Integración de SAP en varias áreas de trabajo
Al configurar el área de trabajo de Log Analytics habilitada para Microsoft Sentinel, tiene varias opciones de arquitectura y factores que se deben tener en cuenta. Teniendo en cuenta la geografía, la regulación, el control de acceso y otros factores, puede optar por tener varias áreas de trabajo en su organización.
Al trabajar con SAP, es posible que los equipos de SAP y SOC necesiten trabajar en áreas de trabajo independientes para mantener los límites de seguridad. Es posible que no quiera que el equipo de SAP tenga visibilidad de todos los demás registros de seguridad de la organización. Sin embargo, el equipo de SAP BASIS desempeña un papel fundamental para implementar y mantener correctamente la solución Microsoft Sentinel para aplicaciones de SAP. Sus conocimientos técnicos son esenciales para supervisar eficazmente los sistemas de SAP, configurar la configuración de seguridad y garantizar que se han implementado los procedimientos adecuados de respuesta a incidentes. Por este motivo, el equipo de SAP BASIS debe tener acceso al área de trabajo de Log Analytics habilitada para Microsoft Sentinel, lo que les permite colaborar con el equipo de SOC y centrarse específicamente en la supervisión de seguridad relacionada con SAP.
En este artículo se describe cómo trabajar con la solución Microsoft Sentinel para aplicaciones de SAP en varias áreas de trabajo, con una mayor flexibilidad para:
- Proveedores de servicios de seguridad administrada (MSSP) o un centro de operaciones de seguridad (SOC) global o federado.
- Requisitos de residencia de datos.
- Diseño de la jerarquía y TI de la organización.
- Control de acceso basado en roles (RBAC) insuficiente en una sola área de trabajo.
Importante
El trabajo con varias áreas de trabajo se encuentra actualmente en versión preliminar. Esta característica se proporciona sin un Acuerdo de Nivel de Servicio. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.
Datos de SAP y SOC mantenidos en áreas de trabajo independientes
Si los equipos de SAP y SOC tienen áreas de trabajo de Log Analytics independientes habilitadas para Microsoft Sentinel en las que se conservan los datos del equipo, se recomienda que proporcione a algunos o a todos los miembros del equipo SOC el rol Lector de Sentinel para el área de trabajo del equipo de SAP BASIS. Esto permite a ambos equipos ver los datos de SAP mediante consultas entre áreas de trabajo.
El mantenimiento de áreas de trabajo independientes para los datos de SAP y SOC tiene las siguientes ventajas:
| Prestación | Descripción |
|---|---|
| Alertas | Microsoft Sentinel puede desencadenar alertas que incluyan datos de SOC y SAP, y puede ejecutar esas alertas en el área de trabajo de SOC. |
| Aislamiento de datos | El equipo de SAP BASIS tiene su propia área de trabajo que incluye todas las características, excepto las detecciones que incluyen datos de SOC y SAP. El SOC puede ver e investigar incidentes de SAP. Si el equipo de SAP BASIS se enfrenta a un evento que no puede explicar mediante datos existentes, el equipo puede asignar el incidente al SOC. |
| Flexibilidad | El equipo de SAP BASIS puede centrarse en el control de amenazas internas de su entorno, mientras que el SOC puede centrarse en las amenazas externas. |
| Precios | No hay ningún cargo adicional por los honorarios de ingesta, ya que los datos solo se ingerirán una vez que estén en Microsoft Sentinel. Sin embargo, cada área de trabajo tiene su propio plan de tarifa. |
En la siguiente tabla se asignan datos y acceso a características para los equipos de SAP y SOC cuando cada uno mantiene su propia área de trabajo:
| Función | Equipo de SOC | Equipo de SAP BASIS |
|---|---|---|
| Acceso al área de trabajo del SOC | ✅ | ❌ |
| Acceso a datos del área de trabajo de SAP, reglas de análisis, funciones, listas de reproducción y libros | ✅ | ✅* |
| Colaboración y acceso a incidentes de SAP | ✅ | ✅* |
* El equipo de SOC puede ver estas funciones en ambas áreas de trabajo. El equipo de SAP BASIS solo puede ver estas funciones en el área de trabajo de SAP.
Nota:
La ejecución de consultas entre áreas de trabajo en entornos de SAP más grandes puede afectar al rendimiento. Para mejorar el rendimiento y las optimizaciones de costes, considere la posibilidad de tener las áreas de trabajo de SOC y SAP en el mismo clúster dedicado. Para obtener más información, consulte Creación y administración de un clúster dedicado en los registros de Azure Monitor.
Datos de SAP y SOC mantenidos en la misma área de trabajo
Es posible que quiera conservar todos los datos en una sola área de trabajo y aplicar controles de acceso para determinar quién de su equipo puede acceder a los datos.
Para ello, siga los pasos siguientes:
Uso de Log Analytics en Azure Monitor para administrar el acceso a los datos por recursos. Para más información, consulte Administración del acceso a los datos de Microsoft Sentinel por recurso.
Asociación de recursos de SAP con un identificador de recurso de Azure. Esta opción solo se admite para un agente de conector de datos implementado a través de la CLI. Especifique el campo
azure_resource_idnecesario en la sección de configuración del conector del recopilador de datos que se usa para ingerir datos del sistema de SAP en Microsoft Sentinel. Para obtener más información, consulte Implementación de un agente de conector de datos de SAP desde la línea de comandos y la Configuración del conector.
Una vez configurado el agente del recopilador de datos con el identificador de recurso correcto, el equipo de SAP BASIS podrá acceder a los datos de SAP específicos en el área de trabajo de SOC mediante una consulta con ámbito de recurso. El equipo de SAP BASIS no podrá leer ninguno de los otros tipos de datos que no sean de SAP.
No hay ningún coste asociado a este enfoque porque los datos solo se ingerirán una vez en Microsoft Sentinel.
Al administrar el acceso por recurso, el equipo de SAP BASIS solo ve datos sin formato, accesibles a través de Log Analytics o Power BI. El equipo de SAP BASIS no puede usar ninguna característica de Microsoft Sentinel.
Contenido relacionado
Para obtener más información, consulte Implementación de soluciones Microsoft Sentinel para aplicaciones de SAP.