SAP® uygulamaları için Microsoft Sentinel çözümü - SAP Denetim Denetimleri çalışma kitabı (Önizleme)
Bu makalede, SAP uygulamaları için Microsoft Sentinel çözümünün bir parçası olarak size sağlanan SAP® Denetim Denetimleri çalışma kitabı açıklanmaktadır.
Önemli
Microsoft Sentinel SAP Denetim Denetimleri çalışma kitabı şu anda ÖNIZLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Bu çalışma kitabı SOX, NIST veya tercih ettiğiniz özel bir çerçeve olsun, seçtiğiniz denetim çerçevesiyle uyumluluk için SAP® ortamınızın güvenlik denetimlerini denetlemenize yardımcı olur.
Çalışma kitabı, ortamınızdaki analiz kurallarını belirli güvenlik denetimlerine atamanız ve aileleri denetlemeniz, SAP çözüm tabanlı analiz kuralları tarafından oluşturulan olayları izleyip kategorilere ayırmanız ve uyumluluğunuzu raporlamanız için araçlar sağlar.
Çalışma kitabı, uyumluluk programınız için aşağıdaki özellikleri sağlar:
- Hangi analiz kurallarının etkinleştirileceğine ilişkin önerilere bakın ve uygun önceden ayarlanmış yapılandırmayla bunları yerinde etkinleştirin.
- Analiz kurallarınızı SOX veya NIST denetim çerçevesiyle ilişkilendirin veya kendi özel denetim çerçevenizi uygulayın.
- Seçilen denetim çerçevesine göre denetim tarafından özetlenen olayları ve uyarıları gözden geçirin.
- Denetim ve raporlama amacıyla daha fazla analiz için ilgili olayları dışarı aktarın.
Çalışma kitabını kullanmaya başlama
Microsoft Sentinel portalından Tehdit yönetimi menüsünden Çalışma Kitapları'nı seçin.
Çalışma Kitapları galerisinde Şablonlar'a gidin ve arama çubuğuna SAP yazın ve sonuçlar arasından SAP Denetim Denetimleri'ni seçin.
Çalışma kitabını olduğu gibi kullanmak için Şablonu görüntüle'yi veya çalışma kitabının düzenlenebilir bir kopyasını oluşturmak için Kaydet'i seçin. Kopya oluşturulduğunda Kaydedilen çalışma kitabını görüntüle'yi seçin.
Verileri gereksinimlerinize göre filtrelemek için aşağıdaki alanları seçin:
- Abonelik ve Çalışma Alanı. SAP sistemlerinin uyumluluğunu denetlemek istediğiniz çalışma alanını seçin. Bu, Microsoft Sentinel'in dağıtıldığı yerden farklı bir çalışma alanı olabilir.
- Olay oluşturma zamanı. Son dört saat ile son 30 gün arasında bir aralık veya belirlediğiniz özel bir aralık seçin.
- Diğer olay öznitelikleri: Durum, Önem Derecesi, Taktikler, Sahip. Bunların her biri için, seçilen zaman aralığındaki olaylarda temsil edilen değerlere karşılık gelen kullanılabilir seçenekler arasından seçim yapın.
- Sistem rolleri. SAP sistem rolleri, örneğin: Üretim.
- Sistem kullanımı. Örneğin: SAP ERP.
- Sistemler. Tüm SAP sistem kimliklerini, belirli bir sistem kimliğini veya birden çok sistem kimliğini seçebilirsiniz.
- Denetim çerçevesi, Denetim aileleri, Denetim kimlikleri. Kapsamınızı değerlendirmek istediğiniz denetim çerçevesine ve çalışma kitabı verilerini filtrelemek istediğiniz belirli denetimlere göre bunları seçin.
