A Microsoft Sentinel megoldás használata SAP-alkalmazásokhoz több munkaterületen
A Microsoft Sentinel-munkaterület beállításakor több architektúralehetőséget és tényezőt is figyelembe kell vennie. A földrajzi helyeket, a szabályozást, a hozzáférés-vezérlést és más tényezőket figyelembe véve dönthet úgy, hogy több Microsoft Sentinel-munkaterületet is használ a szervezetében.
Ez a cikk azt ismerteti, hogyan használható a Microsoft Sentinel megoldás SAP-alkalmazásokhoz több munkaterületen, különböző üzembe helyezési forgatókönyvek esetén.
Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás natív módon támogatja a munkaterületek közötti architektúrát, hogy nagyobb rugalmasságot biztosítsunk a következőkhöz:
- Felügyelt biztonsági szolgáltatók (MSSP-k) vagy globális vagy összevont biztonsági üzemeltetési központ (SOC).
- Adattárolási követelmények.
- Szervezeti hierarchia és informatikai tervezés.
- Nincs elegendő szerepköralapú hozzáférés-vezérlés (RBAC) egyetlen munkaterületen.
Fontos
A több munkaterület használata jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Az SAP biztonsági tartalmainak üzembe helyezésekor több munkaterületet is meghatározhat.
Az SOC és az SAP-csapatok együttműködése a szervezetben
Gyakori használati eset, amikor a vállalat SOC és SAP csapatai közötti együttműködéshez több munkaterületre van szükség.
A szervezet SAP-csapata olyan technikai ismeretekkel rendelkezik, amelyek elengedhetetlenek a Microsoft Sentinel megoldás sikeres és hatékony implementálásához az SAP-alkalmazásokhoz. Ezért fontos, hogy az SAP-csapat lássa a releváns adatokat, és együttműködjön a SOC-val a szükséges konfigurációs és incidenskezelési eljárásokról.
Az SOC és az SAP csapat együttműködésének két lehetséges forgatókönyve van a szervezet igényeitől függően:
1. forgatókönyv: AZ SAP-adatok és a SOC-adatok külön munkaterületeken maradnak fenn. Mindkét csapat munkaterületek közötti lekérdezésekkel láthatja az SAP-adatokat.
2. forgatókönyv: Csak az SOC-munkaterületen tárolt SAP-adatok. Az SAP-csapat erőforrás-környezeti lekérdezésekkel kérdezheti le az adatokat.
1. forgatókönyv: KÜLÖN munkaterületeken tárolt SAP-adatok és SOC-adatok
Ebben a forgatókönyvben az SAP-csapat és az SOC-csapat külön Microsoft Sentinel-munkaterületekkel rendelkezik, ahol a csapatadatok megmaradnak.
Amikor a szervezet telepíti a Microsoft Sentinel-megoldást AZ SAP-alkalmazásokhoz, minden csapat megadja az SAP-munkaterületét.
Gyakori eljárás, hogy az SAP-munkaterületen néhány vagy az összes SOC-csapattag rendelkezik Sentinel-olvasó szerepkörrel.
Az SAP- és SOC-adatokhoz külön munkaterületek létrehozása az alábbi előnyökkel jár:
A Microsoft Sentinel olyan riasztásokat aktiválhat, amelyek SOC- és SAP-adatokat is tartalmaznak, és futtathatja ezeket a riasztásokat az SOC-munkaterületen.
Feljegyzés
Nagyobb SAP-környezetek esetén az SOC által az SAP-munkaterületről származó adatokon végzett lekérdezések hatással lehetnek a teljesítményre. Az SAP-adatoknak az SOC-munkaterületre kell utazniuk, amikor lekérdezik őket. A jobb teljesítmény- és költségoptimalizálás érdekében fontolja meg, hogy az SOC- és AZ SAP-munkaterületek is ugyanazon a dedikált fürtön vannak.
Az SAP-csapat saját Microsoft Sentinel-munkaterülettel rendelkezik, amely az SOC-t és az SAP-adatokat egyaránt tartalmazó észlelések kivételével minden funkciót magában foglal.
Rugalmasság. Az SAP csapata a belső fenyegetések szabályozására összpontosíthat a környezetében, az SOC pedig a külső fenyegetésekre összpontosíthat.
A betöltési díjakért nincs további díj, mivel az adatok csak egyszer kerülnek be a Microsoft Sentinelbe. Azonban minden munkaterületnek saját tarifacsomagja van.
Az SOC megtekintheti és kivizsgálhatja az SAP-incidenseket. Ha az SAP-csapat olyan eseményre néz, amelyet nem tud magyarázni a meglévő adatok használatával, a csapat hozzárendelheti az incidenst az SOC-hez.
Az alábbi táblázat az SAP- és SOC-csapatok adatainak és funkcióinak elérését képezi le ebben a forgatókönyvben:
| Függvény | SOC-csapat | SAP-csapat |
|---|---|---|
| SOC-munkaterület hozzáférése | ✅ | ❌ |
| SAP-munkaterület adatai, elemzési szabályok, függvények, figyelőlisták és munkafüzetek hozzáférése | ✅ | ✅1 |
| SAP-incidensek elérése és együttműködése | ✅ | ✅1 |
1 Az SOC csapata mindkét munkaterületen láthatja ezeket a függvényeket. Az SAP-csapat ezeket a függvényeket csak az SAP-munkaterületen látja.
2. forgatókönyv: Csak az SOC-munkaterületen tárolt SAP-adatok
Ebben a forgatókönyvben az összes adatot egy munkaterületen szeretné tárolni, és hozzáférési vezérlőket kell alkalmaznia. Ezt úgy teheti meg, hogy az Azure Monitor Log Analytics szolgáltatásával erőforrásonként kezeli az adatokhoz való hozzáférést. Az SAP-erőforrásokat azure-erőforrás-azonosítóhoz is társíthatja az adatgyűjtő összekötők konfigurációs szakaszában található kötelező azure_resource_id mező megadásával, amelyet az SAP-rendszerből a Microsoft Sentinelbe való adatbetöltéshez használ.
Miután az adatgyűjtő ügynök a megfelelő erőforrás-azonosítóval van konfigurálva, az SAP-csapat egy erőforrás-hatókörű lekérdezés használatával hozzáférhet a SOC-munkaterület adott SAP-adataihoz. Az SAP-csapat nem tudja beolvasni a többi, nem SAP-adattípust.
Ez a megközelítés nem jár költségekkel, mert az adatok csak egyszer kerülnek be a Microsoft Sentinelbe. Ha ezt a hozzáférési módot használja, az SAP csapata csak nyers és formázatlan adatokat lát. Az SAP-csapat nem használhat Microsoft Sentinel-funkciókat. A nyers adatok Log Analyticsen keresztüli elérése mellett az SAP-csapat ugyanazokat az adatokat a Power BI-on keresztül is elérheti.
Következő lépés
Ebben a cikkben megismerkedett a Microsoft Sentinel-megoldás sap-alkalmazásokhoz való használatával több munkaterületen, különböző üzembe helyezési forgatókönyvek esetén. A következő lépésben megtudhatja, hogyan helyezheti üzembe a megoldást: