Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® – SAP Audit Controls munkafüzet (előzetes verzió)

  • Cikk

Ez a cikk az SAP Audit Controls munkafüzetet ismerteti, amelyet az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás részeként biztosítunk Önnek.

Fontos

A Microsoft Sentinel SAP Audit Controls munkafüzet jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Ez a munkafüzet segít ellenőrizni, hogy az SAP-környezet® biztonsági vezérlői megfelelnek-e a választott szabályozási keretrendszernek, legyen szó SOX-ról, NIST-ről vagy egy tetszőleges egyéni keretrendszerről.

A munkafüzet eszközöket biztosít a környezet elemzési szabályainak adott biztonsági vezérlőkhöz és vezérlőcsaládokhoz való hozzárendeléséhez, az SAP-megoldásalapú elemzési szabályok által generált incidensek monitorozásához és kategorizálásához, valamint a megfelelőségről szóló jelentéshez.

A munkafüzet a következő képességeket biztosítja a megfelelőségi programhoz:

  • Tekintse meg azokat a javaslatokat, amelyek alapján az elemzési szabályokat engedélyezni kell, és a megfelelő előre beállított konfigurációval helyben engedélyezheti őket.
  • Társítsa az elemzési szabályokat a SOX- vagy NIST-vezérlési keretrendszerhez, vagy alkalmazza saját egyéni vezérlési keretrendszerét.
  • Tekintse át az incidenseket és riasztásokat, amelyeket a kiválasztott szabályozási keretrendszernek megfelelően a vezérlők összegeznek.
  • A releváns incidensek exportálása további elemzés céljából, naplózási és jelentéskészítési célokra.

A munkafüzet használatának megkezdése

  1. A Microsoft Sentinel portálon válassza a Munkafüzetek lehetőséget a Fenyegetéskezelés menüben.

  2. A Munkafüzetek gyűjteményben lépjen a Sablonok elemre, és írja be az SAP kifejezést a keresősávba, és válassza az SAP Audit Controls lehetőséget az eredmények közül.

  3. Válassza a Sablon megtekintése lehetőséget a munkafüzet adott állapotában történő használatához, vagy válassza a Mentés elemet a munkafüzet szerkeszthető másolatának létrehozásához. A másolat létrehozása után válassza a Mentett munkafüzet megtekintése lehetőséget.

    Képernyőkép az SAP Audit Controls munkafüzet tetejéről.

  4. Válassza ki a következő mezőket az adatok igényei szerinti szűréséhez:

    • Előfizetés és munkaterület. Válassza ki azt a munkaterületet, amelynek SAP-rendszereinek megfelelőségét naplózni szeretné. Ez más munkaterület lehet, mint ahol a Microsoft Sentinel telepítve van.
    • Incidens létrehozási ideje. Válasszon ki egy tartományt az elmúlt négy órától az utolsó 30 napig, vagy egy ön által meghatározott egyéni tartományt.
    • Egyéb incidensattribútumok – Állapot, Súlyosság, Taktika, Tulajdonos. Mindegyiknél válasszon a rendelkezésre álló lehetőségek közül, amelyek megfelelnek a kiválasztott időtartományban az incidensekben képviselt értékeknek.
    • Rendszerszerepkörök. Az SAP rendszerszerepkörei, például: Éles környezet.
    • Rendszerhasználat. Például: SAP ERP.
    • Rendszerek. Kiválaszthatja az összes SAP-rendszerazonosítót, egy adott rendszerazonosítót vagy több rendszerazonosítót.
    • Control framework, Control families, Control IDs. Válassza ki ezeket annak a vezérlőkeretnek megfelelően, amellyel értékelni szeretné a lefedettséget, és azoknak a vezérlőknek a alapján, amelyek alapján szűrni szeretné a munkafüzet adatait.

    A munkafüzet irányítópultjai lehetővé teszik az incidensek és riasztások összesített nézetét a SecurityAlert és a SecurityIncident táblák alapján, amelyek alapértelmezés szerint 30 napnyi adatot őriznek meg. Fontolja meg a táblák megőrzési időtartamának meghosszabbítását a szervezet megfelelőségi követelményeinek megfelelően. Függetlenül attól, hogy a táblák adatmegőrzési szabályzata milyen döntést hoz, maga az incidensadatok soha nem törlődnek, bár előfordulhat, hogy itt nem jelennek meg. A riasztási adatok a tábla adatmegőrzési szabályzatának megfelelően lesznek tárolva.

    • A két tábla tényleges adatmegőrzési szabályzata az alapértelmezett 30 naptól eltérő módon is definiálható. Tekintse meg a munkafüzet kék árnyalatú hátterének megjegyzését (a fenti képernyőképen látható), amely az aktuális adatmegőrzési szabályzatnak megfelelően jeleníti meg a táblákban lévő adatok tényleges időtartományát.

    • További információt a Log Analytics-munkaterületen lévő táblák adatmegőrzési szabályzatának konfigurálása című témakörben talál.

Munkafüzet áttekintése

A munkafüzet három lapra van osztva:

  • Konfigurálás
  • Figyelés
  • Jelentés

Konfigurálás lap

Elemzési szabályok létrehozása még nem használt sablonokból

A használatra kész sablonok táblázat az sap-alkalmazásokhoz® készült Microsoft Sentinel-megoldásból származó elemzési szabálysablonokat jeleníti meg, amelyek még nem lettek implementálva aktív szabályként. Előfordulhat, hogy a megfelelőség eléréséhez létre kell hoznia ezeket a szabályokat.

Képernyőkép az elemzési szabálysablonok táblázatáról, amelyekből szabályokat hozhat létre.

  • A vezérlő konfigurálásához használt megoldássablonok azokat a telepített megoldásokat jelenítik meg, amelyek elemzési szabályait itt értékelheti ki a választott szabályozási keretrendszernek való megfelelőség szempontjából. Alapértelmezés szerint csak az SAP-megoldás van kiválasztva, de a legördülő menüből bármelyiket vagy az összes többit kiválaszthatja.

  • Válassza a Nézet hivatkozást egy adott szabálysablon sorának Tulajdonságok oszlopában a táblában a sablon teljes konfigurációjának megtekintéséhez az előugró Részletek panelen. (Ez a nézet írásvédett.)

  • Az Ajánlott konfiguráció oszlop a szabály célját mutatja: incidensek létrehozása vizsgálathoz? Vagy csak azért, hogy olyan riasztásokat hozzon létre, amelyeket félre kell tenni, és más incidensekhez hozzá kell adni, hogy bizonyítékként használják a vizsgálatuk során?

  • A szabály aktiválása (a leírás panelen) lehetőséget választva hozzon létre egy elemzési szabályt a sablonból, és a javasolt konfiguráció már be van építve. Ez a funkció azzal a problémával jár, hogy a megfelelő konfigurációt kell kitalálnia, és manuálisan kell meghatároznia.

Az elemzési szabályok biztonsági vezérlési hozzárendeléseinek megtekintése vagy módosítása

A tábla konfigurálásához szükséges szabály kiválasztása lapon megjelenik az SAP-hoz kapcsolódó aktivált elemzési szabályok listája.

A konfigurálni kívánt szabály kiválasztásának képernyőképe.

  • Az egyes szabályok által létrehozott incidensek és riasztások száma és gráfvonalai jelennek meg. (Az azonos számok azt sugallják, hogy a riasztások csoportosítása le van tiltva.)

  • Az oszlopok azt jelzik, hogy a szabály incidenslétrehozási beállítása engedélyezve van (az Incidensek oszlop), és hogy mi a szabály forrása (a Forrás oszlop)– Katalógus, Tartalomközpont vagy Egyéni.

  • Ha a szabály ajánlott konfigurációja "Csak riasztásként", akkor érdemes lehet letiltani az incidenslétrehozás beállítását a szabályban (lásd alább).

  • Szabály kiválasztásakor megjelenik egy részletpanel, amelyen a szabályra vonatkozó információk találhatók.

    Képernyőkép a szabálykonfiguráció oldalpaneléről.

