Kontrollera efterlevnaden för dina SAP-säkerhetskontroller med arbetsboken SAP – Security Audit Controls
Den här artikeln beskriver hur du kan använda arbetsboken SAP – Security Audit Controls för att övervaka och spåra efterlevnaden av ramverket för säkerhetskontroll i dina SAP-system, inklusive följande funktioner:
- Se rekommendationer om vilka analysregler som ska aktiveras och aktivera dem på plats med rätt förinställd konfiguration.
- Associera dina analysregler med SOX- eller NIST-kontrollramverket eller använd ditt eget anpassade kontrollramverk.
- Granska incidenter och aviseringar som sammanfattas av kontroll, enligt det valda kontrollramverket.
- Exportera relevanta incidenter för ytterligare analys i gransknings- och rapporteringssyfte.
Till exempel:
Innehållet i den här artikeln är avsett för ditt säkerhetsteam .
Förutsättningar
Innan du kan börja använda SAP – Säkerhetsgranskningsloggen och arbetsboken För inledande åtkomst måste du ha:
Microsoft Sentinel-lösningen för SAP-programlösningen installerad och en dataanslutningsagent distribuerad. Mer information finns i Distribuera Microsoft Sentinel-lösning för SAP-program.
ARBETSboken SAP Audit Controls som är installerad på Log Analytics-arbetsytan är aktiverad för Microsoft Sentinel. Mer information finns i Och Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel.
Minst en incident på din arbetsyta, med minst en post tillgänglig i
SecurityIncidenttabellen. Detta behöver inte vara en SAP-incident och du kan generera en demoincident med hjälp av en grundläggande analysregel om du inte har någon annan.
Visa en demo
Visa en demonstration av den här arbetsboken:
Mer information finns i Microsoft Security Community YouTube-kanalen:
Filter som stöds
ARBETSboken FÖR SAP-granskningskontroller stöder följande filter som hjälper dig att fokusera på de data du behöver:
| Filteralternativ | beskrivning |
|---|---|
| Prenumeration och arbetsyta | Välj den arbetsyta vars SAP-systemefterlevnad du vill granska. Detta kan vara en annan arbetsyta än där Microsoft Sentinel distribueras. |
| Tiden då incidenten skapades | Välj ett intervall från de senaste fyra timmarna till de senaste 30 dagarna, eller ett anpassat intervall som du fastställer. |
| Andra incidentattribut, inklusive status, allvarlighetsgrad, taktik, ägare | För var och en av dessa väljer du bland de tillgängliga alternativen, vilket motsvarar de värden som representeras i incidenterna i det valda tidsintervallet. |
| Systemroller | SAP-systemrollerna, till exempel Produktion. |
| Systemanvändning | SAP-systemanvändningen, till exempel SAP ERP. |
| System | Välj alla SAP-system-ID:er, ett specifikt system-ID eller flera system-ID:t. |
| Kontrollramverk, Kontrollfamiljer, Kontroll-ID:t | Välj det kontrollramverk som du vill utvärdera din täckning med och de specifika kontroller som du vill filtrera arbetsboksdata med. |
Rekommendationer för datakvarhållning
Instrumentpanelerna FÖR SAP-granskningskontroller ger en aggregerad vy över incidenter och aviseringar baserat på tabellerna SecurityAlert och SecurityIncident, som som standard behåller 30 dagars data.
Överväg att förlänga kvarhållningsperioden för de här tabellerna så att den matchar organisationens efterlevnadskrav. Oavsett vilket val du väljer för kvarhållningsprincipen för dessa tabeller tas incidentdata aldrig bort, även om de kanske inte visas här. Aviseringsdata sparas enligt tabellens kvarhållningsprincip.
Den faktiska kvarhållningsprincipen för tabellerna SecurityAlert och SecurityIncident kan mycket väl definieras som något annat än standardvärdet 30 dagar. Se meddelandet om den blå skuggade bakgrunden i arbetsboken, som visar det faktiska tidsintervallet för data i tabellerna enligt deras aktuella kvarhållningsprincip.
Mer information finns i Konfigurera en datakvarhållningsprincip för en tabell på en Log Analytics-arbetsyta.
Fliken Konfigurera – skapa analysregler från mallar som ännu inte används
Tabellen Mallar som är redo att användas på fliken Konfigurera visar analysregelmallarna från Microsoft Sentinel-lösningen för SAP-program som ännu inte har implementerats som aktiva regler. Du kan behöva skapa dessa regler för att uppnå efterlevnad. Till exempel:
Som standard filtreras den här tabellen för SAP, där SAP har valts i listrutan Lösningsmallar. Välj alla eller alla andra lösningar i den här listrutan för att fylla i tabellen Mallar som är redo att användas ytterligare.
