Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как с помощью книги SAP - Security Audit Controls можно мониторить и отслеживать соответствие структуре контроля безопасности в ваших системах SAP, включая следующие функции:
- Ознакомьтесь с рекомендациями по включению правил аналитики и их включении с правильной предварительной конфигурацией.
- Свяжите правила аналитики с платформой управления SOX или NIST или примените собственную настраиваемую платформу управления.
- Просмотрите инциденты и оповещения, обобщенные по элементу управления, в соответствии с выбранной платформой управления.
- Экспортируйте соответствующие инциденты для дальнейшего анализа в целях аудита и отчетности.
Например:
Содержимое этой статьи предназначено для вашей команды безопасности .
Необходимые компоненты
Прежде чем начать использовать рабочую тетрадь SAP - журнал аудита безопасности и начальный доступ, необходимо:
Решение Microsoft Sentinel для SAP установлено и настроен соединитель данных. Дополнительные сведения см. в статье "Развертывание решения Microsoft Sentinel для приложений SAP".
В рабочей области Log Analytics установлена рабочая книга элементов управления аудитом SAP, включенная для Microsoft Sentinel. Дополнительные сведения см. в статье «Визуализация и мониторинг данных с помощью рабочих книг в Microsoft Sentinel».
По крайней мере один инцидент в рабочей области с хотя бы одной записью, доступной
SecurityIncidentв таблице. Это не обязательно должен быть инцидент SAP, и вы можете создать демонстрационный инцидент с помощью базового правила аналитики, если у вас нет другого.
Рекомендуется настроить аудит для всех сообщений из журнала аудита, а не только для определенных журналов. Разница в стоимости приема данных обычно минимальна, а эти данные полезны для обнаружений Microsoft Sentinel, а также при расследовании компрометаций и охоте. Дополнительные сведения см. в разделе "Настройка аудита SAP".
Просмотр демонстрации
Просмотрите демонстрацию этой книги:
Дополнительные сведения см. в канале Microsoft Security Community YouTube:
Поддерживаемые фильтры
Рабочая книга контролей аудита SAP поддерживает следующие фильтры, которые помогут вам сосредоточиться на необходимых данных:
| Параметр фильтра | Описание |
|---|---|
| Подписка и рабочая область | Выберите рабочую область, соответствие которой системам SAP требуется проверить. Это может быть другая рабочая область, отличная от среды развертывания Microsoft Sentinel. |
| Время создания инцидента | Выберите диапазон от последних четырех часов до последних 30 дней или настраиваемый диапазон, который вы определяете. |
| Другие атрибуты инцидента, включая состояние, серьезность, тактику, владельца | Для каждого из них выберите из доступных вариантов, которые соответствуют значениям, представленным в инцидентах в выбранном диапазоне времени. |
| Системные роли | Роли системы SAP, такие как Производство. |
| Использование системы | Использование системы SAP, например SAP ERP. |
| Системы | Выберите все идентификаторы системы SAP, определенный идентификатор системы или несколько идентификаторов системы. |
| Платформа управления, семейства элементов управления, идентификаторы элементов управления | Выберите платформу управления, с помощью которой вы хотите оценить охват, и определенные элементы управления, с помощью которых требуется отфильтровать данные книги. |
Рекомендации по хранению данных
Панели мониторинга управления аудитом SAP предоставляют агрегированное представление инцидентов и оповещений на основе таблиц SecurityAlert и SecurityIncident , которые по умолчанию сохраняют 30 дней данных.
Рассмотрите возможность расширения срока хранения этих таблиц в соответствии с требованиями к соответствию вашей организации. Независимо от выбранного варианта политики хранения этих таблиц данные инцидента никогда не удаляются, хотя это может не отображаться здесь. Данные оповещений хранятся в соответствии с политикой хранения таблицы.
Фактическая политика хранения таблиц SecurityAlert и SecurityIncident может быть определена как то, что отличается от 30 дней по умолчанию. См. уведомление о затеняемом фоне в книге, показывающее фактический диапазон времени данных в таблицах в соответствии с текущей политикой хранения.
Дополнительные сведения см. в разделе "Настройка политики хранения данных" для таблицы в рабочей области Log Analytics.
Настройка вкладки. Создание правил аналитики из шаблонов, которые еще не используется
Шаблоны, готовые к использованию таблицы на вкладке "Настройка", отображают шаблоны правил аналитики из решения Microsoft Sentinel для приложений SAP, которые еще не были реализованы как активные правила. Для обеспечения соответствия требованиям может потребоваться создать эти правила. Например:
По умолчанию эта таблица фильтруется для SAP, при этом SAP выбран в шаблонах решений для настройки раскрывающегося списка. Выберите любое из других решений из этого раскрывающегося списка, чтобы таблица шаблоны, готовые к использованию была дополнена.
Для каждой строки таблицы выберите «Просмотр» для получения дополнительных сведений о конфигурации правила в режиме только для чтения.
В столбце рекомендуемой конфигурации показано назначение правила: предназначено ли создание инцидентов для расследования? Или только для создания оповещений, которые будут храниться в стороне и добавляться в другие инциденты, которые будут использоваться в качестве доказательств в их расследованиях?
Выберите "Активировать правило " на боковой панели, чтобы создать правило аналитики из шаблона с рекомендуемой конфигурацией, уже встроенной. Эта функция избавляет вас от необходимости угадывать правильную конфигурацию и определять ее вручную.
Настройка вкладки. Просмотр или изменение назначений управления безопасностью правил аналитики
В разделе "Выбор правила для настройки таблицы" на вкладке "Настройка " отображается список активированных правил аналитики, относящихся к SAP. Например:
В таблице проверьте следующее:
Строки количества и линии графика, созданные каждым правилом в столбцах «Инциденты» и «Оповещения». Идентичные счетчики показывают, что группирование оповещений отключено.
Значения столбцов "Инциденты" и "Источник" , чтобы понять, задано ли правило на создание инцидентов.
Указывает, является ли рекомендуемая конфигурация правила только оповещением. В этом случае рекомендуется отключить параметр создания инцидента в правиле.
Выберите правило для просмотра области сведений с дополнительными сведениями. Например:
Верхняя часть этой боковой панели содержит рекомендации по включению или отключению создания инцидентов в конфигурации правила аналитики.
В следующем разделе боковой панели показано, какие элементы управления безопасностью и семейства элементов управления идентифицируются с правилом для каждой из доступных платформ.
- Для платформ SOX и NIST настройте назначение элемента управления, выбрав другое семейство элементов управления или семейства элементов управления из соответствующих раскрывающихся списков.
- Для пользовательских фреймворков введите элементы управления и семейства элементов управления по вашему выбору в текстовые поля MyOrg. При внесении изменений нажмите кнопку "Сохранить изменения".
Если определенное правило аналитики не было назначено семейству элементов управления безопасности или управления для данной платформы, вам будет предложено вручную задать элементы управления. После выбора элементов управления нажмите кнопку "Сохранить изменения".
Чтобы просмотреть остальные сведения о выбранном правиле, как определено в данный момент, выберите обзор правила.
Вкладка отслеживания
Вкладка "Монитор" содержит несколько графических представлений различных групп инцидентов в вашей среде, которые соответствуют фильтрам в верхней части книги:
График линии тренда, отмеченный тенденцией инцидентов, показывает количество инцидентов с течением времени. Эти инциденты группируются и представлены различными цветными линиями и затенениями по умолчанию в соответствии с семейством элементов управления, представленным правилом, создающим их. Выберите альтернативные группировки для этих инцидентов в выпадающем меню «Подробности инцидентов». Например:
На графике «Рой инцидентов» показаны числа инцидентов, сгруппированных двумя способами. По умолчанию для платформы SOX сначала используется семейство SOX Control, представляющее собой сотовый массив ячеек, а затем по идентификатору системы, который соответствует каждой ячейке в сотах. Выберите различные критерии для отображения группировок, используя селекторы Сначала по и Затем по.
Увеличьте масштаб диаграммы hive, чтобы сделать текст достаточно большим, чтобы четко прочитать и увеличить масштаб, чтобы увидеть все группировки вместе. Перетащите весь граф, чтобы увидеть различные части. Например:
Вкладка "Отчет"
Вкладка "Отчет" содержит список всех инцидентов в вашей среде, которые соответствуют фильтрам в верхней части книги.
Инциденты группируются по семейству элементов управления и идентификатору контроля.
Ссылка в столбце URL-адреса инцидента открывает новое окно браузера, открытое на странице расследования инцидентов для этого инцидента. Эта ссылка является постоянной и будет работать независимо от политики хранения для таблицы SecurityIncident .
Прокрутите вниз до конца окна (внешняя полоса прокрутки), чтобы увидеть горизонтальную полосу прокрутки, которую можно использовать для просмотра остальных столбцов в отчете.
Экспортируйте этот отчет в электронную таблицу, выбрав многоточие (три точки) в правом верхнем углу отчета, а затем выберите "Экспорт в Excel".
Связанный контент
Дополнительные сведения см. в статье "Развертывание решения Microsoft Sentinel для приложений SAP из центра содержимого и решения Microsoft Sentinel для приложений SAP: справочник по содержимому безопасности".