Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Når du konfigurerer dit Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel, har du flere arkitekturmuligheder og -faktorer at overveje. Under hensyntagen til geografi, regulering, adgangskontrol og andre faktorer kan du vælge at have flere arbejdsområder i din organisation.
Når du arbejder med SAP, skal dine SAP- og SOC-teams muligvis arbejde i separate arbejdsområder for at bevare sikkerhedsgrænser. Du ønsker muligvis ikke, at SAP-teamet skal have indblik i alle andre sikkerhedslogge på tværs af organisationen. SAP BASIS-teamet spiller dog en vigtig rolle i forbindelse med korrekt implementering og vedligeholdelse af Microsoft Sentinel-løsningen til SAP-programmer. Deres tekniske viden er afgørende for effektivt at overvåge SAP-systemer, konfigurere sikkerhedsindstillinger og sikre, at der er passende procedurer for svar på hændelser på plads. Derfor skal SAP BASIS-teamet have adgang til det Log Analytics-arbejdsområde, der er aktiveret for Microsoft Sentinel, så de kan samarbejde med SOC-teamet, samtidig med at de fokuserer specifikt på SAP-relateret sikkerhedsovervågning.
I denne artikel beskrives det, hvordan du arbejder med Microsoft Sentinel-løsningen til SAP-programmer i flere arbejdsområder med forbedret fleksibilitet til:
- Udbydere af administrerede sikkerhedstjenester (MSSP'er) eller et globalt soc (Security Operations Center) i organisationsnetværket.
- Krav til dataopbevaring.
- Organisationshierarki og it-design.
- Der er ikke tilstrækkelig rollebaseret adgangskontrol (RBAC) i et enkelt arbejdsområde.
Vigtigt!
Det er i øjeblikket en prøveversion at arbejde med flere arbejdsområder. Denne funktion leveres uden en serviceniveauaftale. Du kan få flere oplysninger under Supplerende vilkår for anvendelse af Prøveversioner af Microsoft Azure.
SAP- og SOC-data, der vedligeholdes i separate arbejdsområder
Hvis dine SAP- og SOC-teams har separate Log Analytics-arbejdsområder aktiveret for Microsoft Sentinel, hvor teamdata opbevares, anbefaler vi, at du giver nogle eller alle MEDLEMMER af SOC-teamet rollen Sentinel Læser for SAP BASIS-teamets arbejdsområde. Dette gør det muligt for begge teams at se SAP-data ved hjælp af forespørgsler på tværs af arbejdsområder.
Der er følgende fordele ved at vedligeholde separate arbejdsområder til SAP- og SOC-dataene:
| Fordel | Beskrivelse |
|---|---|
| Beskeder | Microsoft Sentinel kan udløse beskeder, der indeholder både SOC- og SAP-data, og de kan køre disse beskeder i SOC-arbejdsområdet. |
| Dataisolation | SAP BASIS-teamet har sit eget arbejdsområde, der indeholder alle funktioner undtagen registreringer, der omfatter både SOC- og SAP-data. SOC kan se og undersøge SAP-hændelser. Hvis SAP BASIS-teamet står over for en hændelse, der ikke kan forklares ved hjælp af eksisterende data, kan teamet tildele hændelsen til SOC. |
| Fleksibilitet | SAP BASIS-teamet kan fokusere på styringen af interne trusler i sit landskab, og SOC kan fokusere på eksterne trusler. |
| Prissætning | Der er intet ekstra gebyr for indtagelsesgebyrer, fordi data kun indtages én gang i Microsoft Sentinel. Hvert arbejdsområde har dog sit eget prisniveau. |
I følgende tabel tilknyttes data- og funktionsadgang for SAP- og SOC-teams, når de hver især vedligeholder deres eget arbejdsområde:
| Funktion | SOC-team | SAP BASIS-team |
|---|---|---|
| Adgang til SOC-arbejdsområde | ✅ | ❌ |
| Adgang til SAP-arbejdsområdedata, analyseregler, funktioner, visningslister og projektmapper | ✅ | ✅* |
| Adgang til og samarbejde om SAP-hændelser | ✅ | ✅* |
* SOC-teamet kan se disse funktioner i begge arbejdsområder. SAP BASIS-teamet kan kun se disse funktioner i SAP-arbejdsområdet.
Bemærk!
Kørsel af forespørgsler på tværs af arbejdsområder på tværs af større SAP-landskaber kan påvirke ydeevnen. Hvis du vil have forbedret ydeevne og omkostningsoptimering, bør du overveje at have både SOC- og SAP-arbejdsområder i den samme dedikerede klynge. Du kan finde flere oplysninger under Opret og administrer en dedikeret klynge i Azure Overvåg logge.
SAP- og SOC-data, der vedligeholdes i det samme arbejdsområde
Det kan være en god idé at beholde alle data i et enkelt arbejdsområde og anvende adgangskontrolelementer til at bestemme, hvem i dit team der har adgang til dataene.
Det gør du ved at følge disse trin:
Brug Log Analytics i Azure Monitor til at administrere adgang til data efter ressource. Du kan få flere oplysninger under Administrer adgang til Microsoft Sentinel data efter ressource.
Knyt SAP-ressourcer til et Azure ressource-id. Denne indstilling understøttes kun for en dataconnectoragent, der er installeret via kommandolinjegrænsefladen. Angiv det påkrævede
azure_resource_idfelt i connectorkonfigurationsafsnittet på den dataindsamler, du bruger til at overføre data fra SAP-systemet til Microsoft Sentinel. Du kan få flere oplysninger under Installér en SAP-dataconnectoragent fra kommandolinjen og Connector-konfigurationen.
Når dataindsamlerens agent er konfigureret med det korrekte ressource-id, kan SAP BASIS-teamet få adgang til de specifikke SAP-data i SOC-arbejdsområdet ved hjælp af en ressourcebaseret forespørgsel. SAP BASIS-teamet kan ikke læse nogen af de andre datatyper, der ikke er SAP.
Der er ikke knyttet nogen omkostninger til denne fremgangsmåde, fordi dataene kun overføres én gang til Microsoft Sentinel.
Når du administrerer adgang efter ressource, får SAP BASIS-teamet kun vist rå og uformaterede data, der er tilgængelige via Log Analytics eller Power BI. SAP BASIS-teamet kan ikke bruge nogen Microsoft Sentinel-funktioner.
Relateret indhold
Du kan få flere oplysninger under Installér Microsoft Sentinel løsning til SAP-programmer.