Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come usare la cartella di lavoro SAP - Security Audit Controls per monitorare e tenere traccia della conformità del framework di controllo di sicurezza nei sistemi SAP, incluse le funzionalità seguenti:
- Vedere le raccomandazioni sulle regole di analisi da abilitare e abilitarle con la configurazione predefinita appropriata.
- Associare le regole di analisi al framework di controllo SOX o NIST o applicare il proprio framework di controllo personalizzato.
- Esaminare gli eventi imprevisti e gli avvisi riepilogati dal controllo, in base al framework di controllo selezionato.
- Esportare gli eventi imprevisti rilevanti per un'ulteriore analisi, a scopo di controllo e creazione di report.
Ad esempio:
Il contenuto di questo articolo è destinato al team di sicurezza .
Prerequisiti
Prima di iniziare a usare il log sap - Controllo di sicurezza e la cartella di lavoro Accesso iniziale, è necessario disporre di:
Una soluzione Microsoft Sentinel per SAP installata e un connettore dati configurato. Per altre informazioni, vedere Distribuire Microsoft Sentinel soluzione per le applicazioni SAP.
Cartella di lavoro Controlli di controllo SAP installata nell'area di lavoro Log Analytics abilitata per Microsoft Sentinel. Per altre informazioni, vedere e Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel.
Almeno un evento imprevisto nell'area di lavoro, con almeno una voce disponibile nella
SecurityIncidenttabella. Non è necessario che si tratta di un evento imprevisto SAP ed è possibile generare un evento imprevisto demo usando una regola di analisi di base se non ne è disponibile un'altra.
È consigliabile configurare il controllo per tutti i messaggi del log di controllo, anziché solo per i log specifici. Le differenze tra i costi di inserimento sono in genere minime e i dati sono utili per i rilevamenti Microsoft Sentinel e nelle indagini e nella ricerca post-compromissione. Per altre informazioni, vedere Configurare il controllo SAP.
Visualizzare una demo
Visualizzare una dimostrazione della cartella di lavoro:
Per altre informazioni, vedere il canale YouTube della community di sicurezza Microsoft:
Filtri supportati
La cartella di lavoro Controlli di controllo SAP supporta i filtri seguenti per concentrarsi sui dati necessari:
| Opzione filtro | Descrizione |
|---|---|
| Sottoscrizione e area di lavoro | Selezionare l'area di lavoro di cui si vuole controllare la conformità dei sistemi SAP. Può trattarsi di un'area di lavoro diversa da quella in cui viene distribuito Microsoft Sentinel. |
| Ora di creazione degli eventi imprevisti | Selezionare un intervallo dalle ultime quattro ore agli ultimi 30 giorni o un intervallo personalizzato determinato. |
| Altri attributi dell'evento imprevisto, tra cui Stato, Gravità, Tattiche, Proprietario | Per ognuno di questi, selezionare tra le scelte disponibili, che corrispondono ai valori rappresentati negli eventi imprevisti nell'intervallo di tempo selezionato. |
| Ruoli di sistema | Ruoli del sistema SAP, ad esempio Produzione. |
| Utilizzo del sistema | Utilizzo del sistema SAP, ad esempio SAP ERP. |
| Sistemi | Selezionare tutti gli ID di sistema SAP, un ID di sistema specifico o più ID di sistema. |
| Framework di controllo, Famiglie di controlli, ID di controllo | Selezionare il framework di controllo in base al quale si vuole valutare la copertura e i controlli specifici in base ai quali filtrare i dati della cartella di lavoro. |
Consigli sulla conservazione dei dati
I dashboard di Controlli di controllo SAP offrono una visualizzazione aggregata di eventi imprevisti e avvisi in base alle tabelle SecurityAlert e SecurityIncident che, per impostazione predefinita, mantengono 30 giorni di dati.
Valutare la possibilità di estendere il periodo di conservazione per queste tabelle in modo che corrisponda ai requisiti di conformità dell'organizzazione. Indipendentemente dalla scelta effettuata per i criteri di conservazione di queste tabelle, i dati degli eventi imprevisti non vengono mai eliminati, anche se potrebbero non essere visualizzati qui. I dati degli avvisi vengono mantenuti in base ai criteri di conservazione della tabella.
I criteri di conservazione effettivi delle tabelle SecurityAlert e SecurityIncident potrebbero essere definiti come diversi dai 30 giorni predefiniti. Vedere l'avviso sullo sfondo con sfumature blu nella cartella di lavoro, che mostra l'intervallo di tempo effettivo dei dati nelle tabelle in base ai criteri di conservazione correnti.
Per altre informazioni, vedere Configurare criteri di conservazione dei dati per una tabella in un'area di lavoro Log Analytics.
Scheda Configura: creare regole di analisi da modelli ancora inutilizzati
La tabella Modelli pronti per l'uso nella scheda Configura mostra i modelli di regola di analisi della soluzione Microsoft Sentinel per le applicazioni SAP che non sono ancora state implementate come regole attive. Potrebbe essere necessario creare queste regole per ottenere la conformità. Ad esempio:
Per impostazione predefinita, questa tabella viene filtrata per SAP, con SAP selezionato nell'elenco a discesa Modelli di soluzione per la configurazione . Selezionare una o tutte le altre soluzioni di questo elenco a discesa per popolare ulteriormente la tabella Modelli pronti per l'uso .
