Guias estratégicos de resposta a incidentes do Microsoft Sentinel para SAP

Este artigo descreve como aproveitar os recursos SOAR (Orquestração, automação e resposta) de segurança do Microsoft Sentinel em conjunto com o SAP. O artigo apresenta guias estratégicos criados com finalidade incluídos na solução do Microsoft Sentinel para aplicativos SAP®. Você pode usar esses guias estratégicos para responder automaticamente a atividades suspeitas de usuários em sistemas SAP, automatizando ações corretivas no SAP RISE, SAP ERP, SAP Business Technology Platform (BTP), bem como no Microsoft Entra ID.

A solução SAP do Microsoft Sentinel capacita sua organização a proteger seu ambiente SAP. Para obter uma visão geral completa e detalhada da solução SAP do Sentinel, consulte os seguintes artigos:

• Visão geral de aplicativos da Solução do Microsoft Sentinel para SAP®
• Implante as aplicações da Solução do Microsoft Sentinel para SAP®
• Aplicações da Solução do Microsoft Sentinel para SAP®: referência de conteúdo de segurança

Com a adição desses guias estratégicos à solução, você não só pode monitorar e analisar eventos de segurança em tempo real, como também automatizar fluxos de trabalho de resposta a incidentes SAP para melhorar a eficiência e a eficácia das operações de segurança.

A solução do Microsoft Sentinel para aplicativos SAP® inclui os seguintes guias estratégicos:

• Resposta a incidentes SAP – Bloquear usuário do Teams – Básico
• Resposta a incidentes SAP – Bloquear usuário do Teams – Avançado
• Resposta a incidentes SAP – Reabilitar o log de auditoria depois de desativado

Casos de uso

Você tem a tarefa de defender o ambiente SAP da sua organização. Você implantou os aplicativos da Solução do Microsoft Sentinel para SAP®. Você habilitou a regra de análise da solução "SAP – Execução de um código de transação confidencial" e possivelmente personalizou a watchlist "Transações Confidenciais" da solução para incluir códigos de transação específicos que você deseja examinar. Um incidente avisa sobre atividades suspeitas em um dos sistemas SAP. Um usuário está tentando executar uma dessas transações altamente confidenciais. Você deve investigar e responder a este incidente.

Durante a fase de triagem, você decide tomar medidas contra esse usuário, expulsando-o de seus sistemas SAP ERP ou BTP ou até mesmo do Microsoft Entra ID.

Bloquear um usuário de um único sistema

Como exemplo de como trazer orquestração e automação para esse processo, vamos criar uma regra de automação para invocar o guia estratégico Bloquear usuário do Teams – Básico sempre que uma execução de transação confidencial por um usuário não autorizado for detectada. Esse guia estratégico usa o recurso de cartões adaptáveis do Teams para solicitar aprovação antes de bloquear unilateralmente o usuário.

Para obter mais informações sobre como configurar esse guia estratégico, consulte essa postagem no blog do SAP.

Bloquear um usuário de vários sistemas

O guia estratégicoBloquear usuário do Teams – Avançado atinge o mesmo objetivo, mas foi projetado para cenários mais complexos, permitindo que um único guia estratégico seja usado para vários sistemas SAP, cada um com seu próprio SID SAP. O guia estratégico gerencia perfeitamente as conexões com todos esses sistemas e suas credenciais, usando o parâmetro dinâmico opcional InterfaceAttributes na watchlist SAP - Systems (incluído com a solução do Microsoft Sentinel para aplicativos SAP®) e o Azure Key Vault. O guia estratégico também permite que você se comunique com as partes no processo de aprovação usando mensagens acionáveis do Outlook, além do Teams e sincronizado com o Teams, usando os parâmetros TeamsChannelID e DestinationEmail na watchlist do SAP_Dynamic_Audit_Log_Monitor_Configuration .

Para obter mais informações sobre como configurar esse guia estratégico e, em particular, sobre como usar parâmetros dinâmicos em watchlists para gerenciar conexões com todos os seus sistemas SAP, consulte essa postagem no blog do SAP.

Impedir a desativação do log de auditoria

Com sua missão de garantir que a cobertura de segurança do seu ambiente SAP permaneça abrangente e ininterrupta, você pode estar preocupado com o log de auditoria do SAP, uma das fontes de suas informações de segurança, sendo desativado. Você deseja criar uma regra de automação com base na regra SAP – Desativação da análise do Log de Auditoria de Segurança, que invocará o guia estratégico Log de auditoria de reativação após a desativação para garantir que isso não aconteça. Esse guia estratégico também usa o Teams, mas apenas para informar a equipe de segurança após o fato, uma vez que, dada a gravidade do delito e a urgência de sua mitigação, medidas imediatas podem ser tomadas sem necessidade de aprovação. Como esse guia estratégico também usa o Azure Key Vault para gerenciar credenciais, a configuração do guia estratégico é semelhante à anterior. Para obter mais informações sobre esse guia estratégico e sua configuração, consulte essa postagem no blog do SAP.

Guias estratégicos Standard versus consumo

O Microsoft Sentinel permite criar instâncias desses guias estratégicos diretamente de modelos se você estiver usando guias estratégicos com base no plano de Consumo dos Aplicativos Lógicos do Azure. Se você tiver requisitos específicos para suporte à injeção de VNET (rede virtual), deverá usar o gerenciamento de API do Azureconforme descrito aqui em conjunto com seu aplicativo lógico de Consumo ou usar aplicativos lógicos do plano Standard.

Confira a explicação completa sobre os diferentes tipos de guias estratégicos. Além disso, consulte essa postagem no blog do SAP, na tabela abaixo do título "Criando linha de visão para o sistema SAP para a solicitação SOAP", para obter as ramificações da escolha de cada tipo de aplicativo lógico.

O processo de implantação de aplicativos lógicos Standard geralmente é mais complexo do que para aplicativos lógicos de Consumo, mas disponibilizamos uma série de atalhos que permitem implantá-los rapidamente do repositório GitHub do Microsoft Sentinel. Siga o procedimento descrito lá para implantar os guias estratégicos.

Guias estratégicos Standard atualmente disponíveis no GitHub:

• Bloquear usuário SAP do Teams – Básico Guia estratégico Standard

Mantenha as guias na pasta de guias estratégicos do SAP no repositório GitHub para obter mais guias estratégicos à medida que eles se tornam disponíveis. Há também um breve vídeo introdutório (link externo) para ajudá-lo a começar.

Próximas etapas

Neste artigo, você aprendeu sobre os guias estratégicos disponíveis na solução do Microsoft Sentinel para aplicativos SAP®.

• Saiba mais sobre os aplicativos da solução do Microsoft Sentinel para SAP®.
• Saiba como Implantar os aplicativos da Solução do Microsoft Sentinel para SAP®.
• Saiba mais sobre o conteúdo de segurança disponível na solução Microsoft Sentinel para SAP®.
• Saiba mais sobre regras de automação e guias estratégicos.