Проверка соответствия требованиям для элементов управления безопасностью SAP с помощью книги SAP — контроль безопасности
В этой статье описывается, как с помощью книги sap - Security Audit Controls отслеживать соответствие платформы управления безопасностью в системах SAP и отслеживать их соблюдение, включая следующие функции:
- Ознакомьтесь с рекомендациями по включению правил аналитики и их включении на месте с правильной предварительной конфигурацией.
- Свяжите правила аналитики с платформой управления SOX или NIST или примените собственную настраиваемую платформу управления.
- Просмотрите инциденты и оповещения, обобщенные по элементу управления, в соответствии с выбранной платформой управления.
- Экспортируйте соответствующие инциденты для дальнейшего анализа в целях аудита и отчетности.
Например:
Содержимое этой статьи предназначено для вашей команды безопасности .
Необходимые компоненты
Прежде чем приступить к использованию журнала аудита безопасности и книги начального доступа , необходимо:
Решение Microsoft Sentinel для приложений SAP, установленное и развернутый агент соединителя данных. Дополнительные сведения см. в статье "Развертывание решения Microsoft Sentinel для приложений SAP".
Книга элементов управления аудитом SAP, установленная в рабочей области Log Analytics, включена для Microsoft Sentinel. Дополнительные сведения см. в статье и визуализации и мониторинге данных с помощью книг в Microsoft Sentinel.
По крайней мере один инцидент в рабочей области с хотя бы одной записью, доступной
SecurityIncidentв таблице. Это не обязательно должен быть инцидент SAP, и вы можете создать демонстрационный инцидент с помощью базового правила аналитики, если у вас нет другого.
Просмотр демонстрации
Просмотрите демонстрацию этой книги:
Дополнительные сведения см. в канале Microsoft Security Community YouTube:
Поддерживаемые фильтры
Книга элементов управления аудитом SAP поддерживает следующие фильтры, которые помогут вам сосредоточиться на необходимых данных:
| Параметр фильтра | Description |
|---|---|
| Подписка и рабочая область | Выберите рабочую область, соответствие которой системам SAP требуется проверить. Это может быть другая рабочая область, отличная от среды развертывания Microsoft Sentinel. |
| Время создания инцидента | Выберите диапазон от последних четырех часов до последних 30 дней или настраиваемый диапазон, который вы определяете. |
| Другие атрибуты инцидента, включая состояние, серьезность, тактику, владельца | Для каждого из них выберите из доступных вариантов, которые соответствуют значениям, представленным в инцидентах в выбранном диапазоне времени. |
| Системные роли | Роли системы SAP, такие как рабочая среда. |
| Использование системы | Использование системы SAP, например SAP ERP. |
| Системы | Выберите все идентификаторы системы SAP, определенный идентификатор системы или несколько идентификаторов системы. |
| Платформа управления, семейства элементов управления, идентификаторы элементов управления | Выберите платформу управления, с помощью которой вы хотите оценить охват, и определенные элементы управления, с помощью которых требуется отфильтровать данные книги. |
Рекомендации по хранению данных
Панели мониторинга управления аудитом SAP предоставляют агрегированное представление инцидентов и оповещений на основе таблиц SecurityAlert и SecurityIncident , которые по умолчанию сохраняют 30 дней данных.
Рассмотрите возможность расширения срока хранения этих таблиц в соответствии с требованиями к соответствию вашей организации. Независимо от выбранного варианта политики хранения этих таблиц данные инцидента никогда не удаляются, хотя это может не отображаться здесь. Данные оповещений хранятся в соответствии с политикой хранения таблицы.
Фактическая политика хранения таблиц SecurityAlert и SecurityIncident может быть определена как то, что отличается от 30 дней по умолчанию. См. уведомление о затеняемом фоне в книге, показывающее фактический диапазон времени данных в таблицах в соответствии с текущей политикой хранения.
Дополнительные сведения см. в разделе "Настройка политики хранения данных" для таблицы в рабочей области Log Analytics.
Настройка вкладки. Создание правил аналитики из шаблонов, которые еще не используется
Шаблоны, готовые к использованию таблицы на вкладке "Настройка", отображают шаблоны правил аналитики из решения Microsoft Sentinel для приложений SAP, которые еще не были реализованы как активные правила. Для обеспечения соответствия требованиям может потребоваться создать эти правила. Например:
По умолчанию эта таблица фильтруется для SAP, при этом SAP выбран в шаблонах решений для настройки раскрывающегося списка. Выберите любое или все другие решения из этого раскрывающегося списка, чтобы заполнить шаблоны, готовые к использованию таблицы.
Для каждой строки таблицы выберите "Вид " для получения дополнительных сведений о конфигурации правила только для чтения.
В столбце рекомендуемой конфигурации показано назначение правила: предназначено ли создание инцидентов для расследования? Или только для создания оповещений, которые будут храниться в стороне и добавляться в другие инциденты, которые будут использоваться в качестве доказательств в их расследованиях?
Выберите "Активировать правило" на боковой панели, чтобы создать правило аналитики из шаблона с рекомендуемой конфигурацией, уже встроенной. Эта функция позволяет вам погадать правильной конфигурации и определить ее вручную.
Настройка вкладки. Просмотр или изменение назначений управления безопасностью правил аналитики
В разделе "Выбор правила для настройки таблицы" на вкладке "Настройка " отображается список активированных правил аналитики, относящихся к SAP. Например:
В таблице проверьте следующее:
Строки счетчика и графа, созданные каждым правилом в столбцах "Инциденты и оповещения ". Идентичные счетчики показывают, что группирование оповещений отключено.
Значения столбцов "Инциденты " и "Исходный ", чтобы понять, задано ли правило для создания инцидентов .
Указывает, является ли рекомендуемая конфигурация правила только оповещением "Как". В этом случае рекомендуется отключить параметр создания инцидента в правиле.
Выберите правило для просмотра области сведений с дополнительными сведениями. Например:
Верхняя часть этой боковой панели содержит рекомендации по включению или отключению создания инцидентов в конфигурации правила аналитики.
В следующем разделе боковой панели показано, какие элементы управления безопасностью и семейства элементов управления идентифицируются с правилом для каждой из доступных платформ.
- Для платформ SOX и NIST настройте назначение элемента управления, выбрав другое семейство элементов управления или семейства элементов управления из соответствующих раскрывающихся списков.
- Для пользовательских платформ введите элементы управления и семейства элементов управления для выбора в текстовых полях MyOrg . При внесении изменений нажмите кнопку "Сохранить изменения".
Если определенное правило аналитики не было назначено семейству элементов управления безопасности или управления для данной платформы, вам будет предложено вручную задать элементы управления. После выбора элементов управления нажмите кнопку "Сохранить изменения".
Чтобы просмотреть остальные сведения о выбранном правиле, как определено в данный момент, выберите обзор правила.
Вкладка отслеживания
Вкладка "Монитор" содержит несколько графических представлений различных групп инцидентов в вашей среде, которые соответствуют фильтрам в верхней части книги:
График линии тренда, отмеченный тенденцией инцидентов, показывает количество инцидентов с течением времени. Эти инциденты группируются и представлены различными цветными линиями и затенениями по умолчанию в соответствии с семейством элементов управления, представленным правилом, создающим их. Выберите альтернативные группировки для этих инцидентов в раскрывающемся списке "Подробности". Например:
На графе «Инциденты » показаны числа инцидентов, сгруппированных двумя способами. По умолчанию для платформы SOX сначала используется семейство SOX Control, которое является массивом ячеек, а затем по идентификатору системы, который является каждой ячейкой в мёде. Выберите разные критерии для отображения группирования, используя детализацию и затем по селекторам.
Увеличьте масштаб диаграммы hive, чтобы сделать текст достаточно большим, чтобы четко прочитать и увеличить масштаб, чтобы увидеть все группировки вместе. Перетащите весь граф, чтобы увидеть различные части. Например:
Вкладка "Отчет"
Вкладка "Отчет" содержит список всех инцидентов в вашей среде, которые соответствуют фильтрам в верхней части книги.
Инциденты группируются по семейству элементов управления и идентификатору контроля.
Ссылка в столбце URL-адреса инцидента открывает новое окно браузера, открытое на странице расследования инцидентов для этого инцидента. Эта ссылка является постоянной и будет работать независимо от политики хранения для таблицы SecurityIncident .
Прокрутите вниз до конца окна (внешняя полоса прокрутки), чтобы увидеть горизонтальную полосу прокрутки, которую можно использовать для просмотра остальных столбцов в отчете.
Экспортируйте этот отчет в электронную таблицу, выбрав многоточие (три точки) в правом верхнем углу отчета, а затем выберите "Экспорт в Excel".
Связанный контент
Дополнительные сведения см. в статье "Развертывание решения Microsoft Sentinel для приложений SAP из центра содержимого и решения Microsoft Sentinel для приложений SAP: справочник по содержимому безопасности".