Trabalhe com a solução Microsoft Sentinel para aplicativos SAP em vários espaços de trabalho
Ao configurar seu espaço de trabalho do Microsoft Sentinel, você tem várias opções de arquitetura e fatores a considerar. Levando em consideração a geografia, a regulamentação, o controle de acesso e outros fatores, você pode optar por ter vários espaços de trabalho do Microsoft Sentinel em sua organização.
Este artigo descreve como trabalhar com a solução Microsoft Sentinel para aplicativos SAP em vários espaços de trabalho para diferentes cenários de implantação.
A solução Microsoft Sentinel para aplicativos SAP suporta nativamente uma arquitetura entre espaços de trabalho para oferecer suporte a flexibilidade aprimorada para:
- Provedores de serviços de segurança gerenciados (MSSPs) ou um centro de operações de segurança (SOC) global ou federado.
- Requisitos de residência de dados.
- Hierarquia organizacional e desenho de TI.
- Controle de acesso baseado em função (RBAC) insuficiente em um único espaço de trabalho.
Importante
O trabalho com vários espaços de trabalho está atualmente em pré-visualização. Este recurso é fornecido sem um contrato de nível de serviço. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.
Você pode definir vários espaços de trabalho ao implantar conteúdo de segurança SAP.
Colaboração entre as equipes SOC e SAP em sua organização
Um caso de uso comum é aquele em que a colaboração entre as equipes SOC e SAP em sua organização requer uma configuração de vários espaços de trabalho.
A equipe SAP da sua organização tem conhecimento técnico que é essencial para implementar com sucesso e eficácia a solução Microsoft Sentinel para aplicativos SAP. Portanto, é importante que a equipe SAP veja os dados relevantes e colabore com o SOC sobre a configuração necessária e os procedimentos de resposta a incidentes.
Há dois cenários possíveis para a colaboração da equipe SOC e SAP, dependendo das necessidades da sua organização:
Cenário 1: Dados SAP e dados SOC mantidos em espaços de trabalho separados. Ambas as equipes podem ver os dados SAP usando consultas entre espaços de trabalho.
Cenário 2: Dados SAP mantidos apenas no espaço de trabalho SOC. A equipe SAP pode consultar os dados usando consultas de contexto de recursos.
Cenário 1: Dados SAP e dados SOC mantidos em espaços de trabalho separados
Nesse cenário, a equipe SAP e a equipe SOC têm espaços de trabalho separados do Microsoft Sentinel onde os dados da equipe são mantidos.
Quando sua organização implanta a solução Microsoft Sentinel para aplicativos SAP, cada equipe especifica seu espaço de trabalho SAP.
Uma prática comum é fornecer a alguns ou a todos os membros da equipe SOC a função de Leitor Sentinela para o espaço de trabalho SAP.
A criação de espaços de trabalho separados para os dados SAP e SOC tem os seguintes benefícios:
O Microsoft Sentinel pode disparar alertas que incluem dados SOC e SAP e pode executar esses alertas no espaço de trabalho SOC.
Nota
Para cenários SAP maiores, a execução de consultas feitas pelo SOC em dados do espaço de trabalho SAP pode afetar o desempenho. Os dados SAP devem viajar para o espaço de trabalho SOC quando estão sendo consultados. Para melhorar o desempenho e as otimizações de custos, considere ter os espaços de trabalho SOC e SAP no mesmo cluster dedicado.
A equipe SAP tem seu próprio espaço de trabalho Microsoft Sentinel que inclui todos os recursos, exceto deteções que incluem dados SOC e SAP.
Flexibilidade. A equipe SAP pode se concentrar no controle de ameaças internas em seu cenário, e o SOC pode se concentrar em ameaças externas.
Não há cobrança adicional para taxas de ingestão, porque os dados são ingeridos apenas uma vez no Microsoft Sentinel. No entanto, cada espaço de trabalho tem seu próprio nível de preço.
O SOC pode ver e investigar incidentes SAP. Se a equipe SAP enfrentar um evento que não pode explicar usando dados existentes, a equipe poderá atribuir o incidente ao SOC.
A tabela a seguir mapeia o acesso de dados e recursos para as equipes SAP e SOC nesse cenário:
| Function | Equipa SOC | Equipa SAP |
|---|---|---|
| Acesso ao espaço de trabalho SOC | ✅ | ❌ |
| Acesso a dados do espaço de trabalho SAP, regras de análise, funções, listas de observação e pastas de trabalho | ✅ | ✅1 |
| Acesso a incidentes SAP e colaboração | ✅ | ✅1 |
1 A equipe SOC pode ver essas funções em ambos os espaços de trabalho. A equipe SAP pode ver essas funções somente no espaço de trabalho SAP.
Cenário 2: Dados SAP mantidos apenas no espaço de trabalho SOC
Nesse cenário, você deseja manter todos os dados em um espaço de trabalho e aplicar controles de acesso. Você pode fazer isso usando o Log Analytics no Azure Monitor para gerenciar o acesso aos dados por recurso. Você também pode associar recursos SAP a uma ID de recurso do Azure especificando o campo obrigatório azure_resource_id na seção de configuração do conector no coletor de dados que você usa para ingerir dados do sistema SAP no Microsoft Sentinel.
Depois que o agente do coletor de dados é configurado com o ID de recurso correto, a equipe SAP pode acessar os dados SAP específicos no espaço de trabalho SOC usando uma consulta com escopo de recurso. A equipe SAP não pode ler nenhum dos outros tipos de dados que não sejam SAP.
Não há custos associados a essa abordagem porque os dados são ingeridos apenas uma vez no Microsoft Sentinel. Quando você usa esse modo de acesso, a equipe SAP vê apenas dados brutos e não formatados. A equipe SAP não pode usar nenhum recurso do Microsoft Sentinel. Além de acessar os dados brutos por meio do Log Analytics, a equipe SAP pode acessar os mesmos dados via Power BI.
Próximo passo
Neste artigo, você aprendeu sobre como trabalhar com a solução Microsoft Sentinel para aplicativos SAP em vários espaços de trabalho para diferentes cenários de implantação. Em seguida, saiba como implantar a solução: