Verifique a conformidade dos seus controles de segurança SAP com a pasta de trabalho SAP - Controles de Auditoria de Segurança
Este artigo descreve como você pode usar a pasta de trabalho SAP - Controles de Auditoria de Segurança para monitorar e acompanhar a conformidade da estrutura de controle de segurança nos seus sistemas SAP, incluindo a seguinte funcionalidade:
- Veja recomendações sobre quais regras de análise habilitar e habilite-as com a configuração predefinida adequada.
- Associe suas regras de análise à estrutura de controle SOX ou NIST ou aplique sua própria estrutura de controle personalizada.
- Examine incidentes e alertas resumidos pelo controle, de acordo com a estrutura de controle selecionada.
- Exporte incidentes relevantes para análise posterior, para fins de auditoria e relatório.
Por exemplo:
O conteúdo deste artigo é destinado à sua equipe de segurança.
Pré-requisitos
Antes de você poder começar a usar a pasta de trabalho SAP - log de Auditoria de Segurança e Acesso Inicial , você deve ter:
Uma Solução do Microsoft Sentinel para SAP instalada e um conector de dados configurado. Para obter mais informações, consulte Implantar Solução do Microsoft Sentinel para aplicativos SAP.
A pasta de trabalho SAP Audit Controls instalada no seu workspace do Log Analytics habilitado para o Microsoft Sentinel. Para obter mais informações, consulte e Visualize e monitore seus dados usando pastas de trabalho no Microsoft Sentinel.
Pelo menos um incidente no seu workspace, com pelo menos uma entrada disponível na tabela
SecurityIncident
. Isso não precisa ser um incidente SAP e você pode gerar um incidente de demonstração usando uma regra de análise básica se não tiver outro.
Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, em vez de apenas logs específicos. As diferenças no custo de ingestão são geralmente mínimas e os dados são úteis para detecções do Microsoft Sentinel e em investigações e buscas pós-comprometimento. Para obter mais informações, veja Configurar auditoria SAP.
Exibir uma demonstração
Exibir uma demonstração desta pasta de trabalho:
Para obter mais informações, consulte Canal da Comunidade de Segurança da Microsoft Community no YouTube:
Filtros com suporte
A pasta de trabalho SAP Audit Controls dá suporte aos seguintes filtros para ajudar você a focar nos dados que precisa:
Opção de filtro | Descrição |
---|---|
Assinatura e Workspace | Selecione o workspace cuja conformidade dos sistemas SAP você deseja auditar. Esse pode ser um workspace diferente do local em que o Microsoft Sentinel é implantado. |
Tempo de criação do incidente | Selecione um intervalo entre as últimas quatro horas e os últimos 30 dias ou um intervalo personalizado que você determinar. |
Outros atributos do incidente, incluindo Status, Severidade, Táticas, Proprietário | Para cada uma delas, selecione entre as opções disponíveis, que correspondem aos valores representados nos incidentes no intervalo de tempo selecionado. |
Funções do sistema | As funções do sistema SAP, como Produção. |
Uso do sistema | O uso do sistema SAP, como SAP ERP. |
Sistemas | Selecione todas as IDs do sistema SAP, um ID de sistema específico ou várias IDs de sistema. |
Estrutura de controle, Famílias de controle, IDs de controle | Selecione a estrutura de controle pela qual você deseja avaliar sua cobertura e os controles específicos pelos quais você deseja filtrar os dados da pasta de trabalho. |
Recomendações de retenção de dados
Os painéis SAP Audit Controls fornecem uma exibição agregada de incidentes e alertas com base nas tabelas SecurityAlert e SecurityIncident, que, por padrão, retêm 30 dias de dados.
Considere estender o período de retenção dessas tabelas para corresponder aos requisitos de conformidade da sua organização. Independentemente da escolha que você fizer para a política de retenção dessas tabelas, os dados do incidente nunca são excluídos, embora possam não aparecer aqui. Os dados de alerta são mantidos de acordo com a política de retenção da tabela.
A política de retenção atual das tabelas SecurityAlert e SecurityIncident pode ser definida como algo diferente dos 30 dias padrão. Veja o aviso na tela de fundo sombreada de azul na pasta de trabalho, mostrando o intervalo de tempo real dos dados nas tabelas de acordo com a política de retenção atual.
Para obter mais informações, consulte Configurar uma política de retenção de dados para uma tabela em um workspace do Log Analytics.
Configurar guia - criar regras de análise a partir de modelos ainda não usados
A tabela Modelos prontos para uso na guia Configurar mostra os modelos de regra de análise da Solução do Microsoft Sentinel para aplicativos SAP que ainda não foram implementados como regras ativas. Você pode precisar criar essas regras para alcançar a conformidade. Por exemplo:
Por padrão, esta tabela é filtrada para SAP, com SAP selecionado na lista suspensa Modelos de solução para configurar. Selecione qualquer ou todas as outras soluções desta lista suspensa para preencher ainda mais a tabela Modelos prontos para uso.
Para cada linha na tabela, selecione Exibir para mais detalhes somente leitura sobre a configuração da regra.
A coluna Configuração recomendada mostra a finalidade da regra: ela destina-se a criar incidentes para investigação? Ou apenas para criar alertas a serem mantidos de lado e adicionados a outros incidentes a serem usados como evidência em suas investigações?
Selecione Ativar regra no painel lateral para criar uma regra de análise a partir do modelo, com a configuração recomendada já incorporada. Essa funcionalidade evita que você tenha que adivinhar a configuração correta e defini-la manualmente.
Configurar guia - Exibir ou alterar atribuições de controle de segurança das suas regras de análise
A tabela Selecione uma regra para configurar na guia Configurar mostra uma lista de regras de análise ativadas relevantes para o SAP. Por exemplo:
Na tabela, verifique:
As linhas de contagem e representar em gráfico geradas por cada regra nas colunas Incidentes e Alertas. Contagens idênticas sugerem que o agrupamento de alertas está desabilitado.
Os valores das colunas Incidentes e Origem para entender se a regra está definida para criar incidentes .
Se a Configuração recomendada para uma regra é Somente como alerta. Nesse caso, considere desativar a configuração de criação de incidentes na regra.
Selecione uma regra para exibir um painel de detalhes com mais informações. Por exemplo:
A parte superior deste painel lateral tem recomendações sobre habilitar ou desabilitar a criação de incidentes na configuração da regra de análise.
A próxima seção do painel lateral mostra quais controles de segurança e famílias de controle a regra está identificada, para cada uma das estruturas disponíveis.
- Para as estruturas SOX e NIST, personalize a atribuição de controle escolhendo um controle ou família de controle diferente nas listas suspensas relevantes.
- Para estruturas personalizadas, insira em controles e famílias de controle de sua escolha nas caixas de texto MyOrg. Se você fizer alterações, selecione Salvar alterações.
Se uma regra específica de análise não tiver um controle de segurança ou família de controle atribuído para uma estrutura específica, você será solicitado a definir os controles manualmente. Depois de selecionar os controles, selecione Salvar alterações.
Para ver o restante dos detalhes da regra selecionada, conforme definido no momento, selecione Visão geral da regra.
Guia Monitorar
A guia Monitorar contém várias representações gráficas de diferentes agrupamentos dos incidentes no seu ambiente que correspondem aos filtros no topo da pasta de trabalho:
Um gráfico de linhas de tendência, rotulado como Tendência de incidentes, mostra o número de incidentes ao longo do tempo. Esses incidentes são agrupados e representados por linhas e sombreamentos de cores diferentes, por padrão, de acordo com a família de controle representada pela regra que os gerou. Selecione agrupamentos alternativos para estes incidentes na lista suspensa Detalhar incidentes por. Por exemplo:
O grafo hive Incidentes mostra o número de incidentes agrupados de duas maneiras. Os padrões para a estrutura SOX são primeiro por Família de Controle SOX, que é a matriz honeycomb de células, e depois por ID do Sistema, que é cada célula na honeycomb. Selecione diferentes critérios pelos quais exibir os agrupamentos, usando os seletores Detalhar por e E então por.
Aplique zoom no gráfico hive para tornar o texto grande o suficiente para leitura clara e reduza para ver todos os agrupamentos juntos. Arraste todo o grafo para ver diferentes partes dele. Por exemplo:
Guia de relatório
A guia Relatório contém uma lista de todos os incidentes no seu ambiente que correspondem aos filtros na parte superior da pasta de trabalho.
Os incidentes são agrupados por família de controle e ID de controle.
O link na coluna URL do Incidente abre uma nova janela do navegador aberta na página de investigação de incidentes para esse incidente. Esse link é persistente e funcionará independentemente da política de retenção para a tabela SecurityIncident.
Role para baixo até o final da janela (a barra de rolagem externa) para ver a barra de rolagem horizontal, que você pode usar para ver o restante das colunas no relatório.
Exporte este relatório para uma planilha selecionando as reticências (os três pontos) no canto superior direito do relatório e, em seguida, selecionando Exportar para o Excel.
Conteúdo relacionado
Para obter mais informações, consulte Implantar a Solução do Microsoft Sentinel para aplicativos SAP a partir do hub de conteúdo e Solução do Microsoft Sentinel para aplicativos SAP: referência de conteúdo de segurança.