Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives det, hvordan du kan bruge projektmappen SAP – Sikkerhedsovervågningskontrol til at overvåge og spore overholdelse af sikkerhedskontrolstrukturen på tværs af dine SAP-systemer, herunder følgende funktionalitet:
- Se anbefalinger til, hvilke analyseregler der skal aktiveres, og aktivér dem på plads med korrekt forudindstillet konfiguration.
- Knyt dine analyseregler til SOX- eller NIST-styringsstrukturen, eller anvend din egen brugerdefinerede kontrolelementstruktur.
- Gennemse hændelser og beskeder, der er opsummeret efter kontrolelement, i henhold til den valgte kontrolelementstruktur.
- Eksportér relevante hændelser til yderligere analyse med henblik på overvågning og rapportering.
Det kan f.eks. være:
Indholdet i denne artikel er beregnet til dit sikkerhedsteam .
Forudsætninger
Før du kan begynde at bruge SAP - Security Audit log og Initial Access-projektmappen , skal du have:
En Microsoft Sentinel løsning til SAP, der er installeret, og en dataconnector konfigureret. Du kan få flere oplysninger under Installér Microsoft Sentinel løsning til SAP-programmer.
Projektmappen SAP Audit Controls, der er installeret i dit Log Analytics-arbejdsområde, og som er aktiveret til Microsoft Sentinel. Du kan få flere oplysninger i og Visualiser og overvåg dine data ved hjælp af projektmapper i Microsoft Sentinel.
Mindst én hændelse i dit arbejdsområde, hvor mindst én post er tilgængelig i tabellen
SecurityIncident. Dette behøver ikke at være en SAP-hændelse, og du kan generere en demohændelse ved hjælp af en grundlæggende analyseregel, hvis du ikke har en anden.
Vi anbefaler, at du konfigurerer overvågning for alle meddelelser fra overvågningsloggen i stedet for kun specifikke logge. Forskelle i indtagelsesomkostninger er generelt minimale, og dataene er nyttige til Microsoft Sentinel opdagelser og i undersøgelser og jagt efter kompromiser. Du kan få flere oplysninger under Konfigurer SAP-overvågning.
Få vist en demo
Vis en demonstration af denne projektmappe:
Du kan få flere oplysninger på YouTube-kanalen Microsoft Security Community:
Understøttede filtre
Projektmappen SAP Audit Controls understøtter følgende filtre, så du kan fokusere på de data, du har brug for:
| Filterindstilling | Beskrivelse |
|---|---|
| Abonnement og arbejdsområde | Vælg det arbejdsområde, hvis SAP-systemers overholdelse, du vil overvåge. Dette kan være et andet arbejdsområde end det, hvor Microsoft Sentinel er installeret. |
| Tidspunkt for oprettelse af hændelse | Vælg et interval mellem de sidste fire timer og de seneste 30 dage eller et brugerdefineret interval, som du bestemmer. |
| Andre hændelsesattributter, herunder Status, Alvorsgrad, Taktik, Ejer | For hver af disse skal du vælge mellem de tilgængelige valg, der svarer til de værdier, der er repræsenteret i hændelserne i det valgte tidsinterval. |
| Systemroller | SAP-systemrollerne, f.eks . Produktion. |
| Systembrug | Brug af SAP-systemet, f.eks . SAP ERP. |
| Systemer | Vælg alle SAP-system-id'er, et bestemt system-id eller flere system-id'er. |
| Kontrolstruktur, kontrolfamilier, kontrol-id'er | Vælg den kontrolelementstruktur, som du vil evaluere dækningen efter, og de specifikke kontrolelementer, som du vil filtrere projektmappedataene efter. |
Anbefalinger til dataopbevaring
Sap Audit Controls-dashboards giver en samlet visning af hændelser og beskeder baseret på tabellerne SecurityAlert og SecurityIncident, som som standard bevarer data i 30 dage.
Overvej at forlænge opbevaringsperioden for disse tabeller, så de stemmer overens med organisationens krav til overholdelse af angivne standarder. Uanset hvad du vælger for opbevaringspolitikken for disse tabeller, slettes hændelsesdataene aldrig, selvom de muligvis ikke vises her. Beskeddata bevares i henhold til tabellens opbevaringspolitik.
Den faktiske opbevaringspolitik for tabellerne SecurityAlert og SecurityIncident kan meget vel defineres som noget andet end standard 30 dage. Se meddelelsen på den blå skyggelagte baggrund i projektmappen, hvor det faktiske tidsinterval for data i tabellerne vises i henhold til deres aktuelle opbevaringspolitik.
Du kan få flere oplysninger under Konfigurer en politik for dataopbevaring for en tabel i et Log Analytics-arbejdsområde.
Fanen Konfigurer – opret analyseregler ud fra skabeloner, der endnu ikke bruges
Tabellen Skabeloner, der er klar til brug under fanen Konfigurer, viser skabelonerne til analyseregler fra Microsoft Sentinel-løsningen til SAP-programmer, der endnu ikke er implementeret som aktive regler. Du skal muligvis oprette disse regler for at opnå overholdelse af angivne standarder. Det kan f.eks. være:
Denne tabel er som standard filtreret for SAP, hvor SAP er valgt på rullelisten Løsningsskabeloner til konfiguration . Vælg en eller alle andre løsninger på denne rulleliste for at udfylde de skabeloner, der er klar til brug i tabellen.
For hver række i tabellen skal du vælge Vis for at få flere skrivebeskyttede oplysninger om regelkonfiguration.
Kolonnen Anbefalet konfiguration viser formålet med reglen: Er det meningen, at der skal oprettes hændelser til undersøgelse? Eller kun for at oprette beskeder, der skal tilbageholdes og føjes til andre hændelser, der skal bruges som bevis i deres undersøgelser?
Vælg Aktivér regel i sideruden for at oprette en analyseregel fra skabelonen, hvor den anbefalede konfiguration allerede er indbygget. Denne funktionalitet sparer dig for at skulle gætte på den rigtige konfiguration og definere den manuelt.
Fanen Konfigurer – få vist eller rediger tildelinger af sikkerhedskontrol af dine analyseregler
Under Vælg en regel, der skal konfigureres tabel under fanen Konfigurer vises en liste over aktiverede analyseregler, der er relevante for SAP. Det kan f.eks. være:
I tabellen skal du kontrollere:
De antal og graflinjer, der genereres af hver regel i kolonnerne Hændelser og Beskeder . Identiske optællinger antyder, at gruppering af beskeder er deaktiveret.
Værdierne i kolonnen Incidents og Source for at forstå, om reglen er angivet til at oprette hændelser .
Angiver, om den anbefalede konfiguration for en regel kun er Som besked. Hvis det er tilfældet, kan du overveje at deaktivere indstillingen for oprettelse af hændelser i reglen.
Vælg en regel for at få vist en detaljerude med flere oplysninger. Det kan f.eks. være:
Den øverste del af dette sidepanel indeholder anbefalinger til aktivering eller deaktivering af oprettelse af hændelser i konfigurationen af analysereglen.
I næste afsnit i sideruden kan du se, hvilke sikkerhedskontrolelementer og kontrolfamilier reglen identificeres med, for hver af de tilgængelige strukturer.
- For SOX- og NIST-strukturerne kan du tilpasse kontrolelementtildelingen ved at vælge et andet kontrolelement eller en anden kontrolelementfamilie på de relevante rullemenuer.
- I brugerdefinerede strukturer skal du angive kontrolelementer og kontrolelementfamilier, som du vælger, i tekstfelterne MyOrg . Hvis du foretager ændringer, skal du vælge Gem ændringer.
Hvis en bestemt analyseregel ikke er blevet tildelt et sikkerhedskontrolelement eller en kontrolfamilie for en given struktur, bliver du bedt om at angive kontrolelementerne manuelt. Når du har valgt kontrolelementerne, skal du vælge Gem ændringer.
Hvis du vil se resten af detaljerne for den valgte regel, som den er defineret i øjeblikket, skal du vælge Oversigt over regel.
Fanen Overvåg
Fanen Overvåg indeholder flere grafiske repræsentationer af forskellige grupperinger af hændelserne i dit miljø, der stemmer overens med filtrene øverst i projektmappen:
En tendenslinjegraf, der hedder Incidents Trend, viser antallet af hændelser over tid. Disse hændelser er grupperet og repræsenteret af forskellige farvede linjer og skygge, som standard i henhold til den kontrolelementfamilie, der repræsenteres af den regel, der genererede dem. Vælg alternative grupperinger for disse hændelser på rullelisten Detaljehændelser . Det kan f.eks. være:
Bidiagrammet Incidents viser antallet af hændelser grupperet på to måder. Standardværdierne for SOX-strukturen er først SOX Control-familien, som er honeycomb-matrixen af celler og derefter efter System-id, som er hver celle i honeycomb. Vælg forskellige kriterier for visning af grupperinger ved hjælp af Analysér efter og Og derefter efter selektorer.
Zoom ind på hive-grafen for at gøre teksten stor nok til at kunne læses tydeligt, og zoom ud for at se alle grupperinger samlet. Træk i hele grafen for at se forskellige dele af den. Det kan f.eks. være:
Fanen Rapport
Fanen Rapport indeholder en liste over alle hændelser i dit miljø, der stemmer overens med filtrene øverst i projektmappen.
Hændelserne er grupperet efter kontrolfamilie og kontrol-id.
Linket i kolonnen URL-adresse til hændelse åbner et nyt browservindue, der er åbent for hændelsesundersøgelsessiden for den pågældende hændelse. Dette link er vedvarende og fungerer uanset opbevaringspolitikken for tabellen SecurityIncident .
Rul ned til slutningen af vinduet (det ydre rullepanel) for at se det vandrette rullepanel, som du kan bruge til at se resten af kolonnerne i rapporten.
Eksportér denne rapport til et regneark ved at vælge ellipsen (de tre prikker) i øverste højre hjørne af rapporten og derefter vælge Eksportér til Excel.
Relateret indhold
Du kan få flere oplysninger under Installér Microsoft Sentinel-løsningen til SAP-programmer fra indholdshubben og Microsoft Sentinel løsning til SAP-programmer: reference til sikkerhedsindhold.