    • Ennek az oldalpanelnek a felső része javaslatokat tesz az incidensek létrehozásának engedélyezésére vagy letiltására az elemzési szabály konfigurációjában, ahogy azt fentebb említettük.

    • A következő szakasz bemutatja, hogy mely biztonsági vezérlőkkel és vezérlőcsaládokkal azonosítja a szabályt az egyes elérhető keretrendszerek esetében. A SOX- és NIST-keretrendszerek esetében testre szabhatja a vezérlőelem-hozzárendelést úgy, hogy a megfelelő legördülő listákból kiválaszt egy másik vezérlő- vagy vezérlőcsaládot. Egyéni keretrendszerek esetén a MyOrg szövegmezőibe írhatja az Ön által választott vezérlőket és vezérlőcsaládokat. Ha bármilyen módosítást hajt végre, válassza a Módosítások mentése lehetőséget.

    Ha egy adott elemzési szabályhoz nem rendeltek biztonsági vezérlőt vagy vezérlőcsaládot egy adott keretrendszerhez, megjelenik egy javaslat a vezérlők beállítására. A vezérlők kiválasztása után válassza a Módosítások mentése lehetőséget.

    • A kijelölt szabály aktuálisan meghatározott részleteinek megtekintéséhez válassza a Szabály áttekintése lehetőséget. Ekkor megnyílik a jelen dokumentumban korábban ismertetett Részletek panel.

Monitorozás lap

Ez a lap számos grafikus ábrázolást tartalmaz a környezet incidenseinek különböző csoportjairól, amelyek megfelelnek a munkafüzet tetején található szűrőknek.

  • Az Incidensek trend címkével ellátott trendvonaldiagram az incidensek időbeli számát mutatja. Ezek az incidensek alapértelmezés szerint csoportosítva vannak (különböző színes vonalak és árnyékolások) az őket létrehozó szabály által képviselt vezérlőcsalád szerint. Ezekhez az incidensekhez alternatív csoportosításokat választhat a Részletek incidensek legördülő listából.

    Képernyőkép az incidensek számának trendvonaláról, szabály szerint csoportosítva.

  • Az Incidensek hive gráf az incidensek számát mutatja két módon csoportosítva. Az alapértelmezett értékeket (az SOX-keretrendszer esetében) először a SOX Control család (a "méhsejt" cellatömb) és a rendszerazonosító (a "méhsejt" minden cellájának) adja meg. A csoportosítások megjelenítéséhez különböző feltételeket választhat a Részletezés szempontja, majd a választók használatával.

    Nagyítson a kaptárdiagramra, hogy a szöveg elég nagy legyen ahhoz, hogy jól olvasható legyen, és kicsinyítse az összes csoportosítást. Húzza a teljes gráfot a diagram különböző részeinek megtekintéséhez.

    Képernyőkép az incidensek számának hive-diagramjairól a vezérlőcsalád és a rendszerazonosító szerint csoportosítva.

Jelentés lap

Végül a Jelentés lap a környezet összes olyan incidensét tartalmazza, amely megfelel a munkafüzet tetején található szűrőknek.

  • Az incidensek a vezérlőcsalád és a vezérlőazonosító szerint vannak csoportosítva.

  • Az Incidens URL-oszlopában található hivatkozás megnyílik egy új böngészőablakban, amely megnyílik az incidens incidensvizsgálati oldalára. Ez a hivatkozás állandó, és a SecurityIncident tábla adatmegőrzési szabályzatától függetlenül működik.

  • Görgessen le az ablak végéhez (a külső görgetősávhoz) a vízszintes görgetősáv megjelenítéséhez, amellyel megtekintheti a jelentés többi oszlopát.

  • Exportálja ezt a jelentést egy számolótáblába a jelentés jobb felső sarkában található három pont (három pont) kiválasztásával, majd az Exportálás excelbe lehetőség kiválasztásával.

    A munkafüzet Jelentés lapjának képernyőképe.

    Képernyőkép az Excelbe exportálás lehetőségről.

Következő lépések

További információkért lásd:

A munkafüzet bemutatásához tekintse meg ezt a YouTube-videót a Microsoft Security Community YouTube-csatornáján.