Periksa kepatuhan untuk kontrol keamanan SAP Anda dengan buku kerja SAP - Kontrol Audit Keamanan

2024-10-28
Berlaku untuk: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Artikel ini menjelaskan cara menggunakan buku kerja SAP - Kontrol Audit Keamanan untuk memantau dan melacak kepatuhan kerangka kerja kontrol keamanan di seluruh sistem SAP Anda, termasuk fungsionalitas berikut:

Lihat rekomendasi tentang aturan analitik mana yang akan diaktifkan, dan aktifkan dengan konfigurasi prasetel yang tepat.
Kaitkan aturan analitik Anda ke kerangka kerja kontrol SOX atau NIST, atau terapkan kerangka kerja kontrol kustom Anda sendiri.
Tinjau insiden dan pemberitahuan yang dirangkum berdasarkan kontrol, sesuai dengan kerangka kerja kontrol yang dipilih.
Ekspor insiden yang relevan untuk analisis lebih lanjut, untuk tujuan audit dan pelaporan.

Contohnya:

Cuplikan layar bagian atas buku kerja Kontrol Audit SAP.

Konten dalam artikel ini ditujukan untuk tim keamanan Anda.

Prasyarat

Sebelum Anda bisa mulai menggunakan buku kerja SAP - log Audit Keamanan dan Akses Awal, Anda harus memiliki:

Solusi Microsoft Sentinel untuk SAP terinstal dan konektor data dikonfigurasi. Untuk informasi selengkapnya, lihat Menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP.
Buku kerja Kontrol Audit SAP yang diinstal di ruang kerja Analitik Log Anda yang diaktifkan untuk Microsoft Sentinel. Untuk informasi selengkapnya, lihat Visualisasikan dan pantau data Anda dengan menggunakan buku kerja di Microsoft Sentinel.
Setidaknya satu insiden di ruang kerja Anda, dengan setidaknya satu entri tersedia dalam SecurityIncident tabel. Ini tidak perlu menjadi insiden SAP, dan Anda dapat menghasilkan insiden demo menggunakan aturan analitik dasar jika Anda tidak memiliki insiden lain.

Kami menyarankan agar Anda mengonfigurasi audit untuk semua pesan dari log audit, bukan hanya log tertentu. Perbedaan biaya penyerapan umumnya minimal dan data berguna untuk deteksi Microsoft Azure Sentinel dan dalam penyelidikan dan perburuan pasca-kompromi. Untuk informasi selengkapnya, lihat Mengonfigurasi audit SAP.

Menampilkan demo

Tampilkan demonstrasi buku kerja ini:

Untuk informasi selengkapnya, lihat saluran YouTube Komunitas Keamanan Microsoft:

Filter yang didukung

Buku kerja Kontrol Audit SAP mendukung filter berikut untuk membantu Anda fokus pada data yang Anda butuhkan:

Opsi filter	Deskripsi
Langganan dan Ruang Kerja	Pilih ruang kerja yang kepatuhan sistem SAP-nya ingin Anda audit. Ini bisa menjadi ruang kerja yang berbeda dari tempat Microsoft Azure Sentinel disebarkan.
Waktu pembuatan insiden	Pilih rentang dari empat jam terakhir hingga 30 hari terakhir, atau rentang kustom yang Anda tentukan.
Atribut insiden lainnya, termasuk Status, Tingkat Keparahan, Taktik, Pemilik	Untuk masing-masing, pilih dari pilihan yang tersedia, yang sesuai dengan nilai yang diwakili dalam insiden dalam rentang waktu yang dipilih.
Peran sistem	Peran sistem SAP, seperti Produksi.
Penggunaan sistem	Penggunaan sistem SAP, seperti SAP ERP.
Sistem	Pilih semua ID sistem SAP, ID sistem tertentu, atau beberapa ID sistem.
Kerangka kerja kontrol, Keluarga kontrol, ID Kontrol	Pilih kerangka kerja kontrol yang ingin Anda evaluasi cakupannya, dan kontrol tertentu yang ingin Anda filter data buku kerjanya.

Rekomendasi retensi data

Dasbor Kontrol Audit SAP menyediakan tampilan agregat insiden dan pemberitahuan berdasarkan tabel SecurityAlert dan SecurityIncident, yang, secara default, menyimpan data 30 hari.

Pertimbangkan untuk memperpanjang periode retensi untuk tabel ini agar sesuai dengan persyaratan kepatuhan organisasi Anda. Terlepas dari pilihan yang Anda buat untuk kebijakan penyimpanan tabel ini, data insiden tidak pernah dihapus, meskipun mungkin tidak ditampilkan di sini. Data pemberitahuan disimpan sesuai dengan kebijakan penyimpanan tabel.

Kebijakan retensi aktual dari tabel SecurityAlert dan SecurityIncident mungkin didefinisikan sebagai sesuatu selain default 30 hari. Lihat pemberitahuan tentang latar belakang ber bayangan biru di buku kerja, memperlihatkan rentang waktu aktual data dalam tabel sesuai dengan kebijakan penyimpanannya saat ini.

Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan penyimpanan data untuk tabel di ruang kerja Analitik Log.

Tab Konfigurasikan - buat aturan analitik dari templat yang belum digunakan

Tabel Templat yang siap digunakan pada tab Konfigurasi memperlihatkan templat aturan analitik dari solusi Microsoft Azure Sentinel untuk aplikasi SAP yang belum diterapkan sebagai aturan aktif. Anda mungkin perlu membuat aturan ini untuk mencapai kepatuhan. Contohnya:

Cuplikan layar tabel templat aturan analitik untuk membuat aturan.

