Megosztás a következőn keresztül:

Ellenőrizze, hogy az SAP biztonsági vezérlői megfelelnek-e az SAP – Security Audit Controls munkafüzetnek

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk azt ismerteti, hogyan használhatja az SAP – Security Audit Controls munkafüzetet a biztonsági ellenőrzési keretrendszer megfelelőségének figyelésére és nyomon követésére az SAP-rendszereken, beleértve a következő funkciókat:

  • Tekintse meg azokat a javaslatokat, amelyek alapján az elemzési szabályokat engedélyezni kell, és a megfelelő előre beállított konfigurációval helyben engedélyezheti őket.
  • Társítsa az elemzési szabályokat a SOX- vagy NIST-vezérlési keretrendszerhez, vagy alkalmazza saját egyéni vezérlési keretrendszerét.
  • Tekintse át az incidenseket és riasztásokat, amelyeket a kiválasztott szabályozási keretrendszernek megfelelően a vezérlők összegeznek.
  • A releváns incidensek exportálása további elemzés céljából, naplózási és jelentéskészítési célokra.

Példa:

Képernyőkép az SAP Audit Controls munkafüzet tetejéről.

A cikkben szereplő tartalom a biztonsági csapatnak szól.

Előfeltételek

Mielőtt elkezdené használni az SAP – Security Audit naplót és az Initial Access munkafüzetet, a következővel kell rendelkeznie:

  • Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás telepítve van, és üzembe helyez egy adatösszekötő-ügynököt. További információ: Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz.

  • A Log Analytics-munkaterületre telepített SAP Audit Controls munkafüzet engedélyezve van a Microsoft Sentinel számára. További információkért tekintse meg és vizualizálja és monitorozza az adatokat a Microsoft Sentinel munkafüzeteinek használatával.

  • Legalább egy incidens a munkaterületen, és legalább egy bejegyzés elérhető a SecurityIncident táblában. Ennek nem kell SAP-incidensnek lennie, és létrehozhat egy bemutató incidenst egy alapszintű elemzési szabály használatával, ha nincs másik.

Bemutató megtekintése

A munkafüzet bemutatójának megtekintése:

További információt a Microsoft Security Community YouTube-csatornáján talál:

Támogatott szűrők

Az SAP Audit Controls munkafüzet a következő szűrőket támogatja, hogy a szükséges adatokra összpontosíthasson:

Szűrési lehetőség Leírás
Előfizetés és munkaterület Válassza ki azt a munkaterületet, amelynek SAP-rendszereinek megfelelőségét naplózni szeretné. Ez más munkaterület lehet, mint ahol a Microsoft Sentinel telepítve van.
Incidens létrehozási ideje Válasszon ki egy tartományt az elmúlt négy órától az utolsó 30 napig, vagy egy ön által meghatározott egyéni tartományt.
Egyéb incidensattribútumok, beleértve az állapotot, a súlyosságot, a taktikát, a tulajdonost Mindegyiknél válasszon a rendelkezésre álló lehetőségek közül, amelyek megfelelnek a kiválasztott időtartományban az incidensekben képviselt értékeknek.
Rendszerszerepkörök Az SAP rendszerszerepkörei, például az Éles környezet.
Rendszerhasználat Az SAP rendszerhasználata, például az SAP ERP.
Rendszerek Válassza ki az összes SAP-rendszerazonosítót, egy adott rendszerazonosítót vagy több rendszerazonosítót.
Control framework, Control families, Control IDs Válassza ki azt a vezérlőkeretet, amellyel értékelni szeretné a lefedettséget, és azokat a vezérlőket, amelyekkel szűrni szeretné a munkafüzet adatait.

Adatmegőrzési javaslatok

Az SAP Audit Controls irányítópultjai a SecurityAlert és a SecurityIncident táblák alapján aggregált nézetet biztosítanak az incidensekről és riasztásokról, amelyek alapértelmezés szerint 30 napnyi adatot őriznek meg.

Fontolja meg a táblák megőrzési időtartamának meghosszabbítását a szervezet megfelelőségi követelményeinek megfelelően. Függetlenül attól, hogy a táblák adatmegőrzési szabályzata milyen választást tesz, az incidensadatok soha nem törlődnek, bár előfordulhat, hogy itt nem jelennek meg. A riasztási adatok a tábla adatmegőrzési szabályzatának megfelelően lesznek tárolva.

A SecurityAlert és SecurityIncident táblák tényleges adatmegőrzési szabályzata az alapértelmezett 30 naptól eltérő módon is definiálható. Tekintse meg a munkafüzet kék árnyalatú hátterének értesítését, amely az aktuális adatmegőrzési szabályzatnak megfelelően jeleníti meg a táblákban lévő adatok tényleges időtartományát.

További információ: Adatmegőrzési szabályzat konfigurálása egy Log Analytics-munkaterület tábláihoz.

Konfigurálás lap – elemzési szabályok létrehozása még nem használt sablonokból

A Konfigurálás lapon a használatra kész sablonok a Microsoft Sentinel-megoldás elemzési szabálysablonjait jelenítik meg olyan SAP-alkalmazásokhoz, amelyek még nem lettek implementálva aktív szabályként. Előfordulhat, hogy a megfelelőség eléréséhez létre kell hoznia ezeket a szabályokat. Példa:

Képernyőkép az elemzési szabálysablonok táblázatáról, amelyekből szabályokat hozhat létre.

Ez a táblázat alapértelmezés szerint az SAP-ra van szűrve, és a megoldássablonokban az SAP van kiválasztva a legördülő lista konfigurálásához. Válassza ki a legördülő listából bármelyik vagy az összes többi megoldást a sablonok további használatra kész feltöltéséhez.

