使用 SAP - 安全性稽核控件活頁簿檢查 SAP 安全性控制件的合規性
本文說明如何使用 SAP - 安全性稽核控件 活頁簿來監視和追蹤 SAP 系統的安全性控制架構合規性,包括下列功能:
- 請參閱要啟用哪些分析規則的建議,並使用適當的預設設定加以啟用。
- 將分析規則關聯至 SOX 或 NIST 控制項架構,或套用您自己的自定義控件架構。
- 根據選取的控制架構,檢閱依控件摘要的事件和警示。
- 匯出相關事件以進行進一步分析,以供稽核和報告之用。
例如:
本文中的內容適用於您的 安全性 小組。
必要條件
您必須先具備下列專案,才能開始使用 SAP - 安全性稽核記錄和初始存取 活頁簿:
適用於 SAP 的 Microsoft Sentinel 解決方案,以及已設定資料連接器。 如需詳細資訊,請參閱 部署 sap 應用程式的 Microsoft Sentinel 解決方案。
已在 Log Analytics 工作區中安裝的 SAP 稽核控件活頁簿已啟用 Microsoft Sentinel。 如需詳細資訊,請參閱 使用 sentinel Microsoft 中的活頁簿,以可視化方式檢視和監視您的數據。
工作區中至少有一個事件,數據表中
SecurityIncident至少有一個專案可用。 這不需要是 SAP 事件,而且如果您沒有其他分析規則,您可以使用基本分析規則來產生示範事件。
建議您設定 稽核記錄中所有 訊息的稽核,而不只是特定記錄。 擷取成本差異通常最少,數據對於Microsoft Sentinel 偵測和入侵後調查和搜捕很有用。 如需詳細資訊,請參閱 設定 SAP 稽核。
檢視示範
檢視此活頁簿的示範:
如需詳細資訊,請參閱 Microsoft Security Community YouTube 頻道:
支援的篩選器
SAP Audit Controls 活頁簿支援下列篩選,以協助您專注於所需的數據:
| 篩選選項 | 描述 |
|---|---|
| 訂用 帳戶和 工作區 | 選取您想要稽核其 SAP 系統合規性的工作區。 這可以是與部署Microsoft Sentinel 不同的工作區。 |
| 事件建立時間 | 選取從過去 4 小時到過去 30 天的範圍,或您決定的自定義範圍。 |
| 其他事件屬性,包括狀態、嚴重性、策略、擁有者 | 針對每個選項,請從可用的選項中選取,這些選項會對應至所選時間範圍內事件中所表示的值。 |
| 系統角色 | SAP 系統角色,例如 生產環境。 |
| 系統使用方式 | SAP 系統使用量,例如 SAP ERP。 |
| 系統 | 選取所有 SAP 系統識別碼、特定系統識別碼或多個系統識別碼。 |
| 控制架構、 控制項系列、 控制器標識碼 | 選取您想要評估涵蓋範圍的控件架構,以及您想要篩選活頁簿數據的特定控件。 |
數據保留建議
SAP 稽核控件儀錶板會根據 SecurityAlert 和 SecurityIncident 數據表提供事件和警示的匯總檢視,預設會保留 30 天的數據。
請考慮延長這些數據表的保留期限,以符合貴組織的合規性需求。 無論您為這些數據表的保留原則做出何種選擇,事件數據都不會被刪除,但可能不會顯示於此。 警示數據會根據數據表的保留原則保留。
SecurityAlert 和 SecurityIncident 數據表的實際保留原則可能定義為預設 30 天以外的專案。 查看活頁簿中藍色陰影背景的通知,根據數據表目前的保留原則顯示數據表中實際時間範圍的數據。
如需詳細資訊,請參閱 在Log Analytics工作區中設定數據表的數據保留原則。
設定索引標籤 - 從尚未使用的範本建立分析規則
[設定] 索引標籤上的 [準備使用範本] 資料表會顯示尚未實作為使用中規則之 SAP 應用程式Microsoft Sentinel 解決方案的分析規則範本。 您可能需要建立這些規則,以達到合規性。 例如:
根據預設,此數據表會篩選為 SAP,並在 [解決方案範本] 中選取 [SAP] 來設定下拉式清單。 從此下拉式清單中選取任何其他解決方案,以填入 可供進一步使用之數據表的 範本。
針對數據表中的每個數據列,選取 [檢視 ] 以取得更多有關規則設定的只讀詳細數據。
建議的組 態 數據行會顯示規則的用途:是否要建立 事件 以供調查? 還是只建立要擱置的警示,並新增至其他事件,以作為調查的證據?
選取 側邊窗格中的 [啟用規則 ],從範本建立分析規則,並已內建建議的組態。 這項功能可讓您無法猜測正確的組態,並 手動定義。
設定索引標籤 - 檢視或變更分析規則的安全性控制指派
在 [設定] 索引標籤上選取要設定資料表的規則會顯示與 SAP 相關的已啟動分析規則清單。 例如:
在資料表中,檢查:
事件和警示數據行中每個規則所產生的計數和圖表線。 相同的計數表示已 停用警示群組。
事件和來源資料行值,以了解規則是否設定為建立事件
規則的建議設定是否為僅限警示。 如果是,請考慮 關閉規則中的事件建立設定 。
選取規則以檢視具有詳細資訊的詳細數據窗格。 例如:
此側面板的上半部有關於在分析規則設定中啟用或停用事件建立的建議。
側邊窗格的下一節會針對每個可用的架構,顯示規則識別的安全性控件和控件系列。
- 針對 SOX 和 NIST 架構,請從相關的下拉式清單選擇不同的控件或控件系列,以自定義控件指派。
- 針對自定義架構,請在 [MyOrg] 文字框中輸入您選擇的控件和控件系列。 如果您進行任何變更,請選取 [ 儲存變更]。
如果特定分析規則尚未為指定的架構指派安全性控制項或控件系列,系統會提示您手動設定控制件。 選取控件之後,請選取 [ 儲存變更]。
若要查看目前所定義之所選規則的其餘詳細數據,請選取 [ 規則概觀]。
監視索引標籤
[ 監視] 索引標籤包含環境中事件之各種群組的圖形表示法,這些群組符合活頁簿頂端的篩選條件:
標示為 事件趨勢的趨勢線圖會顯示一段時間的事件數目。 這些事件會分組,並以不同的彩色線條和底紋表示,根據產生的規則所代表的控制系列。 從 [詳細數據事件] 下拉式清單中選取這些事件的替代群組。 例如:
事件 Hive 圖表顯示以兩種方式分組的事件數目。 SOX 架構的預設值先是 SOX 控制件系列,這是 儲存格的 Honeycomb 數位列,然後是 系統識別碼,也就是 Honeycomb 中的每個儲存格。 使用 [鑽研依據] 和 [選取器],選取要顯示群組的不同準則。
放大Hive圖形,讓文字夠大而清楚閱讀,並縮小以查看所有群組在一起。 拖曳整個圖表以查看其不同部分。 例如:
報表索引標籤
[報表] 索引標籤包含環境中符合活頁簿頂端篩選條件的所有事件清單。
事件會依控制系列和控制標識碼分組。
[事件 URL] 資料行中的鏈接會開啟新的瀏覽器視窗,並開啟該事件的事件調查頁面。 此鏈接是持續性的,無論 SecurityIncident 數據表的保留原則為何,都會運作。
向下捲動到視窗結尾(外部滾動條)以查看水平滾動條,您可以使用它來查看報表中其餘的數據行。
選取報表右上角的省略號(三個點),然後選取 [匯出至 Excel],將此報表匯出至電子錶格。
![活頁簿中 [報表] 索引卷標的螢幕快照。](media/sap-audit-controls-workbook/incidents-report.png)
![活頁簿中 [報表] 索引卷標的螢幕快照。](media/sap-audit-controls-workbook/incidents-report.png#lightbox)
相關內容
如需詳細資訊,請參閱 從內容中樞 部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案和 適用於 SAP 應用程式的 Microsoft Sentinel 解決方案:安全性內容參考。