Aracılığıyla paylaş

SAP® uygulamaları için Microsoft Sentinel çözümü - SAP Denetim Denetimleri çalışma kitabı (Önizleme)

  • Makale

Bu makalede, SAP uygulamaları için Microsoft Sentinel çözümünün bir parçası olarak size sağlanan SAP® Denetim Denetimleri çalışma kitabı açıklanmaktadır.

Önemli

Microsoft Sentinel SAP Denetim Denetimleri çalışma kitabı şu anda ÖNIZLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Bu çalışma kitabı SOX, NIST veya tercih ettiğiniz özel bir çerçeve olsun, seçtiğiniz denetim çerçevesiyle uyumluluk için SAP® ortamınızın güvenlik denetimlerini denetlemenize yardımcı olur.

Çalışma kitabı, ortamınızdaki analiz kurallarını belirli güvenlik denetimlerine atamanız ve aileleri denetlemeniz, SAP çözüm tabanlı analiz kuralları tarafından oluşturulan olayları izleyip kategorilere ayırmanız ve uyumluluğunuzu raporlamanız için araçlar sağlar.

Çalışma kitabı, uyumluluk programınız için aşağıdaki özellikleri sağlar:

  • Hangi analiz kurallarının etkinleştirileceğine ilişkin önerilere bakın ve uygun önceden ayarlanmış yapılandırmayla bunları yerinde etkinleştirin.
  • Analiz kurallarınızı SOX veya NIST denetim çerçevesiyle ilişkilendirin veya kendi özel denetim çerçevenizi uygulayın.
  • Seçilen denetim çerçevesine göre denetim tarafından özetlenen olayları ve uyarıları gözden geçirin.
  • Denetim ve raporlama amacıyla daha fazla analiz için ilgili olayları dışarı aktarın.

Çalışma kitabını kullanmaya başlama

  1. Microsoft Sentinel portalından Tehdit yönetimi menüsünden Çalışma Kitapları'nı seçin.

  2. Çalışma Kitapları galerisinde Şablonlar'a gidin ve arama çubuğuna SAP yazın ve sonuçlar arasından SAP Denetim Denetimleri'ni seçin.

  3. Çalışma kitabını olduğu gibi kullanmak için Şablonu görüntüle'yi veya çalışma kitabının düzenlenebilir bir kopyasını oluşturmak için Kaydet'i seçin. Kopya oluşturulduğunda Kaydedilen çalışma kitabını görüntüle'yi seçin.

    SAP Denetim Denetimleri çalışma kitabının üst kısmının ekran görüntüsü.

  4. Verileri gereksinimlerinize göre filtrelemek için aşağıdaki alanları seçin:

    • Abonelik ve Çalışma Alanı. SAP sistemlerinin uyumluluğunu denetlemek istediğiniz çalışma alanını seçin. Bu, Microsoft Sentinel'in dağıtıldığı yerden farklı bir çalışma alanı olabilir.
    • Olay oluşturma zamanı. Son dört saat ile son 30 gün arasında bir aralık veya belirlediğiniz özel bir aralık seçin.
    • Diğer olay öznitelikleri: Durum, Önem Derecesi, Taktikler, Sahip. Bunların her biri için, seçilen zaman aralığındaki olaylarda temsil edilen değerlere karşılık gelen kullanılabilir seçenekler arasından seçim yapın.
    • Sistem rolleri. SAP sistem rolleri, örneğin: Üretim.
    • Sistem kullanımı. Örneğin: SAP ERP.
    • Sistemler. Tüm SAP sistem kimliklerini, belirli bir sistem kimliğini veya birden çok sistem kimliğini seçebilirsiniz.
    • Denetim çerçevesi, Denetim aileleri, Denetim kimlikleri. Kapsamınızı değerlendirmek istediğiniz denetim çerçevesine ve çalışma kitabı verilerini filtrelemek istediğiniz belirli denetimlere göre bunları seçin.

    Bu çalışma kitabındaki panolar, varsayılan olarak 30 günlük verileri saklayan SecurityAlert ve SecurityIncident tablolarını temel alan olayların ve uyarıların toplu bir görünümünü sağlar. Bu tabloların saklama süresini kuruluşunuzun uyumluluk gereksinimlerine uyacak şekilde uzatmayı göz önünde bulundurun. Bu tabloların bekletme ilkesi için yaptığınız seçimden bağımsız olarak olay verilerinin kendisi hiçbir zaman silinmez, ancak burada gösterilmeyebilir. Uyarı verileri tablonun bekletme ilkesine göre tutulur.

    • Bu iki tablonun gerçek bekletme ilkesi, varsayılan 30 günden farklı bir değer olarak tanımlanabilir. Çalışma kitabındaki mavi gölgeli arka plandaki (yukarıdaki ekran görüntüsünde gösterilmiştir) tablolardaki verilerin geçerli bekletme ilkesine göre gerçek zaman aralığını gösteren bildirime bakın.

    • Daha fazla bilgi için bkz . Log Analytics çalışma alanında bir tablo için veri saklama ilkesi yapılandırma.

Çalışma kitabına genel bakış

Çalışma kitabı üç sekmeye ayrılmıştır:

  • Yapılandır
  • İzleme
  • Raporu

Yapılandır sekmesi

Henüz kullanılmayan şablonlardan analiz kuralları oluşturma

Kullanılmaya hazır şablonlar tablosu, SAP® uygulamaları için Microsoft Sentinel çözümünden henüz etkin kurallar olarak uygulanmamış analiz kuralı şablonlarını gösterir. Uyumluluk sağlamak için bu kuralları oluşturmanız gerekebilir.

Kuralların oluşturulacağı analiz kuralı şablonları tablosunun ekran görüntüsü.

  • Denetimi yapılandırmak için çözüm şablonları, analiz kurallarını burada seçtiğiniz denetim çerçevesiyle uyumluluk açısından değerlendirebileceğiniz yüklü çözümleri gösterir. Varsayılan olarak, yalnızca SAP çözümü seçilir, ancak bu açılan listeden herhangi birini veya tümünü seçebilirsiniz.

  • Açılan Ayrıntılar bölmesinde şablonun tüm yapılandırmasını görmek için tablodaki belirli bir kural şablonunun satırının Özellikler sütunundaki Görünüm bağlantısını seçin. (Bu görünüm salt okunurdur.)

  • Önerilen yapılandırma sütunu kuralın amacını gösterir: Araştırma amacıyla olaylar oluşturmak için mi? Ya da yalnızca bir kenara tutulacak ve araştırmalarında kanıt olarak kullanılacak diğer olaylara eklenecek uyarılar oluşturmak için mi?

  • Önerilen yapılandırma önceden yerleşik olarak şablondan bir analiz kuralı oluşturmak için Kuralı etkinleştir 'i (açıklama bölmesinde) seçin. Bu işlevsellik, doğru yapılandırmada tahminde bulunma ve el ile tanımlama zahmetini size kazandırır.

Analiz kurallarınızın güvenlik denetimi atamalarını görüntüleme veya değiştirme

Yapılandırmak için kural seçin tablosunda SAP ile ilgili etkinleştirilmiş analiz kurallarının listesini görürsünüz.

Yapılandıracak kuralı seçme işleminin ekran görüntüsü.

  • Her kural tarafından oluşturulan Olaylar ve Uyarılar'ın sayıları ve grafik çizgileri görüntülenir. (Aynı sayımlar uyarı gruplandırma işleminin devre dışı bırakıldığını gösterir.)

  • Ayrıca, kuralın olay oluşturma ayarının etkinleştirildiğini (Olaylar sütunu) ve kuralın kaynağının (Kaynak sütun) (Galeri, İçerik hub'ı veya Özel) olduğunu gösteren sütunlar da gösterilir.

  • Bu kural için önerilen yapılandırma "Yalnızca uyarı olarak" ise, kuralda olay oluşturma ayarını devre dışı bırakmayı düşünmelisiniz (aşağıya bakın).

  • Bir kural seçtiğinizde, kural hakkında bilgi içeren bir ayrıntılar paneli görüntülenir.

    Kural yapılandırması yan panelinin ekran görüntüsü.

    • Bu yan panelin üst kısmında, yukarıda belirtildiği gibi analiz kuralı yapılandırmasında olay oluşturmayı etkinleştirme veya devre dışı bırakmayla ilgili öneriler bulunur.

    • Sonraki bölümde, kullanılabilir çerçevelerin her biri için kuralın hangi güvenlik denetimleri ve denetim aileleri ile tanımlandığı gösterilmektedir. SOX ve NIST çerçeveleri için, ilgili açılan listelerden farklı bir denetim veya denetim ailesi seçerek denetim atamasını özelleştirebilirsiniz. Özel çerçeveler için, MyOrg metin kutularına seçtiğiniz denetimler ve denetim aileleri yazın. Herhangi bir değişiklik yaparsanız Değişiklikleri kaydet'i seçin.

    Belirli bir analiz kuralına belirli bir çerçeve için bir güvenlik denetimi veya denetim ailesi atanmamışsa denetimleri ayarlama önerisi görüntülenir. Denetimleri seçtikten sonra Değişiklikleri kaydet'i seçin.

    • Seçili kuralın şu anda tanımlandığı şekilde diğer ayrıntılarını görmek için Kurala genel bakış'ı seçin. Bu, bu belgenin önceki bölümlerinde açıklanan Ayrıntılar bölmesinin aynısını açar.

İzleyin sekmesi

Bu sekme, ortamınızdaki olayların çalışma kitabının üst kısmındaki filtrelerle eşleşen çeşitli gruplandırmalarının çeşitli grafik gösterimlerini içerir.

  • Olaylar eğilimi etiketli eğilim çizgisi grafiği, zaman içindeki olay sayısını gösterir. Bu olaylar, bunları oluşturan kural tarafından temsil edilen denetim ailesine göre varsayılan olarak gruplandırılır (farklı renkli çizgiler ve gölgelendirmelerle temsil edilir). Ayrıntılar açılan listesinden bu olaylar için alternatif gruplandırmalar seçebilirsiniz.

    Kurala göre gruplandırılmış olay sayısı eğilim çizgisinin ekran görüntüsü.

  • Olaylar kovanı grafı, iki şekilde gruplandırılmış olay sayısını gösterir. Varsayılan değerler (SOX çerçevesi için) önce SOX Denetim ailesi ("honeycomb" hücre dizisi) ve ardından Sistem Kimliği (her hücre "petek") tarafından yapılır. Detaylandırma ölçütü ve ardından seçiciler tarafından kullanılarak gruplandırmaların görüntüleneceği farklı ölçütler seçebilirsiniz.

    Metni net bir şekilde okuyacak kadar büyütmek için hive grafiğini yakınlaştırın ve tüm gruplandırmaları birlikte görmek için uzaklaştırın. Grafiğin farklı bölümlerini görmek için grafiğin tamamını sürükleyin.

    Denetim ailesi ve sistem kimliğine göre gruplandırılmış olay sayısı kovan grafiklerinin ekran görüntüsü.

Rapor sekmesi

Son olarak, Rapor sekmesi ortamınızdaki çalışma kitabının en üstündeki filtrelerle eşleşen tüm olayların listesini içerir.

  • Olaylar, denetim ailesi ve denetim kimliğine göre gruplandırılır.

  • Olay URL'si sütunundaki bağlantı, o olayın olay araştırma sayfasına açılan yeni bir tarayıcı penceresi açar. Bu bağlantı kalıcıdır ve SecurityIncident tablosunun bekletme ilkesinden bağımsız olarak çalışır.

  • Raporun kalan sütunlarını görmek için kullanabileceğiniz yatay kaydırma çubuğunu görmek için pencerenin sonuna (dış kaydırma çubuğu) aşağı kaydırın.

  • Raporun sağ üst köşesindeki üç noktayı (üç nokta) seçip Excel'e Aktar'ı seçerek bu raporu bir elektronik tabloya aktarın.

    Çalışma kitabındaki Rapor sekmesinin ekran görüntüsü.

    Excel'e aktar seçeneğinin ekran görüntüsü.

Sonraki adımlar

Daha fazla bilgi için bkz.

Bu çalışma kitabının tanıtımı için Microsoft Güvenlik Topluluğu YouTube kanalındaki bu YouTube videosuna bakın.