Aplicativos de Solução do Microsoft Sentinel para SAP® – Pasta de trabalho de Controles de Auditoria do SAP (Versão prévia)

Este artigo descreve a pasta de trabalho Controles de Auditoria do SAP, que é fornecida a você como parte dos aplicativos de solução do Microsoft Sentinel para SAP®.

Importante

A pasta de trabalho Controles de Auditoria SAP do Microsoft Sentinel está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Essa pasta de trabalho ajuda você a verificar a conformidade dos controles de segurança do ambiente SAP® com a estrutura de controle escolhida, seja SOX, NIST ou uma estrutura personalizada de sua escolha.

A pasta de trabalho fornece ferramentas para atribuir regras de análise em seu ambiente a controles de segurança específicos e famílias de controle, monitorar e categorizar os incidentes gerados pelas regras de análise baseadas em solução SAP e relatar sua conformidade.

A pasta de trabalho fornece os seguintes recursos para seu programa de conformidade:

• Confira as recomendações sobre quais regras de análise habilitar e habilite-as in-loco com a configuração de predefinição adequada.
• Associe suas regras de análise à estrutura de controle SOX ou NIST ou aplique sua própria estrutura de controle personalizada.
• Examine incidentes e alertas resumidos pelo controle, de acordo com a estrutura de controle selecionada.
• Exporte incidentes relevantes para análise posterior, para fins de auditoria e relatório.

Começar a usar a pasta de trabalho

1. Selecione Pastas de trabalho no menu Gerenciamento de ameaças do portal do Microsoft Sentinel.

2. Na galeria Pastas de Trabalho, acesse Modelos e insira SAP na barra de pesquisa e selecione Controles de Auditoria SAP entre os resultados.

3. Selecione o Modelo de exibição para usar a pasta de trabalho como está ou selecione Salvar para criar uma cópia editável da pasta de trabalho. Quando a cópia for criada, selecione Exibir pasta de trabalho salva.

   

4. Selecione os seguintes campos para filtrar os dados de acordo com suas necessidades:

   • Assinatura e workspace. Selecione o workspace cuja conformidade dos sistemas SAP você deseja auditar. Esse pode ser um workspace diferente do local em que o Microsoft Sentinel é implantado.
   • Data de criação do incidente. Selecione um intervalo entre as últimas quatro horas e os últimos 30 dias ou um intervalo personalizado que você determinar.
   • Outros atributos de incidente: Status, Severidade, Táticas, Proprietário. Para cada uma delas, selecione entre as opções disponíveis, que correspondem aos valores representados nos incidentes no intervalo de tempo selecionado.
   • Funções do sistema. As funções do sistema SAP, por exemplo: Produção.
   • Uso do sistema. Por exemplo: SAP ERP.
   • Sistemas. Você pode selecionar todas as IDs do sistema SAP, uma ID de sistema específica ou várias IDs do sistema.
   • Estrutura de controle, Famílias de controle, IDs de controle. Selecione-os de acordo com a estrutura de controle pela qual você deseja avaliar sua cobertura e os controles específicos pelos quais você deseja filtrar os dados da pasta de trabalho.

   Os painéis nesta pasta de trabalho permitem uma exibição agregada de incidentes e alertas com base nas tabelas SecurityAlert e SecurityIncident, que por padrão retêm 30 dias de dados. Considere estender o período de retenção dessas tabelas para corresponder aos requisitos de conformidade da sua organização. Independentemente da escolha que você faz para a política de retenção dessas tabelas, os dados de incidentes em si nunca são excluídos, embora possam não ser mostrados aqui. Os dados de alerta são mantidos de acordo com a política de retenção da tabela.

   • A política de retenção real dessas duas tabelas pode muito bem ser definida como algo diferente dos 30 dias padrão. Consulte o aviso na tela de fundo com sombreamento azul na pasta de trabalho (mostrado na captura de tela acima), mostrando o intervalo de tempo real dos dados nas tabelas de acordo com sua política de retenção atual.

   • Consulte Configurar uma política de retenção de dados para uma tabela em um workspace do Log Analytics para obter mais informações.

Visão geral da pasta de trabalho

A pasta de trabalho é separada em três guias:

• Configurar
• Monitorar
• Report

Guia Configurar

Criar regras de análise de modelos ainda não utilizados

A tabela Modelos prontos para serem usados mostra os modelos de regra de análise, da solução Microsoft Sentinel para aplicativos SAP®, que ainda não foram implementados como regras ativas. Talvez seja necessário criar essas regras para alcançar a conformidade.

• O controle Modelos de solução para configurar mostra as soluções instaladas cujas regras de análise você pode avaliar aqui quanto à conformidade com a estrutura de controle escolhida. Por padrão, somente a solução SAP está selecionada, mas você pode selecionar qualquer um ou todos os outros nessa lista suspensa.

• Selecione o link Exibir na coluna Propriedades da linha de um modelo de regra específico na tabela para ver toda a configuração do modelo no painel pop-up detalhes. (Essa exibição é somente leitura.)

• A coluna Configuração recomendada mostra a finalidade da regra: ela destina-se a criar incidentes para investigação? Ou apenas para criar alertas a serem mantidos de lado e adicionados a outros incidentes a serem usados como evidência em suas investigações?

• Selecione Ativar regra (no painel de descrição) para criar uma regra de análise do modelo, com a configuração recomendada já interna. Essa funcionalidade evita que você tenha que adivinhar a configuração correta e defini-la manualmente.

Exibir ou alterar atribuições de controle de segurança de suas regras de análise

Na tabela Selecionar uma regra para configurar, você verá a lista de regras de análise ativadas relevantes para o SAP.

• As contagens e as linhas de grafo de Incidentes e Alertas gerados por cada regra são exibidas. (Contagens idênticas sugerem que o agrupamento de alertas está desabilitado.)

• Também são mostradas colunas que indicam que a configuração de criação de incidentes da regra está habilitada (a coluna Incidentes) e qual é a origem da regra (a coluna Origem)— Galeria, Hub de conteúdo ou Personalizado.

• Se a configuração Recomendada para essa regra for "Somente como alerta", considere desabilitar a configuração de criação de incidentes na regra (veja abaixo).

• Quando você seleciona uma regra, um painel de detalhes é exibido com informações sobre a regra.

  

  • A parte superior desse painel lateral tem recomendações sobre como habilitar ou desabilitar a criação de incidentes na configuração da regra de análise, conforme mencionado acima.

  • A próxima seção mostra com quais controles de segurança e famílias de controle a regra é identificada, para cada uma das estruturas disponíveis. Para as estruturas SOX e NIST, você pode personalizar a atribuição de controle escolhendo um controle diferente ou uma família de controle nas listas suspensas relevantes. Para estruturas personalizadas, escreva em controles e controle famílias de sua escolha nas caixas de texto MyOrg. Se você fizer alterações, selecione Salvar alterações.

  Se uma regra de análise específica não tiver sido atribuída a uma família de controle ou controle de segurança para uma determinada estrutura, uma recomendação para definir os controles será exibida. Depois de selecionar os controles, selecione Salvar alterações.

  • Para ver o restante dos detalhes da regra selecionada, conforme definido no momento, selecione Visão geral da regra. Isso abrirá o mesmo painel Detalhes descrito anteriormente neste documento.

Guia Monitorar

Essa guia contém várias representações gráficas de vários agrupamentos dos incidentes em seu ambiente que correspondem aos filtros na parte superior da pasta de trabalho.

• Um gráfico de linhas de tendência, rotulado como Tendência de incidentes, mostra o número de incidentes ao longo do tempo. Esses incidentes são agrupados (representados por diferentes linhas coloridas e sombreamentos) por padrão de acordo com a família de controle representada pela regra que os gerou. Você pode selecionar agrupamentos alternativos para esses incidentes na lista suspensa Detalhes incidentes por.

  

• O grafo hive Incidentes mostra o número de incidentes agrupados de duas maneiras. Os padrões (para a estrutura SOX) são primeiro da família Sox Control (a matriz de células em "colmeia") e, em seguida, pela ID do Sistema (cada célula na "colmeia"). Você pode selecionar critérios diferentes para exibir os agrupamentos, usando os seletores Drill by e And then by.

  Amplie o grafo do hive para tornar o texto grande o suficiente para ler claramente e reduzir para ver todos os agrupamentos juntos. Arraste todo o grafo para ver diferentes partes dele.

  

Guia Relatório

Por fim, a guia Relatório contém uma lista de todos os incidentes em seu ambiente que correspondem aos filtros na parte superior da pasta de trabalho.

• Os incidentes são agrupados por família de controle e ID de controle.

• O link na coluna URL do Incidente abre uma nova janela do navegador aberta na página de investigação de incidentes para esse incidente. Esse link é persistente e funcionará independentemente da política de retenção para a tabela SecurityIncident.

• Role para baixo até o final da janela (a barra de rolagem externa) para ver a barra de rolagem horizontal, que você pode usar para ver o restante das colunas no relatório.

• Exporte este relatório para uma planilha selecionando as reticências (os três pontos) no canto superior direito do relatório e, em seguida, selecionando Exportar para o Excel.

  

  

Próximas etapas

Para obter mais informações, consulte:

• Implantação dos aplicativos da Solução do Microsoft Sentinel para SAP®
• Referência dos logs dos aplicativos da solução do Microsoft Sentinel para SAP®
• Monitore a integridade do seu sistema SAP
• Pré-requisitos para implantar os aplicativos da Solução do Microsoft Sentinel para SAP®
• Solução de problemas de implantação dos aplicativos da Solução do Microsoft Sentinel para SAP®

Veja este vídeo do YouTube, no canal da Microsoft Security Community no YouTube, para obter uma demonstração desta pasta de trabalho.