針對跨多個工作區的 SAP® 應用程式使用 Microsoft Sentinel 解決方案
當您設定 Microsoft Sentinel 工作區時,有多個 架構選項 和考慮。 考慮地理位置、法規、存取控制和其他因素,您可以選擇在組織中有多個 Sentinel 工作區。
本文討論在不同案例中跨多個工作區使用適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案。
適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案原本就支援跨工作區架構,以提升彈性:
- 管理的安全性服務提供者 (MSSP) 或全域或同盟 SOC
- 資料落地需求
- 組織階層/IT 設計
- 單一工作區中角色型存取控制 (RBAC) 不足
重要
使用多個工作區目前為預覽狀態。 此功能已推出但不提供服務等級協定。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
您可以在 部署 SAP 安全性內容時定義多個工作區。
組織中 SOC 與 SAP 小組之間的共同作業
在本文中,我們會著重于特定且常見的使用案例,其中安全性作業中心 (SOC) 與組織中的 SAP 小組之間的共同作業需要多工作區設定。
貴組織的 SAP 小組具備技術知識,對於成功且有效地實作適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案至關重要。 因此,SAP 小組務必查看相關資料,並與 SOC 共同作業所需的設定和事件回應程式。
在此共同作業中,有兩個可能的情況,視貴組織的需求而定:
案例 1:SAP 和 SOC 資料位於不同的工作區
在此案例中,SAP 和 SOC 小組有個別的 Microsoft Sentinel 工作區。
當您的組織 為 SAP® 應用程式部署 Microsoft Sentinel 解決方案時,每個小組都會指定其 SAP 工作區。
常見的作法是在 SAP 工作區上提供部分或所有 SOC 小組成員 Sentinel 讀者 角色。
為 SAP 和 SOC 資料建立個別工作區有下列優點:
Microsoft Sentinel 可以觸發包含 SOC 和 SAP 資料的警示,並在 SOC 工作區上執行這些警示。
注意
針對較大的 SAP 環境,針對 SAP 工作區的資料執行 SOC 所做的查詢可能會影響效能,因為 SAP 資料必須在查詢時移至 SOC 工作區。 若要改善效能和成本優化,請考慮在相同的 專用叢集上同時擁有 SOC 和 SAP 工作區。
SAP 小組有自己的 Microsoft Sentinel 工作區,包括所有功能,但包含 SOC 和 SAP 資料的偵測除外。
彈性:SAP 小組可以專注于其環境中的控制與內部威脅,而 SOC 可以專注于外部威脅。
擷取費用不需要額外費用,因為資料只會擷取一次到 Microsoft Sentinel。 不過,請注意,每個工作區都有自己的 定價層。
SOC 可以看到並調查 SAP 事件:如果 SAP 小組面臨無法與現有資料解釋的事件,他們可以將事件指派給 SOC。
此資料表會對應此案例中 SAP 和 SOC 小組的資料和功能的存取權。
| 函式 | SOC 小組 | SAP 小組 |
|---|---|---|
| SOC 工作區存取 | ✅ | ❌ |
| SAP 工作區資料、分析規則、函式、關注清單和活頁簿存取 | ✅ | ✅1 |
| SAP 事件存取和共同作業 | ✅ | ✅1 |
1SOC 小組可以在這兩個工作區上看到這些函式,而 SAP 小組只能在 SAP 工作區上看到這些函式。
案例 2:SAP 資料會保留在 SOC 工作區中
在此案例中,您想要將所有資料保留在一個工作區中,並套用存取控制。 您可以使用 Log Analytics 來管理 資源對資料的存取。 您也可以指定連接器組態區段中用來 azure_resource_id 將資料從 SAP 系統內嵌至 Microsoft Sentinel 之資料收集器的必要欄位,以建立 SAP 資源與 Azure 資源識別碼的關聯。
一旦資料收集器代理程式設定正確的資源識別碼,SAP 小組就可以使用資源範圍的查詢來存取 SOC 工作區中的特定 SAP 資料。 SAP 小組無法讀取任何其他非 SAP 資料類型。
此方法不需要任何成本,因為資料只會內嵌到 Microsoft Sentinel 一次。 使用這種存取模式時,SAP 小組只會看到未經處理和未格式化的資料,而且無法使用任何 Microsoft Sentinel 功能。 除了透過記錄分析存取原始資料之外,SAP 小組也可以 透過 Power BI存取相同的資料。
下一步
在本文中,您已瞭解如何在不同案例中跨多個工作區使用適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案。