Integre o SAP em vários espaços de trabalho
Ao configurar seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel, você tem várias opções de arquitetura e fatores a considerar. Levando em consideração a geografia, a regulamentação, o controle de acesso e outros fatores, você pode optar por ter vários espaços de trabalho em sua organização.
Ao trabalhar com SAP, suas equipes SAP e SOC podem precisar trabalhar em espaços de trabalho separados para manter os limites de segurança. Talvez você não queira que a equipe SAP tenha visibilidade de todos os outros logs de segurança em sua organização. No entanto, a equipe SAP BASIS desempenha um papel crítico na implementação e manutenção bem-sucedidas da solução Microsoft Sentinel para aplicativos SAP. O seu conhecimento técnico é essencial para monitorizar eficazmente os sistemas SAP, definir definições de segurança e garantir a existência de procedimentos adequados de resposta a incidentes. Por esse motivo, a equipe do SAP BASIS deve ter acesso ao espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel, permitindo que eles colaborem com a equipe SOC enquanto se concentram especificamente no monitoramento de segurança relacionado ao SAP.
Este artigo descreve como trabalhar com a solução Microsoft Sentinel para aplicativos SAP em vários espaços de trabalho, com flexibilidade aprimorada para:
- Provedores de serviços de segurança gerenciados (MSSPs) ou um centro de operações de segurança (SOC) global ou federado.
- Requisitos de residência de dados.
- Hierarquia organizacional e desenho de TI.
- Controle de acesso baseado em função (RBAC) insuficiente em um único espaço de trabalho.
Importante
O trabalho com vários espaços de trabalho está atualmente em pré-visualização. Este recurso é fornecido sem um contrato de nível de serviço. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.
Nota
O suporte a vários espaços de trabalho está disponível apenas com o agente do conector de dados e não é suportado com a solução SAP sem agente (visualização limitada).
Dados SAP e SOC mantidos em espaços de trabalho separados
Se suas equipes SAP e SOC tiverem espaços de trabalho separados do Log Analytics habilitados para o Microsoft Sentinel onde os dados da equipe são mantidos, recomendamos que você forneça a alguns ou a todos os membros da equipe SOC a função Leitor do Sentinel para o espaço de trabalho da equipe SAP BASIS. Isso permite que ambas as equipes vejam os dados SAP usando consultas entre espaços de trabalho.
Manter espaços de trabalho separados para os dados SAP e SOC tem os seguintes benefícios:
| Benefício | Description |
|---|---|
| Alertas | O Microsoft Sentinel pode disparar alertas que incluem dados SOC e SAP e pode executar esses alertas no espaço de trabalho SOC. |
| Isolamento de dados | A equipe do SAP BASIS tem seu próprio espaço de trabalho que inclui todos os recursos, exceto deteções que incluem dados SOC e SAP. O SOC pode ver e investigar incidentes SAP. Se a equipe do SAP BASIS enfrentar um evento que não pode explicar usando dados existentes, a equipe poderá atribuir o incidente ao SOC. |
| Flexibilidade | A equipe SAP BASIS pode se concentrar no controle de ameaças internas em seu cenário, e o SOC pode se concentrar em ameaças externas. |
| Preços | Não há cobrança extra para taxas de ingestão, porque os dados são ingeridos apenas uma vez no Microsoft Sentinel. No entanto, cada espaço de trabalho tem seu próprio nível de preço. |
A tabela a seguir mapeia dados e acesso a recursos para equipes SAP e SOC quando cada uma mantém seu próprio espaço de trabalho:
| Function | Equipa SOC | Equipa SAP BASIS |
|---|---|---|
| Acesso ao espaço de trabalho SOC | ✅ | ❌ |
| Acesso a dados do espaço de trabalho SAP, regras de análise, funções, listas de observação e pastas de trabalho | ✅ | ✅* |
| Acesso a incidentes SAP e colaboração | ✅ | ✅* |
* A equipe SOC pode ver essas funções em ambos os espaços de trabalho. A equipe do SAP BASIS pode ver essas funções somente no espaço de trabalho SAP.
Nota
A execução de consultas entre espaços de trabalho em cenários SAP maiores pode afetar o desempenho. Para melhorar o desempenho e as otimizações de custos, considere ter os espaços de trabalho SOC e SAP no mesmo cluster dedicado. Para obter mais informações, consulte Criar e gerenciar um cluster dedicado nos Logs do Azure Monitor.
Dados SAP e SOC mantidos no mesmo espaço de trabalho
Talvez você queira manter todos os dados em um único espaço de trabalho e aplicar controles de acesso para determinar quem em sua equipe pode acessar os dados.
Para o fazer, utilize os passos seguintes:
Use o Log Analytics no Azure Monitor para gerenciar o acesso aos dados por recurso. Para obter mais informações, consulte Gerenciar o acesso aos dados do Microsoft Sentinel por recurso.
Associe recursos SAP a uma ID de recurso do Azure. Esta opção é suportada apenas para um agente de conector de dados implantado via CLI. Especifique o campo obrigatório
azure_resource_idna seção de configuração do conector no coletor de dados que você usa para ingerir dados do sistema SAP no Microsoft Sentinel. Para obter mais informações, consulte Implantar um agente do conector de dados SAP a partir da linha de comando e Configuração do conector.
Depois que o agente do coletor de dados é configurado com o ID de recurso correto, a equipe do SAP BASIS pode acessar os dados SAP específicos no espaço de trabalho SOC usando uma consulta com escopo de recurso. A equipe do SAP BASIS não pode ler nenhum dos outros tipos de dados que não sejam SAP.
Não há custos associados a essa abordagem porque os dados são ingeridos apenas uma vez no Microsoft Sentinel.
Quando você gerencia o acesso por recurso, a equipe do SAP BASIS vê apenas dados brutos e não formatados, acessíveis por meio do Log Analytics ou do Power BI. A equipe do SAP BASIS não pode usar nenhum recurso do Microsoft Sentinel.
Conteúdos relacionados
Para obter mais informações, consulte Implantar a solução Microsoft Sentinel para aplicativos SAP.