SAP를 사용하여 SAP 보안 컨트롤 준수 확인 - 보안 감사 컨트롤 통합 문서
이 문서에서는 SAP - 보안 감사 컨트롤 통합 문서를 사용하여 다음 기능을 포함하여 SAP 시스템에서 보안 제어 프레임워크 준수를 모니터링하고 추적하는 방법을 설명합니다.
- 사용하도록 설정할 분석 규칙에 대한 권장 사항을 확인하고 적절한 사전 설정 구성을 사용하여 현재 위치에서 사용하도록 설정합니다.
- 분석 규칙을 SOX 또는 NIST 제어 프레임워크에 연결하거나 사용자 고유의 사용자 지정 제어 프레임워크를 적용합니다.
- 선택한 제어 프레임워크에 따라 컨트롤별로 요약된 인시던트 및 경고를 검토합니다.
- 감사 및 보고 목적으로 추가 분석을 위해 관련 인시던트 내보내기
예시:
이 문서의 콘텐츠는 보안 팀을 위한 것입니다.
필수 조건
SAP - 보안 감사 로그 및 초기 액세스 통합 문서 사용을 시작하려면 다음이 있어야 합니다.
SAP 애플리케이션 솔루션용 Microsoft Sentinel 솔루션이 설치되고 데이터 커넥터 에이전트가 배포되었습니다. 자세한 내용은 SAP 애플리케이션용 Microsoft Sentinel 솔루션 배포를 참조 하세요.
Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역에 설치된 SAP Audit Controls 통합 문서입니다. 자세한 내용은 Microsoft Sentinel의 통합 문서를 사용하여 데이터를 시각화 및 모니터링하세요.
작업 영역에서 하나 이상의 인시던트가 있으며 테이블에서 하나 이상의 항목을 사용할 수 있습니다
SecurityIncident
. SAP 인시던트일 필요는 없으며, 다른 인시던트가 없는 경우 기본 분석 규칙을 사용하여 데모 인시던트를 생성할 수 있습니다.
특정 로그 대신 감사 로그의 모든 메시지에 대한 감사를 구성하는 것이 좋습니다. 수집 비용 차이는 일반적으로 최소화되며 데이터는 Microsoft Sentinel 검색 및 손상 후 조사 및 헌팅에 유용합니다. 자세한 내용은 SAP 감사 구성을 참조 하세요.
데모 보기
이 통합 문서의 데모를 봅니다.
자세한 내용은 Microsoft 보안 커뮤니티 YouTube 채널을 참조 하세요.
지원되는 필터
SAP Audit Controls 통합 문서는 필요한 데이터에 집중할 수 있도록 다음 필터를 지원합니다.
필터 옵션 | 설명 |
---|---|
구독 및 작업 영역 | SAP 시스템의 규정 준수를 감사하려는 작업 영역을 선택합니다. Microsoft Sentinel이 배포된 작업 영역과 다를 수 있습니다. |
인시던트 생성 시간 | 지난 4시간에서 지난 30일까지의 범위 또는 결정하는 사용자 지정 범위를 선택합니다. |
상태, 심각도, 전술, 소유자를 비롯한 기타 인시던트 특성 | 각 항목에 대해 선택한 시간 범위의 인시던트에 표시되는 값에 해당하는 사용 가능한 선택 항목 중에서 선택합니다. |
시스템 역할 | 프로덕션과 같은 SAP 시스템 역할입니다. |
시스템 사용량 | SAP ERP와 같은 SAP 시스템 사용량입니다. |
시스템 | 모든 SAP 시스템 ID, 특정 시스템 ID 또는 여러 시스템 ID를 선택합니다. |
컨트롤 프레임워크, 컨트롤 패밀리, 컨트롤 ID | 적용 범위를 평가할 컨트롤 프레임워크와 통합 문서 데이터를 필터링할 특정 컨트롤을 선택합니다. |
데이터 보존 권장 사항
SAP Audit Controls 대시보드는 SecurityAlert 및 SecurityIncident 테이블을 기반으로 인시던트 및 경고의 집계 보기를 제공하며, 기본적으로 30일간의 데이터를 유지합니다.
이러한 테이블의 보존 기간을 조직의 규정 준수 요구 사항에 맞게 연장하는 것이 좋습니다. 이러한 테이블의 보존 정책에 대해 선택한 항목에 관계없이 인시던트 데이터는 삭제되지 않지만 여기에 표시되지 않을 수 있습니다. 경고 데이터는 테이블의 보존 정책에 따라 유지됩니다.
SecurityAlert 및 SecurityIncident 테이블의 실제 보존 정책은 기본 30일이 아닌 다른 것으로 정의될 수 있습니다. 현재 보존 정책에 따라 테이블의 실제 데이터 시간 범위를 보여 주는 통합 문서의 파란색 음영 배경에 대한 알림을 참조하세요.
자세한 내용은 Log Analytics 작업 영역의 테이블에 대한 데이터 보존 정책 구성을 참조 하세요.
구성 탭 - 아직 사용되지 않은 템플릿에서 분석 규칙 만들기
구성 탭에서 사용할 수 있는 템플릿 테이블에는 아직 활성 규칙으로 구현되지 않은 SAP 애플리케이션용 Microsoft Sentinel 솔루션의 분석 규칙 템플릿이 표시됩니다. 규정 준수를 위해 이러한 규칙을 만들어야 할 수도 있습니다. 예시:
기본적으로 이 테이블은 SAP에 대해 필터링되며 SAP 는 솔루션 템플릿에서 선택되어 드롭다운을 구성합니다. 이 드롭다운에서 다른 솔루션을 선택하거나 모두 선택하여 테이블을 추가로 사용할 준비가 된 템플릿을 채웁니다.
테이블의 각 행에 대해 규칙 구성에 대한 읽기 전용 세부 정보를 보려면 보기를 선택합니다.
권장 구성 열은 규칙의 목적을 보여 줍니다. 조사를 위해 인시던트 만들기를 위한 것입니까? 아니면 조사에서 증거로 사용할 다른 사건에 따로 보관하고 추가 할 경고를 만들려면?
사이드 창에서 규칙 활성화를 선택하여 권장 구성이 이미 기본 제공된 템플릿에서 분석 규칙을 만듭니다. 이 기능을 사용하면 올바른 구성에서 추측하고 수동으로 정의해야 하는 문제를 줄일 수 있습니다.
구성 탭 - 분석 규칙의 보안 제어 할당 보기 또는 변경
구성 탭에서 테이블을 구성할 규칙 선택에는 SAP와 관련된 활성화된 분석 규칙 목록이 표시됩니다. 예시:
표에서 다음을 확인합니다.
인시던트 및 경고 열의 각 규칙에 의해 생성된 개수 및 그래프 선입니다. 동일한 개수는 경고 그룹화가 사용하지 않도록 설정되어 있음을 나타냅니다.
인시던트 및 원본 열 값은 규칙이 인시던트 만들기로 설정되어 있는지 여부를 이해합니다.
규칙에 대한 권장 구성이 As 경고인지 여부입니다. 그렇다면 규칙에서 인시던트 생성 설정을 해제하는 것이 좋습니다.
자세한 정보가 포함된 세부 정보 창을 보려면 규칙을 선택합니다. 예시:
이 측면 패널의 위쪽 부분에는 분석 규칙 구성에서 인시던트 생성을 사용하거나 사용하지 않도록 설정하는 것과 관련된 권장 사항이 있습니다.
측면 창의 다음 섹션에서는 사용 가능한 각 프레임워크에 대해 규칙이 식별되는 보안 컨트롤 및 컨트롤 패밀리를 보여 줍니다.
- SOX 및 NIST 프레임워크의 경우 관련 드롭다운에서 다른 컨트롤 또는 컨트롤 패밀리를 선택하여 컨트롤 할당을 사용자 지정합니다.
- 사용자 지정 프레임워크의 경우 MyOrg 텍스트 상자에 선택한 컨트롤 및 컨트롤 패밀리를 입력합니다. 변경 내용을 변경한 경우 변경 내용 저장을 선택합니다.
특정 분석 규칙에 지정된 프레임워크에 대한 보안 컨트롤 또는 컨트롤 패밀리가 할당되지 않은 경우 컨트롤을 수동으로 설정하라는 메시지가 표시됩니다. 컨트롤을 선택한 후 변경 내용 저장을 선택합니다.
현재 정의된 대로 선택한 규칙의 나머지 세부 정보를 보려면 규칙 개요를 선택합니다.
모니터 탭
모니터 탭에는 통합 문서 맨 위에 있는 필터와 일치하는 환경의 다양한 인시던트 그룹화에 대한 여러 그래픽 표현이 포함되어 있습니다.
인시던트 추세라는 레이블이 지정된 추세선 그래프는 시간에 따른 인시던트 수를 보여 줍니다. 이러한 인시던트를 그룹화하고 다양한 색의 선과 음영으로 표현하며, 기본적으로 생성한 규칙이 나타내는 컨트롤 패밀리에 따라 표시됩니다. 드롭다운을 통해 세부 정보 인시던트에서 이러한 인시던트에 대한 대체 그룹을 선택합니다. 예시:
인시던트 하이브 그래프는 두 가지 방법으로 그룹화된 인시던트 수를 보여 줍니다. SOX 프레임워크의 기본값은 먼저 셀의 허니콤 배열인 SOX Control 제품군을 사용한 다음, 허니콤의 각 셀인 시스템 ID를 사용합니다. [드릴 바이]와 [선택기]를 사용하여 그룹화가 표시할 다른 조건을 선택합니다.
하이브 그래프를 확대하여 텍스트를 명확하게 읽을 수 있을 만큼 크게 만들고 모든 그룹화가 함께 표시되도록 축소합니다. 전체 그래프를 끌어서 다른 부분을 확인합니다. 예시:
보고서 탭
보고서 탭에는 통합 문서 맨 위에 있는 필터와 일치하는 환경의 모든 인시던트 목록이 포함되어 있습니다.
인시던트가 제어 패밀리 및 컨트롤 ID별로 그룹화됩니다.
인시던트 URL 열의 링크에서 해당 인시던트에 대한 인시던트 조사 페이지에 새 브라우저 창이 열립니다. 이 링크는 영구적이며 SecurityIncident 테이블에 대한 보존 정책에 관계없이 작동합니다.
창의 끝(바깥쪽 스크롤 막대)으로 아래로 스크롤하여 보고서의 나머지 열을 보는 데 사용할 수 있는 가로 스크롤 막대를 확인합니다.
보고서의 오른쪽 위 모서리에 있는 줄임표(점 3개)를 선택한 다음 Excel로 내보내기를 선택하여 이 보고서를 스프레드시트로 내보냅니다.
관련 콘텐츠
자세한 내용은 콘텐츠 허브 에서 SAP 애플리케이션용 Microsoft Sentinel 솔루션 배포 및 SAP 애플리케이션용 Microsoft Sentinel 솔루션 배포: 보안 콘텐츠 참조를 참조하세요.