Partager via

Vérifier la conformité de vos contrôles de sécurité SAP avec le classeur SAP – Contrôles d’audit de sécurité

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Cet article explique comment utiliser le classeur SAP – Contrôles d’audit de sécurité pour surveiller et suivre la conformité de l’infrastructure de contrôle de sécurité sur vos systèmes SAP, notamment les fonctionnalités suivantes :

  • Consultez les suggestions sur les règles d’analyse à activer, puis activez-les en place avec la configuration prédéfinie appropriée.
  • Associez vos règles d'analyse au cadre de contrôle SOX ou NIST, ou appliquez votre propre cadre de contrôle personnalisé.
  • Examinez les incidents et les alertes résumés par contrôle, conformément au cadre de contrôle sélectionné.
  • Exportez les incidents pertinents pour une analyse plus approfondie, à des fins d'audit et d'établissement de rapports.

Par exemple :

Capture d’écran de la partie supérieure du classeur des contrôles d’audit SAP.

Le contenu de cet article est destiné à votre équipe de sécurité.

Prérequis

Avant de commencer à utiliser le journal SAP – Audit de sécurité et le classeur Accès initial, vous devez disposer des options suivantes :

  • Une instance Solution Microsoft Sentinel pour SAP installée et un connecteur de données configuré. Pour plus d’informations, consultez Déployer la solution Microsoft Sentinel pour les applications SAP.

  • Le classeur contrôles d’audit SAP installé dans votre espace de travail Log Analytics activé pour Microsoft Sentinel. Pour plus d’informations, consultez et Visualiser et surveiller vos données à l’aide de classeurs dans Microsoft Sentinel.

  • Au moins un incident dans votre espace de travail, avec au moins une entrée disponible dans le tableau SecurityIncident. Pas besoin que ce soit un incident SAP, et vous pouvez générer un incident de démonstration à l’aide d’une règle d’analyse de base si vous n’en avez pas d’autre.

Nous vous recommandons de configurer l’audit pour tous les messages à partir du journal d’audit, au lieu de le limiter à des journaux spécifiques. Les différences de coût d’ingestion sont généralement minimales et les données sont utiles pour les détections de Microsoft Sentinel et dans les investigations et le repérage post-compromission. Pour plus d’informations, consultez Configurer l’audit SAP.

Voir une démonstration

Affichez une démonstration de ce classeur :

Pour plus d’informations, consultez la chaîne YouTube de la Communauté de sécurité Microsoft :

Filtres pris en charge

Le classeur Contrôles d’audit SAP prend en charge les filtres suivants pour vous permettre de vous concentrer sur les données dont vous avez besoin :

Option de filtre Description
Abonnement et espace de travail Sélectionnez l'espace de travail dont vous souhaitez contrôler la conformité des systèmes SAP. Il peut s'agir d'un espace de travail différent de celui où Microsoft Sentinel est déployé.
Temps de création de l’incident Sélectionnez une plage allant des quatre dernières heures aux 30 derniers jours, ou une plage personnalisée que vous déterminez.
Autres attributs d’incident, notamment l’état, la gravité, la tactique, le propriétaire Pour chacun d'entre eux, sélectionnez parmi les choix disponibles ceux qui correspondent aux valeurs représentées dans les incidents de l’intervalle de temps sélectionné.
Rôles système Rôles système SAP, tels que Production.
Utilisation du système Utilisation du système SAP, comme SAP ERP.
Systèmes Sélectionnez tous les identifiants de systèmes SAP, un identifiant de système spécifique ou plusieurs identifiants de systèmes.
Infrastructure de contrôle, Familles de contrôle, Identifiants de contrôle Sélectionnez le cadre de contrôle par lequel vous souhaitez évaluer votre couverture et des contrôles spécifiques par lesquels vous souhaitez filtrer les données du classeur.

Recommandations sur la conservation des données

Les tableaux de bord des contrôles d’audit SAP fournissent une vue agrégée des incidents et des alertes sur la base des tables SecurityAlert et SecurityIncident qui, par défaut, conservent 30 jours de données.

Envisagez de prolonger la période de conservation de ces tables pour qu'elle corresponde aux exigences de conformité de votre organisation. Quel que soit le choix que vous fassiez pour la stratégie de rétention de ces tables, les données relatives aux incidents ne sont jamais supprimées, même si elles ne sont pas affichées ici. Les données d'alerte sont conservées conformément à la stratégie de rétention du tableau.

La stratégie de rétention réelle des tableaux SecurityAlert et SecurityIncident peut être définie comme autre chose que les 30 jours par défaut. Voir l'avis sur le fond bleu du classeur, qui indique l’intervalle de temps réel des données dans les tableaux conformément à leur stratégie de rétention actuelle.

Pour plus d’informations, consultez configurer une stratégie de conservation des données pour une table dans un espace de travail Log Analytics.

Onglet Configuration–créer des règles d’analyse à partir de modèles encore inutilisés

Le tableau Modèles prêts à être utilisés de l’onglet Configurer présente les modèles de règles d’analyse de la solution Microsoft Sentinel pour les applications SAP qui n’ont pas encore été mis en œuvre en tant que règles actives. Vous devrez peut-être créer ces règles pour obtenir la conformité. Par exemple :

Capture d’écran du tableau des modèles de règles d’analyse à partir desquels créer des règles.

