Delen via


SAP integreren in meerdere werkruimten

Wanneer u uw Log Analytics-werkruimte instelt die is ingeschakeld voor Microsoft Sentinel, hebt u meerdere architectuuropties en factoren waarmee u rekening moet houden. Rekening houdend met geografie, regelgeving, toegangsbeheer en andere factoren, kunt u ervoor kiezen om meerdere werkruimten in uw organisatie te hebben.

Wanneer u met SAP werkt, moeten uw SAP- en SOC-teams mogelijk in afzonderlijke werkruimten werken om beveiligingsgrenzen te handhaven. Mogelijk wilt u niet dat het SAP-team inzicht heeft in alle andere beveiligingslogboeken in uw organisatie. Het SAP BASIS-team speelt echter een cruciale rol bij het implementeren en onderhouden van de Microsoft Sentinel-oplossing voor SAP-toepassingen. Hun technische kennis is essentieel voor het effectief bewaken van SAP-systemen, het configureren van beveiligingsinstellingen en het garanderen van de juiste procedures voor incidentrespons. Daarom moet het SAP BASIS-team toegang hebben tot de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel, zodat ze kunnen samenwerken met het SOC-team, terwijl ze zich specifiek richten op SAP-gerelateerde beveiligingsbewaking.

In dit artikel wordt beschreven hoe u kunt werken met de Microsoft Sentinel-oplossing voor SAP-toepassingen in meerdere werkruimten, met verbeterde flexibiliteit voor:

  • Managed Security Service Providers (MSSP's) of een wereldwijd of federatief Security Operations Center (SOC).
  • Vereisten voor gegevenslocatie.
  • Organisatiehiërarchie en IT-ontwerp.
  • Onvoldoende op rollen gebaseerd toegangsbeheer (RBAC) in één werkruimte.

Belangrijk

Werken met meerdere werkruimten is momenteel beschikbaar als preview-versie. Deze functie wordt geleverd zonder service level agreement. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.

SAP- en SOC-gegevens die in afzonderlijke werkruimten worden onderhouden

Als uw SAP- en SOC-teams afzonderlijke Log Analytics-werkruimten hebben ingeschakeld voor Microsoft Sentinel waar teamgegevens worden bewaard, raden we u aan om sommige of alle SOC-teamleden de rol Sentinel Reader op te geven voor de werkruimte van het SAP BASIS-team. Hierdoor kunnen beide teams SAP-gegevens zien met behulp van query's voor meerdere werkruimten.

Diagram van afzonderlijke werkruimten voor uw SAP- en SOC-teams.

Het onderhouden van afzonderlijke werkruimten voor de SAP- en SOC-gegevens heeft de volgende voordelen:

Voordeel Beschrijving
Waarschuwingen Microsoft Sentinel kan waarschuwingen activeren die zowel SOC- als SAP-gegevens bevatten, en deze waarschuwingen kunnen worden uitgevoerd in de SOC-werkruimte.
Gegevensisolatie Het SAP BASIS-team heeft een eigen werkruimte met alle functies, behalve detecties die zowel SOC- als SAP-gegevens bevatten.

De SOC kan SAP-incidenten bekijken en onderzoeken. Als het SAP BASIS-team een gebeurtenis ondervindt die niet kan worden uitgelegd met behulp van bestaande gegevens, kan het team het incident toewijzen aan de SOC.
Flexibiliteit Het SAP BASIS-team kan zich richten op de controle van interne bedreigingen in het landschap en de SOC kan zich richten op externe bedreigingen.
Prijzen Er worden geen extra kosten in rekening gebracht voor opnamekosten, omdat gegevens slechts eenmaal worden opgenomen in Microsoft Sentinel. Elke werkruimte heeft echter een eigen prijscategorie.

In de volgende tabel worden gegevens en functietoegang toegewezen voor SAP- en SOC-teams wanneer ze elk hun eigen werkruimte onderhouden:

Functie SOC-team SAP BASIS-team
Toegang tot SOC-werkruimte
SAP-werkruimtegegevens, analyseregels, functies, volglijsten en toegang tot werkmappen *
SAP-incidenttoegang en samenwerking *

* Het SOC-team kan deze functies in beide werkruimten zien. Het SAP BASIS-team kan deze functies alleen zien in de SAP-werkruimte.

Notitie

Het uitvoeren van query's tussen werkruimten in grotere SAP-landschappen kan van invloed zijn op de prestaties. Voor verbeterde prestaties en kostenoptimalisaties kunt u overwegen om zowel de SOC- als SAP-werkruimten op hetzelfde toegewezen cluster te hebben. Zie Een toegewezen cluster maken en beheren in Azure Monitor-logboeken voor meer informatie.

SAP- en SOC-gegevens die in dezelfde werkruimte worden onderhouden

Mogelijk wilt u alle gegevens in één werkruimte bewaren en toegangsbeheer toepassen om te bepalen wie in uw team toegang heeft tot de gegevens.

Volg hiervoor deze stappen:

Diagram waarin wordt getoond hoe u kunt werken met de Microsoft Sentinel-oplossing voor SAP-toepassingen met behulp van dezelfde werkruimte voor SAP- en SOC-gegevens.

Nadat de gegevensverzamelaaragent is geconfigureerd met de juiste resource-id, heeft het SAP BASIS-team toegang tot de specifieke SAP-gegevens in de SOC-werkruimte met behulp van een query met resourcebereik. Het SAP BASIS-team kan geen van de andere, niet-SAP-gegevenstypen lezen.

Er zijn geen kosten verbonden aan deze benadering, omdat de gegevens slechts eenmaal worden opgenomen in Microsoft Sentinel.

Wanneer u de toegang per resource beheert, ziet het SAP BASIS-team alleen onbewerkte en niet-opgemaakte gegevens, die toegankelijk zijn via Log Analytics of Power BI. Het SAP BASIS-team kan geen Microsoft Sentinel-functies gebruiken.

Zie Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen voor meer informatie.