Compartilhar via


Interrupção automática de ataque para SAP (versão prévia)

O Microsoft Defender XDR correlaciona milhões de sinais individuais para identificar campanhas de ransomware ativas ou outros ataques sofisticados no ambiente com alta confiança. Enquanto um ataque está em andamento, o Defender XDR interrompe o ataque contendo automaticamente ativos comprometidos que o invasor está usando por meio de interrupção automática de ataque. A interrupção automática do ataque limita o movimento lateral no início e reduz o impacto geral de um ataque, desde custos associados até perda de produtividade. Ao mesmo tempo, ele deixa as equipes de operações de segurança no controle total de investigar, corrigir e colocar ativos online novamente.

Ao adicionar um novo sistema SAP ao Microsoft Sentinel, sua configuração padrão inclui a funcionalidade de interrupção de ataque na plataforma unificada de operações de segurança. Este artigo descreve como garantir que seu sistema SAP esteja pronto para dar suporte à interrupção automática de ataque para SAP no portal do Microsoft Defender.

Para uma demonstração em vídeo de interrupção de ataque para SAP, assista ao seguinte vídeo:

O conteúdo deste artigo é destinado às suas equipes de segurança, infraestrutura e SAP BASIS.

Observação

A interrupção de ataques requer um agente de conector de dados e não é compatível com a solução sem agente SAP (visualização limitada).

Interrupção de ataques para SAP e a plataforma unificada de operações de segurança

A interrupção de ataques para SAP é configurada pela atualização da versão do agente do conector de dados e pela garantia de que as funções relevantes sejam aplicadas no Azure e no sistema SAP. No entanto, a própria interrupção automática de ataques aparece apenas na plataforma de operações de segurança unificada no portal do Microsoft Defender.

Para obter mais informações, consulte Interrupção automática de ataque no Microsoft Defender XDR.

Versão mínima do agente e funções necessárias

A interrupção automática de ataques para SAP requer:

  • Uma versão do agente do conector de dados 90847355 ou superior.
  • A identidade da sua VM do agente do conector de dados deve ser atribuída às funções Operador do Agente de Aplicativos de Negócios do Microsoft Sentinel e Leitor do Azure.
  • A função SAP /MSFTSEN/SENTINEL_RESPONDER deve ser aplicada ao seu sistema SAP e atribuída à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel.

Para usar a interrupção de ataque para SAP, implante um novo agente ou atualize seu agente atual para a versão mais recente. Certifique-se de atribuir as funções Operador do Agente de Aplicativos de Negócios do Microsoft Sentinel e Leitor do Azure e a função SAP /MSFTSEN/SENTINEL_RESPONDER, conforme necessário.

Para saber mais, veja:

Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender (versão prévia).