Работа с решением Microsoft Sentinel для приложений SAP в нескольких рабочих областях
При настройке рабочей области Microsoft Sentinel необходимо учитывать несколько вариантов архитектуры и факторов. Учитывая географию, регулирование, управление доступом и другие факторы, вы можете выбрать несколько рабочих областей Microsoft Sentinel в организации.
В этой статье описывается, как работать с решением Microsoft Sentinel для приложений SAP в нескольких рабочих областях для различных сценариев развертывания.
Решение Microsoft Sentinel для приложений SAP изначально поддерживает архитектуру между рабочими областями для поддержки улучшенной гибкости:
- Поставщики управляемых служб безопасности (MSSPs) или глобальный или федеративный центр управления безопасностью (SOC).
- Требования к месту расположения данных.
- Иерархия организации и ИТ-проектирование.
- Недостаточно управления доступом на основе ролей (RBAC) в одной рабочей области.
Внимание
Работа с несколькими рабочими областями в настоящее время находится в предварительной версии. Эта функция предоставляется без соглашения об уровне обслуживания. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.
При развертывании содержимого безопасности SAP можно определить несколько рабочих областей.
Совместная работа между командами SOC и SAP в организации
Распространенный вариант использования заключается в том, что для совместной работы между командами SOC и SAP в организации требуется настройка нескольких рабочих областей.
Команда SAP вашей организации имеет технические знания, критически важные для успешной и эффективной реализации решения Microsoft Sentinel для приложений SAP. Поэтому важно, чтобы команда SAP видела соответствующие данные и сотрудничала с SOC о необходимых процедурах настройки и реагирования на инциденты.
Существует два возможных сценария для совместной работы soC и группы SAP в зависимости от потребностей вашей организации:
Сценарий 1. Данные SAP и данные SOC хранятся в отдельных рабочих областях. Обе команды могут просматривать данные SAP с помощью запросов между рабочими областями.
Сценарий 2. Данные SAP хранятся только в рабочей области SOC. Команда SAP может запрашивать данные с помощью запросов контекста ресурсов.
Сценарий 1. Данные SAP и данные SOC, поддерживаемые в отдельных рабочих областях
В этом сценарии команда SAP и команда SOC имеют отдельные рабочие области Microsoft Sentinel, в которых хранятся данные команды.
При развертывании решения Microsoft Sentinel для приложений SAP каждая команда указывает свою рабочую область SAP.
Распространенная практика заключается в предоставлении некоторым или всем участникам команды SOC роль читателя Sentinel для рабочей области SAP.
Создание отдельных рабочих областей для данных SAP и SOC имеет следующие преимущества:
Microsoft Sentinel может активировать оповещения, которые включают как данные SOC, так и SAP, и они могут запускать эти оповещения в рабочей области SOC.
Примечание.
Для более крупных ландшафтов SAP выполнение запросов, сделанных SOC на данные из рабочей области SAP, может повлиять на производительность. Данные SAP должны перемещаться в рабочую область SOC при запросе. Для повышения производительности и оптимизации затрат рекомендуется использовать рабочие области SOC и SAP в одном выделенном кластере.
Команда SAP имеет собственную рабочую область Microsoft Sentinel, которая включает все функции, кроме обнаружения, которые включают как данные SOC, так и SAP.
Гибкость. Команда SAP может сосредоточиться на контроле внутренних угроз в его ландшафте, и SOC может сосредоточиться на внешних угрозах.
Плата за прием не взимается, так как данные передаются только один раз в Microsoft Sentinel. Однако каждая рабочая область имеет собственную ценовую категорию.
SOC может просматривать и исследовать инциденты SAP. Если команда SAP сталкивается с событием, которое не может объяснить с помощью существующих данных, команда может назначить инцидент SOC.
В следующей таблице приведены сведения о доступе к данным и функциям для команд SAP и SOC в этом сценарии:
| Function | Команда SOC | Команда SAP |
|---|---|---|
| Доступ к рабочей области SOC | ✅ | ❌ |
| Доступ к данным рабочей области SAP, правилам аналитики, функциям, спискам наблюдения и книгам | ✅ | ✅1 |
| Доступ к инцидентам SAP и совместная работа | ✅ | ✅1 |
1 Команда SOC может видеть эти функции в обеих рабочих областях. Команда SAP может видеть эти функции только в рабочей области SAP.
Сценарий 2. Данные SAP хранятся только в рабочей области SOC
В этом сценарии необходимо сохранить все данные в одной рабочей области и применить элементы управления доступом. Это можно сделать с помощью Log Analytics в Azure Monitor для управления доступом к данным по ресурсам. Вы также можете связать ресурсы SAP с идентификатором ресурса Azure, указав необходимое azure_resource_id поле в разделе конфигурации соединителя сборщика данных, используемого для приема данных из системы SAP в Microsoft Sentinel.
После настройки агента сборщика данных с правильным идентификатором ресурса команда SAP может получить доступ к определенным данным SAP в рабочей области SOC с помощью запроса с область ресурса. Команда SAP не может читать другие типы данных, отличные от SAP.
С этим подходом нет затрат, так как данные обрабатываются только один раз в Microsoft Sentinel. При использовании этого режима доступа команда SAP видит только необработанные и неформатированные данные. Команда SAP не может использовать какие-либо функции Microsoft Sentinel. Помимо доступа к необработанным данным через Log Analytics, команда SAP может получить доступ к тем же данным через Power BI.
Следующий шаг
В этой статье вы узнали о работе с решением Microsoft Sentinel для приложений SAP в нескольких рабочих областях для различных сценариев развертывания. Далее вы узнаете, как развернуть решение: