Verifique a conformidade de seus controles de segurança SAP com a pasta de trabalho SAP - Security Audit Controls
Este artigo descreve como você pode usar a pasta de trabalho SAP - Security Audit Controls para monitorar e acompanhar a conformidade da estrutura de controle de segurança em seus sistemas SAP, incluindo a seguinte funcionalidade:
- Veja recomendações sobre quais regras de análise habilitar e habilite-as com a configuração predefinida adequada.
- Associe suas regras de análise à estrutura de controle SOX ou NIST ou aplique sua própria estrutura de controle personalizada.
- Revise incidentes e alertas resumidos por controle, de acordo com a estrutura de controle selecionada.
- Exporte incidentes relevantes para análise posterior, para fins de auditoria e relatórios.
Por exemplo:
O conteúdo deste artigo destina-se à sua equipa de segurança .
Pré-requisitos
Antes de começar a usar o log SAP - Security Audit e a pasta de trabalho do Acesso Inicial, você deve ter:
Uma solução Microsoft Sentinel para SAP instalada e um conector de dados configurado. Para obter mais informações, consulte Implantar a solução Microsoft Sentinel para aplicativos SAP.
A pasta de trabalho SAP Audit Controls instalada no espaço de trabalho do Log Analytics habilitada para o Microsoft Sentinel. Para obter mais informações, consulte Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel.
Pelo menos um incidente em seu espaço de trabalho, com pelo menos uma entrada disponível na
SecurityIncidenttabela. Isso não precisa ser um incidente SAP, e você pode gerar um incidente de demonstração usando uma regra de análise básica se não tiver outra.
Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, em vez de apenas logs específicos. As diferenças de custo de ingestão são geralmente mínimas e os dados são úteis para deteções do Microsoft Sentinel e em investigações e caçadas pós-comprometimento. Para obter mais informações, consulte Configurar auditoria SAP.
Ver uma demonstração
Veja uma demonstração deste livro:
Para obter mais informações, consulte o canal do YouTube da Comunidade de Segurança da Microsoft:
Filtros suportados
A pasta de trabalho SAP Audit Controls suporta os seguintes filtros para ajudá-lo a se concentrar nos dados de que precisa:
| Opção de filtro | Description |
|---|---|
| Subscrição e Espaço de Trabalho | Selecione o espaço de trabalho cuja conformidade dos sistemas SAP você deseja auditar. Este pode ser um espaço de trabalho diferente daquele em que o Microsoft Sentinel está implantado. |
| Tempo de criação do incidente | Selecione um intervalo das últimas quatro horas até os últimos 30 dias ou um intervalo personalizado que você determinar. |
| Outros atributos do incidente, incluindo Status, Gravidade, Táticas, Proprietário | Para cada um deles, selecione entre as opções disponíveis, que correspondem aos valores representados nos incidentes no intervalo de tempo selecionado. |
| Funções do sistema | As funções do sistema SAP, como Produção. |
| Utilização do sistema | O uso do sistema SAP, como o SAP ERP. |
| Sistemas | Selecione todos os IDs do sistema SAP, um ID de sistema específico ou vários IDs do sistema. |
| Estrutura de controle, Famílias de controle, IDs de controle | Selecione a estrutura de controle pela qual você deseja avaliar sua cobertura e os controles específicos pelos quais você deseja filtrar os dados da pasta de trabalho. |
Recomendações de retenção de dados
Os painéis SAP Audit Controls fornecem uma visão agregada de incidentes e alertas com base nas tabelas SecurityAlert e SecurityIncident que, por padrão, retêm 30 dias de dados.
Considere estender o período de retenção dessas tabelas para que correspondam aos requisitos de conformidade da sua organização. Independentemente da escolha que você fizer para a política de retenção dessas tabelas, os dados do incidente nunca serão excluídos, embora possam não ser exibidos aqui. Os dados de alerta são mantidos de acordo com a política de retenção da tabela.
A política de retenção real das tabelas SecurityAlert e SecurityIncident pode muito bem ser definida como algo diferente dos 30 dias padrão. Consulte o aviso no plano de fundo sombreado azul na pasta de trabalho, mostrando o intervalo de tempo real de dados nas tabelas de acordo com sua política de retenção atual.
Para obter mais informações, consulte Configurar uma política de retenção de dados para uma tabela em um espaço de trabalho do Log Analytics.
Guia Configurar - crie regras de análise a partir de modelos ainda não utilizados
A tabela Modelos prontos para serem usados na guia Configurar mostra os modelos de regras de análise da solução Microsoft Sentinel para aplicativos SAP que ainda não foram implementados como regras ativas. Talvez seja necessário criar essas regras para alcançar a conformidade. Por exemplo:
Por padrão, essa tabela é filtrada para SAP, com SAP selecionado na lista suspensa Modelos de solução para configuração. Selecione qualquer uma ou todas as outras soluções nesta lista suspensa para preencher a tabela Modelos prontos para serem usados ainda mais.
