Bekerja dengan solusi Microsoft Azure Sentinel untuk aplikasi SAP di beberapa ruang kerja
Saat menyiapkan ruang kerja Microsoft Azure Sentinel, Anda memiliki beberapa opsi dan faktor arsitektur yang perlu dipertimbangkan. Dengan mempertimbangkan geografi, peraturan, kontrol akses, dan faktor lainnya, Anda mungkin memilih untuk memiliki beberapa ruang kerja Microsoft Azure Sentinel di organisasi Anda.
Artikel ini membahas cara bekerja dengan solusi Microsoft Sentinel untuk aplikasi SAP di beberapa ruang kerja untuk skenario penyebaran yang berbeda.
Solusi Microsoft Azure Sentinel untuk aplikasi SAP secara asli mendukung arsitektur lintas ruang kerja untuk mendukung fleksibilitas yang ditingkatkan untuk:
- Penyedia layanan keamanan terkelola (MSP) atau pusat operasi keamanan (SOC) global atau federasi.
- Persyaratan residensi data.
- Hierarki organisasi dan desain TI.
- Kontrol akses berbasis peran (RBAC) tidak cukup dalam satu ruang kerja.
Penting
Bekerja dengan beberapa ruang kerja saat ini dalam pratinjau. Fitur ini disediakan tanpa perjanjian tingkat layanan. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.
Anda dapat menentukan beberapa ruang kerja saat menyebarkan konten keamanan SAP.
Kolaborasi antara tim SOC dan SAP di organisasi Anda
Kasus penggunaan umum adalah salah satu di mana kolaborasi antara tim SOC dan SAP di organisasi Anda memerlukan penyiapan multi-ruang kerja.
Tim SAP organisasi Anda memiliki pengetahuan teknis yang penting untuk berhasil dan efektif menerapkan solusi Microsoft Sentinel untuk aplikasi SAP. Oleh karena itu, penting bagi tim SAP untuk melihat data yang relevan dan berkolaborasi dengan SOC tentang konfigurasi dan prosedur respons insiden yang diperlukan.
Ada dua skenario yang mungkin untuk kolaborasi tim SOC dan SAP, tergantung pada kebutuhan organisasi Anda:
Skenario 1: Data SAP dan data SOC dipertahankan di ruang kerja terpisah. Kedua tim dapat melihat data SAP dengan menggunakan kueri lintas ruang kerja.
Skenario 2: Data SAP hanya disimpan di ruang kerja SOC. Tim SAP dapat mengkueri data dengan menggunakan kueri konteks sumber daya.
Skenario 1: Data SAP dan data SOC dipertahankan di ruang kerja terpisah
Dalam skenario ini, tim SAP dan tim SOC memiliki ruang kerja Microsoft Sentinel terpisah tempat data tim disimpan.
Saat organisasi Anda menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP, setiap tim menentukan ruang kerja SAP-nya.
Praktik umumnya adalah menyediakan beberapa atau semua anggota tim SOC dengan peran Pembaca Sentinel untuk ruang kerja SAP.
Membuat ruang kerja terpisah untuk data SAP dan SOC memiliki manfaat berikut:
Microsoft Azure Sentinel dapat memicu pemberitahuan yang menyertakan data SOC dan SAP, dan dapat menjalankan pemberitahuan tersebut di ruang kerja SOC.
Catatan
Untuk lanskap SAP yang lebih besar, menjalankan kueri yang dibuat oleh SOC pada data dari ruang kerja SAP dapat memengaruhi performa. Data SAP harus melakukan perjalanan ke ruang kerja SOC saat sedang dikueri. Untuk peningkatan performa dan pengoptimalan biaya, pertimbangkan untuk memiliki ruang kerja SOC dan SAP pada kluster khusus yang sama.
Tim SAP memiliki ruang kerja Microsoft Azure Sentinel sendiri yang mencakup semua fitur kecuali deteksi yang mencakup data SOC dan SAP.
Fleksibilitas. Tim SAP dapat fokus pada kontrol ancaman internal di lanskapnya, dan SOC dapat fokus pada ancaman eksternal.
Tidak ada biaya tambahan untuk biaya penyerapan, karena data hanya diserap sekali ke Microsoft Azure Sentinel. Namun, setiap ruang kerja memiliki tingkat harganya sendiri.
SOC dapat melihat dan menyelidiki insiden SAP. Jika tim SAP menghadapi peristiwa yang tidak dapat dijelaskan dengan menggunakan data yang ada, tim dapat menetapkan insiden ke SOC.
Tabel berikut memetakan akses data dan fitur untuk tim SAP dan SOC dalam skenario ini:
| Function | Tim SOC | Tim SAP |
|---|---|---|
| Akses ruang kerja SOC | ✅ | ❌ |
| Data ruang kerja SAP, aturan analitik, fungsi, daftar pengawasan, dan akses buku kerja | ✅ | ✅1 |
| Akses dan kolaborasi insiden SAP | ✅ | ✅1 |
1 Tim SOC dapat melihat fungsi-fungsi ini di kedua ruang kerja. Tim SAP hanya dapat melihat fungsi-fungsi ini di ruang kerja SAP.
Skenario 2: Data SAP hanya disimpan di ruang kerja SOC
Dalam skenario ini, Anda ingin menyimpan semua data dalam satu ruang kerja dan menerapkan kontrol akses. Anda dapat melakukan ini dengan menggunakan Analitik Log di Azure Monitor untuk mengelola akses ke data berdasarkan sumber daya. Anda juga dapat mengaitkan sumber daya SAP dengan ID sumber daya Azure dengan menentukan bidang yang diperlukan azure_resource_id di bagian konfigurasi konektor pada pengumpul data yang Anda gunakan untuk menyerap data dari sistem SAP ke Microsoft Sentinel.
Setelah agen pengumpul data dikonfigurasi dengan ID sumber daya yang benar, tim SAP dapat mengakses data SAP tertentu di ruang kerja SOC dengan menggunakan kueri cakupan sumber daya. Tim SAP tidak dapat membaca jenis data non-SAP lainnya.
Tidak ada biaya yang terkait dengan pendekatan ini karena data hanya diserap sekali ke Microsoft Azure Sentinel. Ketika Anda menggunakan mode akses ini, tim SAP hanya melihat data mentah dan tidak diformat. Tim SAP tidak dapat menggunakan fitur Microsoft Azure Sentinel apa pun. Selain mengakses data mentah melalui Log Analytics, tim SAP dapat mengakses data yang sama melalui Power BI.
Langkah selanjutnya
Dalam artikel ini, Anda belajar tentang bekerja dengan solusi Microsoft Sentinel untuk aplikasi SAP di beberapa ruang kerja untuk skenario penyebaran yang berbeda. Selanjutnya, pelajari cara menyebarkan solusi:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk