Integrowanie oprogramowania SAP w wielu obszarach roboczych
Po skonfigurowaniu obszaru roboczego usługi Log Analytics dla usługi Microsoft Sentinel należy wziąć pod uwagę wiele opcji architektury i czynników. Biorąc pod uwagę lokalizację geograficzną, regulację, kontrolę dostępu i inne czynniki, możesz wybrać wiele obszarów roboczych w organizacji.
Podczas pracy z oprogramowaniem SAP zespoły SAP i SOC mogą wymagać pracy w oddzielnych obszarach roboczych, aby zachować granice zabezpieczeń. Zespół SAP może nie mieć wglądu w wszystkie inne dzienniki zabezpieczeń w całej organizacji. Jednak zespół SAP BASIS odgrywa kluczową rolę w pomyślnym wdrożeniu i utrzymaniu rozwiązania Microsoft Sentinel dla aplikacji SAP. Ich wiedza techniczna jest niezbędna do efektywnego monitorowania systemów SAP, konfigurowania ustawień zabezpieczeń i zapewniania, że obowiązują odpowiednie procedury reagowania na zdarzenia. Z tego powodu zespół SAP BASIS musi mieć dostęp do obszaru roboczego usługi Log Analytics włączonego dla usługi Microsoft Sentinel, co pozwoli im współpracować z zespołem SOC, koncentrując się specjalnie na monitorowaniu zabezpieczeń związanych z oprogramowaniem SAP.
W tym artykule omówiono sposób pracy z rozwiązaniem Microsoft Sentinel dla aplikacji SAP w wielu obszarach roboczych z większą elastycznością:
- Zarządzani dostawcy usług zabezpieczeń (MSSPs) lub globalne lub federacyjne centrum operacji zabezpieczeń (SOC).
- Wymagania dotyczące rezydencji danych.
- Hierarchia organizacyjna i projekt IT.
- Niewystarczająca kontrola dostępu oparta na rolach (RBAC) w jednym obszarze roboczym.
Ważne
Praca z wieloma obszarami roboczymi jest obecnie dostępna w wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.
Uwaga
Obsługa wielu obszarów roboczych jest dostępna tylko w przypadku agenta łącznika danych i nie jest obsługiwana w przypadku rozwiązania bez agenta SAP (ograniczona wersja zapoznawcza).
Dane SAP i SOC przechowywane w oddzielnych obszarach roboczych
Jeśli zespoły SAP i SOC mają włączone oddzielne obszary robocze usługi Log Analytics dla usługi Microsoft Sentinel, w których są przechowywane dane zespołu, zalecamy podanie niektórych lub wszystkich członków zespołu SOC z rolą Czytelnik usługi Sentinel dla obszaru roboczego zespołu SAP BASIS. Dzięki temu oba zespoły mogą wyświetlać dane SAP przy użyciu zapytań między obszarami roboczymi.
Obsługa oddzielnych obszarów roboczych dla danych SAP i SOC ma następujące korzyści:
| Korzyści | opis |
|---|---|
| Alerty | Usługa Microsoft Sentinel może wyzwalać alerty, które obejmują zarówno dane SOC, jak i SAP, i mogą uruchamiać te alerty w obszarze roboczym SOC. |
| Izolacja danych | Zespół SAP BASIS ma własny obszar roboczy, który zawiera wszystkie funkcje, z wyjątkiem wykrywania, które obejmują zarówno dane SOC, jak i SAP. SoC może wyświetlać i badać zdarzenia SAP. Jeśli zespół SAP BASIS stoi przed zdarzeniem, które nie może wyjaśnić przy użyciu istniejących danych, zespół może przypisać zdarzenie do SOC. |
| Elastyczność | Zespół SAP BASIS może skupić się na kontroli zagrożeń wewnętrznych w swoim krajobrazie, a SOC może skupić się na zagrożeniach zewnętrznych. |
| Cennik | Nie ma dodatkowych opłat za pozyskiwanie, ponieważ dane są pozyskiwane tylko raz w usłudze Microsoft Sentinel. Jednak każdy obszar roboczy ma własną warstwę cenową. |
Poniższa tabela mapuje dostęp do danych i funkcji dla zespołów SAP i SOC, gdy każda z nich utrzymuje własny obszar roboczy:
| Function | Zespół SOC | Zespół SAP BASIS |
|---|---|---|
| Dostęp do obszaru roboczego SOC | ✅ | ❌ |
| Dane obszaru roboczego SAP, reguły analizy, funkcje, listy kontrolne i dostęp do skoroszytów | ✅ | ✅* |
| Dostęp do zdarzeń i współpraca w oprogramowaniu SAP | ✅ | ✅* |
* Zespół SOC może zobaczyć te funkcje w obu obszarach roboczych. Zespół SAP BASIS może zobaczyć te funkcje tylko w obszarze roboczym SAP.
Uwaga
Uruchamianie zapytań między obszarami roboczymi w większych środowiskach SAP może mieć wpływ na wydajność. W celu zwiększenia wydajności i optymalizacji kosztów rozważ użycie zarówno obszarów roboczych SOC, jak i SAP w tym samym dedykowanym klastrze. Aby uzyskać więcej informacji, zobacz Tworzenie dedykowanego klastra i zarządzanie nim w dziennikach usługi Azure Monitor.
Dane SAP i SOC przechowywane w tym samym obszarze roboczym
Możesz zachować wszystkie dane w jednym obszarze roboczym i zastosować mechanizmy kontroli dostępu, aby określić, kto w zespole może uzyskać dostęp do danych.
W tym celu wykonaj następujące czynności:
Usługa Log Analytics w usłudze Azure Monitor umożliwia zarządzanie dostępem do danych według zasobów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do danych usługi Microsoft Sentinel według zasobu.
Kojarzenie zasobów SAP z identyfikatorem zasobu platformy Azure. Ta opcja jest obsługiwana tylko w przypadku agenta łącznika danych wdrożonego za pośrednictwem interfejsu wiersza polecenia. Określ wymagane
azure_resource_idpole w sekcji konfiguracji łącznika w module zbierającym dane używane do pozyskiwania danych z systemu SAP do usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wdrażanie agenta łącznika danych SAP z poziomu wiersza polecenia i konfiguracji łącznika.
Po skonfigurowaniu agenta modułu zbierającego dane z prawidłowym identyfikatorem zasobu zespół SAP BASIS może uzyskać dostęp do określonych danych SAP w obszarze roboczym SOC przy użyciu zapytania o zakresie zasobów. Zespół SAP BASIS nie może odczytać żadnego z innych typów danych innych niż SAP.
Nie ma żadnych kosztów związanych z tym podejściem, ponieważ dane są pozyskiwane tylko raz do usługi Microsoft Sentinel.
Gdy zarządzasz dostępem według zasobów, zespół SAP BASIS widzi tylko nieprzetworzone i niesformatowane dane, dostępne za pośrednictwem usługi Log Analytics lub Power BI. Zespół SAP BASIS nie może używać żadnych funkcji usługi Microsoft Sentinel.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP.