여러 작업 영역에서 SAP 애플리케이션용 Microsoft Sentinel 솔루션 사용
Microsoft Sentinel 작업 영역을 설정할 때 고려해야 할 여러 아키텍처 옵션 과 요소가 있습니다. 지리, 규정, 액세스 제어 및 기타 요인을 고려하여 조직에 여러 Microsoft Sentinel 작업 영역을 포함하도록 선택할 수 있습니다.
이 문서에서는 다양한 배포 시나리오를 위해 여러 작업 영역에서 SAP 애플리케이션용 Microsoft Sentinel 솔루션을 사용하는 방법을 설명합니다.
SAP 애플리케이션용 Microsoft Sentinel 솔루션은 기본적으로 다음과 같이 향상된 유연성을 지원하기 위해 작업 영역 간 아키텍처를 지원합니다.
- MSSP(관리형 보안 서비스 공급자) 또는 SOC(전역 또는 페더레이션 보안 운영 센터)입니다.
- 데이터 상주 요구 사항.
- 조직 계층 구조 및 IT 디자인.
- 단일 작업 영역에서 RBAC(역할 기반 액세스 제어)가 부족합니다.
Important
여러 작업 영역으로 작업하는 작업은 현재 미리 보기로 제공됩니다. 이 기능은 서비스 수준 계약 없이 제공됩니다. 자세한 내용은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
SAP 보안 콘텐츠를 배포할 때 여러 작업 영역을 정의할 수 있습니다.
조직 내 SOC와 SAP 팀 간의 협업
일반적인 사용 사례는 조직의 SOC와 SAP 팀 간의 협업에 다중 작업 영역 설정이 필요한 경우입니다.
조직의 SAP 팀에는 SAP 애플리케이션용 Microsoft Sentinel 솔루션을 성공적으로 효과적으로 구현하는 데 중요한 기술 지식이 있습니다. 따라서 SAP 팀은 관련 데이터를 확인하고 필요한 구성 및 인시던트 대응 절차에 대해 SOC와 공동 작업하는 것이 중요합니다.
조직의 요구 사항에 따라 SOC 및 SAP 팀 협업에 사용할 수 있는 두 가지 시나리오가 있습니다.
시나리오 1: SAP 데이터 및 SOC 데이터는 별도의 작업 영역에서 기본. 두 팀 모두 작업 영역 간 쿼리를 사용하여 SAP 데이터를 볼 수 있습니다.
시나리오 2: SAP 데이터는 SOC 작업 영역에만 유지됩니다. SAP 팀은 리소스 컨텍스트 쿼리를 사용하여 데이터를 쿼리할 수 있습니다.
시나리오 1: SAP 데이터 및 SOC 데이터가 별도의 작업 영역에 기본
이 시나리오에서 SAP 팀과 SOC 팀은 팀 데이터가 유지되는 별도의 Microsoft Sentinel 작업 영역을 가지고 있습니다.
조직 에서 SAP 애플리케이션용 Microsoft Sentinel 솔루션을 배포할 때 각 팀은 SAP 작업 영역을 지정합니다.
일반적인 방법은 일부 또는 모든 SOC 팀 구성원에게 SAP 작업 영역에 대한 Sentinel 판독기 역할을 제공하는 것입니다.
SAP 및 SOC 데이터에 대해 별도의 작업 영역을 만들면 다음과 같은 이점이 있습니다.
Microsoft Sentinel은 SOC 및 SAP 데이터를 모두 포함하는 경고를 트리거할 수 있으며 SOC 작업 영역에서 해당 경고를 실행할 수 있습니다.
참고 항목
더 큰 SAP 환경의 경우 SAP 작업 영역의 데이터에 대해 SOC에서 만든 쿼리를 실행하면 성능에 영향을 줄 수 있습니다. SAP 데이터는 쿼리될 때 SOC 작업 영역으로 이동해야 합니다. 향상된 성능 및 비용 최적화를 위해 동일한 전용 클러스터에 SOC 및 SAP 작업 영역을 둘 다 사용하는 것이 좋습니다.
SAP 팀에는 SOC 및 SAP 데이터를 모두 포함하는 검색을 제외한 모든 기능을 포함하는 자체 Microsoft Sentinel 작업 영역이 있습니다.
유연성. SAP 팀은 해당 환경에서 내부 위협을 제어하는 데 집중할 수 있으며 SOC는 외부 위협에 집중할 수 있습니다.
데이터는 Microsoft Sentinel에 한 번만 수집되므로 수집 요금에 대한 추가 요금은 없습니다. 그러나 각 작업 영역에는 고유한 가격 책정 계층이 있습니다.
SOC는 SAP 인시던트 보고 조사할 수 있습니다. SAP 팀이 기존 데이터를 사용하여 설명할 수 없는 이벤트에 직면하는 경우 팀은 SOC에 인시던트를 할당할 수 있습니다.
다음 표에서는 이 시나리오에서 SAP 및 SOC 팀의 데이터 및 기능에 대한 액세스를 매핑합니다.
| 함수 | SOC 팀 | SAP 팀 |
|---|---|---|
| SOC 작업 영역 액세스 | ✅ | ❌ |
| SAP 작업 영역 데이터, 분석 규칙, 함수, 관심 목록 및 통합 문서 액세스 | ✅ | ✅1 |
| SAP 인시던트 액세스 및 협업 | ✅ | ✅1 |
1 SOC 팀은 두 작업 영역에서 이러한 기능을 볼 수 있습니다. SAP 팀은 SAP 작업 영역에서만 이러한 함수를 볼 수 있습니다.
시나리오 2: SOC 작업 영역에만 유지되는 SAP 데이터
이 시나리오에서는 모든 데이터를 하나의 작업 영역에 유지하고 액세스 제어를 적용하려고 합니다. Azure Monitor에서 Log Analytics를 사용하여 리소스별로 데이터에 대한 액세스를 관리하여 이 작업을 수행할 수 있습니다. SAP 시스템에서 Microsoft Sentinel로 데이터를 수집하는 데 사용하는 데이터 수집기의 커넥터 구성 섹션에서 필요한 azure_resource_id 필드를 지정하여 SAP 리소스를 Azure 리소스 ID와 연결할 수도 있습니다.
데이터 수집기 에이전트가 올바른 리소스 ID로 구성된 후 SAP 팀은 리소스 범위 쿼리를 사용하여 SOC 작업 영역의 특정 SAP 데이터에 액세스할 수 있습니다. SAP 팀은 SAP가 아닌 다른 데이터 형식을 읽을 수 없습니다.
데이터가 Microsoft Sentinel에 한 번만 수집되므로 이 접근 방식과 관련된 비용은 없습니다. 이 액세스 모드를 사용하면 SAP 팀은 원시 데이터와 형식이 지정되지 않은 데이터만 볼 수 있습니다. SAP 팀은 Microsoft Sentinel 기능을 사용할 수 없습니다. SAP 팀은 Log Analytics를 통해 원시 데이터에 액세스하는 것 외에도 Power BI를 통해 동일한 데이터에 액세스할 수 있습니다.
다음 단계
이 문서에서는 다양한 배포 시나리오를 위해 여러 작업 영역에서 SAP 애플리케이션용 Microsoft Sentinel 솔루션을 사용하는 방법을 알아보았습니다. 다음으로 솔루션을 배포하는 방법을 알아봅니다.