Rilevamento delle minacce di SecurityBridge per il connettore SAP per Microsoft Sentinel

  • Articolo

SecurityBridge è la prima e unica piattaforma di sicurezza integrata in modo nativo, che risolve tutti gli aspetti necessari per proteggere le organizzazioni che eseguono SAP da minacce interne ed esterne contro le applicazioni aziendali principali. La piattaforma SecurityBridge è un componente aggiuntivo certificato SAP, usato dalle organizzazioni in tutto il mondo e risolve la necessità dei client di sicurezza informatica avanzata, monitoraggio in tempo reale, conformità, sicurezza del codice e patch per la protezione da minacce interne ed esterne. Questa soluzione Microsoft Sentinel consente di integrare gli eventi di rilevamento delle minacce di SecurityBridge da tutte le istanze sap locali e basate sul cloud nel monitoraggio della sicurezza. Usare questa soluzione Microsoft Sentinel per ricevere eventi di sicurezza normalizzati e parlanti, dashboard predefiniti e modelli predefiniti per il monitoraggio della sicurezza SAP.

Attributi del connettore

Attributo del connettore Descrizione
Tabelle log Analytics SecurityBridgeLogs_CL
Supporto delle regole di raccolta dati Attualmente non supportato
Supportato da Christoph Nagy

Esempi di query

Primi 10 nomi di eventi

SecurityBridgeLogs_CL 

| extend Name = tostring(split(RawData, '
|')[5]) 

| summarize count() by Name 
| top 10 by count_

Istruzioni per l'installazione del fornitore

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire questa procedura per creare l'alias di Funzioni Kusto, SecurityBridgeLogs

Nota

Questo connettore dati è stato sviluppato usando SecurityBridge Application Platform 7.4.0.

  1. Installare e eseguire l'onboarding dell'agente per Linux o Windows

Questa soluzione richiede la raccolta dei log tramite un'installazione dell'agente Microsoft Sentinel

L'agente Sentinel è supportato nei sistemi operativi seguenti:

  1. Server Windows

  2. SUSE Linux Enterprise Server

  3. Redhat Linux Enterprise Server

  4. Oracle Linux Enterprise Server

  5. Se la soluzione SAP è installata in HPUX/AIX, sarà necessario distribuire un agente di raccolta log in una delle opzioni Linux elencate sopra e inoltrare i log a tale agente di raccolta

  6. Configurare i log da raccogliere

Configurare la directory di log personalizzata da raccogliere

  1. Selezionare il collegamento precedente per aprire le impostazioni avanzate dell'area di lavoro
  2. Fare clic su +Aggiungi personalizzato
  3. Fare clic su Sfoglia per caricare un esempio di file di log SAP SecurityBridge, ad esempio AED_20211129164544.cef. Fare quindi clic su Avanti >
  4. Selezionare Nuova riga come delimitatore di record e quindi fare clic su Avanti >
  5. Selezionare Windows o Linux e immettere il percorso dei log di SecurityBridge in base alla configurazione. Esempio:
  • '/usr/sap/tmp/sb_events/*.cef'

NOTA: È possibile aggiungere il numero di percorsi desiderati nella configurazione.

  1. Dopo aver immesso il percorso, fare clic sul simbolo '+' da applicare, quindi fare clic su Avanti >

  2. Aggiungere SecurityBridgeLogs come nome log personalizzato e fare clic su Fine

  3. Controllare i log in Microsoft Sentinel

Aprire Log Analytics per verificare se i log vengono ricevuti usando la tabella log personalizzata SecurityBridgeLogs_CL.

NOTA: Potrebbero essere necessari fino a 30 minuti prima che i nuovi log vengano visualizzati nella tabella SecurityBridgeLogs_CL.

Passaggi successivi

Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.