SAP® 애플리케이션용 Microsoft Sentinel 솔루션 - SAP Audit Controls 통합 문서(미리 보기)

  • 아티클

이 문서에서는 SAP 애플리케이션용 Microsoft Sentinel 솔루션의 일부로 제공되는 SAP® Audit Controls 통합 문서를 설명합니다.

Important

Microsoft Sentinel SAP Audit Controls 통합 문서는 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

이 통합 문서는 SAP® 환경의 보안 제어가 SOX, NIST 또는 선택한 사용자 지정 프레임워크 등 선택한 제어 프레임워크를 준수하는지 확인하는 데 도움이 됩니다.

이 통합 문서는 사용자 환경의 분석 규칙을 특정 보안 제어 및 제어 제품군에 할당하고, SAP 솔루션 기반 분석 규칙에 의해 생성된 인시던트를 모니터링 및 분류하고, 규정 준수에 대해 보고할 수 있는 도구를 제공합니다.

통합 문서는 규정 준수 프로그램에 다음과 같은 기능을 제공합니다.

  • 사용하도록 설정할 분석 규칙에 대한 권장 사항을 참조하고 적절한 사전 설정 구성으로 사용하도록 설정합니다.
  • 분석 규칙을 SOX 또는 NIST 제어 프레임워크에 연결하거나 사용자 고유의 사용자 지정 제어 프레임워크를 적용합니다.
  • 선택한 제어 프레임워크에 따라 컨트롤별로 요약된 인시던트 및 경고를 검토합니다.
  • 감사 및 보고 목적으로 추가 분석을 위해 관련 인시던트 내보내기

통합 문서 사용 시작

  1. Microsoft Sentinel 포털의 위협 관리 메뉴에서 통합 문서를 선택합니다.

  2. 통합 문서 갤러리에서 템플릿으로 이동하여 검색 창에 SAP를 입력하고 결과 중에서 SAP 감사 컨트롤을 선택합니다.

  3. 템플릿 보기를 선택하여 통합 문서를 있는 그대로 사용하거나, 저장을 선택하여 통합 문서의 편집 가능한 복사본을 만듭니다. 복사본을 만들 때 저장된 통합 문서 보기를 선택합니다.

    SAP Audit Controls 통합 문서의 맨 위에 있는 스크린샷

  4. 다음 필드를 선택하여 필요에 따라 데이터를 필터링합니다.

    • 구독작업 영역. SAP 시스템의 규정 준수를 감사하려는 작업 영역을 선택합니다. Microsoft Sentinel이 배포된 작업 영역과 다를 수 있습니다.
    • 인시던트 생성 시간입니다. 지난 4시간에서 지난 30일까지의 범위 또는 결정하는 사용자 지정 범위를 선택합니다.
    • 기타 인시던트 특성 - 상태, 심각도, 전술, 소유자. 각 항목에 대해 선택한 시간 범위의 인시던트에 표시되는 값에 해당하는 사용 가능한 선택 항목 중에서 선택합니다.
    • 시스템 역할. SAP 시스템 역할(예: 프로덕션).
    • 시스템 사용량. 예: SAP ERP.
    • 시스템. 모든 SAP 시스템 ID, 특정 시스템 ID 또는 여러 시스템 ID를 선택할 수 있습니다.
    • 컨트롤 프레임워크, 컨트롤 패밀리, 컨트롤 ID. 적용 범위를 평가할 제어 프레임워크 및 통합 문서 데이터를 필터링할 특정 컨트롤에 따라 선택합니다.

    이 통합 문서의 대시보드를 사용하면 기본적으로 30일의 데이터를 유지하는 SecurityAlert 및 SecurityIncident 테이블을 기반으로 인시던경고를 집계하여 볼 수 있습니다. 이러한 테이블의 보존 기간을 조직의 규정 준수 요구 사항에 맞게 연장하는 것이 좋습니다. 이러한 테이블의 보존 정책에 대해 선택한 항목에 관계없이 인시던트 데이터 자체는 삭제되지 않지만 여기에 표시되지 않을 수 있습니다. 경고 데이터는 테이블의 보존 정책에 따라 유지됩니다.

    • 이러한 두 테이블의 실제 보존 정책은 기본 30일이 아닌 다른 것으로 정의될 수 있습니다. 현재 보존 정책에 따라 테이블의 실제 데이터 시간 범위를 보여 주는 통합 문서의 파란색 음영 배경(위 스크린샷에 표시됨)을 참조하세요.

    • 자세한 내용은 Log Analytics 작업 영역의 테이블에 대한 데이터 보존 정책 구성을 참조하세요.

통합 문서 개요

통합 문서는 다음 세 개의 탭으로 구분됩니다.

  • 구성
  • 모니터
  • Report

구성 탭

아직 사용되지 않은 템플릿에서 분석 규칙 만들기

사용할 준비가 된 템플릿 테이블에는 아직 활성 규칙으로 구현되지 않은 SAP® 애플리케이션용 Microsoft Sentinel 솔루션의 분석 규칙 템플릿이 표시됩니다. 규정 준수를 위해 이러한 규칙을 만들어야 할 수 있습니다.

규칙을 만들 분석 규칙 템플릿의 테이블 스크린샷

  • 컨트롤을 구성하는 솔루션 템플릿은 선택한 컨트롤 프레임워크를 준수하기 위해 여기에서 분석 규칙을 평가할 수 있는 설치된 솔루션을 보여 줍니다. 기본적으로 SAP 솔루션만 선택되지만 이 드롭다운에서 다른 모든 솔루션을 선택할 수 있습니다.

  • 테이블의 특정 규칙 템플릿 줄 속성 열에서 보기 링크를 선택하여 팝업 세부 정보 창에서 템플릿의 전체 구성을 확인합니다. (이 보기는 읽기 전용입니다.)

  • 권장 구성 열은 규칙의 목적을 보여 줍니다. 조사를 위해 인시던트 만들기를 위한 것입니까? 아니면 조사에서 증거로 사용할 다른 사건에 따로 보관하고 추가 할 경고를 만들려면?

  • 설명 창에서 규칙 활성화를 선택하여 권장 구성이 이미 기본 제공된 템플릿에서 분석 규칙을 만듭니다. 이 기능을 사용하면 올바른 구성에서 추측하고 수동으로 정의해야 하는 문제를 줄일 수 있습니다.

분석 규칙의 보안 제어 할당 보기 또는 변경

테이블을 구성할 규칙 선택에서 SAP와 관련된 활성화된 분석 규칙 목록이 표시됩니다.

구성할 규칙을 선택하는 스크린샷

  • 각 규칙에서 생성된 인시던트 및 경고개수 및 그래프 줄이 표시됩니다. (동일한 개수는 경고 그룹화가 비활성화되었음을 나타냅니다.)

  • 또한 규칙의 인시던트 만들기 설정(인시던트 열)을 사용하도록 설정하고 규칙의 원본(원본 열)(갤러리, 콘텐츠 허브 또는 사용자 지정)을 나타내는 열도 표시됩니다.

  • 해당 규칙에 대한 권장 구성이 "경고로만"인 경우 규칙에서 인시던트 생성 설정을 사용하지 않도록 설정하는 것이 좋습니다(아래 참조).

  • 규칙을 선택하면 규칙에 대한 정보와 함께 세부 정보 패널이 나타납니다.

    규칙 구성 쪽 패널의 스크린샷.

    • 이 측면 패널의 위쪽 부분에는 위에서 멘션 분석 규칙 구성에서 인시던트 생성을 사용하거나 사용하지 않도록 설정하는 것과 관련된 권장 사항이 있습니다.

    • 다음 섹션에서는 사용 가능한 각 프레임워크에 대해 규칙이 식별되는 보안 제어 및 제어 패밀리를 보여 줍니다. SOX 및 NIST 프레임워크의 경우 관련 드롭다운에서 다른 컨트롤 또는 컨트롤 패밀리를 선택하여 컨트롤 할당을 사용자 지정할 수 있습니다. 사용자 지정 프레임워크의 경우 MyOrg 텍스트 상자에서 선택한 컨트롤 및 컨트롤 패밀리를 작성합니다. 변경 내용을 변경한 경우 변경 내용 저장을 선택합니다.

    특정 분석 규칙에 지정된 프레임워크에 대한 보안 컨트롤 또는 컨트롤 패밀리가 할당되지 않은 경우 컨트롤을 설정하는 권장 사항이 표시됩니다. 컨트롤을 선택한 후 변경 내용 저장을 선택합니다.

    • 현재 정의된 대로 선택한 규칙의 나머지 세부 정보를 보려면 규칙 개요를 선택합니다. 그러면 이 문서의 앞부분에서 설명한 것과 동일한 세부 정보 창이 열립니다.

모니터 탭

이 탭에는 통합 문서 맨 위에 있는 필터와 일치하는 사용자 환경의 다양한 인시던트 그룹화에 대한 여러 그래픽 표현이 포함되어 있습니다.

  • 인시던트 추세라는 레이블이 지정된 추세선 그래프는 시간에 따른 인시던트 수를 보여 줍니다. 이러한 인시던트를 생성한 규칙이 나타내는 컨트롤 패밀리에 따라 기본적으로 그룹화됩니다(다른 색의 선 및 음영으로 표시됨). 세부 인시던트에서 이러한 인시던트에 대한 대체 그룹화는 드롭다운을 통해 선택할 수 있습니다.

    규칙별로 그룹화된 인시던트 수의 추세선 스크린샷

  • 인시던트 하이브 그래프는 두 가지 방법으로 그룹화된 인시던트 수를 보여 줍니다. 기본값(SOX 프레임워크의 경우)은 먼저 SOX Control 패밀리 (셀의 "허니콤" 배열)를 사용한 다음 시스템 ID ("honeycomb"의 각 셀)에 의해 지정됩니다. [드릴 바이]와[선택기]를 사용하여 그룹화가 표시할 다른 조건을 선택할 수 있습니다.

    하이브 그래프를 확대하여 텍스트를 명확하게 읽을 수 있을 만큼 크게 만들고 축소하여 모든 그룹화가 함께 표시됩니다. 전체 그래프를 끌어서 다른 부분을 확인합니다.

    제어 패밀리 및 시스템 ID별로 그룹화된 인시던트 수의 Hive 그래프 스크린샷

보고서 탭

마지막으로 보고서 탭에는 통합 문서 맨 위에 있는 필터와 일치하는 환경의 모든 인시던트 목록이 포함됩니다.

  • 인시던트가 제어 패밀리 및 컨트롤 ID별로 그룹화됩니다.

  • 인시던트 URL 열의 링크에서 해당 인시던트에 대한 인시던트 조사 페이지에 새 브라우저 창이 열립니다. 이 링크는 영구적이며 SecurityIncident 테이블에 대한 보존 정책에 관계없이 작동합니다.

  • 창의 끝(바깥쪽 스크롤 막대)으로 아래로 스크롤하여 보고서의 나머지 열을 보는 데 사용할 수 있는 가로 스크롤 막대를 확인합니다.

  • 보고서의 오른쪽 위 모서리에 있는 줄임표(점 3개)를 선택한 다음 Excel로 내보내기를 선택하여 이 보고서를 스프레드시트로 내보냅니다.

    통합 문서의 보고서 탭 스크린샷

    Excel로 내보내기 옵션의 스크린샷

다음 단계

자세한 내용은 다음을 참조하세요.

이 통합 문서의 데모는 Microsoft 보안 커뮤니티 YouTube 채널에서 이 YouTube 비디오를 참조하세요.