Deteção de ameaças do SecurityBridge para conector SAP para Microsoft Sentinel

  • Artigo

O SecurityBridge é a primeira e única plataforma de segurança holística e nativamente integrada, abordando todos os aspetos necessários para proteger as organizações que executam SAP contra ameaças internas e externas contra seus principais aplicativos de negócios. A plataforma SecurityBridge é um complemento certificado pela SAP, usado por organizações em todo o mundo, e atende à necessidade dos clientes de segurança cibernética avançada, monitoramento em tempo real, conformidade, segurança de código e patches para proteção contra ameaças internas e externas. Esta Solução Microsoft Sentinel permite-lhe integrar eventos de Deteção de Ameaças SecurityBridge de todas as suas instâncias SAP locais e baseadas na nuvem na sua monitorização de segurança. Use esta Solução Microsoft Sentinel para receber eventos de segurança normalizados e falantes, painéis pré-criados e modelos prontos para uso para seu monitoramento de segurança SAP.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics SecurityBridgeLogs_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Christoph Nagy

Exemplos de consulta

Top 10 Nomes de Eventos

SecurityBridgeLogs_CL 

| extend Name = tostring(split(RawData, '
|')[5]) 

| summarize count() by Name 
| top 10 by count_

Instruções de instalação do fornecedor

Nota

Este conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga estas etapas para criar o alias Kusto Functions, SecurityBridgeLogs

Nota

Este conector de dados foi desenvolvido utilizando o SecurityBridge Application Platform 7.4.0.

  1. Instalar e integrar o agente para Linux ou Windows

Esta solução requer a recolha de registos através de uma instalação do agente Microsoft Sentinel

O agente Sentinel é suportado nos seguintes sistemas operacionais:

  1. Servidores Windows

  2. SUSE Linux Enterprise Server

  3. Redhat Linux Enterprise Server

  4. Servidor Oracle Linux Enterprise

  5. Se você tiver a solução SAP instalada em HPUX / AIX, precisará implantar um coletor de logs em uma das opções do Linux listadas acima e encaminhar seus logs para esse coletor

  6. Configurar os logs a serem coletados

Configurar o diretório de log personalizado a ser coletado

  1. Selecione o link acima para abrir as configurações avançadas do seu espaço de trabalho
  2. Clique em +Adicionar personalizado
  3. Clique em Procurar para carregar uma amostra de um ficheiro de registo SAP do SecurityBridge (por exemplo, AED_20211129164544.cef). Em seguida, clique em Avançar >
  4. Selecione Nova Linha como delimitador de registro e clique em Avançar >
  5. Selecione Windows ou Linux e insira o caminho para os logs do SecurityBridge com base na sua configuração. Exemplo:
  • '/usr/sap/tmp/sb_events/*.cef'

Observação : você pode adicionar quantos caminhos quiser na configuração.

  1. Depois de inserir o caminho, clique no símbolo '+' para aplicar e, em seguida, clique em Avançar >

  2. Adicione SecurityBridgeLogs como o nome do log personalizado e clique em Concluído

  3. Verificar logs no Microsoft Sentinel

Abra o Log Analytics para verificar se os logs são recebidos usando a tabela de log SecurityBridgeLogs_CL Personalizada.

NOTA: Pode demorar até 30 minutos até que novos logs apareçam em SecurityBridgeLogs_CL tabela.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.