Praca z rozwiązaniem Microsoft Sentinel dla aplikacji SAP w wielu obszarach roboczych
Podczas konfigurowania obszaru roboczego usługi Microsoft Sentinel należy wziąć pod uwagę wiele opcji i czynników architektury. Biorąc pod uwagę lokalizację geograficzną, regulację, kontrolę dostępu i inne czynniki, możesz wybrać wiele obszarów roboczych usługi Microsoft Sentinel w organizacji.
W tym artykule omówiono sposób pracy z rozwiązaniem Microsoft Sentinel dla aplikacji SAP w wielu obszarach roboczych w różnych scenariuszach wdrażania.
Rozwiązanie Microsoft Sentinel dla aplikacji SAP natywnie obsługuje architekturę między obszarami roboczymi w celu zapewnienia lepszej elastyczności:
- Zarządzani dostawcy usług zabezpieczeń (MSSPs) lub globalne lub federacyjne centrum operacji zabezpieczeń (SOC).
- Wymagania dotyczące rezydencji danych.
- Hierarchia organizacyjna i projekt IT.
- Niewystarczająca kontrola dostępu oparta na rolach (RBAC) w jednym obszarze roboczym.
Ważne
Praca z wieloma obszarami roboczymi jest obecnie dostępna w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.
Podczas wdrażania zawartości zabezpieczeń sap można zdefiniować wiele obszarów roboczych.
Współpraca między zespołami SOC i SAP w organizacji
Typowy przypadek użycia to taki, w którym współpraca między zespołami SOC i SAP w organizacji wymaga konfiguracji z wieloma obszarami roboczymi.
Zespół SAP twojej organizacji ma wiedzę techniczną, która ma kluczowe znaczenie dla pomyślnego i skutecznego wdrożenia rozwiązania Microsoft Sentinel dla aplikacji SAP. Dlatego ważne jest, aby zespół SAP widział odpowiednie dane i współpracował z SOC w sprawie wymaganych procedur konfiguracji i reagowania na zdarzenia.
Istnieją dwa możliwe scenariusze współpracy zespołu SOC i SAP w zależności od potrzeb organizacji:
Scenariusz 1. Dane SAP i dane SOC przechowywane w oddzielnych obszarach roboczych. Oba zespoły mogą wyświetlać dane SAP przy użyciu zapytań między obszarami roboczymi.
Scenariusz 2. Dane SAP przechowywane tylko w obszarze roboczym SOC. Zespół SAP może wykonywać zapytania dotyczące danych przy użyciu zapytań kontekstowych zasobów.
Scenariusz 1. Dane SAP i dane SOC przechowywane w oddzielnych obszarach roboczych
W tym scenariuszu zespół SAP i zespół SOC mają oddzielne obszary robocze usługi Microsoft Sentinel, w których przechowywane są dane zespołu.
Gdy Organizacja wdraża rozwiązanie Microsoft Sentinel dla aplikacji SAP, każdy zespół określa swój obszar roboczy SAP.
Typowym rozwiązaniem jest zapewnienie niektórym lub wszystkim członkom zespołu SOC roli Czytelnik usługi Sentinel dla obszaru roboczego SAP.
Tworzenie oddzielnych obszarów roboczych dla danych SAP i SOC ma następujące korzyści:
Usługa Microsoft Sentinel może wyzwalać alerty, które obejmują zarówno dane SOC, jak i SAP, i mogą uruchamiać te alerty w obszarze roboczym SOC.
Uwaga
W przypadku większych środowisk SAP uruchamianie zapytań wykonanych przez SOC na danych z obszaru roboczego SAP może mieć wpływ na wydajność. Dane SAP muszą być przesyłane do obszaru roboczego SOC podczas wykonywania zapytań. W celu zwiększenia wydajności i optymalizacji kosztów rozważ użycie zarówno obszarów roboczych SOC, jak i SAP w tym samym dedykowanym klastrze.
Zespół SAP ma własny obszar roboczy usługi Microsoft Sentinel, który zawiera wszystkie funkcje, z wyjątkiem wykrywania, które obejmują zarówno dane SOC, jak i SAP.
Elastyczność Zespół SAP może skupić się na kontroli zagrożeń wewnętrznych w swoim środowisku, a SOC może skupić się na zagrożeniach zewnętrznych.
Nie ma dodatkowych opłat za pozyskiwanie, ponieważ dane są pozyskiwane tylko raz w usłudze Microsoft Sentinel. Jednak każdy obszar roboczy ma własną warstwę cenową.
SoC może wyświetlać i badać zdarzenia SAP. Jeśli zespół SAP stoi przed zdarzeniem, które nie może wyjaśnić przy użyciu istniejących danych, zespół może przypisać zdarzenie do SOC.
W poniższej tabeli przedstawiono mapowania dostępu do danych i funkcji dla zespołów SAP i SOC w tym scenariuszu:
| Function | Zespół SOC | Zespół SAP |
|---|---|---|
| Dostęp do obszaru roboczego SOC | ✅ | ❌ |
| Dane obszaru roboczego SAP, reguły analizy, funkcje, listy kontrolne i dostęp do skoroszytów | ✅ | ✅1 |
| Dostęp do zdarzeń i współpraca w oprogramowaniu SAP | ✅ | ✅1 |
1 Zespół SOC może zobaczyć te funkcje w obu obszarach roboczych. Zespół SAP może zobaczyć te funkcje tylko w obszarze roboczym SAP.
Scenariusz 2. Dane SAP przechowywane tylko w obszarze roboczym SOC
W tym scenariuszu chcesz zachować wszystkie dane w jednym obszarze roboczym i zastosować mechanizmy kontroli dostępu. Można to zrobić przy użyciu usługi Log Analytics w usłudze Azure Monitor, aby zarządzać dostępem do danych według zasobów. Zasoby SAP można również skojarzyć z identyfikatorem zasobu platformy Azure, określając wymagane azure_resource_id pole w sekcji konfiguracji łącznika w module zbierającym dane używane do pozyskiwania danych z systemu SAP do usługi Microsoft Sentinel.
Po skonfigurowaniu agenta modułu zbierającego dane z prawidłowym identyfikatorem zasobu zespół SAP może uzyskać dostęp do określonych danych SAP w obszarze roboczym SOC przy użyciu zapytania o zakresie zasobów. Zespół SAP nie może odczytać żadnego z innych typów danych innych niż SAP.
Nie ma żadnych kosztów związanych z tym podejściem, ponieważ dane są pozyskiwane tylko raz do usługi Microsoft Sentinel. W przypadku korzystania z tego trybu dostępu zespół SAP widzi tylko nieprzetworzone i niesformatowane dane. Zespół SAP nie może używać żadnych funkcji usługi Microsoft Sentinel. Oprócz uzyskiwania dostępu do danych pierwotnych za pośrednictwem usługi Log Analytics zespół SAP może uzyskiwać dostęp do tych samych danych za pośrednictwem usługi Power BI.
Następny krok
W tym artykule przedstawiono sposób pracy z rozwiązaniem Microsoft Sentinel dla aplikacji SAP w wielu obszarach roboczych w różnych scenariuszach wdrażania. Następnie dowiedz się, jak wdrożyć rozwiązanie:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla