Интеграция SAP между несколькими рабочими областями
При настройке рабочей области Log Analytics для Microsoft Sentinel необходимо учитывать несколько вариантов архитектуры и факторов. Учитывая географию, регулирование, управление доступом и другие факторы, вы можете выбрать несколько рабочих областей в организации.
При работе с SAP команды SAP и SOC могут потребоваться работать в отдельных рабочих областях для поддержания границ безопасности. Возможно, команда SAP не будет иметь представление обо всех других журналах безопасности в вашей организации. Однако команда SAP BASE играет важную роль в успешной реализации и обслуживании решения Microsoft Sentinel для приложений SAP. Их технические знания необходимы для эффективного мониторинга систем SAP, настройки параметров безопасности и обеспечения правильности процедур реагирования на инциденты. По этой причине команда SAP BASIS должна иметь доступ к рабочей области Log Analytics, включенной для Microsoft Sentinel, что позволяет им сотрудничать с командой SOC, уделяя особое внимание мониторингу безопасности, связанному с SAP.
В этой статье описывается, как работать с решением Microsoft Sentinel для приложений SAP в нескольких рабочих областях с улучшенной гибкостью:
- Поставщики управляемых служб безопасности (MSSPs) или глобальный или федеративный центр управления безопасностью (SOC).
- Требования к месту расположения данных.
- Иерархия организации и ИТ-проектирование.
- Недостаточно управления доступом на основе ролей (RBAC) в одной рабочей области.
Внимание
Работа с несколькими рабочими областями в настоящее время находится в предварительной версии. Эта функция предоставляется без соглашения об уровне обслуживания. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.
Примечание.
Поддержка нескольких рабочих областей доступна только с агентом соединителя данных и не поддерживается в решении SAP без агента (ограниченная предварительная версия).
Данные SAP и SOC, поддерживаемые в отдельных рабочих областях
Если команды SAP и SOC имеют отдельные рабочие области Log Analytics в Microsoft Sentinel, где хранятся данные группы, рекомендуется предоставить некоторые или все члены команды SOC с ролью читателя Sentinel для рабочей области группы SAP BASIS. Это позволяет обеим командам просматривать данные SAP с помощью запросов между рабочими областями.
Обслуживание отдельных рабочих областей для данных SAP и SOC имеет следующие преимущества:
| Преимущества | Description |
|---|---|
| Оповещения | Microsoft Sentinel может активировать оповещения, которые включают как данные SOC, так и SAP, и они могут запускать эти оповещения в рабочей области SOC. |
| Изоляция данных | Команда SAP BASIS имеет собственную рабочую область, которая включает все функции, кроме обнаружения, которые включают как SOC, так и данные SAP. SOC может просматривать и исследовать инциденты SAP. Если команда SAP BASIS сталкивается с событием, которое не может объяснить с помощью существующих данных, команда может назначить инцидент SOC. |
| Гибкость | Команда SAP BASIS может сосредоточиться на контроле внутренних угроз в своем ландшафте, и SOC может сосредоточиться на внешних угрозах. |
| Цены | Плата за прием не взимается, так как данные передаются только один раз в Microsoft Sentinel. Однако каждая рабочая область имеет собственную ценовую категорию. |
Следующая таблица сопоставляет данные и доступ к функциям для команд SAP и SOC, когда они поддерживают собственную рабочую область:
| Function | Команда SOC | Команда SAP BASIS |
|---|---|---|
| Доступ к рабочей области SOC | ✅ | ❌ |
| Доступ к данным рабочей области SAP, правилам аналитики, функциям, спискам наблюдения и книгам | ✅ | ✅* |
| Доступ к инцидентам SAP и совместная работа | ✅ | ✅* |
* Команда SOC может видеть эти функции в обеих рабочих областях. Команда SAP BASIS может видеть эти функции только в рабочей области SAP.
Примечание.
Выполнение запросов между рабочими областями в больших ландшафтах SAP может повлиять на производительность. Для повышения производительности и оптимизации затрат рекомендуется использовать рабочие области SOC и SAP в одном выделенном кластере. Дополнительные сведения см. в статье "Создание выделенного кластера и управление ими" в журналах Azure Monitor.
Данные SAP и SOC, поддерживаемые в одной рабочей области
Вы можете сохранить все данные в одной рабочей области и применить элементы управления доступом, чтобы определить, кто в вашей команде может получить доступ к данным.
Для этого выполните следующее:
Используйте Log Analytics в Azure Monitor для управления доступом к данным по ресурсам. Дополнительные сведения см. в статье Управление доступом к данным Microsoft Sentinel по ресурсам.
Связывание ресурсов SAP с идентификатором ресурса Azure. Этот параметр поддерживается только для агента соединителя данных, развернутого с помощью интерфейса командной строки. Укажите необходимое
azure_resource_idполе в разделе конфигурации соединителя в сборщике данных, используемом для приема данных из системы SAP в Microsoft Sentinel. Дополнительные сведения см. в разделе "Развертывание агента соединителя данных SAP" из командной строки и конфигурации соединителя.
После настройки агента сборщика данных с правильным идентификатором ресурса команда SAP BASIS может получить доступ к определенным данным SAP в рабочей области SOC с помощью запроса с областью ресурсов. Команда SAP BASIS не может читать другие типы данных, отличные от SAP.
С этим подходом нет затрат, так как данные обрабатываются только один раз в Microsoft Sentinel.
При управлении доступом по ресурсам команда SAP BASIS видит только необработанные и неформатированные данные, доступные через Log Analytics или Power BI. Команда SAP BASIS не может использовать какие-либо функции Microsoft Sentinel.
Связанный контент
Дополнительные сведения см. в статье "Развертывание решения Microsoft Sentinel для приложений SAP".