Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer u uw Log Analytics-werkruimte instelt die is ingeschakeld voor Microsoft Sentinel, hebt u meerdere architectuuropties en factoren om rekening mee te houden. Rekening houdend met geografie, regelgeving, toegangsbeheer en andere factoren, kunt u ervoor kiezen om meerdere werkruimten in uw organisatie te hebben.
Wanneer u met SAP werkt, moeten uw SAP- en SOC-teams mogelijk in afzonderlijke werkruimten werken om beveiligingsgrenzen te handhaven. Mogelijk wilt u niet dat het SAP-team inzicht heeft in alle andere beveiligingslogboeken in uw organisatie. Het SAP BASIS-team speelt echter een essentiële rol bij het succesvol implementeren en onderhouden van de Microsoft Sentinel-oplossing voor SAP-toepassingen. Hun technische kennis is essentieel voor het effectief bewaken van SAP-systemen, het configureren van beveiligingsinstellingen en het waarborgen van de juiste incidentresponsprocedures. Daarom moet het SAP BASIS-team toegang hebben tot de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel, zodat ze kunnen samenwerken met het SOC-team en zich specifiek richten op sap-gerelateerde beveiligingsbewaking.
In dit artikel wordt beschreven hoe u kunt werken met de Microsoft Sentinel-oplossing voor SAP-toepassingen in meerdere werkruimten, met verbeterde flexibiliteit voor:
- Managed Security Service Providers (MSSP's) of een global of federated Security Operations Center (SOC).
- Vereisten voor gegevenslocatie.
- Organisatiehiërarchie en IT-ontwerp.
- Onvoldoende op rollen gebaseerd toegangsbeheer (RBAC) in één werkruimte.
Belangrijk
Werken met meerdere werkruimten is momenteel in preview. Deze functie wordt geleverd zonder serviceovereenkomst. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor meer informatie.
SAP- en SOC-gegevens die in afzonderlijke werkruimten worden bewaard
Als uw SAP- en SOC-teams afzonderlijke Log Analytics-werkruimten hebben ingeschakeld voor Microsoft Sentinel waar teamgegevens worden opgeslagen, raden we u aan om sommige of alle SOC-teamleden de rol Sentinel Lezer te geven voor de werkruimte van het SAP BASIS-team. Hierdoor kunnen beide teams SAP-gegevens zien met behulp van query's voor meerdere werkruimten.
Het onderhouden van afzonderlijke werkruimten voor de SAP- en SOC-gegevens heeft de volgende voordelen:
| Voordeel | Beschrijving |
|---|---|
| Waarschuwingen | Microsoft Sentinel kan waarschuwingen activeren die zowel SOC- als SAP-gegevens bevatten, en deze waarschuwingen kunnen worden uitgevoerd in de SOC-werkruimte. |
| Gegevensisolatie | Het SAP BASIS-team heeft een eigen werkruimte met alle functies, behalve detecties die zowel SOC- als SAP-gegevens bevatten. De SOC kan SAP-incidenten zien en onderzoeken. Als het SAP BASIS-team te maken krijgt met een gebeurtenis die niet kan worden uitgelegd met behulp van bestaande gegevens, kan het team het incident toewijzen aan de SOC. |
| Flexibiliteit | Het SAP BASIS-team kan zich richten op de controle van interne bedreigingen in het landschap, en het SOC kan zich richten op externe bedreigingen. |
| Prijzen | Er worden geen extra kosten in rekening gebracht voor opnamekosten, omdat gegevens slechts eenmaal worden opgenomen in Microsoft Sentinel. Elke werkruimte heeft echter een eigen prijscategorie. |
In de volgende tabel worden gegevens en functietoegang toegewezen voor SAP- en SOC-teams wanneer ze elk hun eigen werkruimte onderhouden:
| Functie | SOC-team | SAP BASIS-team |
|---|---|---|
| TOEGANG TOT SOC-werkruimte | ✅ | ❌ |
| Sap-werkruimtegegevens, analyseregels, functies, volglijsten en toegang tot werkmappen | ✅ | ✅* |
| Toegang tot en samenwerking met SAP-incidenten | ✅ | ✅* |
* Het SOC-team kan deze functies in beide werkruimten zien. Het SAP BASIS-team kan deze functies alleen zien in de SAP-werkruimte.
Opmerking
Het uitvoeren van query's voor meerdere werkruimten in grotere SAP-landschappen kan de prestaties beïnvloeden. Voor verbeterde prestaties en kostenoptimalisaties kunt u overwegen om zowel de SOC- als SAP-werkruimten in hetzelfde toegewezen cluster te hebben. Zie Een toegewezen cluster maken en beheren in Azure Logboeken bewaken voor meer informatie.
SAP- en SOC-gegevens die in dezelfde werkruimte worden bewaard
Mogelijk wilt u alle gegevens in één werkruimte bewaren en toegangsbeheer toepassen om te bepalen wie in uw team toegang heeft tot de gegevens.
Gebruik hiervoor de volgende stappen:
Gebruik Log Analytics in Azure Monitor om de toegang tot gegevens per resource te beheren. Zie Toegang tot Microsoft Sentinel gegevens beheren per resource voor meer informatie.
SAP-resources koppelen aan een Azure resource-id. Deze optie wordt alleen ondersteund voor een gegevensconnectoragent die is geïmplementeerd via CLI. Geef het vereiste
azure_resource_idveld op in de sectie connectorconfiguratie op de gegevensverzamelaar die u gebruikt om gegevens uit het SAP-systeem op te nemen in Microsoft Sentinel. Zie Een SAP-gegevensconnectoragent implementeren vanaf de opdrachtregel en Connectorconfiguratie voor meer informatie.
Nadat de gegevensverzamelaaragent is geconfigureerd met de juiste resource-id, heeft het SAP BASIS-team toegang tot de specifieke SAP-gegevens in de SOC-werkruimte met behulp van een query met resourcebereik. Het SAP BASIS-team kan geen van de andere, niet-SAP-gegevenstypen lezen.
Er zijn geen kosten verbonden aan deze benadering, omdat de gegevens slechts eenmaal worden opgenomen in Microsoft Sentinel.
Wanneer u de toegang per resource beheert, ziet het SAP BASIS-team alleen onbewerkte en niet-opgemaakte gegevens, toegankelijk via Log Analytics of Power BI. Het SAP BASIS-team kan geen Microsoft Sentinel functies gebruiken.
Verwante onderwerpen
Zie Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen voor meer informatie.