Integrera SAP på flera arbetsytor
När du konfigurerar log analytics-arbetsytan aktiverad för Microsoft Sentinel har du flera arkitekturalternativ och faktorer att tänka på. Med hänsyn till geografi, reglering, åtkomstkontroll och andra faktorer kan du välja att ha flera arbetsytor i din organisation.
När du arbetar med SAP kan dina SAP- och SOC-team behöva arbeta på separata arbetsytor för att upprätthålla säkerhetsgränser. Du kanske inte vill att SAP-teamet ska ha insyn i alla andra säkerhetsloggar i organisationen. SAP BASIS-teamet spelar dock en viktig roll när det gäller att implementera och underhålla Microsoft Sentinel-lösningen för SAP-program. Deras tekniska kunskaper är viktiga för att effektivt övervaka SAP-system, konfigurera säkerhetsinställningar och se till att lämpliga procedurer för incidenthantering finns på plats. Därför måste SAP BASIS-teamet ha åtkomst till Log Analytics-arbetsytan aktiverad för Microsoft Sentinel, så att de kan samarbeta med SOC-teamet samtidigt som de fokuserar specifikt på SAP-relaterad säkerhetsövervakning.
I den här artikeln beskrivs hur du arbetar med Microsoft Sentinel-lösningen för SAP-program på flera arbetsytor, med förbättrad flexibilitet för:
- Leverantörer av hanterade säkerhetstjänster (MSSP: er) eller ett globalt eller federerat säkerhetsåtgärdscenter (SOC).
- Krav på datahemvist.
- Organisationshierarki och IT-design.
- Otillräcklig rollbaserad åtkomstkontroll (RBAC) på en enda arbetsyta.
Viktigt!
Att arbeta med flera arbetsytor är för närvarande i förhandsversion. Den här funktionen tillhandahålls utan ett serviceavtal. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.
SAP- och SOC-data som underhålls på separata arbetsytor
Om dina SAP- och SOC-team har separata Log Analytics-arbetsytor aktiverade för Microsoft Sentinel där teamdata sparas rekommenderar vi att du tillhandahåller några eller alla SOC-teammedlemmar rollen Sentinel-läsare för SAP BASIS-teamets arbetsyta. Detta gör att båda teamen kan se SAP-data med hjälp av frågor mellan arbetsytor.
Att underhålla separata arbetsytor för SAP- och SOC-data har följande fördelar:
| Förmån | beskrivning |
|---|---|
| Aviseringar | Microsoft Sentinel kan utlösa aviseringar som innehåller både SOC- och SAP-data och kan köra aviseringarna på SOC-arbetsytan. |
| Dataisolering | SAP BASIS-teamet har en egen arbetsyta som innehåller alla funktioner förutom identifieringar som innehåller både SOC- och SAP-data. SOC kan se och undersöka SAP-incidenter. Om SAP BASIS-teamet står inför en händelse som den inte kan förklara med hjälp av befintliga data kan teamet tilldela incidenten till SOC. |
| Flexibilitet | SAP BASIS-teamet kan fokusera på kontrollen av interna hot i sitt landskap och SOC kan fokusera på externa hot. |
| Prissättning | Det kostar inget extra för inmatningsavgifter eftersom data endast matas in en gång i Microsoft Sentinel. Varje arbetsyta har dock en egen prisnivå. |
Följande tabell mappar data och funktionsåtkomst för SAP- och SOC-team när de har sin egen arbetsyta:
| Funktion | SOC-teamet | SAP BASIS-teamet |
|---|---|---|
| ÅTKOMST till SOC-arbetsyta | ✅ | ❌ |
| SAP-arbetsytedata, analysregler, funktioner, visningslistor och arbetsböcker | ✅ | ✅* |
| ÅTKOMST och samarbete för SAP-incidenter | ✅ | ✅* |
* SOC-teamet kan se dessa funktioner på båda arbetsytorna. SAP BASIS-teamet kan endast se dessa funktioner på SAP-arbetsytan.
Kommentar
Att köra frågor mellan arbetsytor i större SAP-landskap kan påverka prestandan. För förbättrade prestanda- och kostnadsoptimeringar bör du överväga att ha både SOC- och SAP-arbetsytorna i samma dedikerade kluster. Mer information finns i Skapa och hantera ett dedikerat kluster i Azure Monitor-loggar.
SAP- och SOC-data som underhålls på samma arbetsyta
Du kanske vill behålla alla data på en enda arbetsyta och tillämpa åtkomstkontroller för att avgöra vem i ditt team som kan komma åt data.
Gör så här:
Använd Log Analytics i Azure Monitor för att hantera åtkomst till data efter resurs. Mer information finns i Hantera åtkomst till Microsoft Sentinel-data efter resurs.
Associera SAP-resurser med ett Azure-resurs-ID. Det här alternativet stöds endast för en dataanslutningsagent som distribueras via CLI. Ange det obligatoriska
azure_resource_idfältet i avsnittet anslutningskonfiguration på datainsamlaren som du använder för att mata in data från SAP-systemet till Microsoft Sentinel. Mer information finns i Distribuera en SAP-dataanslutningsagent från kommandoraden och anslutningskonfigurationen.
När datainsamlaragenten har konfigurerats med rätt resurs-ID kan SAP BASIS-teamet komma åt specifika SAP-data på SOC-arbetsytan med hjälp av en resursomfattningsfråga. SAP BASIS-teamet kan inte läsa någon av de andra, icke-SAP-datatyperna.
Det finns inga kostnader som är associerade med den här metoden eftersom data endast matas in en gång i Microsoft Sentinel.
När du hanterar åtkomst efter resurs ser SAP BASIS-teamet endast rådata och oformaterade data som är tillgängliga via Log Analytics eller Power BI. SAP BASIS-teamet kan inte använda några Microsoft Sentinel-funktioner.
Relaterat innehåll
Mer information finns i Distribuera Microsoft Sentinel-lösning för SAP-program.