Solusi Microsoft Azure Sentinel untuk aplikasi SAP® - Buku kerja Kontrol Audit SAP (Pratinjau)

  • Artikel

Artikel ini menjelaskan buku kerja Kontrol Audit SAP, yang disediakan untuk Anda sebagai bagian dari solusi Microsoft Sentinel untuk aplikasi SAP®.

Penting

Buku kerja Kontrol Audit SAP Microsoft Sentinel saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Buku kerja ini membantu Anda memeriksa kontrol keamanan lingkungan SAP® Anda untuk kepatuhan terhadap kerangka kerja kontrol yang Anda pilih, baik itu SOX, NIST, atau kerangka kerja kustom pilihan Anda.

Buku kerja menyediakan alat bagi Anda untuk menetapkan aturan analitik di lingkungan Anda ke kontrol keamanan dan keluarga kontrol tertentu, memantau dan mengategorikan insiden yang dihasilkan oleh aturan analitik berbasis solusi SAP, dan melaporkan kepatuhan Anda.

Buku kerja menyediakan kemampuan berikut untuk program kepatuhan Anda:

  • Lihat rekomendasi tentang aturan analitik mana yang akan diaktifkan, dan mengaktifkannya di tempat dengan konfigurasi pra-set yang tepat.
  • Kaitkan aturan analitik Anda ke kerangka kerja kontrol SOX atau NIST, atau terapkan kerangka kerja kontrol kustom Anda sendiri.
  • Tinjau insiden dan pemberitahuan yang dirangkum berdasarkan kontrol, sesuai dengan kerangka kerja kontrol yang dipilih.
  • Ekspor insiden yang relevan untuk analisis lebih lanjut, untuk tujuan audit dan pelaporan.

Mulai menggunakan buku kerja

  1. Dari portal Microsoft Azure Sentinel, pilih Buku Kerja dari menu Manajemen ancaman.

  2. Di galeri Buku Kerja, buka Templat dan masukkan SAP di bilah pencarian, dan pilih Kontrol Audit SAP dari antara hasilnya.

  3. Pilih Tampilkan templat untuk menggunakan buku kerja apa adanya, atau pilih Simpan untuk membuat salinan buku kerja yang dapat diedit. Ketika salinan dibuat, pilih Tampilkan buku kerja yang disimpan.

    Cuplikan layar bagian atas buku kerja Kontrol Audit SAP.

  4. Pilih bidang berikut untuk memfilter data sesuai dengan kebutuhan Anda:

    • Langganan dan Ruang Kerja. Pilih ruang kerja yang kepatuhan sistem SAP-nya ingin Anda audit. Ini bisa menjadi ruang kerja yang berbeda dari tempat Microsoft Azure Sentinel disebarkan.
    • Waktu pembuatan insiden. Pilih rentang dari empat jam terakhir hingga 30 hari terakhir, atau rentang kustom yang Anda tentukan.
    • Atribut insiden lainnya—Status, Tingkat Keparahan, Taktik, Pemilik. Untuk masing-masing, pilih dari pilihan yang tersedia, yang sesuai dengan nilai yang diwakili dalam insiden dalam rentang waktu yang dipilih.
    • Peran sistem. Peran sistem SAP, misalnya: Produksi.
    • Penggunaan sistem. Misalnya: SAP ERP.
    • Sistem. Anda dapat memilih semua ID sistem SAP, ID sistem tertentu, atau beberapa ID sistem.
    • Kerangka kerja kontrol, Keluarga kontrol, ID Kontrol. Pilih ini sesuai dengan kerangka kerja kontrol yang ingin Anda evaluasi cakupannya, dan kontrol tertentu yang ingin Anda filter data buku kerjanya.

    Dasbor dalam buku kerja ini memungkinkan tampilan agregat insiden dan pemberitahuan berdasarkan tabel SecurityAlert dan SecurityIncident , yang secara default menyimpan data 30 hari. Pertimbangkan untuk memperpanjang periode retensi untuk tabel ini agar sesuai dengan persyaratan kepatuhan organisasi Anda. Terlepas dari pilihan yang Anda buat untuk kebijakan penyimpanan tabel ini, data insiden itu sendiri tidak pernah dihapus, meskipun mungkin tidak ditampilkan di sini. Data pemberitahuan disimpan sesuai dengan kebijakan penyimpanan tabel.

    • Kebijakan retensi aktual dari kedua tabel ini mungkin didefinisikan sebagai sesuatu selain default 30 hari. Lihat pemberitahuan tentang latar belakang ber bayangan biru dalam buku kerja (diperlihatkan dalam cuplikan layar di atas), memperlihatkan rentang waktu aktual data dalam tabel sesuai dengan kebijakan penyimpanannya saat ini.

    • Lihat Mengonfigurasi kebijakan penyimpanan data untuk tabel di ruang kerja Analitik Log untuk informasi selengkapnya.

Gambaran umum buku kerja

Buku kerja dipisahkan menjadi tiga tab:

  • Konfigurasikan
  • Pemantauan
  • Laporan

Tab Konfigurasi

Membuat aturan analitik dari templat yang belum digunakan

Tabel Templat yang siap digunakan menunjukkan templat aturan analitik, dari solusi Microsoft Sentinel untuk aplikasi SAP®, yang belum diterapkan sebagai aturan aktif. Anda mungkin perlu membuat aturan ini untuk mencapai kepatuhan.

Cuplikan layar templat aturan analitik untuk membuat aturan.

  • Templat Solusi untuk mengonfigurasi kontrol menunjukkan solusi terinstal yang aturan analitiknya dapat Anda evaluasi di sini untuk kepatuhan terhadap kerangka kerja kontrol yang Anda pilih. Secara default, hanya solusi SAP yang dipilih, tetapi Anda dapat memilih salah satu atau semua lainnya dari menu drop-down ini.

  • Pilih tautan Tampilkan di kolom Properti dari baris templat aturan tertentu dalam tabel untuk melihat seluruh konfigurasi templat di panel Detail pop-up. (Tampilan ini bersifat baca-saja.)

  • Kolom Konfigurasi yang Direkomendasikan menunjukkan tujuan aturan: apakah dimaksudkan untuk membuat insiden untuk penyelidikan? Atau hanya untuk membuat pemberitahuan yang akan ditahan dan ditambahkan ke insiden lain untuk digunakan sebagai bukti dalam penyelidikan mereka?

  • Pilih Aktifkan aturan (di panel deskripsi) untuk membuat aturan analitik dari templat, dengan konfigurasi yang direkomendasikan sudah bawaan. Fungsionalitas ini menghemat masalah Anda karena harus menebak konfigurasi yang tepat dan menentukannya secara manual.

Melihat atau mengubah penetapan kontrol keamanan aturan analitik Anda

Di tabel Pilih aturan untuk dikonfigurasi , Anda akan melihat daftar aturan analitik yang diaktifkan yang relevan dengan SAP.

Cuplikan layar memilih aturan untuk dikonfigurasi.

  • Jumlah dan garis grafik Insiden dan Pemberitahuan yang dihasilkan oleh setiap aturan ditampilkan. (Jumlah identik menunjukkan bahwa pengelompokan pemberitahuan dinonaktifkan.)

  • Juga ditampilkan adalah kolom yang menunjukkan bahwa pengaturan pembuatan insiden aturan diaktifkan (kolom Insiden), dan apa sumber aturannya (kolom Sumber)—Galeri, Hub konten, atau Kustom.

  • Jika konfigurasi yang Direkomendasikan untuk aturan tersebut adalah "Sebagai pemberitahuan saja," maka Anda harus mempertimbangkan untuk menonaktifkan pengaturan pembuatan insiden dalam aturan (lihat di bawah).

  • Saat Anda memilih aturan, panel detail muncul dengan informasi tentang aturan.

    Cuplikan layar panel sisi konfigurasi aturan.