Par défaut, ce tableau est filtré pour SAP, avec SAP sélectionné dans les modèles de solution pour configurer la liste déroulante. Sélectionnez une ou toutes les autres solutions de cette liste déroulante pour remplir le tableau des modèles prêts à être utilisés.

Pour chaque ligne du tableau, sélectionnez Afficher pour plus d’informations en lecture seule sur la configuration des règles.

La colonne Configuration recommandée indique l’objectif de la règle : est-elle destinée à créer des incidents à des fins d’investigation ? Ou seulement pour créer des alertes qui seront mises de côté et ajoutées à d'autres incidents pour servir de preuves dans leurs enquêtes ?

Sélectionnez Activer la règle dans le volet latéral pour créer une règle d’analyse à partir du modèle, avec la configuration recommandée déjà intégrée. Cette fonctionnalité vous évite d’avoir à deviner la bonne configuration et à la définir manuellement.

Onglet Configuration–Visualiser ou modifier les attributions de contrôle de sécurité de vos règles d’analyse

Le tableau Sélectionner une règle à configurer de l’onglet Configurer affiche une liste des règles d’analyse activées pertinentes pour SAP. Par exemple :

Capture d’écran illustrant la sélection d’une règle à configurer.

Dans le tableau, vérifiez :

Sélectionnez une règle pour afficher un volet de détails avec plus d’informations. Par exemple :

Capture d’écran du panneau latéral de configuration des règles.

  • La partie supérieure de ce panneau latéral contient des suggestions concernant l’activation ou la désactivation de la création d'incidents dans la configuration des règles d’analyse.

  • La section suivante du volet latéral indique les contrôles de sécurité et les familles de contrôle auxquels la règle est identifiée, pour chacun des cadres disponibles.

    • Pour les cadres SOX et NIST, personnalisez l’affectation des contrôles en choisissant un autre contrôle ou une autre famille de contrôles dans les menus déroulants correspondants.
    • Pour les cadres personnalisés, entrez les contrôles et les familles de contrôles de votre choix dans les zones de texte MyOrg. Si vous apportez des modifications, sélectionnez Enregistrer les modifications.

    Si un contrôle de sécurité ou une famille de contrôles n’a pas été attribué à une règle d’analyse particulière pour un cadre donné, vous êtes invité à définir les contrôles manuellement. Après avoir sélectionné les contrôles, sélectionnez Enregistrer les modifications.

    Pour afficher le reste des détails de la règle sélectionnée telle qu’elle est actuellement définie, sélectionnez Vue d’ensemble de la règle.

Onglet Surveiller

L’onglet Moniteur contient plusieurs représentations graphiques de divers regroupements d’incidents dans votre environnement qui correspondent aux filtres en haut du classeur :

  • Un graphique linéaire de tendance, intitulé Tendance des incidents, montre le nombre d’incidents au fil du temps. Ces incidents sont regroupés et représentés par des lignes de couleur et des ombres différentes, par défaut, en fonction de la famille de contrôle représentée par la règle qui les a générés. Sélectionnez d’autres regroupements pour ces incidents dans la liste déroulante Détails des incidents par. Par exemple :

    Capture d’écran de la ligne de tendance du nombre d’incidents, regroupés par règle.

  • Le graphique Ruche d’incidents montre le nombre d’incidents regroupés de deux manières. Les valeurs par défaut du cadre SOX sont d’abord la famille de contrôle SOX, qui est le réseau de cellules en nid d’abeille, puis l’ID du système, qui est chaque cellule du nid d’abeille. Sélectionnez différents critères selon lesquels afficher les regroupements, à l’aide des sélecteurs Forage par et Puis par.

Faites un zoom avant sur le graphique de la ruche pour que le texte soit suffisamment grand pour être lu clairement, et faites un zoom arrière pour voir tous les groupes ensemble. Faites glisser l'ensemble du graphique pour en voir différentes parties. Par exemple :

Capture d’écran des graphiques de la ruche concernant le nombre d’incidents, regroupés par famille de contrôle et par identifiant de système.

Onglet Rapport

L’onglet Rapport contient une liste de tous les incidents dans votre environnement qui correspondent aux filtres en haut du classeur.

  • Les incidents sont regroupés par famille de contrôle et par identifiant de contrôle.

  • Le lien dans la colonne URL de l’incident ouvre une nouvelle fenêtre de navigateur ouverte à la page d’investigation d’incident pour cet incident. Ce lien est persistant et fonctionne quelle que soit la stratégie de rétention pour la table SecurityIncident.

  • Faites défiler la fenêtre jusqu'au bout (la barre de défilement extérieure) pour voir la barre de défilement horizontale, que vous pouvez utiliser pour voir le reste des colonnes du rapport.

  • Exportez ce rapport vers une feuille de calcul en sélectionnant les points de suspension (les trois points) dans le coin supérieur droit du rapport, puis en sélectionnant Exporter vers Excel.

    Capture d’écran de l’onglet Rapport dans le classeur.

    Capture d’écran de l’option d’exporter vers Excel.

Contenu connexe

Pour plus d’informations, consultez Déployer la solution Microsoft Sentinel pour les applications SAP à partir du hub de contenu et de la solution Microsoft Sentinel pour les applications SAP : référence de contenu de sécurité.