För varje rad i tabellen väljer du Visa för mer skrivskyddad information om regelkonfiguration.
Kolumnen Rekommenderad konfiguration visar syftet med regeln: är det tänkt att skapa incidenter för undersökning? Eller bara för att skapa aviseringar som ska hållas åt sidan och läggas till andra incidenter som ska användas som bevis i deras undersökningar?
Välj Aktivera regel i sidofönstret för att skapa en analysregel från mallen, med den rekommenderade konfigurationen redan inbyggd. Med den här funktionen kan du inte gissa dig till rätt konfiguration och definiera den manuellt.
Fliken Konfigurera – Visa eller ändra tilldelningar av säkerhetskontroll för dina analysregler
I tabellen Välj en regel som ska konfigureras på fliken Konfigurera visas en lista över aktiverade analysregler som är relevanta för SAP. Till exempel:
Kontrollera följande i tabellen:
Antalet och graflinjerna som genereras av varje regel i kolumnerna Incidenter och aviseringar . Identiska antal tyder på att aviseringsgruppering är inaktiverad.
Kolumnvärdena Incidenter och Källa för att förstå om regeln är inställd på att skapa incidenter .
Om den rekommenderade konfigurationen för en regel endast är Som avisering. I så fall kan du stänga av inställningen för incidentskapande i regeln.
Välj en regel för att visa ett informationsfönster med mer information. Till exempel:
Den övre delen av den här sidopanelen innehåller rekommendationer om aktivering eller inaktivering av incidentskapande i konfigurationen av analysregeln.
I nästa avsnitt i sidofönstret visas vilka säkerhetskontroller och kontrollfamiljer som regeln identifieras med för vart och ett av de tillgängliga ramverken.
- För SOX- och NIST-ramverken anpassar du kontrolltilldelningen genom att välja en annan kontroll- eller kontrollfamilj från de relevanta listrutorna.
- För anpassade ramverk anger du i de kontroller och kontrollfamiljer som du väljer i textrutorna MyOrg . Om du gör några ändringar väljer du Spara ändringar.
Om en viss analysregel inte har tilldelats någon säkerhetskontroll eller kontrollfamilj för ett visst ramverk uppmanas du att ange kontrollerna manuellt. När du har valt kontrollerna väljer du Spara ändringar.
Om du vill se resten av informationen om den valda regeln som den definieras för tillfället väljer du Regelöversikt.
Fliken Övervaka
Fliken Övervaka innehåller flera grafiska representationer av olika grupper av incidenter i din miljö som matchar filtren överst i arbetsboken:
Ett trendlinjediagram, märkt Incidenttrend, visar antalet incidenter över tid. Dessa incidenter grupperas och representeras av olika färgade linjer och skuggningar, som standard enligt kontrollfamiljen som representeras av regeln som genererade dem. Välj alternativa grupper för dessa incidenter från listrutan Detaljincidenter . Till exempel:
Hive-diagrammet Incidenter visar antalet incidenter grupperade på två sätt. Standardvärdena för SOX-ramverket är först av SOX Control-familjen, som är honungskakans matris med celler, och sedan av system-ID, som är varje cell i honungskakan. Välj olika villkor för att visa grupperingarna med hjälp av Drill by och And then by selectors (Granska efter och sedan efter väljare).
Zooma in i hive-grafen för att göra texten tillräckligt stor för att läsas tydligt och zooma ut för att se alla grupper tillsammans. Dra hela grafen om du vill se olika delar av den. Till exempel:
Fliken Rapport
Fliken Rapport innehåller en lista över alla incidenter i din miljö som matchar filtren överst i arbetsboken.
Incidenterna grupperas efter kontrollfamilj och kontroll-ID.
Länken i kolumnen Incident-URL öppnar ett nytt webbläsarfönster som är öppet för incidentundersökningssidan för incidenten. Den här länken är beständig och fungerar oavsett kvarhållningsprincip för tabellen SecurityIncident .
Rulla ned till slutet av fönstret (den yttre rullningslisten) för att se den vågräta rullningslisten, som du kan använda för att se resten av kolumnerna i rapporten.
Exportera den här rapporten till ett kalkylblad genom att välja ellipsen (de tre punkterna) i det övre högra hörnet av rapporten och sedan välja Exportera till Excel.
Relaterat innehåll
Mer information finns i Distribuera Microsoft Sentinel-lösningen för SAP-program från innehållshubben och Microsoft Sentinel-lösningen för SAP-program: referens för säkerhetsinnehåll.