Microsoft Sentinelに対して Log Analytics ワークスペースを有効に設定すると、考慮すべきアーキテクチャ オプションと要素が複数あります。 地域、規制、アクセス制御などの要因を考慮して、organizationに複数のワークスペースを配置することもできます。
SAP を使用する場合、SAP チームと SOC チームは、セキュリティ境界を維持するために別々のワークスペースで作業する必要がある場合があります。 SAP チームが、organization全体で他のすべてのセキュリティ ログを可視化することを望まない場合があります。 ただし、SAP BASIS チームは、SAP アプリケーションのMicrosoft Sentinel ソリューションを正常に実装および保守する上で重要な役割を果たします。 SAP システムを効果的に監視し、セキュリティ設定を構成し、適切なインシデント対応手順を確実に実施するには、技術的な知識が不可欠です。 このため、SAP BASIS チームは、Microsoft Sentinelに対して有効になっている Log Analytics ワークスペースにアクセスでき、SAP 関連のセキュリティ監視に特に焦点を当てながら SOC チームと共同作業できるようにする必要があります。
この記事では、複数のワークスペースで SAP アプリケーションのMicrosoft Sentinel ソリューションを操作する方法について説明します。次の柔軟性が向上します。
- マネージド セキュリティ サービス プロバイダー (MSSP) またはグローバルまたはフェデレーション セキュリティ オペレーション センター (SOC)。
- データ所在地の要件。
- 組織階層と IT 設計。
- 1 つのワークスペースでロールベースのアクセス制御 (RBAC) が不十分です。
重要
現在、複数のワークスペースの操作はプレビュー段階です。 この機能は、サービス レベルアグリーメントなしで提供されます。 詳細については、「Microsoft Azure プレビューの追加利用規約」を参照してください。
個別のワークスペースで管理される SAP データと SOC データ
SAP チームと SOC チームで、チーム データが保持されるMicrosoft Sentinelに対して個別の Log Analytics ワークスペースが有効になっている場合は、一部またはすべての SOC チーム メンバーに SAP BASIS チームのワークスペースのSentinel閲覧者ロールを提供することをお勧めします。 これにより、両方のチームがワークスペース間クエリを使用して SAP データを表示できます。
SAP データと SOC データに対して個別のワークスペースを管理するには、次の利点があります。
| メリット | 説明 |
|---|---|
| アラート | Microsoft Sentinelは、SOC と SAP の両方のデータを含むアラートをトリガーでき、それらのアラートを SOC ワークスペースで実行できます。 |
| データの分離 | SAP BASIS チームには、SOC データと SAP データの両方を含む検出を除くすべての機能を含む独自のワークスペースがあります。 SOC では、SAP インシデントを確認および調査できます。 SAP BASIS チームが、既存のデータを使用して説明できないイベントに直面した場合、チームはインシデントを SOC に割り当てることができます。 |
| 柔軟性 | SAP BASIS チームは、その環境における内部脅威の制御に焦点を当てることができ、SOC は外部の脅威に焦点を当てることができます。 |
| 価格設定 | データはMicrosoft Sentinelに 1 回だけ取り込まれるため、取り込み料金に追加料金はかかりません。 ただし、各ワークスペースには独自の 価格レベルがあります。 |
次の表は、SAP チームと SOC チームがそれぞれ独自のワークスペースを維持する場合のデータと機能アクセスをマップします。
| 機能 | SOC チーム | SAP BASIS チーム |
|---|---|---|
| SOC ワークスペース へのアクセス | ✅ | ❌ |
| SAP ワークスペース データ、分析ルール、関数、ウォッチリスト、ブックへのアクセス | ✅ | ✅* |
| SAP インシデントへのアクセスとコラボレーション | ✅ | ✅* |
* SOC チームは、両方のワークスペースでこれらの関数を確認できます。 SAP BASIS チームは、SAP ワークスペースでのみこれらの機能を確認できます。
注:
大規模な SAP ランドスケープでワークスペース間クエリを実行すると、パフォーマンスに影響を与える可能性があります。 パフォーマンスとコストの最適化を向上させるには、同じ専用クラスターに SOC ワークスペースと SAP ワークスペースの両方を使用することを検討してください。 詳細については、「Azure Monitor Logs での専用クラスターの作成と管理」を参照してください。
同じワークスペースに保持されている SAP データと SOC データ
すべてのデータを 1 つのワークスペースに保持し、アクセス制御を適用して、チームの誰がデータにアクセスできるかを判断したい場合があります。
これを行うには、次の手順を実行します。
Azure Monitor で Log Analytics を使用して、リソース別のデータへのアクセスを管理します。 詳細については、「リソース別にMicrosoft Sentinel データへのアクセスを管理する」を参照してください。
SAP リソースをAzureリソース ID に関連付けます。 このオプションは、CLI 経由でデプロイされたデータ コネクタ エージェントに対してのみサポートされます。 SAP システムからMicrosoft Sentinelにデータを取り込む際に使用するデータ コレクターのコネクタ構成セクションで、必要な
azure_resource_idフィールドを指定します。 詳細については、「 コマンド ラインから SAP データ コネクタ エージェントをデプロイする 」と「 コネクタの構成」を参照してください。
データ コレクター エージェントが正しいリソース ID で構成されると、SAP BASIS チームは、リソース スコープクエリを使用して SOC ワークスペース内の特定の SAP データにアクセスできます。 SAP BASIS チームは、他の SAP 以外のデータ型を読み取ることはできません。
データはMicrosoft Sentinelに 1 回だけ取り込まれるため、この方法に関連するコストはありません。
リソース別にアクセスを管理すると、SAP BASIS チームは、Log Analytics または Power BI を介してアクセス可能な生データと未フォーマットデータのみを表示します。 SAP BASIS チームは、Microsoft Sentinel機能を使用できません。
関連コンテンツ
詳細については、「SAP アプリケーションのMicrosoft Sentinel ソリューションをデプロイする」を参照してください。