Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Al configurar el área de trabajo de Log Analytics habilitada para Microsoft Sentinel, tiene varias opciones de arquitectura y factores que debe tener en cuenta. Teniendo en cuenta la geografía, la regulación, el control de acceso y otros factores, puede optar por tener varias áreas de trabajo en su organización.
Al trabajar con SAP, es posible que los equipos de SAP y SOC necesiten trabajar en áreas de trabajo independientes para mantener los límites de seguridad. Es posible que no quiera que el equipo de SAP tenga visibilidad en todos los demás registros de seguridad de su organización. Sin embargo, el equipo de SAP BASIS desempeña un papel fundamental en la implementación y el mantenimiento correctos de la solución Microsoft Sentinel para las aplicaciones de SAP. Sus conocimientos técnicos son esenciales para supervisar de forma eficaz los sistemas SAP, configurar las opciones de seguridad y garantizar que se hayan implementado procedimientos adecuados de respuesta a incidentes. Por este motivo, el equipo de SAP BASIS debe tener acceso al área de trabajo de Log Analytics habilitada para Microsoft Sentinel, lo que les permite colaborar con el equipo de SOC y centrarse específicamente en la supervisión de seguridad relacionada con SAP.
En este artículo se describe cómo trabajar con la solución Microsoft Sentinel para aplicaciones SAP en varias áreas de trabajo, con una mayor flexibilidad para:
- Proveedores de servicios de seguridad administrados (MSSP) o un centro de operaciones de seguridad (SOC) global o federado.
- Requisitos de residencia de datos.
- Jerarquía organizativa y diseño de TI.
- Control de acceso basado en rol (RBAC) insuficiente en un único área de trabajo.
Importante
Actualmente, el trabajo con varias áreas de trabajo está en versión preliminar. Esta característica se proporciona sin un contrato de nivel de servicio. Para obtener más información, vea Términos de uso complementarios para las versiones preliminares de Microsoft Azure.
Datos de SAP y SOC mantenidos en áreas de trabajo independientes
Si los equipos de SAP y SOC tienen áreas de trabajo de Log Analytics independientes habilitadas para Microsoft Sentinel donde se conservan los datos del equipo, se recomienda proporcionar a algunos o todos los miembros del equipo de SOC el rol lector de Sentinel para el área de trabajo del equipo de SAP BASIS. Esto permite a ambos equipos ver los datos de SAP mediante consultas entre áreas de trabajo.
El mantenimiento de áreas de trabajo independientes para los datos de SAP y SOC tiene las siguientes ventajas:
| Ventajas | Description |
|---|---|
| Alertas | Microsoft Sentinel puede desencadenar alertas que incluyan datos de SOC y SAP, y puede ejecutar esas alertas en el área de trabajo de SOC. |
| Aislamiento de datos | El equipo de SAP BASIS tiene su propio área de trabajo que incluye todas las características excepto las detecciones que incluyen datos de SOC y SAP. El SOC puede ver e investigar incidentes de SAP. Si el equipo de SAP BASIS se enfrenta a un evento que no puede explicar mediante el uso de datos existentes, el equipo puede asignar el incidente al SOC. |
| Flexibilidad | El equipo de SAP BASIS puede centrarse en el control de las amenazas internas en su entorno y el SOC puede centrarse en las amenazas externas. |
| Precios | No hay ningún cargo adicional por las tarifas de ingesta, ya que los datos se ingieren solo una vez en Microsoft Sentinel. Sin embargo, cada área de trabajo tiene su propio plan de tarifa. |
En la tabla siguiente se asigna el acceso a datos y características para los equipos de SAP y SOC cuando cada uno mantiene su propio área de trabajo:
| Función | Equipo de SOC | Equipo de SAP BASIS |
|---|---|---|
| Acceso al área de trabajo de SOC | ✅ | ❌ |
| Datos del área de trabajo de SAP, reglas de análisis, funciones, listas de reproducción y acceso a libros | ✅ | ✅* |
| Colaboración y acceso a incidentes de SAP | ✅ | ✅* |
* El equipo de SOC puede ver estas funciones en ambas áreas de trabajo. El equipo de SAP BASIS solo puede ver estas funciones en el área de trabajo de SAP.
Nota:
La ejecución de consultas entre áreas de trabajo en entornos de SAP más grandes puede afectar al rendimiento. Para mejorar el rendimiento y las optimizaciones de costos, considere la posibilidad de tener las áreas de trabajo de SOC y SAP en el mismo clúster dedicado. Para obtener más información, consulte Creación y administración de un clúster dedicado en Azure Supervisión de registros.
Datos de SAP y SOC mantenidos en el mismo área de trabajo
Es posible que quiera mantener todos los datos en un único área de trabajo y aplicar controles de acceso para determinar quién del equipo puede acceder a los datos.
Para hacerlo, siga estos pasos:
Use Log Analytics en Azure Monitor para administrar el acceso a los datos por recurso. Para obtener más información, vea Administrar el acceso a Microsoft Sentinel datos por recurso.
Asocie los recursos de SAP a un identificador de recurso de Azure. Esta opción solo se admite para un agente de conector de datos implementado a través de la CLI. Especifique el campo requerido
azure_resource_iden la sección configuración del conector en el recopilador de datos que se usa para ingerir datos del sistema SAP en Microsoft Sentinel. Para obtener más información, consulte Implementación de un agente de conector de datos de SAP desde la línea de comandos y configuración del conector.
Una vez configurado el agente del recopilador de datos con el identificador de recurso correcto, el equipo de SAP BASIS puede acceder a los datos de SAP específicos en el área de trabajo de SOC mediante una consulta con ámbito de recursos. El equipo de SAP BASIS no puede leer ninguno de los otros tipos de datos que no son de SAP.
No hay costos asociados a este enfoque porque los datos se ingieren solo una vez en Microsoft Sentinel.
Al administrar el acceso por recurso, el equipo de SAP BASIS solo ve datos sin formato y sin formato, accesibles a través de Log Analytics o Power BI. El equipo de SAP BASIS no puede usar ninguna característica Microsoft Sentinel.
Contenido relacionado
Para obtener más información, consulte Implementación de Microsoft Sentinel solución para aplicaciones sap.