A táblázat minden sorában válassza a Nézet lehetőséget a szabálykonfigurációval kapcsolatos további csak olvasható részletekért.

Az Ajánlott konfiguráció oszlop a szabály célját mutatja: incidensek létrehozása vizsgálathoz? Vagy csak azért, hogy olyan riasztásokat hozzon létre, amelyeket félre kell tenni, és más incidensekhez hozzá kell adni, hogy bizonyítékként használják a vizsgálatuk során?

Az oldalpanelen válassza a Szabály aktiválása lehetőséget, ha elemzési szabályt szeretne létrehozni a sablonból, és az ajánlott konfiguráció már be van építve. Ez a funkció azzal a problémával jár, hogy a megfelelő konfigurációt kell kitalálnia, és manuálisan kell meghatároznia.

Konfigurálás lap – Az elemzési szabályok biztonsági vezérlési hozzárendeléseinek megtekintése vagy módosítása

A Konfigurálás lapon a tábla konfigurálásához szükséges szabály kiválasztása lapon az SAP-ra vonatkozó aktivált elemzési szabályok listája látható. Példa:

A konfigurálni kívánt szabály kiválasztásának képernyőképe.

A táblázatban ellenőrizze a következőt:

Válasszon ki egy szabályt a részletek panel további információval való megtekintéséhez. Példa:

Képernyőkép a szabálykonfiguráció oldalpaneléről.

  • Az oldalpanel felső része javaslatokat tesz az incidensek létrehozásának engedélyezésére vagy letiltására az elemzési szabály konfigurációjában.

  • Az oldalpanel következő szakasza azt mutatja be, hogy mely biztonsági vezérlők és vezérlőcsaládok azonosítják a szabályt az egyes elérhető keretrendszerekhez.

    • A SOX- és NIST-keretrendszerek esetében testre szabhatja a vezérlőelem-hozzárendelést úgy, hogy a megfelelő legördülő listákból kiválaszt egy másik vezérlő- vagy vezérlőcsaládot.
    • Egyéni keretrendszerek esetén a MyOrg szövegmezőkbe írja be az Ön által választott vezérlőket és vezérlőcsaládokat. Ha bármilyen módosítást hajt végre, válassza a Módosítások mentése lehetőséget.

    Ha egy adott elemzési szabály nem kapott biztonsági vezérlőt vagy vezérlőcsaládot egy adott keretrendszerhez, a rendszer kérni fogja a vezérlők manuális beállítását. A vezérlők kiválasztása után válassza a Módosítások mentése lehetőséget.

    A kijelölt szabály aktuálisan meghatározott részleteinek megtekintéséhez válassza a Szabály áttekintése lehetőséget.

Monitorozás lap

A Monitorozás lap számos grafikus ábrázolást tartalmaz a környezet incidenseinek különböző csoportosításáról, amelyek megfelelnek a munkafüzet tetején található szűrőknek:

  • Az Incidensek trend címkével ellátott trendvonaldiagram az incidensek időbeli számát mutatja. Ezek az incidensek alapértelmezés szerint különböző színű vonalak és árnyékolások szerint vannak csoportosítva és ábrázolva az őket létrehozó szabály által képviselt vezérlőcsalád szerint. Válassza ki az ilyen incidensek alternatív csoportosítását a Részletes incidensek legördülő listából. Példa:

    Képernyőkép az incidensek számának trendvonaláról, szabály szerint csoportosítva.

  • Az Incidensek hive gráf az incidensek számát mutatja két módon csoportosítva. Az SOX-keretrendszer alapértelmezett értéke először a SOX Control család, amely a sejtek méhsejttömbje , majd a rendszerazonosító, amely a méhsejt egyes cellái. Válasszon ki különböző feltételeket a csoportosítások megjelenítéséhez a Részletezés szempontja, majd a választók használatával.

Nagyítsa a kaptárdiagramot, hogy a szöveg elég nagy legyen ahhoz, hogy jól olvasható legyen, és kicsinyítse az összes csoportosítást. Húzza a teljes gráfot a diagram különböző részeinek megtekintéséhez. Példa:

Képernyőkép az incidensek számának hive-diagramjairól a vezérlőcsalád és a rendszerazonosító szerint csoportosítva.

Jelentés lap

A Jelentés lap a környezet összes olyan incidensét tartalmazza, amely megfelel a munkafüzet tetején található szűrőknek.

  • Az incidensek a vezérlőcsalád és a vezérlőazonosító szerint vannak csoportosítva.

  • Az Incidens URL-oszlopában található hivatkozás megnyílik egy új böngészőablakban, amely megnyílik az incidens incidensvizsgálati oldalára. Ez a hivatkozás állandó, és a SecurityIncident tábla adatmegőrzési szabályzatától függetlenül működik.

  • Görgessen le az ablak végéhez (a külső görgetősávhoz) a vízszintes görgetősáv megjelenítéséhez, amellyel megtekintheti a jelentés többi oszlopát.

  • Exportálja ezt a jelentést egy számolótáblába a jelentés jobb felső sarkában található három pont (három pont) kiválasztásával, majd az Exportálás excelbe lehetőség kiválasztásával.

    A munkafüzet Jelentés lapjának képernyőképe.

    Képernyőkép az Excelbe exportálás lehetőségről.

Kapcsolódó tartalom

További információ: A Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz a tartalomközpontból és a Microsoft Sentinel-megoldás SAP-alkalmazásokhoz: biztonsági tartalomhivatkozás.