Обнаружение угроз SecurityBridge для соединителя SAP для Microsoft Sentinel

  • Статья

SecurityBridge является первой и единственной комплексной платформой безопасности, встроенной в собственном коде, для защиты всех аспектов, необходимых для защиты организаций, работающих с SAP от внутренних и внешних угроз от основных бизнес-приложений. Платформа SecurityBridge — это надстройка с сертификацией SAP, используемая организациями по всему миру, и решает потребности клиентов в расширенной кибербезопасности, мониторинге в режиме реального времени, соответствии, безопасности кода и исправлении для защиты от внутренних и внешних угроз. Это решение Microsoft Sentinel позволяет интегрировать события обнаружения угроз SecurityBridge из всех локальных и облачных экземпляров SAP в мониторинг безопасности. Используйте это решение Microsoft Sentinel для получения нормализованных и говорящих событий безопасности, предварительно созданных панелей мониторинга и стандартных шаблонов для мониторинга безопасности SAP.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics SecurityBridgeLogs_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Кристоф Наги

Примеры запросов

Первые 10 имен событий

SecurityBridgeLogs_CL 

| extend Name = tostring(split(RawData, '
|')[5]) 

| summarize count() by Name 
| top 10 by count_

Инструкции по установке поставщика

Примечание.

Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните следующие действия , чтобы создать псевдоним Функций Kusto, SecurityBridgeLogs

Примечание.

Этот соединитель данных разработан с помощью SecurityBridge Application Platform 7.4.0.

  1. Установка и подключение агента для Linux или Windows

Для этого решения требуется сбор журналов с помощью установки агента Microsoft Sentinel

Агент Sentinel поддерживается в следующих операционных системах:

  1. Серверы Windows

  2. SUSE Linux Enterprise Server

  3. Redhat Linux Enterprise Server

  4. Oracle Linux Enterprise Server

  5. Если у вас есть решение SAP, установленное в HPUX или AIX, необходимо развернуть сборщик журналов в одном из перечисленных выше вариантов Linux и перенаправить журналы в этот сборщик.

  6. Настройка журналов для сбора

Настройка настраиваемого каталога журнала для сбора

  1. Выберите указанную выше ссылку, чтобы открыть расширенные параметры рабочей области
  2. Нажмите кнопку + Добавить настраиваемую
  3. Нажмите кнопку " Обзор" , чтобы отправить пример файла журнала SAP SecurityBridge (например, AED_20211129164544.cef). Затем нажмите кнопку "Далее" >
  4. Выберите новую строку в качестве разделителя записей и нажмите кнопку "Далее" >
  5. Выберите Windows или Linux и введите путь к журналам SecurityBridge в зависимости от конфигурации. Пример:
  • '/usr/sap/tmp/sb_events/*.cef'

ПРИМЕЧАНИЕ. В конфигурацию можно добавить столько путей, сколько требуется.

  1. После ввода пути нажмите символ "+", который нужно применить, а затем нажмите кнопку "Далее". >

  2. Добавление SecurityBridgeLogs в качестве настраиваемого имени журнала и нажатие кнопки "Готово"

  3. Проверка журналов в Microsoft Sentinel

Откройте Log Analytics, чтобы проверка, если журналы получены с помощью таблицы пользовательских журналов SecurityBridgeLogs_CL.

ПРИМЕЧАНИЕ. До появления новых журналов в таблице SecurityBridgeLogs_CL может потребоваться до 30 минут.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.