Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När du konfigurerar log analytics-arbetsytan aktiverad för Microsoft Sentinel har du flera arkitekturalternativ och faktorer att tänka på. Med hänsyn till geografi, reglering, åtkomstkontroll och andra faktorer kan du välja att ha flera arbetsytor i din organisation.
När du arbetar med SAP kan dina SAP- och SOC-team behöva arbeta på separata arbetsytor för att upprätthålla säkerhetsgränser. Du kanske inte vill att SAP-teamet ska ha insyn i alla andra säkerhetsloggar i organisationen. SAP BASIS-teamet spelar dock en viktig roll för att implementera och underhålla Microsoft Sentinel lösning för SAP-program. Deras tekniska kunskap är viktig för att effektivt övervaka SAP-system, konfigurera säkerhetsinställningar och se till att lämpliga procedurer för incidenthantering finns på plats. Därför måste SAP BASIS-teamet ha åtkomst till Log Analytics-arbetsytan som är aktiverad för Microsoft Sentinel, så att de kan samarbeta med SOC-teamet samtidigt som de fokuserar specifikt på SAP-relaterad säkerhetsövervakning.
Den här artikeln beskriver hur du arbetar med den Microsoft Sentinel lösningen för SAP-program på flera arbetsytor, med förbättrad flexibilitet för:
- Leverantörer av hanterade säkerhetstjänster (MSSP: er) eller ett globalt eller federerat säkerhetsåtgärdscenter (SOC).
- Krav för datahemvist.
- Organisationshierarki och IT-design.
- Otillräcklig rollbaserad åtkomstkontroll (RBAC) på en enda arbetsyta.
Viktigt
Att arbeta med flera arbetsytor är för närvarande i förhandsversion. Den här funktionen tillhandahålls utan ett serviceavtal. Mer information finns i Kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure.
SAP- och SOC-data som underhålls på separata arbetsytor
Om dina SAP- och SOC-team har separata Log Analytics-arbetsytor aktiverade för Microsoft Sentinel där teamdata sparas rekommenderar vi att du ger några eller alla SOC-teammedlemmar rollen Sentinel Läsare för SAP BASIS-teamets arbetsyta. Detta gör att båda teamen kan se SAP-data med hjälp av frågor mellan arbetsytor.
Att underhålla separata arbetsytor för SAP- och SOC-data har följande fördelar:
| Fördel | Beskrivning |
|---|---|
| Varningar | Microsoft Sentinel kan utlösa aviseringar som innehåller både SOC- och SAP-data, och den kan köra dessa aviseringar på SOC-arbetsytan. |
| Dataisolering | SAP BASIS-teamet har en egen arbetsyta som innehåller alla funktioner förutom identifieringar som omfattar både SOC- och SAP-data. SOC kan se och undersöka SAP-incidenter. Om SAP BASIS-teamet står inför en händelse som den inte kan förklara med hjälp av befintliga data kan teamet tilldela incidenten till SOC. |
| Flexibilitet | SAP BASIS-teamet kan fokusera på kontrollen av interna hot i sitt landskap, och SOC kan fokusera på externa hot. |
| Prissättning | Det tillkommer ingen extra avgift för inmatningsavgifter, eftersom data endast matas in en gång i Microsoft Sentinel. Varje arbetsyta har dock en egen prisnivå. |
I följande tabell mappas data och funktionsåtkomst för SAP- och SOC-team när de har en egen arbetsyta:
| Funktion | SOC-teamet | SAP BASIS-teamet |
|---|---|---|
| ÅTKOMST till SOC-arbetsyta | ✅ | ❌ |
| Åtkomst till SAP-arbetsytedata, analysregler, funktioner, visningslistor och arbetsböcker | ✅ | ✅* |
| Åtkomst och samarbete för SAP-incidenter | ✅ | ✅* |
* SOC-teamet kan se dessa funktioner på båda arbetsytorna. SAP BASIS-teamet kan bara se dessa funktioner på SAP-arbetsytan.
Obs!
Att köra frågor mellan arbetsytor i större SAP-landskap kan påverka prestandan. För bättre prestanda- och kostnadsoptimering bör du överväga att ha både SOC- och SAP-arbetsytorna i samma dedikerade kluster. Mer information finns i Skapa och hantera ett dedikerat kluster i Azure Övervaka loggar.
SAP- och SOC-data som underhålls på samma arbetsyta
Du kanske vill behålla alla data på en enda arbetsyta och tillämpa åtkomstkontroller för att avgöra vem i ditt team som kan komma åt data.
Gör detta med hjälp av följande steg:
Använd Log Analytics i Azure Monitor för att hantera åtkomst till data efter resurs. Mer information finns i Hantera åtkomst till Microsoft Sentinel data efter resurs.
Associera SAP-resurser med ett Azure resurs-ID. Det här alternativet stöds endast för en dataanslutningsagent som distribueras via CLI. Ange det obligatoriska
azure_resource_idfältet i konfigurationsavsnittet för anslutningsappen på datainsamlaren som du använder för att mata in data från SAP-systemet till Microsoft Sentinel. Mer information finns i Distribuera en SAP-dataanslutningsagent från kommandoraden och anslutningskonfigurationen.
När datainsamlaragenten har konfigurerats med rätt resurs-ID kan SAP BASIS-teamet komma åt specifika SAP-data på SOC-arbetsytan med hjälp av en resursomfattande fråga. SAP BASIS-teamet kan inte läsa någon av de andra, icke-SAP-datatyperna.
Det finns inga kostnader kopplade till den här metoden eftersom data endast matas in en gång i Microsoft Sentinel.
När du hanterar åtkomst efter resurs ser SAP BASIS-teamet endast rådata och oformaterade data som är tillgängliga via Log Analytics eller Power BI. SAP BASIS-teamet kan inte använda några Microsoft Sentinel funktioner.
Relaterat innehåll
Mer information finns i Distribuera Microsoft Sentinel lösning för SAP-program.