Partilhar via

Solução Microsoft Sentinel para aplicativos SAP® - pasta de trabalho SAP Audit Controls (Visualização)

  • Artigo

Este artigo descreve a pasta de trabalho SAP Audit Controls, que é fornecida como parte da solução Microsoft Sentinel para aplicativos SAP®.

Importante

A pasta de trabalho Microsoft Sentinel SAP Audit Controls está atualmente em VISUALIZAÇÃO. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Esta pasta de trabalho ajuda você a verificar a conformidade dos controles de segurança do ambiente SAP® com a estrutura de controle escolhida, seja SOX, NIST ou uma estrutura personalizada de sua escolha.

A pasta de trabalho fornece ferramentas para você atribuir regras de análise em seu ambiente a controles de segurança específicos e famílias de controle, monitorar e categorizar os incidentes gerados pelas regras de análise baseadas em soluções SAP e relatar sua conformidade.

A pasta de trabalho fornece os seguintes recursos para seu programa de conformidade:

  • Veja as recomendações sobre quais regras de análise habilitar e habilite-as no local com a configuração predefinida adequada.
  • Associe suas regras de análise à estrutura de controle SOX ou NIST ou aplique sua própria estrutura de controle personalizada.
  • Revise incidentes e alertas resumidos por controle, de acordo com a estrutura de controle selecionada.
  • Exporte incidentes relevantes para análise posterior, para fins de auditoria e relatórios.

Começar a usar a pasta de trabalho

  1. No portal do Microsoft Sentinel, selecione Pastas de trabalho no menu Gerenciamento de ameaças.

  2. Na galeria Pastas de trabalho, vá para Modelos e insira SAP na barra de pesquisa e selecione Controles de auditoria SAP entre os resultados.

  3. Selecione Ver modelo para utilizar o livro tal como está ou selecione Guardar para criar uma cópia editável do livro. Quando a cópia for criada, selecione Ver livro guardado.

    Captura de tela da parte superior da pasta de trabalho SAP Audit Controls.

  4. Selecione os seguintes campos para filtrar os dados de acordo com as suas necessidades:

    • Subscrição e Espaço de trabalho. Selecione o espaço de trabalho cuja conformidade dos sistemas SAP você deseja auditar. Este pode ser um espaço de trabalho diferente daquele em que o Microsoft Sentinel está implantado.
    • Tempo de criação do incidente. Selecione um intervalo das últimas quatro horas até os últimos 30 dias ou um intervalo personalizado que você determinar.
    • Outros atributos do incidente: Status, Gravidade, Tática, Proprietário. Para cada um deles, selecione entre as opções disponíveis, que correspondem aos valores representados nos incidentes no intervalo de tempo selecionado.
    • Funções do sistema. As funções do sistema SAP, por exemplo: Produção.
    • Utilização do sistema. Por exemplo: SAP ERP.
    • sistemas. Você pode selecionar todos os IDs do sistema SAP, um ID de sistema específico ou vários IDs do sistema.
    • Estrutura de controle, Famílias de controle, IDs de controle. Selecione-os de acordo com a estrutura de controle pela qual você deseja avaliar sua cobertura e os controles específicos pelos quais você deseja filtrar os dados da pasta de trabalho.

    Os painéis nesta pasta de trabalho permitem uma exibição agregada de incidentes e alertas com base nas tabelas SecurityAlert e SecurityIncident , que, por padrão, retêm 30 dias de dados. Considere estender o período de retenção dessas tabelas para que correspondam aos requisitos de conformidade da sua organização. Independentemente da escolha que você fizer para a política de retenção dessas tabelas, os dados do incidente em si nunca são excluídos, embora possam não ser exibidos aqui. Os dados de alerta são mantidos de acordo com a política de retenção da tabela.

    • A política de retenção real dessas duas tabelas pode muito bem ser definida como algo diferente dos 30 dias padrão. Consulte o aviso no plano de fundo sombreado azul na pasta de trabalho (mostrado na captura de tela acima), mostrando o intervalo de tempo real dos dados nas tabelas de acordo com sua política de retenção atual.

    • Consulte Configurar uma política de retenção de dados para uma tabela em um espaço de trabalho do Log Analytics para obter mais informações.

Visão geral da pasta de trabalho

A pasta de trabalho é separada em três guias:

  • Configurar
  • Monitorizar
  • Relatório

Guia Configurar

Criar regras de análise a partir de modelos ainda não utilizados

A tabela Modelos prontos para uso mostra os modelos de regras de análise, da solução Microsoft Sentinel para aplicativos SAP®, que ainda não foram implementados como regras ativas. Talvez seja necessário criar essas regras para alcançar a conformidade.

Captura de ecrã da tabela de modelos de regras de análise a partir da qual criar regras.

  • Os modelos de solução para configurar o controle mostram as soluções instaladas cujas regras de análise você pode avaliar aqui para conformidade com a estrutura de controle escolhida. Por padrão, apenas a solução SAP é selecionada, mas você pode selecionar qualquer uma ou todas as outras nesta lista suspensa.

