SAP'yi birden çok çalışma alanı arasında tümleştirme
Log Analytics çalışma alanınızı Microsoft Sentinel için etkinleştirilmiş olarak ayarladığınızda, göz önünde bulundurmanız gereken birden çok mimari seçeneği ve faktör vardır. Coğrafyayı, düzenlemeyi, erişim denetimini ve diğer faktörleri dikkate alarak kuruluşunuzda birden çok çalışma alanı olmasını seçebilirsiniz.
SAP ile çalışırken SAP ve SOC ekiplerinizin güvenlik sınırlarını korumak için ayrı çalışma alanlarında çalışması gerekebilir. SAP ekibinin kuruluşunuzdaki diğer tüm güvenlik günlüklerine görünür olmasını istemeyebilirsiniz. Ancak SAP BASIS ekibi, SAP uygulamaları için Microsoft Sentinel çözümünün başarıyla uygulanması ve bakımının gerçekleştirilmesinde kritik rol oynar. Teknik bilgileri SAP sistemlerini etkili bir şekilde izlemek, güvenlik ayarlarını yapılandırmak ve uygun olay yanıtı yordamlarının uygulandığını sağlamak için gereklidir. Bu nedenle SAP BASIS ekibinin Microsoft Sentinel için etkinleştirilmiş Log Analytics çalışma alanına erişimi olması ve sap ile ilgili güvenlik izlemesine odaklanarak SOC ekibiyle işbirliği yapmasına olanak sağlaması gerekir.
Bu makalede, birden çok çalışma alanında SAP uygulamaları için Microsoft Sentinel çözümüyle nasıl çalışılacağı ve aşağıdakiler için geliştirilmiş esneklik anlatılmaktadır:
- Yönetilen güvenlik hizmeti sağlayıcıları (MSSP' ler) veya genel veya federasyon güvenlik operasyonları merkezi (SOC).
- Veri yerleşimi gereksinimleri.
- Kuruluş hiyerarşisi ve BT tasarımı.
- Tek bir çalışma alanında rol tabanlı erişim denetimi (RBAC) yetersiz.
Önemli
Şu anda birden çok çalışma alanıyla çalışma önizleme aşamasındadır. Bu özellik, hizmet düzeyi sözleşmesi olmadan sağlanır. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.
Ayrı çalışma alanlarında tutulan SAP ve SOC verileri
SAP ve SOC ekiplerinizde ekip verilerinin tutulduğu Microsoft Sentinel için ayrı Log Analytics çalışma alanları etkinleştirildiyse, SOC ekip üyelerinin bir bölümünü veya tümünü SAP BASIS ekibinin çalışma alanı için Sentinel Okuyucusu rolüyle sağlamanızı öneririz. Bu, her iki ekibin de çalışma alanları arası sorguları kullanarak SAP verilerini görmesini sağlar.
SAP ve SOC verileri için ayrı çalışma alanları tutmanın aşağıdaki avantajları vardır:
| Avantaj | Açıklama |
|---|---|
| Uyarılar | Microsoft Sentinel hem SOC hem de SAP verilerini içeren uyarılar tetikleyebilir ve bu uyarıları SOC çalışma alanında çalıştırabilir. |
| Veri yalıtımı | SAP BASIS ekibinin hem SOC hem de SAP verilerini içeren algılamalar dışında tüm özellikleri içeren kendi çalışma alanı vardır. SOC, SAP olaylarını görebilir ve araştırabilir. SAP BASIS ekibi mevcut verileri kullanarak açıklayabildiği bir olayla karşılaşıyorsa, ekip olayı SOC'ye atayabilir. |
| Esneklik | SAP BASIS ekibi kendi alanında iç tehditlerin denetimine odaklanabilir ve SOC dış tehditlere odaklanabilir. |
| Fiyatlandırma | Veriler Microsoft Sentinel'e yalnızca bir kez alınacağından alım ücretleri için ek ücret alınmaz. Ancak her çalışma alanının kendi fiyatlandırma katmanı vardır. |
Aşağıdaki tabloda SAP ve SOC ekipleri kendi çalışma alanlarını kullandıklarında veri ve özellik erişimi eşlenmiştir:
| İşlev | SOC ekibi | SAP BASIS ekibi |
|---|---|---|
| SOC çalışma alanı erişimi | ✅ | ❌ |
| SAP çalışma alanı verileri, analiz kuralları, işlevler, izleme listeleri ve çalışma kitapları erişimi | ✅ | ✅* |
| SAP olay erişimi ve işbirliği | ✅ | ✅* |
* SOC ekibi bu işlevleri her iki çalışma alanında da görebilir. SAP BASIS ekibi bu işlevleri yalnızca SAP çalışma alanında görebilir.
Not
Daha büyük SAP manzaralarında çalışma alanları arası sorguların çalıştırılması performansı etkileyebilir. Gelişmiş performans ve maliyet iyileştirmeleri için hem SOC hem de SAP çalışma alanlarının aynı ayrılmış kümede olmasını göz önünde bulundurun. Daha fazla bilgi için bkz . Azure İzleyici Günlüklerinde ayrılmış küme oluşturma ve yönetme.
Aynı çalışma alanında tutulan SAP ve SOC verileri
Tüm verileri tek bir çalışma alanında tutmak ve ekibinizde kimlerin verilere erişebileceğini belirlemek için erişim denetimleri uygulamak isteyebilirsiniz.
Bunu yapmak için aşağıdaki adımları kullanın:
Verilere erişimi kaynağa göre yönetmek için Azure İzleyici'de Log Analytics'i kullanın. Daha fazla bilgi için bkz . Microsoft Sentinel verilerine erişimi kaynağa göre yönetme.
SAP kaynaklarını bir Azure kaynak kimliğiyle ilişkilendirin. Bu seçenek yalnızca CLI aracılığıyla dağıtılan bir veri bağlayıcı aracısı için desteklenir. SAP sisteminden Microsoft Sentinel'e veri almak için kullandığınız veri toplayıcının bağlayıcı yapılandırması bölümünde gerekli
azure_resource_idalanı belirtin. Daha fazla bilgi için bkz . Komut satırından SAP veri bağlayıcısı aracısı dağıtma ve Bağlayıcı yapılandırması.
Veri toplayıcı aracısı doğru kaynak kimliğiyle yapılandırıldıktan sonra SAP BASIS ekibi, kaynak kapsamlı bir sorgu kullanarak SOC çalışma alanında belirli SAP verilerine erişebilir. SAP BASIS ekibi, SAP olmayan diğer veri türlerinden hiçbirini okuyamaz.
Bu yaklaşımla ilişkili maliyet yoktur çünkü veriler Microsoft Sentinel'e yalnızca bir kez alınır.
Erişimi kaynağa göre yönettiğiniz zaman SAP BASIS ekibi log analytics veya Power BI aracılığıyla erişilebilen yalnızca ham ve biçimlendirilmemiş verileri görür. SAP BASIS ekibi herhangi bir Microsoft Sentinel özelliğini kullanamaz.
İlgili içerik
Daha fazla bilgi için bkz . SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma.