Integrar o SAP em vários workspaces
Ao configurar seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel, você tem várias opções de arquitetura e fatores a considerar. Levando em consideração geografia, regulamentação, controle de acesso e outros fatores, você pode optar por ter vários espaços de trabalho em sua organização.
Ao trabalhar com o SAP, suas equipes do SAP e SOC talvez precisem trabalhar em workspaces separados para manter os limites de segurança. Talvez você não queira que a equipe do SAP tenha visibilidade sobre todos os outros logs de segurança da sua organização. No entanto, a equipe do SAP Basis desempenha um papel fundamental na implementação e manutenção bem-sucedida da solução do Microsoft Sentinel para aplicativos SAP. Seu conhecimento técnico é essencial para monitorar efetivamente os sistemas SAP, definir configurações de segurança e garantir que os procedimentos adequados de resposta a incidentes estejam em vigor. Por esse motivo, a equipe do SAP Basis deve ter acesso ao workspace do Log Analytics habilitado para o Microsoft Sentinel, permitindo que seus membros colaborem com a equipe do SOC, focando especificamente no monitoramento de segurança relacionado ao SAP.
Este artigo discute como trabalhar com a solução do Microsoft Sentinel para aplicativos SAP em vários workspaces, com maior flexibilidade para:
- MSSPs (provedores de serviços de segurança gerenciada) ou um SOC (centro de operações de segurança) global ou federado.
- Requisitos de residência de dados.
- Design de hierarquia organização e TI.
- RBAC (controle de acesso baseado em função) insuficiente em um único workspace.
Importante
O trabalho com vários workspaces está atualmente em versão prévia. O recurso é fornecido sem um Contrato de Nível de Serviço. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.
Observação
O suporte a vários workspaces está disponível apenas com o agente do conector de dados e não tem suporte com a solução sem agente do SAP (versão prévia limitada).
Dados do SAP e SOC mantidos em workspaces separados
Se as suas equipes SAP e SOC tiverem workspaces separados do Log Analytics habilitados para o Microsoft Sentinel em que os dados da equipe são mantidos, recomendamos que você forneça a alguns ou a todos os membros da equipe do SOC a função Leitor do Sentinel para o workspace da equipe do SAP Basis. Isso permite que ambas as equipes vejam dados do SAP usando consultas entre workspaces.
A manutenção de workspaces separados para os dados do SAP e SOC tem os seguintes benefícios:
| Benefício | Descrição |
|---|---|
| Alertas | O Microsoft Sentinel pode disparar alertas que incluem dados SOC e SAP e executar esses alertas no workspace SOC. |
| Isolamento de dados | A equipe do SAP Basis tem seu próprio workspace que inclui todos os recursos, exceto detecções que incluem dados do SOC e SAP. O SOC pode ver e investigar incidentes SAP. Se a equipe do SAP Basis enfrentar um evento que ela não puder explicar usando dados existentes, a equipe poderá atribuir o incidente ao SOC. |
| Flexibilidade | A equipe do SAP Basis pode se concentrar no controle de ameaças internas em seu cenário, e o SOC pode se concentrar em ameaças externas. |
| Preços | Não há cobrança adicional por taxas de ingestão, pois os dados são ingeridos apenas uma vez no Microsoft Sentinel. No entanto, cada workspace tem seu próprio tipo de preço. |
A tabela a seguir mapeia dados e acesso de recursos para equipes do SAP e SOC quando cada uma delas mantém o seu próprio workspace:
| Função | Equipe do SOC | Equipe do SAP Basis |
|---|---|---|
| Acesso ao workspace do SOC | ✅ | ❌ |
| dados do workspace SAP, regras de análise, funções, watchlists e acesso a pastas de trabalho | ✅ | ✅* |
| Colaboração e acesso a incidentes SAP | ✅ | ✅* |
* A equipe do SOC pode ver essas funções em ambos os workspaces. A equipe do SAP Basis pode ver essas funções apenas no workspace do SAP.
Observação
A execução de consultas entre workspaces em cenários do SAP maiores pode afetar o desempenho. Para melhorar o desempenho e as otimizações de custo, considere ter os workspaces SOC e SAP no mesmo cluster dedicado. Para obter mais informações, confira Criar e gerenciar um cluster dedicado nos Logs do Azure Monitor.
Dados do SAP e SOC mantidos no mesmo workspace
Talvez você queira manter todos os dados em um único workspace e aplicar controles de acesso para determinar quem em sua equipe pode acessar os dados.
Para fazer isso, siga estas etapas:
Use o Log Analytics no Azure Monitor para gerenciar o acesso aos dados por recurso. Para saber mais, consulte Gerenciar o acesso aos dados do Microsoft Sentinel por recurso.
Associe recursos SAP a uma ID de recurso do Azure. Essa opção tem suporte apenas para um agente do conector de dados implantado por meio da CLI. Especifique o campo necessário
azure_resource_idna seção de configuração do conector no coletor de dados que você usa para ingerir dados do sistema SAP no Microsoft Sentinel. Para obter mais informações, consulte Implantar um agente do conector de dados SAP na linha de comando e na Configuração do Conector.
Depois que o agente do coletor de dados é configurado com a ID de recurso correta, a equipe do SAP Basis pode acessar os dados do SAP específicos no workspace do SOC usando uma consulta com escopo de recurso. A equipe sap basis não pode ler nenhum dos outros tipos de dados não SAP.
Não há custos associados a essa abordagem, pois os dados são ingeridos apenas uma vez no Microsoft Sentinel.
Quando você gerencia o acesso por recurso, a equipe do SAP Basis vê apenas dados brutos e não formatados, acessíveis por meio do Log Analytics ou do Power BI. A equipe do SAP BASIS não pode usar nenhum recurso do Microsoft Sentinel.
Conteúdo relacionado
Para obter mais informações, consulte Implantar Solução do Microsoft Sentinel para aplicativos SAP.