跨多個工作區整合 SAP
當您設定已啟用 Microsoft Sentinel 的 Log Analytics 工作區時,需要考慮多個架構選項和因素。 考慮到地理、法規、存取控制和其他因素,您可能會選擇在組織中擁有多個工作區。
使用 SAP 時,您的 SAP 和 SOC 小組可能需要在不同的工作區中工作,以維護安全性界限。 您可能不希望 SAP 小組能夠查看整個組織的其他所有安全性記錄。 不過,SAP BASIS 小組在成功實作和維護 SAP 應用程式的 Microsoft Sentinel 解決方案方面扮演了重要角色。 其技術知識對於有效監視 SAP 系統、設定安全性設定以及確保適當的事件回應程式都已就緒至關重要。 因此,SAP BASIS 小組必須能夠存取已啟用 Microsoft Sentinel 的 Log Analytics 工作區,讓他們能夠與 SOC 小組共同作業,同時特別著重於 SAP 相關安全性監視。
本文討論如何在多個工作區中使用適用於 SAP 應用程式的 Microsoft Sentinel 解決方案,並改善的彈性:
- 受控安全性服務提供者 (MSSP) 或是全域或同盟安全性作業中心 (SOC)。
- 資料落地需求。
- 組織階層和 IT 設計。
- 單一工作區中的角色型存取控制 (RBAC) 不足。
重要
使用多個工作區目前為預覽狀態。 此功能已推出但不提供服務等級協定。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
在個別工作區中維護的 SAP 和 SOC 數據
如果您的 SAP 和 SOC 小組針對保留小組數據的Microsoft Sentinel 啟用個別的 Log Analytics 工作區,建議您為 SAP BASIS 小組工作區提供 一些或所有 SOC 小組成員與 Sentinel 讀取者 角色。 這可讓這兩個小組使用跨工作區查詢來查看 SAP 數據。
維護 SAP 和 SOC 數據的個別工作區具有下列優點:
| 優點 | 描述 |
|---|---|
| 警示 | Microsoft Sentinel 可以觸發同時包括 SOC 和 SAP 資料的警示,並且可以在 SOC 工作區上執行這些警示。 |
| 資料隔離 | SAP BASIS 小組有自己的工作區,其中包含所有功能,但包含SOC和SAP數據的偵測除外。 SOC 可以查看並調查 SAP 事件。 如果 SAP BASIS 小組面臨無法使用現有數據解釋的事件,小組可以將事件指派給 SOC。 |
| 彈性 | SAP BASIS 小組可以專注於其環境中內部威脅的控制,SOC 可以專注於外部威脅。 |
| 定價 | 擷取費用沒有額外費用,因為數據只會內嵌到sentinel Microsoft一次。 不過,每個工作區都有自己的定價層。 |
下表會在 SAP 和 SOC 小組各自維護自己的工作區時,對應 SAP 和 SOC 小組的數據和功能存取:
| 函式 | SOC 小組 | SAP BASIS 小組 |
|---|---|---|
| SOC 工作區存取 | ✅ | ❌ |
| SAP 工作區資料、分析規則、函式、關注清單和活頁簿存取 | ✅ | ✅* |
| SAP 事件存取和共同作業 | ✅ | ✅* |
* SOC 小組可以在這兩個工作區中看到這些功能。 SAP BASIS 小組只能在 SAP 工作區中看到這些函式。
注意
跨較大的 SAP 環境執行跨工作區查詢可能會影響效能。 為了提升效能和成本最佳化,請考慮在相同的專用叢集上同時擁有 SOC 和 SAP 工作區。 如需詳細資訊,請參閱 在 Azure 監視器記錄中建立和管理專用叢集。
在相同工作區中維護的 SAP 和 SOC 數據
您可能想要將所有數據保留在單一工作區中,並套用訪問控制,以判斷小組誰能夠存取數據。
若要這麼做,請使用下列步驟:
使用 Azure 監視器中的 Log Analytics 來管理依資源存取數據的存取權。 如需詳細資訊,請參閱利用資源管理 Microsoft Sentinel 資料的存取權。
將 SAP 資源與 Azure 資源識別碼產生關聯。 在連接器組態區段中,指定您用來將數據從 SAP 系統內嵌至 Microsoft Sentinel 的數據收集器區段中的必要
azure_resource_id欄位。 如需詳細資訊,請參閱 連接器組態。
使用正確的資源識別碼設定數據收集器代理程序之後,SAP BASIS 小組就可以使用資源範圍查詢來存取SOC工作區中的特定SAP數據。 SAP BASIS 小組無法讀取任何其他非 SAP 資料類型。
此方法沒有相關成本,因為資料只會擷取到 Microsoft Sentinel 一次。
當您依資源管理存取權時,SAP BASIS 小組只會看到原始和未格式化的數據,可透過Log Analytics或Power BI存取。 SAP BASIS 小組無法使用任何Microsoft Sentinel 功能。
相關內容
如需詳細資訊,請參閱 部署 sap 應用程式的 Microsoft Sentinel 解決方案。