Bu çalışma kitabındaki panolar, varsayılan olarak 30 günlük verileri saklayan SecurityAlert ve SecurityIncident tablolarını temel alan olayların ve uyarıların toplu bir görünümünü sağlar. Bu tabloların saklama süresini kuruluşunuzun uyumluluk gereksinimlerine uyacak şekilde uzatmayı göz önünde bulundurun. Bu tabloların bekletme ilkesi için yaptığınız seçimden bağımsız olarak olay verilerinin kendisi hiçbir zaman silinmez, ancak burada gösterilmeyebilir. Uyarı verileri tablonun bekletme ilkesine göre tutulur.
Bu iki tablonun gerçek bekletme ilkesi, varsayılan 30 günden farklı bir değer olarak tanımlanabilir. Çalışma kitabındaki mavi gölgeli arka plandaki (yukarıdaki ekran görüntüsünde gösterilmiştir) tablolardaki verilerin geçerli bekletme ilkesine göre gerçek zaman aralığını gösteren bildirime bakın.
Daha fazla bilgi için bkz . Log Analytics çalışma alanında bir tablo için veri saklama ilkesi yapılandırma.
Çalışma kitabına genel bakış
Çalışma kitabı üç sekmeye ayrılmıştır:
- Yapılandır
- İzleme
- Raporu
Yapılandır sekmesi
Henüz kullanılmayan şablonlardan analiz kuralları oluşturma
Kullanılmaya hazır şablonlar tablosu, SAP® uygulamaları için Microsoft Sentinel çözümünden henüz etkin kurallar olarak uygulanmamış analiz kuralı şablonlarını gösterir. Uyumluluk sağlamak için bu kuralları oluşturmanız gerekebilir.
Denetimi yapılandırmak için çözüm şablonları, analiz kurallarını burada seçtiğiniz denetim çerçevesiyle uyumluluk açısından değerlendirebileceğiniz yüklü çözümleri gösterir. Varsayılan olarak, yalnızca SAP çözümü seçilir, ancak bu açılan listeden herhangi birini veya tümünü seçebilirsiniz.
Açılan Ayrıntılar bölmesinde şablonun tüm yapılandırmasını görmek için tablodaki belirli bir kural şablonunun satırının Özellikler sütunundaki Görünüm bağlantısını seçin. (Bu görünüm salt okunurdur.)
Önerilen yapılandırma sütunu kuralın amacını gösterir: Araştırma amacıyla olaylar oluşturmak için mi? Ya da yalnızca bir kenara tutulacak ve araştırmalarında kanıt olarak kullanılacak diğer olaylara eklenecek uyarılar oluşturmak için mi?
Önerilen yapılandırma önceden yerleşik olarak şablondan bir analiz kuralı oluşturmak için Kuralı etkinleştir 'i (açıklama bölmesinde) seçin. Bu işlevsellik, doğru yapılandırmada tahminde bulunma ve el ile tanımlama zahmetini size kazandırır.
Analiz kurallarınızın güvenlik denetimi atamalarını görüntüleme veya değiştirme
Yapılandırmak için kural seçin tablosunda SAP ile ilgili etkinleştirilmiş analiz kurallarının listesini görürsünüz.
Her kural tarafından oluşturulan Olaylar ve Uyarılar'ın sayıları ve grafik çizgileri görüntülenir. (Aynı sayımlar uyarı gruplandırma işleminin devre dışı bırakıldığını gösterir.)
Ayrıca, kuralın olay oluşturma ayarının etkinleştirildiğini (Olaylar sütunu) ve kuralın kaynağının (Kaynak sütun) (Galeri, İçerik hub'ı veya Özel) olduğunu gösteren sütunlar da gösterilir.
Bu kural için önerilen yapılandırma "Yalnızca uyarı olarak" ise, kuralda olay oluşturma ayarını devre dışı bırakmayı düşünmelisiniz (aşağıya bakın).
Bir kural seçtiğinizde, kural hakkında bilgi içeren bir ayrıntılar paneli görüntülenir.
Bu yan panelin üst kısmında, yukarıda belirtildiği gibi analiz kuralı yapılandırmasında olay oluşturmayı etkinleştirme veya devre dışı bırakmayla ilgili öneriler bulunur.
Sonraki bölümde, kullanılabilir çerçevelerin her biri için kuralın hangi güvenlik denetimleri ve denetim aileleri ile tanımlandığı gösterilmektedir. SOX ve NIST çerçeveleri için, ilgili açılan listelerden farklı bir denetim veya denetim ailesi seçerek denetim atamasını özelleştirebilirsiniz. Özel çerçeveler için, MyOrg metin kutularına seçtiğiniz denetimler ve denetim aileleri yazın. Herhangi bir değişiklik yaparsanız Değişiklikleri kaydet'i seçin.
Belirli bir analiz kuralına belirli bir çerçeve için bir güvenlik denetimi veya denetim ailesi atanmamışsa denetimleri ayarlama önerisi görüntülenir. Denetimleri seçtikten sonra Değişiklikleri kaydet'i seçin.
- Seçili kuralın şu anda tanımlandığı şekilde diğer ayrıntılarını görmek için Kurala genel bakış'ı seçin. Bu, bu belgenin önceki bölümlerinde açıklanan Ayrıntılar bölmesinin aynısını açar.
İzleyin sekmesi
Bu sekme, ortamınızdaki olayların çalışma kitabının üst kısmındaki filtrelerle eşleşen çeşitli gruplandırmalarının çeşitli grafik gösterimlerini içerir.
Olaylar eğilimi etiketli eğilim çizgisi grafiği, zaman içindeki olay sayısını gösterir. Bu olaylar, bunları oluşturan kural tarafından temsil edilen denetim ailesine göre varsayılan olarak gruplandırılır (farklı renkli çizgiler ve gölgelendirmelerle temsil edilir). Ayrıntılar açılan listesinden bu olaylar için alternatif gruplandırmalar seçebilirsiniz.
Olaylar kovanı grafı, iki şekilde gruplandırılmış olay sayısını gösterir. Varsayılan değerler (SOX çerçevesi için) önce SOX Denetim ailesi ("honeycomb" hücre dizisi) ve ardından Sistem Kimliği (her hücre "petek") tarafından yapılır. Detaylandırma ölçütü ve ardından seçiciler tarafından kullanılarak gruplandırmaların görüntüleneceği farklı ölçütler seçebilirsiniz.
Metni net bir şekilde okuyacak kadar büyütmek için hive grafiğini yakınlaştırın ve tüm gruplandırmaları birlikte görmek için uzaklaştırın. Grafiğin farklı bölümlerini görmek için grafiğin tamamını sürükleyin.
Rapor sekmesi
Son olarak, Rapor sekmesi ortamınızdaki çalışma kitabının en üstündeki filtrelerle eşleşen tüm olayların listesini içerir.
Olaylar, denetim ailesi ve denetim kimliğine göre gruplandırılır.
Olay URL'si sütunundaki bağlantı, o olayın olay araştırma sayfasına açılan yeni bir tarayıcı penceresi açar. Bu bağlantı kalıcıdır ve SecurityIncident tablosunun bekletme ilkesinden bağımsız olarak çalışır.
Raporun kalan sütunlarını görmek için kullanabileceğiniz yatay kaydırma çubuğunu görmek için pencerenin sonuna (dış kaydırma çubuğu) aşağı kaydırın.
Raporun sağ üst köşesindeki üç noktayı (üç nokta) seçip Excel'e Aktar'ı seçerek bu raporu bir elektronik tabloya aktarın.
Sonraki adımlar
Daha fazla bilgi için bkz.
- SAP® uygulamaları için Microsoft Sentinel çözümü dağıtma
- SAP® uygulamaları için Microsoft Sentinel çözümü günlük başvurusu
- SAP sisteminizin durumunu izleme
- SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtma önkoşulları
- SAP® uygulamaları dağıtımı için Microsoft Sentinel çözümünüzün sorunlarını giderme
Bu çalışma kitabının tanıtımı için Microsoft Güvenlik Topluluğu YouTube kanalındaki bu YouTube videosuna bakın.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin