Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Quando configura a área de trabalho do Log Analytics ativada para Microsoft Sentinel, tem várias opções e fatores de arquitetura a considerar. Tendo em conta a geografia, a regulação, o controlo de acesso e outros fatores, pode optar por ter várias áreas de trabalho na sua organização.
Ao trabalhar com o SAP, as suas equipas SAP e SOC poderão ter de trabalhar em áreas de trabalho separadas para manter os limites de segurança. Poderá não querer que a equipa sap tenha visibilidade sobre todos os outros registos de segurança na sua organização. No entanto, a equipa SAP BASIS desempenha um papel fundamental na implementação e manutenção com êxito da solução Microsoft Sentinel para aplicações SAP. Os seus conhecimentos técnicos são essenciais para monitorizar eficazmente os sistemas SAP, configurar as definições de segurança e garantir que estão em vigor os procedimentos adequados de resposta a incidentes. Por este motivo, a equipa SAP BASIS tem de ter acesso à área de trabalho do Log Analytics ativada para Microsoft Sentinel, permitindo-lhes colaborar com a equipa do SOC enquanto se concentra especificamente na monitorização de segurança relacionada com o SAP.
Este artigo aborda como trabalhar com a solução de Microsoft Sentinel para aplicações SAP em várias áreas de trabalho, com flexibilidade melhorada para:
- Fornecedores de serviços de segurança geridos (MSSPs) ou um centro de operações de segurança global ou federado (SOC).
- Requisitos de residência dos dados.
- Hierarquia organizacional e design de TI.
- Controlo de acesso baseado em funções (RBAC) insuficiente numa única área de trabalho.
Importante
Trabalhar com várias áreas de trabalho está atualmente em pré-visualização. Esta funcionalidade é fornecida sem um contrato de nível de serviço. Para obter mais informações, confiraTermos de uso suplementares para versões prévias do Microsoft Azure.
Dados SAP e SOC mantidos em áreas de trabalho separadas
Se as suas equipas SAP e SOC tiverem áreas de trabalho do Log Analytics separadas ativadas para Microsoft Sentinel onde os dados da equipa são mantidos, recomendamos que forneça a alguns ou todos os membros da equipa SOC a função de Leitor de Sentinel para a área de trabalho da equipa SAP BASIS. Isto permite que ambas as equipas vejam dados SAP através de consultas entre áreas de trabalho.
Manter áreas de trabalho separadas para os dados SAP e SOC tem as seguintes vantagens:
| Benefício | Descrição |
|---|---|
| Alertas | Microsoft Sentinel podem acionar alertas que incluem dados SOC e SAP e podem executar esses alertas na área de trabalho DO SOC. |
| Isolamento de dados | A equipa SAP BASIS tem a sua própria área de trabalho que inclui todas as funcionalidades, exceto as deteções que incluem dados SOC e SAP. O SOC pode ver e investigar incidentes sap. Se a equipa SAP BASIS enfrentar um evento que não consegue explicar com os dados existentes, a equipa pode atribuir o incidente ao SOC. |
| Flexibilidade | A equipa SAP BASIS pode concentrar-se no controlo de ameaças internas no seu panorama e o SOC pode focar-se em ameaças externas. |
| Preços | Não há custos adicionais para taxas de ingestão, porque os dados são ingeridos apenas uma vez no Microsoft Sentinel. No entanto, cada área de trabalho tem o seu próprio escalão de preço. |
A tabela seguinte mapeia dados e acesso a funcionalidades para as equipas SAP e SOC quando cada uma delas mantém a sua própria área de trabalho:
| Função | Equipa SOC | Equipa SAP BASIS |
|---|---|---|
| Acesso à área de trabalho SOC | ✅ | ❌ |
| Dados da área de trabalho SAP, regras de análise, funções, listas de observação e acesso a livros | ✅ | ✅* |
| Acesso e colaboração a incidentes SAP | ✅ | ✅* |
* A equipa do SOC pode ver estas funções em ambas as áreas de trabalho. A equipa SAP BASIS só pode ver estas funções na área de trabalho SAP.
Observação
A execução de consultas entre áreas de trabalho em paisagens SAP maiores pode afetar o desempenho. Para melhorar o desempenho e as otimizações de custos, considere ter as áreas de trabalho SOC e SAP no mesmo cluster dedicado. Para obter mais informações, veja Criar e gerir um cluster dedicado nos Registos do Azure Monitor.
Dados SAP e SOC mantidos na mesma área de trabalho
Poderá querer manter todos os dados numa única área de trabalho e aplicar controlos de acesso para determinar quem na sua equipa consegue aceder aos dados.
Para fazer isso, use as seguintes etapas:
Utilize o Log Analytics no Azure Monitor para gerir o acesso aos dados por recurso. Para obter mais informações, veja Gerir o acesso a Microsoft Sentinel dados por recurso.
Associar recursos SAP a um ID de recurso Azure. Esta opção é suportada apenas para um agente do conector de dados implementado através da CLI. Especifique o campo necessário
azure_resource_idna secção de configuração do conector no recoletor de dados que utiliza para ingerir dados do sistema SAP para Microsoft Sentinel. Para obter mais informações, veja Deploy an SAP data connector agent from the command line and Connector configuration (Implementar um agente do conector de dados SAP a partir da linha de comandos e da configuração do Conector).
Depois de configurar o agente do recoletor de dados com o ID de recurso correto, a equipa SAP BASIS pode aceder aos dados SAP específicos na área de trabalho do SOC através de uma consulta no âmbito do recurso. A equipa SAP BASIS não consegue ler nenhum dos outros tipos de dados não SAP.
Não existem custos associados a esta abordagem porque os dados são ingeridos apenas uma vez no Microsoft Sentinel.
Quando gere o acesso por recurso, a equipa SAP BASIS vê apenas dados não processados e não formatados, acessíveis através do Log Analytics ou do Power BI. A equipa SAP BASIS não pode utilizar funcionalidades Microsoft Sentinel.
Conteúdo relacionado
Para obter mais informações, veja Implementar Microsoft Sentinel solução para aplicações SAP.