezésekkel lássák az SAP-adatokat.
Az SAP- és SOC-adatok különálló munkaterületeinek fenntartása a következő előnyökkel jár:
| Haszon | Leírás |
|---|---|
| Riasztások | A Microsoft Sentinel olyan riasztásokat aktiválhat, amelyek SOC- és SAP-adatokat is tartalmaznak, és futtathatja ezeket a riasztásokat az SOC-munkaterületen. |
| Adatelkülönítés | Az SAP BASIS csapatának saját munkaterülete van, amely minden funkciót magában foglal, kivéve azokat az észleléseket, amelyek SOC- és SAP-adatokat is tartalmaznak. Az SOC megtekintheti és kivizsgálhatja az SAP-incidenseket. Ha az SAP BASIS csapata olyan eseményre néz, amelyet nem tud magyarázni a meglévő adatok használatával, a csapat hozzárendelheti az incidenst az SOC-hoz. |
| Hajlékonyság | Az SAP BASIS csapata a belső fenyegetések szabályozására összpontosíthat a környezetében, az SOC pedig a külső fenyegetésekre összpontosíthat. |
| Árképzés | A betöltési díjakért nincs külön díj, mivel az adatok csak egyszer kerülnek be a Microsoft Sentinelbe. Azonban minden munkaterületnek saját tarifacsomagja van. |
Az alábbi táblázat az SAP- és SOC-csapatok adatait és funkcióhozzáférési funkcióit térképi leképi, amikor mindegyik saját munkaterületet tart fenn:
| Függvény | SOC-csapat | SAP BASIS-csapat |
|---|---|---|
| SOC-munkaterület hozzáférése | ✅ | ❌ |
| SAP-munkaterület adatai, elemzési szabályok, függvények, figyelőlisták és munkafüzetek hozzáférése | ✅ | ✅* |
| SAP-incidensek elérése és együttműködése | ✅ | ✅* |
* Az SOC csapata mindkét munkaterületen láthatja ezeket a függvényeket. Az SAP BASIS csapata csak az SAP-munkaterületen látja ezeket a függvényeket.
Feljegyzés
A munkaterületek közötti lekérdezések nagyobb SAP-környezetekben való futtatása hatással lehet a teljesítményre. A jobb teljesítmény- és költségoptimalizálás érdekében fontolja meg, hogy az SOC- és AZ SAP-munkaterületek is ugyanazon a dedikált fürtön vannak. További információ: Dedikált fürt létrehozása és kezelése az Azure Monitor-naplókban.
UGYANAZON a munkaterületen tárolt SAP- és SOC-adatok
Előfordulhat, hogy az összes adatot egyetlen munkaterületen szeretné tárolni, és hozzáférési vezérlőket kell alkalmaznia annak meghatározásához, hogy a csapat tagjai ki férhetnek hozzá az adatokhoz.
Ehhez kövesse az alábbi lépéseket:
A Log Analytics használata az Azure Monitorban az adatokhoz való hozzáférés erőforrásonkénti kezeléséhez. További információ: A Microsoft Sentinel-adatokhoz való hozzáférés kezelése erőforrásonként.
SAP-erőforrások társítása Azure-erőforrás-azonosítóval. Ez a beállítás csak a parancssori felületen üzembe helyezett adatösszekötő-ügynök esetében támogatott. Adja meg a szükséges
azure_resource_idmezőt az adatgyűjtő összekötőkonfigurációs szakaszában, amelyet az SAP rendszerből a Microsoft Sentinelbe való adatbetöltéshez használ. További információ: SAP-adatösszekötő-ügynök üzembe helyezése a parancssorból és az összekötő konfigurációjából.
Miután az adatgyűjtő ügynök a megfelelő erőforrás-azonosítóval van konfigurálva, az SAP BASIS csapata egy erőforrás-hatókörű lekérdezés használatával hozzáférhet az SOC-munkaterület adott SAP-adataihoz. Az SAP BASIS csapata nem tudja beolvasni a többi, nem SAP-adattípust.
Ez a megközelítés nem jár költségekkel, mert az adatok csak egyszer kerülnek be a Microsoft Sentinelbe.
Ha erőforrás alapján kezeli a hozzáférést, az SAP BASIS csapata csak nyers és formázatlan adatokat lát, amelyeket a Log Analytics vagy a Power BI segítségével érhet el. Az SAP BASIS csapata nem használhat Microsoft Sentinel-funkciókat.
Kapcsolódó tartalom
További információ: Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz.