Podręczniki reagowania na zdarzenia w usłudze Microsoft Sentinel dla oprogramowania SAP

W tym artykule opisano sposób korzystania z możliwości orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR) usługi Microsoft Sentinel w połączeniu z oprogramowaniem SAP. W tym artykule przedstawiono specjalnie utworzone podręczniki zawarte w rozwiązaniu Microsoft Sentinel dla aplikacji SAP®. Te podręczniki umożliwiają automatyczne reagowanie na podejrzane działania użytkowników w systemach SAP, automatyzowanie akcji korygujących w systemach SAP RISE, SAP ERP, SAP Business Technology Platform (BTP) oraz w usłudze Microsoft Entra ID.

Rozwiązanie SAP usługi Microsoft Sentinel umożliwia organizacji zabezpieczenie środowiska SAP. Szczegółowe omówienie rozwiązania SAP usługi Sentinel można znaleźć w następujących artykułach:

• Omówienie rozwiązania Microsoft Sentinel dla aplikacji SAP®
• Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
• Rozwiązanie Microsoft Sentinel dla aplikacji SAP®: dokumentacja zawartości zabezpieczeń

Dzięki dodaniu tych podręczników do rozwiązania można nie tylko monitorować i analizować zdarzenia zabezpieczeń w czasie rzeczywistym, a także zautomatyzować przepływy pracy reagowania na zdarzenia SAP w celu zwiększenia wydajności i skuteczności operacji zabezpieczeń.

Rozwiązanie Microsoft Sentinel dla aplikacji SAP® zawiera następujące podręczniki:

• Reagowanie na zdarzenia SAP — blokowanie użytkownika z usługi Teams — podstawowa
• Reagowanie na zdarzenia SAP — blokowanie użytkownika z usługi Teams — zaawansowane
• Reagowanie na zdarzenia SAP — ponowne włączanie rejestrowania inspekcji po dezaktywowaniu

Przypadki użycia

Twoim zadaniem jest obrona środowiska SAP organizacji. Zaimplementowano rozwiązanie Usługi Microsoft Sentinel dla aplikacji SAP®. Włączono regułę analizy rozwiązania "SAP — Wykonywanie poufnego kodu transakcji" i prawdopodobnie dostosowano listę obserwowaną rozwiązania "Poufne transakcje", aby uwzględnić określone kody transakcji, dla których chcesz wyświetlać ekran. Zdarzenie ostrzega o podejrzanych działaniach w jednym z systemów SAP. Użytkownik próbuje wykonać jedną z tych wysoce poufnych transakcji. Musisz zbadać to zdarzenie i odpowiedzieć na nie.

W fazie klasyfikacji decydujesz się na podjęcie działań przeciwko temu użytkownikowi, wypuszczając go z systemów SAP ERP lub BTP, a nawet z identyfikatora Entra firmy Microsoft.

Blokowanie użytkownika z jednego systemu

Jako przykład sposobu przeniesienia orkiestracji i automatyzacji do tego procesu utworzymy regułę automatyzacji w celu wywołania podręcznika Blokada użytkownika z usługi Teams — podstawowy podręcznik za każdym razem, gdy wykryto poufne wykonanie transakcji przez nieautoryzowanego użytkownika. Ten podręcznik używa funkcji kart adaptacyjnych usługi Teams do żądania zatwierdzenia przed jednostronnym zablokowaniem użytkownika.

Aby uzyskać więcej informacji na temat konfigurowania tego podręcznika, zobacz ten wpis w blogu SAP.

Blokowanie użytkownika z wielu systemów

Użytkownik blokady z aplikacji Teams — zaawansowany podręcznik realizuje ten sam cel, ale jest przeznaczony dla bardziej złożonych scenariuszy, dzięki czemu pojedynczy podręcznik może być używany w wielu systemach SAP, z których każdy ma własny identyfikator SID systemu SAP. Podręcznik bezproblemowo zarządza połączeniami ze wszystkimi tymi systemami i ich poświadczeniami przy użyciu opcjonalnych parametrów dynamicznych InterfaceAttributes na liście kontrolnej SAP — Systems (dołączonej do rozwiązania Microsoft Sentinel dla aplikacji SAP®) i usługi Azure Key Vault. Podręcznik umożliwia również komunikowanie się ze stronami w procesie zatwierdzania przy użyciu komunikatów z możliwością działania programu Outlook oraz synchronizowania ich z aplikacją Teams przy użyciu parametrów TeamsChannelID i DestinationEmail na liście do obejrzenia SAP_Dynamic_Audit_Log_Monitor_Configuration .

Aby uzyskać więcej informacji na temat konfigurowania tego podręcznika, a w szczególności sposobu używania parametrów dynamicznych na listach obserwowanych do zarządzania połączeniami ze wszystkimi systemami SAP, zobacz ten wpis w blogu SAP.

Zapobieganie dezaktywacji rejestrowania inspekcji

Mając na celu zapewnienie kompleksowego i nieprzerwanego pokrycia zabezpieczeń środowiska SAP, może być zaniepokojony dziennikiem inspekcji SAP — jednym ze źródeł informacji zabezpieczających — dezaktywowanym. Chcesz utworzyć regułę automatyzacji opartą na systemie SAP — dezaktywacja reguły analizy dzienników inspekcji zabezpieczeń, która będzie wywoływać rejestrowanie inspekcji z możliwością ponownego zmieniania po dezaktywowaniu podręcznika, aby upewnić się, że tak się nie stanie. Ten podręcznik korzysta również z usługi Teams, ale tylko do informowania pracowników ochrony po fakcie, ponieważ, biorąc pod uwagę ważność przestępstwa i pilność jego ograniczenia, natychmiastowe działania można podjąć bez konieczności zatwierdzania. Ponieważ ten podręcznik używa również usługi Azure Key Vault do zarządzania poświadczeniami, konfiguracja podręcznika jest podobna do poprzedniej. Aby uzyskać więcej informacji na temat tego podręcznika i jego konfiguracji, zobacz ten wpis w blogu SAP.

Podręczniki standardowe a zużycie

Usługa Microsoft Sentinel umożliwia tworzenie wystąpień tych podręczników bezpośrednio z szablonów, jeśli używasz podręczników opartych na planie użycia usługi Azure Logic Apps. Jeśli masz określone wymagania dotyczące obsługi iniekcji sieci wirtualnej (VNET), musisz użyć usługi Azure API Managementzgodnie z opisem w tym miejscu w połączeniu z aplikacją logiki Zużycie lub użyć aplikacji logiki w planie standardowym.

Zapoznaj się z pełnym wyjaśnieniem różnych typów podręczników. Zobacz również ten wpis w blogu SAP w tabeli pod nagłówkiem "Tworzenie linii wzroku do systemu SAP dla żądania PROTOKOŁU SOAP", aby zapoznać się z konsekwencjami wyboru poszczególnych typów aplikacji logiki.

Proces wdrażania standardowych aplikacji logiki jest ogólnie bardziej złożony niż w przypadku aplikacji logiki Zużycie, ale udostępniliśmy serię skrótów, które umożliwiają szybkie wdrażanie ich z repozytorium GitHub usługi Microsoft Sentinel. Postępuj zgodnie z procedurą opisaną tam , aby wdrożyć podręczniki.

Obecnie dostępne standardowe podręczniki w usłudze GitHub:

• Blokowanie użytkownika sap z aplikacji Teams — podręcznik w warstwie Podstawowa w warstwie Standardowa

Zachowaj karty w folderze podręczników SAP w repozytorium GitHub, aby uzyskać więcej podręczników w miarę ich dostępności. Istnieje również krótki film wprowadzający (link zewnętrzny), który pomoże Ci rozpocząć pracę.

Następne kroki

W tym artykule przedstawiono podręczniki dostępne w rozwiązaniu Microsoft Sentinel dla aplikacji SAP®.

• Dowiedz się więcej o rozwiązaniu Microsoft Sentinel dla aplikacji SAP®.
• Dowiedz się, jak wdrożyć rozwiązanie Microsoft Sentinel dla aplikacji SAP®.
• Dowiedz się więcej o zawartości zabezpieczeń dostępnej w rozwiązaniu Microsoft Sentinel dla aplikacji SAP®.
• Dowiedz się więcej o regułach automatyzacji i podręcznikach.