Secara bawaan, tabel ini difilter untuk SAP, dengan SAP dipilih dalam templat Solusi untuk mengonfigurasi menu dropdown. Pilih salah satu atau semua solusi lain dari menu dropdown ini untuk mengisi templat yang siap digunakan tabel lebih lanjut.

Untuk setiap baris dalam tabel, pilih Tampilkan untuk detail baca-saja selengkapnya tentang konfigurasi aturan.

Kolom Konfigurasi yang Direkomendasikan menunjukkan tujuan aturan: apakah dimaksudkan untuk membuat insiden untuk penyelidikan? Atau hanya untuk membuat pemberitahuan yang akan ditahan dan ditambahkan ke insiden lain untuk digunakan sebagai bukti dalam penyelidikan mereka?

Pilih Aktifkan aturan di panel samping untuk membuat aturan analitik dari templat, dengan konfigurasi yang direkomendasikan sudah bawaan. Fungsionalitas ini menghemat masalah Anda karena harus menebak konfigurasi yang tepat dan menentukannya secara manual.

Tab Konfigurasi - Menampilkan atau mengubah penetapan kontrol keamanan aturan analitik Anda

Tab Pilih aturan untuk mengonfigurasi pada tab Konfigurasi memperlihatkan daftar aturan analitik yang diaktifkan yang relevan dengan SAP. Contohnya:

Dalam tabel, periksa:

Baris hitungan dan grafik yang dihasilkan oleh setiap aturan di kolom Insiden dan Peringatan. Jumlah identik menunjukkan bahwa pengelompokan pemberitahuan dinonaktifkan.
Nilai kolom Insiden dan Sumber untuk memahami apakah aturan diatur untuk membuat insiden .
Apakah konfigurasi yang direkomendasikan untuk aturan hanya sebagai peringatan. Jika demikian, pertimbangkan untuk menonaktifkan pengaturan pembuatan insiden dalam aturan.

Pilih aturan untuk menampilkan panel detail dengan informasi selengkapnya. Contohnya:

Cuplikan layar panel sisi konfigurasi aturan.

Bagian atas panel sisi ini memiliki rekomendasi mengenai mengaktifkan atau menonaktifkan pembuatan insiden dalam konfigurasi aturan analitik.
Bagian berikutnya dari panel samping menunjukkan kontrol keamanan dan keluarga kontrol mana yang diidentifikasi dengan aturan, untuk setiap kerangka kerja yang tersedia.
- Untuk kerangka kerja SOX dan NIST, sesuaikan penetapan kontrol dengan memilih kontrol atau keluarga kontrol yang berbeda dari drop-down yang relevan.
- Untuk kerangka kerja kustom, masukkan kontrol dan keluarga kontrol pilihan Anda di kotak teks MyOrg. Jika Anda membuat perubahan apa pun, pilih Simpan perubahan.
Jika aturan analitik tertentu belum diberi kontrol keamanan atau keluarga kontrol untuk kerangka kerja tertentu, Anda akan diminta untuk mengatur kontrol secara manual. Setelah Anda memilih kontrol, pilih Simpan perubahan.

Untuk melihat detail lainnya dari aturan yang dipilih seperti yang saat ini ditentukan, pilih Gambaran umum aturan.

Tab Monitor

Tab Monitor berisi beberapa representasi grafis dari berbagai pengelompokan insiden di lingkungan Anda yang cocok dengan filter di bagian atas buku kerja:

Grafik garis tren, berlabel Tren Insiden, menunjukkan jumlah insiden seiring waktu. Insiden ini dikelompokkan, dan diwakili oleh garis dan bayangan berwarna yang berbeda, secara default sesuai dengan keluarga kontrol yang diwakili oleh aturan yang menghasilkannya. Pilih pengelompokan alternatif untuk insiden ini dari Detail insiden berdasarkan menu drop-down. Contohnya:
Grafik Sarang Insiden menunjukkan jumlah insiden yang dikelompokkan dengan dua cara. Pengaturan default dalam kerangka kerja SOX dimulai dengan keluarga SOX Control, yang merupakan susunan sel sarang lebah, kemudian diurutkan berdasarkan ID Sistem, yang merupakan setiap sel di sarang lebah. Pilih kriteria yang berbeda untuk menampilkan pengelompokan, dengan menggunakan pemilih Telusuri menurut dan kemudian menurut.

Perbesar ke grafik hive untuk membuat teks cukup besar untuk dibaca dengan jelas, dan perkecil untuk melihat semua pengelompokan bersama-sama. Seret seluruh grafik untuk melihat bagian yang berbeda dari grafik tersebut. Contohnya:

Cuplikan layar grafik sarang jumlah insiden, dikelompokkan menurut keluarga kontrol dan ID sistem.

Tab Laporan

Tab Laporan berisi daftar semua insiden di lingkungan Anda yang cocok dengan filter di bagian atas buku kerja.

Insiden dikelompokkan menurut keluarga kontrol dan ID kontrol.
Tautan di kolom URL Insiden membuka jendela browser baru yang terbuka ke halaman investigasi insiden untuk insiden tersebut. Tautan ini persisten, dan akan berfungsi terlepas dari kebijakan penyimpanan untuk tabel SecurityIncident .
Gulir ke bawah ke akhir jendela (bilah gulir luar) untuk melihat bilah gulir horizontal, yang bisa Anda gunakan untuk melihat kolom lainnya dalam laporan.
Ekspor laporan ini ke lembar bentang dengan memilih elipsis (tiga titik) di sudut kanan atas laporan, lalu pilih Ekspor ke Excel.

Untuk informasi selengkapnya, lihat Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP dari hub konten dan solusi Microsoft Azure Sentinel untuk aplikasi SAP: referensi konten keamanan.