Controleer de naleving van uw SAP-beveiligingscontroles met de werkmap SAP - Beveiligingscontrolecontroles
In dit artikel wordt beschreven hoe u de werkmap SAP - Beveiligingscontrolebesturingselementen kunt gebruiken om de naleving van het framework voor beveiligingsbeheer in uw SAP-systemen te bewaken en bij te houden, met inbegrip van de volgende functionaliteit:
- Bekijk aanbevelingen over welke analyseregels moeten worden ingeschakeld en schakel deze in met de juiste vooraf ingestelde configuratie.
- Koppel uw analyseregels aan het SOX- of NIST-beheerframework of pas uw eigen aangepaste beheerframework toe.
- Bekijk incidenten en waarschuwingen die zijn samengevat op basis van het besturingselement, volgens het geselecteerde besturingsframework.
- Exporteer relevante incidenten voor verdere analyse, voor controle- en rapportagedoeleinden.
Voorbeeld:
Inhoud in dit artikel is bedoeld voor uw beveiligingsteam .
Vereisten
Voordat u het SAP - Security Audit-logboek en de initial Access-werkmap kunt gaan gebruiken, moet u het volgende hebben:
Een Microsoft Sentinel-oplossing voor SAP geïnstalleerd en een gegevensconnector geconfigureerd. Zie Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen voor meer informatie.
De werkmap SAP-controlebesturingselementen die is geïnstalleerd in uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel. Zie en bewaak uw gegevens voor meer informatie met behulp van werkmappen in Microsoft Sentinel.
Ten minste één incident in uw werkruimte, met ten minste één vermelding beschikbaar in de
SecurityIncidenttabel. Dit hoeft geen SAP-incident te zijn en u kunt een demo-incident genereren met behulp van een basisanalyseregel als u nog geen incident hebt.
Het is raadzaam om controle te configureren voor alle berichten uit het auditlogboek, in plaats van alleen specifieke logboeken. Kostenverschillen voor opname zijn over het algemeen minimaal en de gegevens zijn nuttig voor detecties van Microsoft Sentinel en bij onderzoek en opsporing na inbreuk. Zie SAP-controle configureren voor meer informatie.
Een demo weergeven
Bekijk een demonstratie van deze werkmap:
Zie het YouTube-kanaal van de Microsoft Security Community voor meer informatie:
Ondersteunde filters
De werkmap SAP-controlebesturingselementen ondersteunt de volgende filters om u te helpen focussen op de gegevens die u nodig hebt:
| Filteroptie | Beschrijving |
|---|---|
| Abonnement en werkruimte | Selecteer de werkruimte waarvan u de naleving van SAP-systemen wilt controleren. Dit kan een andere werkruimte zijn dan waar Microsoft Sentinel is geïmplementeerd. |
| Tijd voor het maken van incidenten | Selecteer een bereik van de afgelopen vier uur tot de afgelopen 30 dagen of een aangepast bereik dat u bepaalt. |
| Andere incidentkenmerken, waaronder status, ernst, tactieken, eigenaar | Voor elk van deze opties selecteert u een van de beschikbare opties die overeenkomen met de waarden die in de incidenten in het geselecteerde tijdsbereik worden weergegeven. |
| Systeemrollen | De SAP-systeemrollen, zoals Productie. |
| Systeemgebruik | Het SAP-systeemgebruik, zoals SAP ERP. |
| Systemen | Selecteer alle SAP-systeem-id's, een specifieke systeem-id of meerdere systeem-id's. |
| Control Framework, Controlefamilies, Controle-id's | Selecteer het besturingsframework waarop u de dekking wilt evalueren en de specifieke besturingselementen waarmee u de werkmapgegevens wilt filteren. |
Aanbevelingen voor gegevensretentie
De dashboards voor SAP-controlebeheer bieden een geaggregeerde weergave van incidenten en waarschuwingen op basis van de tabellen SecurityAlert en SecurityIncident , die standaard 30 dagen aan gegevens behouden.
Overweeg de bewaarperiode voor deze tabellen uit te breiden zodat deze voldoen aan de nalevingsvereisten van uw organisatie. Ongeacht de keuze die u maakt voor het bewaarbeleid van deze tabellen, worden de incidentgegevens nooit verwijderd, hoewel deze hier mogelijk niet worden weergegeven. Waarschuwingsgegevens worden bewaard volgens het bewaarbeleid van de tabel.
Het werkelijke bewaarbeleid van de tabellen SecurityAlert en SecurityIncident kan goed worden gedefinieerd als iets anders dan de standaard 30 dagen. Zie de mededeling op de blauw gearceerde achtergrond in de werkmap, waarin het werkelijke tijdsbereik van gegevens in de tabellen wordt weergegeven volgens het huidige bewaarbeleid.
Zie Een bewaarbeleid voor gegevens configureren voor een tabel in een Log Analytics-werkruimte voor meer informatie.
Tabblad Configureren: analyseregels maken op basis van nog niet-gebruikte sjablonen
De sjablonen die klaar zijn om te worden gebruikt op het tabblad Configureren , bevatten de analyseregelsjablonen van de Microsoft Sentinel-oplossing voor SAP-toepassingen die nog niet als actieve regels zijn geïmplementeerd. Mogelijk moet u deze regels maken om naleving te bereiken. Voorbeeld:
Deze tabel wordt standaard gefilterd op SAP, waarbij SAP is geselecteerd in de oplossingssjablonen om de vervolgkeuzelijst te configureren . Selecteer een of alle andere oplossingen in deze vervolgkeuzelijst om de sjablonen te vullen die klaar zijn om verder te worden gebruikt .
Selecteer Weergave voor elke rij in de tabel voor meer alleen-lezen details over regelconfiguratie.
In de kolom Aanbevolen configuratie ziet u het doel van de regel: is het bedoeld om incidenten te maken voor onderzoek? Of alleen om waarschuwingen te maken die buiten beschouwing moeten worden gehouden en aan andere incidenten moeten worden toegevoegd om te worden gebruikt als bewijs in hun onderzoek?
Selecteer Regel activeren in het zijvenster om een analyseregel te maken op basis van de sjabloon, waarbij de aanbevolen configuratie al is ingebouwd. Deze functionaliteit bespaart u de moeite om de juiste configuratie te raden en deze handmatig te definiëren.
Tabblad Configureren - Toewijzingen van beveiligingsbeheer van uw analyseregels weergeven of wijzigen
De regel Selecteren voor het configureren van een tabel op het tabblad Configureren toont een lijst met geactiveerde analyseregels die relevant zijn voor SAP. Voorbeeld:
Controleer in de tabel:
Het aantal en de grafieklijnen die door elke regel in de kolommen Incidenten en Waarschuwingen worden gegenereerd. Identieke tellingen suggereren dat waarschuwingsgroepering is uitgeschakeld.
De waarden van de kolom Incidenten en Bron om te begrijpen of de regel is ingesteld om incidenten te maken.
Of de aanbevolen configuratie voor een regel alleen als waarschuwing is. Zo ja, dan kunt u overwegen om de instelling voor het maken van incidenten in de regel uit te schakelen.
Selecteer een regel om een detailvenster met meer informatie weer te geven. Voorbeeld:
Het bovenste gedeelte van dit zijpaneel bevat aanbevelingen met betrekking tot het in- of uitschakelen van het maken van incidenten in de configuratie van de analyseregel.
In het volgende gedeelte van het zijvenster ziet u met welke beveiligingsbesturingselementen en controlefamilies de regel wordt geïdentificeerd voor elk van de beschikbare frameworks.
- Pas voor de SOX- en NIST-frameworks de toewijzing van besturingselementen aan door een andere besturings- of beheerfamilie te kiezen in de relevante vervolgkeuzelijsten.
- Voor aangepaste frameworks voert u besturingselementen en controlefamilies van uw keuze in de MyOrg-tekstvakken in. Als u wijzigingen aanbrengt, selecteert u Wijzigingen opslaan.
Als aan een bepaalde analyseregel geen beveiligingsbeheer- of controlefamilie voor een bepaald framework is toegewezen, wordt u gevraagd de besturingselementen handmatig in te stellen. Nadat u de besturingselementen hebt geselecteerd, selecteert u Wijzigingen opslaan.
Als u de rest van de details van de geselecteerde regel wilt zien zoals momenteel is gedefinieerd, selecteert u Regeloverzicht.
Tabblad Monitoren
Het tabblad Monitor bevat verschillende grafische weergaven van verschillende groeperingen van de incidenten in uw omgeving die overeenkomen met de filters bovenaan de werkmap:
Een trendlijngrafiek, gelabelde incidententrend, toont het aantal incidenten in de loop van de tijd. Deze incidenten worden gegroepeerd en vertegenwoordigd door verschillende gekleurde lijnen en arceringen, standaard volgens de controlefamilie die wordt vertegenwoordigd door de regel die ze heeft gegenereerd. Selecteer alternatieve groeperingen voor deze incidenten in de vervolgkeuzelijst Detailincidenten . Voorbeeld:
In de grafiek Incidenten hive ziet u het aantal incidenten dat op twee manieren is gegroepeerd. De standaardwaarden voor het SOX-framework zijn eerst door de SOX Control-familie, de honingraatmatrix van cellen en vervolgens door systeem-id, die elke cel in de honingraat is. Selecteer verschillende criteria waarmee u de groeperingen wilt weergeven, met behulp van drill by en vervolgens door selectors.
Zoom in op de hive-grafiek om de tekst groot genoeg te maken om duidelijk te lezen en uit te zoomen om alle groeperingen samen te zien. Sleep de hele grafiek om verschillende delen ervan te zien. Voorbeeld:
Tabblad Rapport
Het tabblad Rapport bevat een lijst met alle incidenten in uw omgeving die overeenkomen met de filters bovenaan de werkmap.
De incidenten worden gegroepeerd op controlefamilie en controle-id.
Met de koppeling in de kolom Incident-URL wordt een nieuw browservenster geopend dat is geopend op de pagina voor incidentonderzoek voor dat incident. Deze koppeling is permanent en werkt ongeacht het bewaarbeleid voor de tabel SecurityIncident .
Schuif omlaag naar het einde van het venster (de buitenste schuifbalk) om de horizontale schuifbalk te zien, die u kunt gebruiken om de rest van de kolommen in het rapport weer te geven.
Exporteer dit rapport naar een spreadsheet door het beletselteken (de drie puntjes) in de rechterbovenhoek van het rapport te selecteren en vervolgens Exporteren naar Excel te selecteren.
Gerelateerde inhoud
Zie De Microsoft Sentinel-oplossing voor SAP-toepassingen implementeren vanuit de inhoudshub en De Microsoft Sentinel-oplossing voor SAP-toepassingen: naslaginformatie over beveiligingsinhoud voor meer informatie.