Uso della soluzione Microsoft Sentinel per le applicazioni SAP® in più aree di lavoro
Quando si configura l'area di lavoro di Microsoft Sentinel, sono disponibili più opzioni e considerazioni sull'architettura . Considerando l'area geografica, il regolamento, il controllo di accesso e altri fattori, è possibile scegliere di avere più aree di lavoro Sentinel nell'organizzazione.
Questo articolo illustra l'uso della soluzione Microsoft Sentinel per applicazioni SAP® in più aree di lavoro in diversi scenari.
La soluzione Microsoft Sentinel per le applicazioni SAP® supporta in modo nativo un'architettura tra aree di lavoro per consentire una maggiore flessibilità per:
- Provider di servizi di sicurezza gestiti (MSSP) o un SOC globale o federato
- Requisiti di residenza dei dati
- Gerarchia organizzativa/progettazione IT
- Controllo degli accessi in base al ruolo insufficienti in un'unica area di lavoro
Importante
L'uso di più aree di lavoro è attualmente in ANTEPRIMA. Questa funzionalità viene fornita senza un contratto di servizio. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.
È possibile definire più aree di lavoro quando si distribuisce il contenuto di sicurezza SAP.
Collaborazione tra i team SOC e SAP nell'organizzazione
In questo articolo si concentra su un caso d'uso specifico e comune, in cui la collaborazione tra il centro operazioni di sicurezza (SOC) e i team SAP nell'organizzazione richiedono una configurazione multi-area di lavoro.
Il team SAP dell'organizzazione ha conoscenze tecniche critiche per implementare correttamente e in modo efficace la soluzione Microsoft Sentinel per le applicazioni SAP®. Pertanto, è importante per il team SAP visualizzare i dati pertinenti e collaborare con il SOC nelle procedure di configurazione e risposta agli eventi imprevisti necessari.
Come parte di questa collaborazione, esistono due possibili scenari, a seconda delle esigenze dell'organizzazione:
- I dati SAP e i dati SOC risiedono in aree di lavoro separate. Entrambi i team possono visualizzare i dati SAP usando query tra aree di lavoro.
- I dati SAP vengono mantenuti nell'area di lavoro SOC e il team SAP può eseguire query sui dati usando query di contesto delle risorse.
Scenario 1: i dati SAP e SOC risiedono in aree di lavoro separate
In questo scenario i team SAP e SOC dispongono di aree di lavoro di Microsoft Sentinel separate.
Quando l'organizzazione distribuisce la soluzione Microsoft Sentinel per le applicazioni SAP®, ogni team specifica l'area di lavoro SAP.
Una pratica comune consiste nel fornire alcuni o tutti i membri del team SOC con il ruolo Lettore Sentinel nell'area di lavoro SAP.
La creazione di aree di lavoro separate per i dati SAP e SOC offre questi vantaggi:
Microsoft Sentinel può attivare avvisi che includono dati SOC e SAP ed eseguire tali avvisi nell'area di lavoro SOC.
Nota
Per gli scenari SAP più grandi, l'esecuzione di query effettuate dal SOC sui dati dell'area di lavoro SAP può influire sulle prestazioni, perché i dati SAP devono passare all'area di lavoro SOC quando viene eseguita una query. Per migliorare le prestazioni e le ottimizzazioni dei costi, è consigliabile avere sia le aree di lavoro SOC che SAP nello stesso cluster dedicato.
Il team SAP ha una propria area di lavoro di Microsoft Sentinel, inclusa tutte le funzionalità, ad eccezione dei rilevamenti che includono sia i dati SOC che SAP.
Flessibilità: il team SAP può concentrarsi sul controllo e sulle minacce interne nel suo panorama, mentre il SOC può concentrarsi sulle minacce esterne.
Non sono previsti costi aggiuntivi per l'inserimento, perché i dati vengono inseriti una sola volta in Microsoft Sentinel. Si noti tuttavia che ogni area di lavoro ha un proprio piano tariffario.
Il SOC può visualizzare e analizzare gli eventi imprevisti SAP: se il team SAP affronta un evento che non può spiegare con i dati esistenti, può assegnare l'evento imprevisto al SOC.
Questa tabella esegue il mapping dell'accesso ai dati e alle funzionalità per i team SAP e SOC in questo scenario.
| Funzione | Team SOC | Team SAP |
|---|---|---|
| Accesso all'area di lavoro SOC | ✅ | ❌ |
| Dati dell'area di lavoro SAP, regole di analisi, funzioni, elenchi di controllo e accesso alle cartelle di lavoro | ✅ | ✅1 |
| Accesso e collaborazione agli eventi imprevisti SAP | ✅ | ✅1 |
1Il team SOC può visualizzare queste funzioni in entrambe le aree di lavoro, mentre il team SAP può visualizzare queste funzioni solo nell'area di lavoro SAP.
Scenario 2: i dati SAP vengono mantenuti nell'area di lavoro SOC
In questo scenario si desidera mantenere tutti i dati in un'area di lavoro e applicare i controlli di accesso. A tale scopo, è possibile usare Log Analytics per gestire l'accesso ai dati in base alla risorsa. È anche possibile associare le risorse SAP a un ID risorsa di Azure specificando il campo richiesto azure_resource_id nella sezione configurazione del connettore nell'agente di raccolta dati usato per inserire i dati dal sistema SAP in Microsoft Sentinel.
Dopo aver configurato l'agente di raccolta dati con l'ID risorsa corretto, il team SAP può accedere ai dati SAP specifici nell'area di lavoro SOC usando una query con ambito risorsa. Il team SAP non può leggere uno degli altri tipi di dati non SAP.
Non sono previsti costi associati a questo approccio, poiché i dati vengono inseriti una sola volta in Microsoft Sentinel. Usando questa modalità di accesso, il team SAP vede solo dati non elaborati e non formattati e non può usare alcuna funzionalità di Microsoft Sentinel. Oltre ad accedere ai dati non elaborati tramite log analytics, il team SAP può accedere anche agli stessi dati tramite Power BI.
Passaggi successivi
In questo articolo si è appreso l'uso della soluzione Microsoft Sentinel per applicazioni SAP® in più aree di lavoro in diversi scenari.