Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si configura l'area di lavoro Log Analytics abilitata per Microsoft Sentinel, sono disponibili più opzioni e fattori di architettura da considerare. Tenendo conto dell'area geografica, della regolamentazione, del controllo di accesso e di altri fattori, è possibile scegliere di avere più aree di lavoro nell'organizzazione.
Quando si lavora con SAP, i team SAP e SOC potrebbero dover lavorare in aree di lavoro separate per mantenere i limiti di sicurezza. Potrebbe non essere necessario che il team SAP abbia visibilità su tutti gli altri log di sicurezza nell'organizzazione. Tuttavia, il team SAP BASIS svolge un ruolo fondamentale nell'implementazione e nella gestione della soluzione Microsoft Sentinel per le applicazioni SAP. Le loro conoscenze tecniche sono essenziali per monitorare in modo efficace i sistemi SAP, configurare le impostazioni di sicurezza e garantire che siano in atto procedure di risposta agli eventi imprevisti appropriate. Per questo motivo, il team SAP BASIS deve avere accesso all'area di lavoro Log Analytics abilitata per Microsoft Sentinel, consentendo loro di collaborare con il team SOC, concentrandosi in particolare sul monitoraggio della sicurezza correlato a SAP.
Questo articolo illustra come usare la soluzione Microsoft Sentinel per le applicazioni SAP in più aree di lavoro, con maggiore flessibilità per:
- Provider di servizi di sicurezza gestiti (MSSP) o un centro operativo di sicurezza globale o federato (SOC).
- Requisiti di residenza dei dati.
- Gerarchia organizzativa e progettazione IT.
- Controllo degli accessi in base al ruolo insufficiente in una singola area di lavoro.
Importante
L'uso di più aree di lavoro è attualmente in anteprima. Questa funzionalità viene fornita senza un contratto di servizio. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo per microsoft Azure anteprime.
Dati SAP e SOC gestiti in aree di lavoro separate
Se i team SAP e SOC dispongono di aree di lavoro Log Analytics separate abilitate per Microsoft Sentinel in cui vengono conservati i dati del team, è consigliabile fornire ad alcuni o a tutti i membri del team SOC il ruolo lettore Sentinel per l'area di lavoro del team SAP BASIS. In questo modo entrambi i team possono visualizzare i dati SAP usando query tra aree di lavoro.
La gestione di aree di lavoro separate per i dati SAP e SOC offre i vantaggi seguenti:
| Benefici | Descrizione |
|---|---|
| Avvisi | Microsoft Sentinel può attivare avvisi che includono dati SOC e SAP e può eseguire tali avvisi nell'area di lavoro SOC. |
| Isolamento dei dati | Il team SAP BASIS ha una propria area di lavoro che include tutte le funzionalità tranne i rilevamenti che includono dati SOC e SAP. Il SOC può visualizzare e analizzare gli eventi imprevisti SAP. Se il team SAP BASIS deve affrontare un evento che non può spiegare usando i dati esistenti, il team può assegnare l'evento imprevisto al SOC. |
| Flessibilità | Il team di SAP BASIS può concentrarsi sul controllo delle minacce interne nel proprio panorama e il SOC può concentrarsi sulle minacce esterne. |
| Prezzi | Non sono previsti costi aggiuntivi per le tariffe di inserimento, perché i dati vengono inseriti una sola volta in Microsoft Sentinel. Tuttavia, ogni area di lavoro ha il proprio piano tariffario. |
Nella tabella seguente vengono mappati i dati e l'accesso alle funzionalità per i team SAP e SOC quando ognuno mantiene la propria area di lavoro:
| Funzione | Team SOC | Team SAP BASIS |
|---|---|---|
| Accesso all'area di lavoro SOC | ✅ | ❌ |
| Dati dell'area di lavoro SAP, regole di analisi, funzioni, elenchi di controllo e accesso alle cartelle di lavoro | ✅ | ✅* |
| Accesso agli eventi imprevisti SAP e collaborazione | ✅ | ✅* |
* Il team soc può visualizzare queste funzioni in entrambe le aree di lavoro. Il team SAP BASIS può visualizzare queste funzioni solo nell'area di lavoro SAP.
Nota
L'esecuzione di query tra aree di lavoro in scenari SAP più grandi può influire sulle prestazioni. Per migliorare le prestazioni e le ottimizzazioni dei costi, è consigliabile avere sia le aree di lavoro SOC che SAP nello stesso cluster dedicato. Per altre informazioni, vedere Creare e gestire un cluster dedicato in Azure Monitorare i log.
Dati SAP e SOC gestiti nella stessa area di lavoro
È possibile mantenere tutti i dati in una singola area di lavoro e applicare controlli di accesso per determinare chi nel team è in grado di accedere ai dati.
A tale scopo, eseguire la procedura seguente:
Usare Log Analytics in Azure Monitor per gestire l'accesso ai dati in base alla risorsa. Per altre informazioni, vedere Gestire l'accesso ai dati Microsoft Sentinel per risorsa.
Associare le risorse SAP a un ID risorsa Azure. Questa opzione è supportata solo per un agente connettore dati distribuito tramite l'interfaccia della riga di comando. Specificare il campo obbligatorio
azure_resource_idnella sezione di configurazione del connettore nell'agente di raccolta dati usato per inserire i dati dal sistema SAP in Microsoft Sentinel. Per altre informazioni, vedere Distribuire un agente connettore dati SAP dalla riga di comando e Configurazione del connettore.
Dopo aver configurato l'agente di raccolta dati con l'ID risorsa corretto, il team SAP BASIS può accedere ai dati SAP specifici nell'area di lavoro SOC usando una query con ambito risorsa. Il team SAP BASIS non può leggere nessuno degli altri tipi di dati non SAP.
Questo approccio non comporta costi perché i dati vengono inseriti una sola volta in Microsoft Sentinel.
Quando si gestisce l'accesso per risorsa, il team SAP BASIS visualizza solo dati non elaborati e non formattati, accessibili tramite Log Analytics o Power BI. Il team SAP BASIS non può usare alcuna funzionalità di Microsoft Sentinel.
Contenuto correlato
Per altre informazioni, vedere Distribuire Microsoft Sentinel soluzione per le applicazioni SAP.