Per ogni riga della tabella, selezionare Visualizza per altri dettagli di sola lettura sulla configurazione delle regole.
La colonna Configurazione consigliata mostra lo scopo della regola: è destinata a creare eventi imprevisti per l'indagine? O solo per creare avvisi da tenere da parte e aggiungere ad altri eventi imprevisti da usare come prova nelle loro indagini?
Selezionare Attiva regola nel riquadro laterale per creare una regola di analisi dal modello, con la configurazione consigliata già integrata. Questa funzionalità consente di evitare di dover indovinare la configurazione corretta e definirla manualmente.
Scheda Configura - Visualizzare o modificare le assegnazioni del controllo di sicurezza delle regole di analisi
La tabella Selezionare una regola da configurare nella scheda Configura mostra un elenco di regole di analisi attivate rilevanti per SAP. Ad esempio:
Nella tabella controllare:
Numero e linee del grafo generate da ogni regola nelle colonne Eventi imprevisti e Avvisi . I conteggi identici suggeriscono che il raggruppamento degli avvisi è disabilitato.
Valori della colonna Eventi imprevisti e Origine per comprendere se la regola è impostata per creare eventi imprevisti .
Indica se la configurazione consigliata per una regola è solo Come avviso. In tal caso, è consigliabile disattivare l'impostazione di creazione dell'evento imprevisto nella regola.
Selezionare una regola per visualizzare un riquadro dei dettagli con altre informazioni. Ad esempio:
La parte superiore di questo pannello laterale contiene raccomandazioni relative all'abilitazione o alla disabilitazione della creazione di eventi imprevisti nella configurazione della regola di analisi.
La sezione successiva del riquadro laterale mostra i controlli di sicurezza e le famiglie di controlli con cui viene identificata la regola, per ognuno dei framework disponibili.
- Per i framework SOX e NIST, personalizzare l'assegnazione di controllo scegliendo un controllo o una famiglia di controlli diversa dagli elenchi a discesa pertinenti.
- Per i framework personalizzati, immettere i controlli e le famiglie di controlli di propria scelta nelle caselle di testo MyOrg . Se si apportano modifiche, selezionare Salva modifiche.
Se a una determinata regola di analisi non è stata assegnata una famiglia di controlli o controlli di sicurezza per un determinato framework, viene richiesto di impostare i controlli manualmente. Dopo aver selezionato i controlli, selezionare Salva modifiche.
Per visualizzare il resto dei dettagli della regola selezionata come attualmente definito, selezionare Panoramica della regola.
Scheda Monitoraggio
La scheda Monitoraggio contiene diverse rappresentazioni grafiche di vari raggruppamenti degli eventi imprevisti nell'ambiente che corrispondono ai filtri nella parte superiore della cartella di lavoro:
Un grafico a linee di tendenza, denominato tendenza eventi imprevisti, mostra il numero di eventi imprevisti nel tempo. Questi eventi imprevisti sono raggruppati e rappresentati da linee colorate e ombreggiature diverse, per impostazione predefinita in base alla famiglia di controlli rappresentata dalla regola che li ha generati. Selezionare raggruppamenti alternativi per questi eventi imprevisti dall'elenco a discesa Dettagli eventi imprevisti per. Ad esempio:
Il grafico Hive eventi imprevisti mostra il numero di eventi imprevisti raggruppati in due modi. Le impostazioni predefinite per il framework SOX sono innanzitutto della famiglia di controlli SOX, ovvero la matrice di celle a nido d'ape , e quindi dell'ID di sistema, che è ogni cella del nido d'ape. Selezionare criteri diversi in base ai quali visualizzare i raggruppamenti, usando drill by e e quindi tramite selettori.
Ingrandire il grafico hive per rendere il testo sufficientemente grande da leggere in modo chiaro e fare zoom indietro per visualizzare tutti i raggruppamenti insieme. Trascinare l'intero grafico per visualizzarne parti diverse. Ad esempio:
Scheda Report
La scheda Report contiene un elenco di tutti gli eventi imprevisti nell'ambiente che corrispondono ai filtri nella parte superiore della cartella di lavoro.
Gli eventi imprevisti sono raggruppati in base alla famiglia di controlli e all'ID controllo.
Il collegamento nella colonna URL evento imprevisto apre una nuova finestra del browser aperta alla pagina di indagine degli eventi imprevisti per l'evento imprevisto. Questo collegamento è permanente e funzionerà indipendentemente dai criteri di conservazione per la tabella SecurityIncident .
Scorrere verso il basso fino alla fine della finestra (barra di scorrimento esterna) per visualizzare la barra di scorrimento orizzontale, che è possibile usare per visualizzare il resto delle colonne nel report.
Esportare il report in un foglio di calcolo selezionando i puntini di sospensione (i tre puntini) nell'angolo superiore destro del report, quindi selezionando Esporta in Excel.
Contenuto correlato
Per altre informazioni, vedere Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP dall'hub contenuto e Microsoft Sentinel soluzione per le applicazioni SAP: informazioni di riferimento sul contenuto di sicurezza.