  • Selecione o link Exibir na coluna Propriedades da linha de um modelo de regra específico na tabela para ver toda a configuração do modelo no painel pop-up Detalhes. (Esta vista é só de leitura.)

  • A coluna Configuração recomendada mostra o objetivo da regra: destina-se a criar incidentes para investigação? Ou apenas para criar alertas a serem mantidos de lado e adicionados a outros incidentes para serem usados como prova em suas investigações?

  • Selecione Ativar regra (no painel de descrição) para criar uma regra de análise a partir do modelo, com a configuração recomendada já incorporada. Esta funcionalidade poupa-lhe o trabalho de ter de adivinhar a configuração certa e defini-la manualmente.

Exibir ou alterar atribuições de controle de segurança de suas regras de análise

Na tabela Selecione uma regra para configurar, você verá a lista de regras de análise ativadas relevantes para o SAP.

Captura de ecrã a mostrar a seleção de uma regra a configurar.

  • As contagens e linhas gráficas de Incidentes e Alertas gerados por cada regra são exibidas. (Contagens idênticas sugerem que o agrupamento de alertas está desativado.)

  • Também são mostradas colunas que indicam que a configuração de criação de incidentes da regra está habilitada (a coluna Incidentes ) e qual é a origem da regra (a coluna Origem ) — Galeria, Hub de conteúdo ou Personalizada.

  • Se a configuração recomendada para essa regra for "Somente como alerta", considere desativar a configuração de criação de incidentes na regra (veja abaixo).

  • Quando você seleciona uma regra, um painel de detalhes é exibido com informações sobre a regra.

    Captura de ecrã do painel lateral de configuração da regra.

    • A parte superior deste painel lateral tem recomendações sobre como ativar ou desativar a criação de incidentes na configuração da regra de análise, conforme mencionado acima.

    • A próxima seção mostra com quais controles de segurança e famílias de controle a regra está identificada, para cada uma das estruturas disponíveis. Para as estruturas SOX e NIST, você pode personalizar a atribuição de controle escolhendo um controle ou família de controle diferente dos menus suspensos relevantes. Para estruturas personalizadas, escreva em controles e famílias de controle de sua escolha nas caixas de texto MyOrg . Se você fizer alterações, selecione Salvar alterações.

    Se uma determinada regra de análise não tiver sido atribuída a um controle de segurança ou família de controle para uma determinada estrutura, uma recomendação para definir os controles será exibida. Depois de selecionar os controles, selecione Salvar alterações.

    • Para ver o restante dos detalhes da regra selecionada conforme definida atualmente, selecione Visão geral da regra. Isso abrirá o mesmo painel Detalhes descrito anteriormente neste documento.

Separador Monitorização

Esta guia contém várias representações gráficas de vários agrupamentos de incidentes em seu ambiente que correspondem aos filtros na parte superior da pasta de trabalho.

  • Um gráfico de linha de tendência, denominado Tendência de incidentes, mostra o número de incidentes ao longo do tempo. Esses incidentes são agrupados (representados por diferentes linhas coloridas e sombreamentos) por padrão de acordo com a família de controle representada pela regra que os gerou. Você pode selecionar agrupamentos alternativos para esses incidentes na lista suspensa Detalhes de incidentes.

    Captura de tela da linha de tendência do número de incidentes, agrupados por regra.

  • O gráfico da colmeia Incidentes mostra o número de incidentes agrupados de duas maneiras. Os padrões (para a estrutura SOX) são primeiro pela família SOX Control (a matriz de células "favo de mel") e depois pela ID do sistema (cada célula no "favo de mel"). Você pode selecionar diferentes critérios pelos quais exibir os agrupamentos, usando os seletores Drill by e And e, em seguida .

    Aumente o zoom no gráfico da seção para tornar o texto grande o suficiente para ler com clareza e diminua o zoom para ver todos os agrupamentos juntos. Arraste o gráfico inteiro para ver diferentes partes dele.

    Captura de tela de gráficos de colmeia de números de incidentes, agrupados por família de controle e ID do sistema.

Guia Relatório

Finalmente, a guia Relatório contém uma lista de todos os incidentes em seu ambiente que correspondem aos filtros na parte superior da pasta de trabalho.

  • Os incidentes são agrupados por família de controle e ID de controle.

  • O link na coluna URL do incidente abre uma nova janela do navegador aberta para a página de investigação do incidente desse incidente. Esse link é persistente e funcionará independentemente da política de retenção para a tabela SecurityIncident .

  • Role para baixo até o final da janela (a barra de rolagem externa) para ver a barra de rolagem horizontal, que você pode usar para ver o restante das colunas no relatório.

  • Exporte este relatório para uma folha de cálculo selecionando as reticências (os três pontos) no canto superior direito do relatório e, em seguida, selecionando Exportar para Excel.

    Captura de ecrã do separador Relatório no livro.

    Captura de ecrã da opção de exportação para excel.

Próximos passos

Para obter mais informações, consulte:

Veja este vídeo do YouTube, no canal da Comunidade de Segurança da Microsoft no YouTube, para uma demonstração deste livro.