Microsoft Sentinel incidenskezelési forgatókönyvek az SAP-hoz

Ez a cikk bemutatja, hogyan használhatja ki a Microsoft Sentinel biztonsági vezénylési, automatizálási és válaszképességi (SOAR) képességeit az SAP-val együtt. A cikk bemutatja az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásban található célalapú forgatókönyveket. Ezekkel a forgatókönyvekkel automatikusan reagálhat az SAP-rendszerek gyanús felhasználói tevékenységeire, automatizálhatja a szervizműveleteket az SAP RI Standard kiadás, az SAP ERP, az SAP Business Technology Platform (BTP) és a Microsoft Entra ID szolgáltatásban.

A Microsoft Sentinel SAP-megoldás lehetővé teszi a szervezet számára az SAP-környezet védelmét. A Sentinel SAP-megoldás teljes, részletes áttekintését a következő cikkekben találja:

• Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás áttekintése
• Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
• Microsoft Sentinel-megoldás SAP-alkalmazásokhoz®: biztonsági tartalomra vonatkozó referencia

Ezeknek a forgatókönyveknek a megoldáshoz való hozzáadásával nemcsak valós időben figyelheti és elemezheti a biztonsági eseményeket, hanem automatizálhatja az SAP incidenskezelési munkafolyamatait is a biztonsági műveletek hatékonyságának és hatékonyságának javítása érdekében.

Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás a következő forgatókönyveket tartalmazza:

• SAP-incidens válasza – Felhasználó zárolása a Teamsből – Alapszintű
• SAP-incidens válasza – Felhasználó zárolása a Teamsből – Speciális
• SAP-incidens válasza – Újravehető naplózás inaktiválás után

Használati esetek

Feladata a szervezet SAP-környezetének védelme. Implementálta a Microsoft Sentinel megoldást SAP-alkalmazásokhoz®. Engedélyezte a megoldás "SAP – Bizalmas tranzakciókód végrehajtása" elemzési szabályát, és valószínűleg testre szabta a megoldás "Bizalmas tranzakciók" figyelőlistát, hogy tartalmazza azokat a tranzakciókódokat, amelyekhez képernyőt szeretne adni. Egy incidens figyelmezteti önt az egyik SAP-rendszerben végzett gyanús tevékenységre. A felhasználó ezen rendkívül érzékeny tranzakciók egyikét próbálja végrehajtani. Meg kell vizsgálnia és reagálnia kell erre az incidensre.

A triage fázisban úgy dönt, hogy lépéseket tesz a felhasználó ellen, kivezeti azt az SAP ERP- vagy BTP-rendszerekből, vagy akár a Microsoft Entra-azonosítóból.

Felhasználó kizárása egyetlen rendszerből

Példa arra, hogyan hozhat létre vezénylést és automatizálást ehhez a folyamathoz, hozzunk létre egy automatizálási szabályt , amely meghívja a Felhasználó zárolását a Teamsből – Alapszintű forgatókönyvet, amikor illetéktelen felhasználó érzékeny tranzakcióvégrehajtást észlel. Ez a forgatókönyv a Teams adaptív kártyák funkciójával kér jóváhagyást, mielőtt egyoldalúan letiltja a felhasználót.

A forgatókönyv konfigurálásával kapcsolatos további információkért tekintse meg ezt az SAP-blogbejegyzést.

Felhasználó kizárása több rendszerből

A Felhasználó zárolása a Teamsből – A speciális forgatókönyv ugyanezt a célt valósítja meg, de összetettebb forgatókönyvekhez készült, így egyetlen forgatókönyv több SAP-rendszerhez is használható, amelyek mindegyike saját SAP SID-vel rendelkezik. A forgatókönyv zökkenőmentesen kezeli az összes ilyen rendszerrel és azok hitelesítő adataival való kapcsolatokat az SAP – Systems figyelőlistán (az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás részeként) és az Azure Key Vaultban található InterfaceAttributes opcionális dinamikus paraméter használatával. A forgatókönyv azt is lehetővé teszi, hogy kommunikáljon a jóváhagyási folyamatban részt vevő felekkel a Teams mellett a Teams és a DestinationEmail paraméterrel az SAP_Dynamic_Audit_Log_Monitor_Configuration figyelőlistán lévő, a Teams melletthasználható és szinkronizálható Outlook-üzenetekkel is.

A forgatókönyv konfigurálásáról és különösen arról, hogy hogyan használhat dinamikus paramétereket a figyelőlistákon az összes SAP-rendszer kapcsolatainak kezeléséhez, tekintse meg ezt az SAP-blogbejegyzést.

Naplózás inaktiválásának megakadályozása

Mivel küldetése annak biztosítása, hogy az SAP-környezet biztonsági lefedettsége átfogó és zavartalan maradjon, lehet, hogy aggódik az SAP auditnaplója – a biztonsági információk egyik forrása – inaktiválása miatt. Olyan automatizálási szabályt szeretne létrehozni az SAP – A biztonsági naplózási napló elemzési szabálya alapján, amely az inaktivált forgatókönyv inaktiválása után meghívja az újravehető naplózást , hogy ez ne történjen meg. Ez a forgatókönyv a Teamst is használja, de csak a tény után tájékoztatja a biztonsági személyzetet, mivel a bűncselekmény súlyossága és a kockázatcsökkentés sürgőssége miatt azonnali intézkedésre van szükség jóváhagyás nélkül. Mivel ez a forgatókönyv az Azure Key Vaultot is használja a hitelesítő adatok kezeléséhez, a forgatókönyv konfigurációja hasonló az előzőhöz. A forgatókönyvről és annak konfigurációjáról további információt az SAP blogbejegyzésében talál.

Standard és használati forgatókönyvek

A Microsoft Sentinel lehetővé teszi ezeknek a forgatókönyveknek a példányainak létrehozását közvetlenül sablonokból, ha forgatókönyveket használ az Azure Logic Apps használati csomagja alapján. Ha a virtuális hálózat (VNET) injektálásának támogatására vonatkozó konkrét követelményekkel rendelkezik, akkor vagy az Itt ismertetett Azure API-kezeléstkell használnia a Használat logikai alkalmazással együtt, vagy standard csomagú logikai alkalmazásokat kell használnia.

Tekintse meg a forgatókönyvek különböző típusainak teljes magyarázatát. Emellett tekintse meg ezt az SAP-blogbejegyzést a "Látóvonal létrehozása az SAP-rendszer számára a SOAP-kérelemhez" című táblázatában az egyes logikai alkalmazások kiválasztásának következményeiről.

A Standard logikai alkalmazások üzembe helyezésének folyamata általában összetettebb, mint a használatalapú logikai alkalmazások esetében, de számos olyan billentyűparancsot tettünk elérhetővé, amelyekkel gyorsan üzembe helyezheti őket a Microsoft Sentinel GitHub-adattárból. Kövesse az ott leírt eljárást a forgatókönyvek üzembe helyezéséhez.

Jelenleg elérhető Standard forgatókönyvek a GitHubon:

• SAP-felhasználó zárolása a Teamsből – Alapszintű standard forgatókönyv

A GitHub-adattár SAP-forgatókönyvek mappájában további forgatókönyvek érhetők el. Van egy rövid bevezető videó (külső hivatkozás) is, amely segít az első lépésekben.

Következő lépések

Ebben a cikkben megismerkedett az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásban elérhető forgatókönyvekkel.

• További információ az SAP-alkalmazásokhoz® készült Microsoft Sentinel megoldásról.
• Megtudhatja, hogyan helyezheti üzembe a Microsoft Sentinel megoldást SAP-alkalmazásokhoz®.
• Ismerje meg az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásban elérhető biztonsági tartalmakat.
• Ismerje meg az automatizálási szabályokat és forgatókönyveket.