Para cada linha da tabela, selecione Exibir para obter mais detalhes somente leitura sobre a configuração da regra.
A coluna Configuração recomendada mostra o objetivo da regra: destina-se a criar incidentes para investigação? Ou apenas para criar alertas a serem mantidos de lado e adicionados a outros incidentes para serem usados como prova em suas investigações?
Selecione Ativar regra no painel lateral para criar uma regra de análise a partir do modelo, com a configuração recomendada já incorporada. Esta funcionalidade poupa-lhe o trabalho de ter de adivinhar a configuração certa e defini-la manualmente.
Guia Configurar - Exibir ou alterar atribuições de controle de segurança de suas regras de análise
A tabela Selecione uma regra para configurar na guia Configurar mostra uma lista de regras de análise ativadas relevantes para o SAP. Por exemplo:
Na tabela, confira:
As linhas de contagem e gráfico geradas por cada regra nas colunas Incidentes e Alertas . Contagens idênticas sugerem que o agrupamento de alertas está desativado.
Os valores da coluna Incidentes e Origem para entender se a regra está definida para criar incidentes .
Se a configuração recomendada para uma regra é Somente como alerta. Em caso afirmativo, considere desativar a configuração de criação de incidentes na regra.
Selecione uma regra para exibir um painel de detalhes com mais informações. Por exemplo:
A parte superior deste painel lateral tem recomendações sobre como ativar ou desativar a criação de incidentes na configuração da regra de análise.
A próxima seção do painel lateral mostra com quais controles de segurança e famílias de controle a regra está identificada, para cada uma das estruturas disponíveis.
- Para as estruturas SOX e NIST, personalize a atribuição de controle escolhendo um controle ou família de controle diferente dos menus suspensos relevantes.
- Para estruturas personalizadas, insira controles e famílias de controle de sua escolha nas caixas de texto MyOrg . Se você fizer alterações, selecione Salvar alterações.
Se uma determinada regra de análise não tiver sido atribuída a um controle de segurança ou família de controle para uma determinada estrutura, você será solicitado a definir os controles manualmente. Depois de selecionar os controles, selecione Salvar alterações.
Para ver o restante dos detalhes da regra selecionada conforme definida atualmente, selecione Visão geral da regra.
Separador Monitorização
A guia Monitor contém várias representações gráficas de vários agrupamentos de incidentes em seu ambiente que correspondem aos filtros na parte superior da pasta de trabalho:
Um gráfico de linha de tendência, denominado Tendência de incidentes, mostra o número de incidentes ao longo do tempo. Esses incidentes são agrupados e representados por diferentes linhas coloridas e sombreamentos, por padrão, de acordo com a família de controle representada pela regra que os gerou. Selecione agrupamentos alternativos para esses incidentes na lista suspensa Detalhes de incidentes por . Por exemplo:
O gráfico da colmeia Incidentes mostra o número de incidentes agrupados de duas maneiras. Os padrões para a estrutura SOX são primeiro pela família SOX Control, que é a matriz de células em favo de mel, e depois pela ID do sistema, que é cada célula no favo de mel. Selecione diferentes critérios pelos quais exibir os agrupamentos, usando os seletores Drill by e And e, em seguida, And .
Aumente o zoom no gráfico da seção para tornar o texto grande o suficiente para ler com clareza e diminua o zoom para ver todos os agrupamentos juntos. Arraste o gráfico inteiro para ver diferentes partes dele. Por exemplo:
Guia Relatório
A guia Relatório contém uma lista de todos os incidentes em seu ambiente que correspondem aos filtros na parte superior da pasta de trabalho.
Os incidentes são agrupados por família de controle e ID de controle.
O link na coluna URL do incidente abre uma nova janela do navegador aberta para a página de investigação do incidente desse incidente. Esse link é persistente e funcionará independentemente da política de retenção para a tabela SecurityIncident .
Role para baixo até o final da janela (a barra de rolagem externa) para ver a barra de rolagem horizontal, que você pode usar para ver o restante das colunas no relatório.
Exporte este relatório para uma folha de cálculo selecionando as reticências (os três pontos) no canto superior direito do relatório e, em seguida, selecionando Exportar para Excel.
Conteúdos relacionados
Para obter mais informações, consulte Implantar a solução Microsoft Sentinel para aplicativos SAP a partir do hub de conteúdo e Solução Microsoft Sentinel para aplicativos SAP: referência de conteúdo de segurança.