Установка решения Microsoft Sentinel для приложений SAP
Решение Microsoft Sentinel для приложений SAP включает соединитель данных SAP, который собирает журналы из систем SAP и отправляет их в рабочую область Log Analytics, включенную для Microsoft Sentinel, и встроенное содержимое безопасности, которое помогает получить представление о среде SAP вашей организации и обнаруживать и реагировать на угрозы безопасности. Установка решения является обязательным шагом, прежде чем настроить контейнер агента соединителя данных.
Содержимое этой статьи относится к вашей группе безопасности .
Необходимые компоненты
Чтобы развернуть решение Microsoft Sentinel для приложений SAP из концентратора содержимого, вам потребуется:
- Рабочая область Log Analytics, включенная для Microsoft Sentinel.
- Разрешения на чтение и запись в рабочую область. Дополнительные сведения см. в статье "Роли и разрешения" в Microsoft Sentinel.
Убедитесь, что вы также просмотрите предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP, особенно необходимых для Azure.
Установка решения из концентратора содержимого
Установка решения Microsoft Sentinel для приложений SAP делает Microsoft Sentinel для соединителя данных SAP доступным для вас в качестве соединителя данных Microsoft Sentinel. Решение также развертывает содержимое системы безопасности, например книгу SAP — системные приложения и продукты и правила аналитики, связанные с SAP.
В Центре содержимого Microsoft Sentinel найдите решение приложений SAP и установите его в рабочей области Log Analytics, включенной для Microsoft Sentinel.
На странице решения Microsoft Sentinel для приложений SAP выберите "Создать", чтобы определить параметры развертывания. Например:
На вкладке "Основные сведения" в разделе "Сведения о проекте" выберите группу "Подписка " и " Ресурсы" для установки решения.
В разделе "Сведения об экземпляре" выберите рабочую область Log Analytics, включенную для Microsoft Sentinel, где требуется установить решение.
Если вы работаете с решением Microsoft Sentinel для приложений SAP в нескольких рабочих областях, выберите некоторые данные в другой рабочей области, а затем определите целевую рабочую область, рабочую область SOC и рабочую область SAP. Например:
Например:
Нажмите кнопку "Проверить и создать " или "Далее ", чтобы просмотреть компоненты решения. Закончив подготовку, нажмите Создать.
Процесс развертывания может занять несколько минут. После завершения развертывания можно просмотреть развернутый контент в Microsoft Sentinel.
Совет
Если вы хотите, чтобы данные SAP и SOC сохранялись в одной рабочей области без дополнительных элементов управления доступом, не выбирайте некоторые данные в другой рабочей области. В таких случаях дополнительные сведения см. в разделе SAP и SOC, которые хранятся в той же рабочей области.
Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
Просмотр развернутого содержимого
По завершении развертывания отобразите новое содержимое, снова перейдя в решение Microsoft Sentinel для приложений SAP из центра контента. Еще один вариант:
Для встроенных книг SAP в Microsoft Sentinel перейдите к шаблонам книг управления>угрозами.>
Для ряда правил аналитики, связанных с SAP, перейдите к шаблонам правил Configuration>Analytics.
Соединитель данных не отображается как подключенный, пока не настроите контейнер агента соединителя данных для завершения подключения.
Следующий шаг
Связанный контент
Дополнительные сведения см . в решении Microsoft Sentinel для приложений SAP: справочник по содержимому безопасности.