Interrupção automática de ataques para SAP (visualização)
O Microsoft Defender XDR correlaciona milhões de sinais individuais para identificar campanhas ativas de ransomware ou outros ataques sofisticados no ambiente com alta confiança. Enquanto um ataque está em andamento, o Defender XDR interrompe o ataque contendo automaticamente os ativos comprometidos que o invasor está usando por meio da interrupção automática do ataque. A interrupção automática do ataque limita o movimento lateral logo no início e reduz o impacto geral de um ataque, desde os custos associados até a perda de produtividade. Ao mesmo tempo, deixa as equipes de operações de segurança no controle total de investigar, remediar e colocar ativos on-line novamente.
Quando você adiciona um novo sistema SAP ao Microsoft Sentinel, sua configuração padrão inclui a funcionalidade de interrupção de ataque na plataforma unificada de operações de segurança. Este artigo descreve como garantir que seu sistema SAP esteja pronto para suportar a interrupção automática de ataques para SAP no portal do Microsoft Defender.
Para uma demonstração em vídeo da interrupção de ataques para SAP, assista ao seguinte vídeo:
O conteúdo deste artigo destina-se às suas equipes de segurança, infraestrutura e SAP BASIS.
Nota
A interrupção de ataque requer um agente conector de dados e não é suportada pela solução SAP sem agente (visualização limitada).
Interrupção de ataques para SAP e a plataforma unificada de operações de segurança
A interrupção de ataques para SAP é configurada atualizando a versão do agente do conector de dados e garantindo que as funções relevantes sejam aplicadas no Azure e no sistema SAP. No entanto, a interrupção automática de ataques em si aparece apenas na plataforma unificada de operações de segurança no portal Microsoft Defender.
Para obter mais informações, consulte Interrupção automática de ataque no Microsoft Defender XDR.
Versão mínima do agente e funções necessárias
A interrupção automática de ataques para SAP exige:
- Uma versão do agente do conector de dados 90847355 ou superior.
- A identidade da VM do agente do conector de dados deve ser atribuída às funções Microsoft Sentinel Business Applications Agent, Operator e Reader Azure.
- A função SAP /MSFTSEN/SENTINEL_RESPONDER deve ser aplicada ao seu sistema SAP e atribuída à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel.
Para usar a interrupção de ataque para SAP, implante um novo agente ou atualize seu agente atual para a versão mais recente. Certifique-se de atribuir as funções Microsoft Sentinel Business Applications Agent, Operator e Reader Azure e a função /MSFTSEN/SENTINEL_RESPONDER SAP, conforme necessário.
Para obter mais informações, consulte:
- Conecte seu sistema SAP ao Microsoft Sentinel
- Atualize o agente do conector de dados SAP do Microsoft Sentinel, especialmente Atualize seu sistema para interrupção de ataques
Conteúdos relacionados
Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender (visualização).