SAP integreren in meerdere werkruimten
Wanneer u uw Log Analytics-werkruimte instelt die is ingeschakeld voor Microsoft Sentinel, hebt u meerdere architectuuropties en factoren waarmee u rekening moet houden. Rekening houdend met geografie, regelgeving, toegangsbeheer en andere factoren, kunt u ervoor kiezen om meerdere werkruimten in uw organisatie te hebben.
Wanneer u met SAP werkt, moeten uw SAP- en SOC-teams mogelijk in afzonderlijke werkruimten werken om beveiligingsgrenzen te handhaven. Mogelijk wilt u niet dat het SAP-team inzicht heeft in alle andere beveiligingslogboeken in uw organisatie. Het SAP BASIS-team speelt echter een cruciale rol bij het implementeren en onderhouden van de Microsoft Sentinel-oplossing voor SAP-toepassingen. Hun technische kennis is essentieel voor het effectief bewaken van SAP-systemen, het configureren van beveiligingsinstellingen en het garanderen van de juiste procedures voor incidentrespons. Daarom moet het SAP BASIS-team toegang hebben tot de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel, zodat ze kunnen samenwerken met het SOC-team, terwijl ze zich specifiek richten op SAP-gerelateerde beveiligingsbewaking.
In dit artikel wordt beschreven hoe u kunt werken met de Microsoft Sentinel-oplossing voor SAP-toepassingen in meerdere werkruimten, met verbeterde flexibiliteit voor:
- Managed Security Service Providers (MSSP's) of een wereldwijd of federatief Security Operations Center (SOC).
- Vereisten voor gegevenslocatie.
- Organisatiehiërarchie en IT-ontwerp.
- Onvoldoende op rollen gebaseerd toegangsbeheer (RBAC) in één werkruimte.
Belangrijk
Werken met meerdere werkruimten is momenteel beschikbaar als preview-versie. Deze functie wordt geleverd zonder service level agreement. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.
SAP- en SOC-gegevens die in afzonderlijke werkruimten worden onderhouden
Als uw SAP- en SOC-teams afzonderlijke Log Analytics-werkruimten hebben ingeschakeld voor Microsoft Sentinel waar teamgegevens worden bewaard, raden we u aan om sommige of alle SOC-teamleden de rol Sentinel Reader op te geven voor de werkruimte van het SAP BASIS-team. Hierdoor kunnen beide teams SAP-gegevens zien met behulp van query's voor meerdere werkruimten.
Het onderhouden van afzonderlijke werkruimten voor de SAP- en SOC-gegevens heeft de volgende voordelen:
Voordeel | Beschrijving |
---|---|
Waarschuwingen | Microsoft Sentinel kan waarschuwingen activeren die zowel SOC- als SAP-gegevens bevatten, en deze waarschuwingen kunnen worden uitgevoerd in de SOC-werkruimte. |
Gegevensisolatie | Het SAP BASIS-team heeft een eigen werkruimte met alle functies, behalve detecties die zowel SOC- als SAP-gegevens bevatten. De SOC kan SAP-incidenten bekijken en onderzoeken. Als het SAP BASIS-team een gebeurtenis ondervindt die niet kan worden uitgelegd met behulp van bestaande gegevens, kan het team het incident toewijzen aan de SOC. |
Flexibiliteit | Het SAP BASIS-team kan zich richten op de controle van interne bedreigingen in het landschap en de SOC kan zich richten op externe bedreigingen. |
Prijzen | Er worden geen extra kosten in rekening gebracht voor opnamekosten, omdat gegevens slechts eenmaal worden opgenomen in Microsoft Sentinel. Elke werkruimte heeft echter een eigen prijscategorie. |
In de volgende tabel worden gegevens en functietoegang toegewezen voor SAP- en SOC-teams wanneer ze elk hun eigen werkruimte onderhouden:
Functie | SOC-team | SAP BASIS-team |
---|---|---|
Toegang tot SOC-werkruimte | ✅ | ❌ |
SAP-werkruimtegegevens, analyseregels, functies, volglijsten en toegang tot werkmappen | ✅ | ✅* |
SAP-incidenttoegang en samenwerking | ✅ | ✅* |
* Het SOC-team kan deze functies in beide werkruimten zien. Het SAP BASIS-team kan deze functies alleen zien in de SAP-werkruimte.
Notitie
Het uitvoeren van query's tussen werkruimten in grotere SAP-landschappen kan van invloed zijn op de prestaties. Voor verbeterde prestaties en kostenoptimalisaties kunt u overwegen om zowel de SOC- als SAP-werkruimten op hetzelfde toegewezen cluster te hebben. Zie Een toegewezen cluster maken en beheren in Azure Monitor-logboeken voor meer informatie.
SAP- en SOC-gegevens die in dezelfde werkruimte worden onderhouden
Mogelijk wilt u alle gegevens in één werkruimte bewaren en toegangsbeheer toepassen om te bepalen wie in uw team toegang heeft tot de gegevens.
Volg hiervoor deze stappen:
Gebruik Log Analytics in Azure Monitor om de toegang tot gegevens per resource te beheren. Zie Toegang tot Microsoft Sentinel-gegevens beheren per resource voor meer informatie.
SAP-resources koppelen aan een Azure-resource-id. Deze optie wordt alleen ondersteund voor een gegevensconnectoragent die is geïmplementeerd via CLI. Geef het vereiste
azure_resource_id
veld op in de connectorconfiguratiesectie van de gegevensverzamelaar die u gebruikt om gegevens van het SAP-systeem op te nemen in Microsoft Sentinel. Zie Een SAP-gegevensconnectoragent implementeren vanaf de opdrachtregel en connectorconfiguratie voor meer informatie.
Nadat de gegevensverzamelaaragent is geconfigureerd met de juiste resource-id, heeft het SAP BASIS-team toegang tot de specifieke SAP-gegevens in de SOC-werkruimte met behulp van een query met resourcebereik. Het SAP BASIS-team kan geen van de andere, niet-SAP-gegevenstypen lezen.
Er zijn geen kosten verbonden aan deze benadering, omdat de gegevens slechts eenmaal worden opgenomen in Microsoft Sentinel.
Wanneer u de toegang per resource beheert, ziet het SAP BASIS-team alleen onbewerkte en niet-opgemaakte gegevens, die toegankelijk zijn via Log Analytics of Power BI. Het SAP BASIS-team kan geen Microsoft Sentinel-functies gebruiken.
Gerelateerde inhoud
Zie Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen voor meer informatie.