Автоматическое нарушение атак для SAP (предварительная версия)

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

XDR в Microsoft Defender сопоставляет миллионы отдельных сигналов для выявления активных кампаний шантажистов или других сложных атак в среде с высокой уверенностью. В то время как атака выполняется, защитник XDR нарушает атаку, автоматически содержая скомпрометированные ресурсы, которые злоумышленник использует через автоматическое нарушение атаки. Автоматическое нарушение атаки ограничивает боковое движение рано и снижает общее влияние атаки, от связанных затрат до потери производительности. В то же время она оставляет команды по операциям безопасности в полном контроле за изучением, исправлением и возвращением ресурсов в интернет.

При добавлении новой системы SAP в Microsoft Sentinel конфигурация по умолчанию включает функции нарушения атаки на платформе унифицированных операций безопасности. В этой статье описывается, как убедиться, что система SAP готова к автоматическому нарушению атак для SAP на портале Microsoft Defender.

Для демонстрации нарушения атаки для SAP просмотрите следующее видео:

Содержимое этой статьи предназначено для групп безопасности, инфраструктуры и SAP BASIS .

Нарушение атак для SAP и единой платформы операций безопасности

Нарушение атаки для SAP настроено путем обновления версии агента соединителя данных и обеспечения применения соответствующих ролей в Azure и вашей системе SAP. Однако автоматическое нарушение атаки оказывается только на единой платформе операций безопасности на портале Microsoft Defender.

Дополнительные сведения см. в разделе "Автоматическое нарушение атак" в XDR в Microsoft Defender.

Минимальная версия агента и необходимые роли

Для SAP требуется автоматическое нарушение атак:

• Версия агента соединителя данных 90847355 или более поздней.
• Удостоверение виртуальной машины агента соединителя данных должно быть назначено оператору агента бизнес-приложений Microsoft Sentinel и ролям Azure читателя.
• Роль SAP /MSFTSEN/SENTINEL_RESPONDER должна быть применена к системе SAP и назначена учетной записи пользователя SAP, используемой агентом соединителя данных SAP в Microsoft Sentinel.

Чтобы использовать нарушение атаки для SAP, разверните новый агент или обновите текущий агент до последней версии. При необходимости назначьте оператор агента бизнес-приложений Microsoft Sentinel и роли читателя Azure и роль /MSFTSEN/SENTINEL_RESPONDER SAP.

Дополнительные сведения см. в разделе:

• Развертывание и настройка контейнера для размещения агента соединителя данных SAP
• Обновление агента соединителя данных SAP в Microsoft Sentinel, особенно обновление системы для нарушения атак

Связанный контент

Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender (предварительная версия).