Werken met de Microsoft Sentinel-oplossing voor SAP-toepassingen in meerdere werkruimten
Wanneer u uw Microsoft Sentinel-werkruimte instelt, hebt u meerdere architectuuropties en factoren die u moet overwegen. Rekening houdend met geografie, regelgeving, toegangsbeheer en andere factoren, kunt u ervoor kiezen om meerdere Microsoft Sentinel-werkruimten in uw organisatie te hebben.
In dit artikel wordt beschreven hoe u kunt werken met de Microsoft Sentinel-oplossing voor SAP-toepassingen in meerdere werkruimten voor verschillende implementatiescenario's.
De Microsoft Sentinel-oplossing voor SAP-toepassingen ondersteunt systeemeigen een architectuur voor meerdere werkruimten ter ondersteuning van verbeterde flexibiliteit voor:
- Managed Security Service Providers (MSSP's) of een wereldwijd of federatief Security Operations Center (SOC).
- Vereisten voor gegevenslocatie.
- Organisatiehiërarchie en IT-ontwerp.
- Onvoldoende op rollen gebaseerd toegangsbeheer (RBAC) in één werkruimte.
Belangrijk
Werken met meerdere werkruimten is momenteel beschikbaar als preview-versie. Deze functie wordt geleverd zonder service level agreement. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.
U kunt meerdere werkruimten definiëren wanneer u SAP-beveiligingsinhoud implementeert.
Samenwerking tussen de SOC- en SAP-teams in uw organisatie
Een veelvoorkomende use-case is een voorbeeld waarin samenwerking tussen de SOC- en SAP-teams in uw organisatie een installatie met meerdere werkruimten vereist.
Het SAP-team van uw organisatie heeft technische kennis die essentieel is voor het succesvol en effectief implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen. Daarom is het belangrijk dat het SAP-team de relevante gegevens ziet en samenwerkt met de SOC over de vereiste configuratie- en incidentresponsprocedures.
Er zijn twee mogelijke scenario's voor SOC- en SAP-teamsamenwerking, afhankelijk van de behoeften van uw organisatie:
Scenario 1: SAP-gegevens en SOC-gegevens die in afzonderlijke werkruimten worden onderhouden. Beide teams kunnen de SAP-gegevens zien met behulp van query's voor meerdere werkruimten.
Scenario 2: SAP-gegevens worden alleen bewaard in de SOC-werkruimte. Het SAP-team kan query's uitvoeren op de gegevens met behulp van resourcecontextquery's.
Scenario 1: SAP-gegevens en SOC-gegevens die in afzonderlijke werkruimten worden onderhouden
In dit scenario hebben het SAP-team en het SOC-team afzonderlijke Microsoft Sentinel-werkruimten waarin teamgegevens worden bewaard.
Wanneer uw organisatie de Microsoft Sentinel-oplossing voor SAP-toepassingen implementeert, geeft elk team de SAP-werkruimte op.
Een veelvoorkomende procedure is om sommige of alle SOC-teamleden de rol Sentinel Reader voor de SAP-werkruimte te geven.
Het maken van afzonderlijke werkruimten voor de SAP- en SOC-gegevens heeft de volgende voordelen:
Microsoft Sentinel kan waarschuwingen activeren die zowel SOC- als SAP-gegevens bevatten, en deze waarschuwingen kunnen worden uitgevoerd in de SOC-werkruimte.
Notitie
Voor grotere SAP-landschappen kan het uitvoeren van query's die zijn gemaakt door de SOC op gegevens uit de SAP-werkruimte, van invloed zijn op de prestaties. De SAP-gegevens moeten naar de SOC-werkruimte worden verzonden wanneer ze worden opgevraagd. Voor verbeterde prestaties en kostenoptimalisaties kunt u overwegen om zowel de SOC- als SAP-werkruimten op hetzelfde toegewezen cluster te hebben.
Het SAP-team heeft een eigen Microsoft Sentinel-werkruimte die alle functies bevat, behalve detecties die zowel SOC- als SAP-gegevens bevatten.
Flexibiliteit. Het SAP-team kan zich richten op de controle van interne bedreigingen in het landschap en de SOC kan zich richten op externe bedreigingen.
Er worden geen extra kosten in rekening gebracht voor opnamekosten, omdat gegevens slechts eenmaal worden opgenomen in Microsoft Sentinel. Elke werkruimte heeft echter een eigen prijscategorie.
De SOC kan SAP-incidenten bekijken en onderzoeken. Als het SAP-team een gebeurtenis ondervindt die niet kan worden uitgelegd met behulp van bestaande gegevens, kan het team het incident toewijzen aan de SOC.
In de volgende tabel worden de toegang tot gegevens en functies voor sap- en SOC-teams in dit scenario toegewezen:
| Functie | SOC-team | SAP-team |
|---|---|---|
| Toegang tot SOC-werkruimte | ✅ | ❌ |
| SAP-werkruimtegegevens, analyseregels, functies, volglijsten en toegang tot werkmappen | ✅ | ✅1 |
| SAP-incidenttoegang en samenwerking | ✅ | ✅1 |
1 Het SOC-team kan deze functies in beide werkruimten zien. Het SAP-team kan deze functies alleen zien in de SAP-werkruimte.
Scenario 2: SAP-gegevens worden alleen bewaard in de SOC-werkruimte
In dit scenario wilt u alle gegevens in één werkruimte bewaren en toegangsbeheer toepassen. U kunt dit doen met behulp van Log Analytics in Azure Monitor om de toegang tot gegevens per resource te beheren. U kunt SAP-resources ook koppelen aan een Azure-resource-id door het vereiste azure_resource_id veld op te geven in de sectie connectorconfiguratie van de gegevensverzamelaar die u gebruikt om gegevens van het SAP-systeem op te nemen in Microsoft Sentinel.
Nadat de gegevensverzamelaaragent is geconfigureerd met de juiste resource-id, heeft het SAP-team toegang tot de specifieke SAP-gegevens in de SOC-werkruimte met behulp van een query met resourcebereik. Het SAP-team kan geen van de andere, niet-SAP-gegevenstypen lezen.
Er zijn geen kosten verbonden aan deze benadering, omdat de gegevens slechts eenmaal worden opgenomen in Microsoft Sentinel. Wanneer u deze toegangsmodus gebruikt, ziet het SAP-team alleen onbewerkte en niet-opgemaakte gegevens. Het SAP-team kan geen Microsoft Sentinel-functies gebruiken. Naast toegang tot de onbewerkte gegevens via Log Analytics, heeft het SAP-team toegang tot dezelfde gegevens via Power BI.
Volgende stap
In dit artikel hebt u geleerd over het werken met de Microsoft Sentinel-oplossing voor SAP-toepassingen in meerdere werkruimten voor verschillende implementatiescenario's. Vervolgens leert u hoe u de oplossing implementeert: