Sprawdzanie zgodności mechanizmów kontroli zabezpieczeń SAP za pomocą skoroszytu SAP — Kontrole inspekcji zabezpieczeń
W tym artykule opisano, jak za pomocą skoroszytu SAP — Security Audit Controls monitorować i śledzić zgodność struktury kontroli zabezpieczeń w systemach SAP, w tym następujące funkcje:
- Zapoznaj się z zaleceniami dotyczącymi włączania reguł analizy i włączania ich w miejscu z odpowiednią konfiguracją ustawień wstępnych.
- Skojarz reguły analizy z strukturą sterowania SOX lub NIST albo zastosuj własną niestandardową strukturę sterowania.
- Przejrzyj zdarzenia i alerty podsumowane przez kontrolę zgodnie z wybraną strukturą kontroli.
- Wyeksportuj odpowiednie zdarzenia do dalszej analizy na potrzeby inspekcji i raportowania.
Na przykład:
Zawartość w tym artykule jest przeznaczona dla twojego zespołu ds. zabezpieczeń .
Wymagania wstępne
Aby można było rozpocząć korzystanie z dziennika inspekcji zabezpieczeń i skoroszytu dostępu początkowego, musisz mieć następujące elementy:
Zainstalowane rozwiązanie Microsoft Sentinel dla aplikacji SAP oraz wdrożony agent łącznika danych. Aby uzyskać więcej informacji, zobacz Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP.
Skoroszyt kontrolek inspekcji SAP zainstalowany w obszarze roboczym usługi Log Analytics włączony dla usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wizualizacja i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel.
Co najmniej jedno zdarzenie w obszarze roboczym z co najmniej jednym wpisem dostępnym
SecurityIncidentw tabeli. Nie musi to być zdarzenie SAP i możesz wygenerować zdarzenie demonstracyjne przy użyciu podstawowej reguły analizy, jeśli nie masz innego zdarzenia.
Zalecamy skonfigurowanie inspekcji dla wszystkich komunikatów z dziennika inspekcji, a nie tylko określonych dzienników. Różnice kosztów pozyskiwania są zwykle minimalne, a dane są przydatne w przypadku wykrywania usługi Microsoft Sentinel i badania po naruszeniu zabezpieczeń oraz wyszukiwanie zagrożeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji sap.
Wyświetlanie pokazu
Wyświetl pokaz tego skoroszytu:
Aby uzyskać więcej informacji, zobacz kanał Microsoft Security Community YouTube:
Obsługiwane filtry
Skoroszyt kontrolek inspekcji SAP obsługuje następujące filtry, które ułatwiają skoncentrowanie się na potrzebnych danych:
| Opcja filtru | opis |
|---|---|
| Subskrypcja i obszar roboczy | Wybierz obszar roboczy, w którym chcesz przeprowadzić inspekcję zgodności systemów SAP. Może to być inny obszar roboczy niż miejsce wdrożenia usługi Microsoft Sentinel. |
| Czas tworzenia zdarzenia | Wybierz zakres z ostatnich czterech godzin do ostatnich 30 dni lub zakres niestandardowy, który określisz. |
| Inne atrybuty zdarzenia, w tym stan, ważność, taktyka, właściciel | Dla każdego z nich wybierz spośród dostępnych opcji, które odpowiadają wartościom reprezentowanym w zdarzeniach w wybranym zakresie czasu. |
| Role systemowe | Role systemu SAP, takie jak Produkcja. |
| Użycie systemu | Użycie systemu SAP, takie jak SAP ERP. |
| Systemy | Wybierz wszystkie identyfikatory systemu SAP, określony identyfikator systemu lub wiele identyfikatorów systemu. |
| Struktura kontroli, rodziny kontrolek, identyfikatory kontrolek | Wybierz strukturę sterowania, według której chcesz ocenić pokrycie, oraz określone kontrolki, za pomocą których chcesz filtrować dane skoroszytu. |
Zalecenia dotyczące przechowywania danych
Pulpity nawigacyjne kontrolek inspekcji sap zapewniają zagregowany widok zdarzeń i alertów oparty na tabelach SecurityAlert i SecurityIncident , które domyślnie zachowują 30 dni danych.
Rozważ wydłużenie okresu przechowywania tych tabel w celu dopasowania ich do wymagań dotyczących zgodności organizacji. Niezależnie od wyboru zasad przechowywania tych tabel dane incydentu nigdy nie są usuwane, ale mogą nie być wyświetlane w tym miejscu. Dane alertów są przechowywane zgodnie z zasadami przechowywania tabeli.
Rzeczywiste zasady przechowywania tabel SecurityAlert i SecurityIncident mogą być również zdefiniowane jako inne niż domyślne 30 dni. Zobacz powiadomienie na niebieskim tle w skoroszycie, pokazując rzeczywisty zakres czasu danych w tabelach zgodnie z ich bieżącymi zasadami przechowywania.
Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad przechowywania danych dla tabeli w obszarze roboczym usługi Log Analytics.
Karta Konfigurowanie — tworzenie reguł analizy na podstawie nieużywanych szablonów
Tabela Szablony gotowe do użycia na karcie Konfigurowanie zawiera szablony reguł analitycznych z rozwiązania Microsoft Sentinel dla aplikacji SAP, które nie zostały jeszcze zaimplementowane jako aktywne reguły. Aby osiągnąć zgodność, może być konieczne utworzenie tych reguł. Na przykład:
Domyślnie ta tabela jest filtrowana pod kątem oprogramowania SAP, a platforma SAP została wybrana w szablonach rozwiązań do skonfigurowania listy rozwijanej. Wybierz dowolne lub wszystkie inne rozwiązania z tej listy rozwijanej, aby wypełnić tabelę Szablony gotowe do dalszego użycia .
Dla każdego wiersza w tabeli wybierz pozycję Wyświetl , aby uzyskać więcej szczegółów dotyczących konfiguracji reguł tylko do odczytu.
W kolumnie Zalecana konfiguracja przedstawiono przeznaczenie reguły: czy ma zostać utworzone zdarzenia na potrzeby badania? Lub tylko do tworzenia alertów, które mają zostać wstrzymane i dodane do innych zdarzeń, które mają być używane jako dowody w swoich dochodzeniach?
Wybierz pozycję Aktywuj regułę w okienku bocznym, aby utworzyć regułę analizy na podstawie szablonu z zalecaną konfiguracją już wbudowaną. Ta funkcja pozwala zaoszczędzić problemy z koniecznością odgadnięcia odpowiedniej konfiguracji i ręcznego zdefiniowania jej.
Karta Konfigurowanie — wyświetlanie lub zmienianie przypisań mechanizmów kontroli zabezpieczeń reguł analizy
Tabela Wybierz regułę do skonfigurowania na karcie Konfigurowanie zawiera listę aktywowanych reguł analizy związanych z oprogramowaniem SAP. Na przykład:
W tabeli sprawdź:
Wiersze liczby i wykresów generowane przez każdą regułę w kolumnach Incydenty i Alerty. Identyczne liczby sugerują, że grupowanie alertów jest wyłączone.
Wartości kolumn Incydenty i Źródło , aby zrozumieć, czy reguła jest ustawiona na tworzenie zdarzeń .
Czy zalecana konfiguracja reguły jest tylko alertem. Jeśli tak, rozważ wyłączenie ustawienia tworzenia incydentu w regule.
Wybierz regułę, aby wyświetlić okienko szczegółów z więcej informacji. Na przykład:
Górna część tego panelu bocznego zawiera zalecenia dotyczące włączania lub wyłączania tworzenia zdarzeń w konfiguracji reguły analizy.
W następnej sekcji okienka bocznego pokazano, z którymi mechanizmami kontroli zabezpieczeń i rodzinami kontroli są identyfikowane reguły dla każdej z dostępnych struktur.
- W przypadku struktur SOX i NIST dostosuj przypisanie kontrolki, wybierając inną rodzinę kontrolek lub kontrolek z odpowiednich list rozwijanych.
- W przypadku struktur niestandardowych wprowadź kontrolki i kontroluj rodziny wybrane w polach tekstowych MyOrg . Jeśli wprowadzisz jakiekolwiek zmiany, wybierz pozycję Zapisz zmiany.
Jeśli dla danej platformy nie przypisano określonej reguły analizy ani rodziny kontroli zabezpieczeń, zostanie wyświetlony monit o ręczne ustawienie kontrolek. Po wybraniu kontrolek wybierz pozycję Zapisz zmiany.
Aby wyświetlić pozostałe szczegóły wybranej reguły zgodnie z aktualnie zdefiniowaną, wybierz pozycję Przegląd reguły.
Karta monitorowania
Karta Monitor zawiera kilka graficznych reprezentacji różnych grup zdarzeń w środowisku, które są zgodne z filtrami w górnej części skoroszytu:
Wykres liniowy trendu, oznaczony trendem Incydenty, pokazuje liczbę zdarzeń w czasie. Te zdarzenia są grupowane i reprezentowane przez różne kolorowe linie i cieniowania, domyślnie zgodnie z rodziną kontroli reprezentowaną przez regułę, która je wygenerowała. Wybierz alternatywne grupowania dla tych zdarzeń z listy rozwijanej Szczegóły zdarzeń . Na przykład:
Wykres hive Incydenty przedstawia liczbę zdarzeń pogrupowanych na dwa sposoby. Wartości domyślne dla struktury SOX są najpierw przez rodzinę kontrolek SOX, która jest tablicą honeycomb komórek, a następnie według identyfikatora systemu, która jest każdą komórką w honeycomb. Wybierz różne kryteria, według których mają być wyświetlane grupowania przy użyciu selektorów przeglądania szczegółowego, a następnie selektorów.
Powiększ wykres hive, aby tekst był wystarczająco duży, aby był czytelny, i pomniejsz, aby zobaczyć wszystkie grupowania razem. Przeciągnij cały graf, aby zobaczyć jego różne części. Na przykład:
Karta Raport
Karta Raport zawiera listę wszystkich zdarzeń w środowisku, które są zgodne z filtrami w górnej części skoroszytu.
Zdarzenia są grupowane według rodziny kontroli i identyfikatora kontroli.
Link w kolumnie Adres URL zdarzenia otwiera nowe okno przeglądarki otwarte na stronie badania zdarzeń dla tego zdarzenia. Ten link jest trwały i będzie działać niezależnie od zasad przechowywania dla tabeli SecurityIncident .
Przewiń w dół do końca okna (zewnętrzny pasek przewijania), aby wyświetlić poziomy pasek przewijania, którego można użyć, aby wyświetlić pozostałe kolumny w raporcie.
Wyeksportuj ten raport do arkusza kalkulacyjnego, wybierając wielokropek (trzy kropki) w prawym górnym rogu raportu, a następnie wybierając pozycję Eksportuj do programu Excel.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz Deploy the Microsoft Sentinel solution for SAP applications from the content hub and Microsoft Sentinel solution for SAP applications: security content reference (Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP: dokumentacja zawartości zabezpieczeń).