你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
SAP 的自动攻击中断(预览版)
Microsoft Defender XDR 将数百万个信号关联起来,以识别环境中活跃的勒索软件活动或其他复杂的攻击,具有很高的置信度。 当攻击正在进行中时,Defender XDR 会通过自动攻击中断自动遏制攻击者正在使用的受损资产来中断攻击。 自动攻击中断会提前限制横向移动,并减少攻击的总体影响,包括相关的金钱损失到生产力损失。 同时,它让安全运营团队能够完全控制调查、修正和使资产重新上线的过程。
将新的 SAP 系统添加到 Microsoft Sentinel 时,默认配置包括统一安全运营平台中的攻击中断功能。 本文介绍如何确保你的 SAP 系统已准备好在 Microsoft Defender 门户中支持 SAP 的自动攻击中断。
有关 SAP 攻击中断的视频演示,请观看以下视频:
本文中的内容适用于安全性、基础结构和 SAP BASIS 团队。
注意
攻击中断需要数据连接器代理,不支持 SAP 无代理解决方案(受限预览版)。
适用于 SAP 的攻击干扰和统一安全运营平台
适用于 SAP 的攻击干扰是通过更新数据连接器代理版本并确保在 Azure 和 SAP 系统中应用相关角色来配置的。 但是,自动攻击干扰本身只出现在 Microsoft Defender 门户的统一安全运营平台中。
有关详细信息,请参阅 Microsoft Defender XDR 中的自动攻击中断。
最低代理版本和所需角色
适用于 SAP 的自动攻击干扰需要:
- 版本为 90847355 或更高版本的一个数据连接器代理。
- 必须将你的数据连接器代理 VM 的标识分配给“Microsoft Sentinel Business Applications 代理操作员”和“读取者”Azure 角色。
- “/MSFTSEN/SENTINEL_RESPONDER”SAP 角色,必须应用于你的 SAP 系统,并分配给 Microsoft Sentinel 的 SAP 数据连接器代理使用的 SAP 用户帐户。
若要使用 SAP 的攻击中断,请部署新代理,或将当前代理更新到最新版本。 请确保根据需要分配“Microsoft Sentinel Business Applications 代理操作员”和“读取者”Azure 角色以及“/MSFTSEN/SENTINEL_RESPONDER”SAP 角色。
有关详细信息,请参阅:
相关内容
有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel(预览版)。