    • Bagian atas panel sisi ini memiliki rekomendasi mengenai mengaktifkan atau menonaktifkan pembuatan insiden dalam konfigurasi aturan analitik, seperti yang disebutkan di atas.

    • Bagian berikutnya menunjukkan kontrol keamanan dan keluarga kontrol mana yang diidentifikasi dengan aturan, untuk setiap kerangka kerja yang tersedia. Untuk kerangka kerja SOX dan NIST, Anda dapat menyesuaikan penetapan kontrol dengan memilih kontrol atau keluarga kontrol yang berbeda dari drop-down yang relevan. Untuk kerangka kerja kustom, tulis dalam kontrol dan kontrol keluarga yang Anda pilih di kotak teks MyOrg . Jika Anda membuat perubahan apa pun, pilih Simpan perubahan.

    Jika aturan analitik tertentu belum diberi kontrol keamanan atau keluarga kontrol untuk kerangka kerja tertentu, rekomendasi untuk mengatur kontrol akan muncul. Setelah Anda memilih kontrol, pilih Simpan perubahan.

    • Untuk melihat detail lainnya dari aturan yang dipilih seperti yang saat ini ditentukan, pilih Gambaran umum aturan. Ini akan membuka panel Detail yang sama yang dijelaskan sebelumnya dalam dokumen ini.

Tab Monitor

Tab ini berisi beberapa representasi grafis dari berbagai pengelompokan insiden di lingkungan Anda yang cocok dengan filter di bagian atas buku kerja.

  • Grafik garis tren, tren Insiden berlabel, menunjukkan jumlah insiden dari waktu ke waktu. Insiden ini dikelompokkan (diwakili oleh garis dan bayangan berwarna yang berbeda) secara default sesuai dengan keluarga kontrol yang diwakili oleh aturan yang menghasilkannya. Anda dapat memilih pengelompokan alternatif untuk insiden ini dari insiden Detail berdasarkan menu drop-down.

    Cuplikan layar garis tren jumlah insiden, dikelompokkan menurut aturan.

  • Grafik Sarang Insiden menunjukkan jumlah insiden yang dikelompokkan dengan dua cara. Default (untuk kerangka kerja SOX) pertama-tama oleh keluarga SOX Control (array sel "sarang lebah"), lalu dengan ID Sistem (setiap sel di "sarang madu"). Anda dapat memilih kriteria berbeda untuk menampilkan pengelompokan, menggunakan Telusuri menurut lalu oleh pemilih.

    Perbesar ke grafik hive untuk membuat teks cukup besar untuk dibaca dengan jelas, dan perkecil untuk melihat semua pengelompokan bersama-sama. Seret seluruh grafik untuk melihat bagian yang berbeda dari grafik tersebut.

    Cuplikan layar grafik sarang jumlah insiden, dikelompokkan menurut keluarga kontrol dan ID sistem.

Tab Laporan

Terakhir, tab Laporan berisi daftar semua insiden di lingkungan Anda yang cocok dengan filter di bagian atas buku kerja.

  • Insiden dikelompokkan menurut keluarga kontrol dan ID kontrol.

  • Tautan di kolom URL Insiden membuka jendela browser baru yang terbuka ke halaman investigasi insiden untuk insiden tersebut. Tautan ini persisten, dan akan berfungsi terlepas dari kebijakan penyimpanan untuk tabel SecurityIncident .

  • Gulir ke bawah ke akhir jendela (bilah gulir luar) untuk melihat bilah gulir horizontal, yang bisa Anda gunakan untuk melihat kolom lainnya dalam laporan.

  • Ekspor laporan ini ke lembar bentang dengan memilih elipsis (tiga titik) di sudut kanan atas laporan, lalu pilih Ekspor ke Excel.

    Cuplikan layar tab Laporan di buku kerja.

    Cuplikan layar opsi ekspor ke excel.

Langkah berikutnya

Untuk informasi selengkapnya, lihat:

Lihat video YouTube ini, di saluran YouTube Komunitas Keamanan Microsoft, untuk demonstrasi buku kerja ini.