Integrare SAP in più aree di lavoro
Quando si configura l'area di lavoro Log Analytics abilitata per Microsoft Sentinel, sono disponibili più opzioni di architettura e fattori da considerare. Tenendo conto dell'area geografica, della regolazione, del controllo di accesso e di altri fattori, è possibile scegliere di avere più aree di lavoro nell'organizzazione.
Quando si lavora con SAP, i team SAP e SOC potrebbero dover lavorare in aree di lavoro separate per mantenere i limiti di sicurezza. Potrebbe non essere necessario che il team SAP abbia visibilità su tutti gli altri log di sicurezza nell'organizzazione. Tuttavia, il team SAP BASIS svolge un ruolo fondamentale per implementare e gestire correttamente la soluzione Microsoft Sentinel per le applicazioni SAP. La loro conoscenza tecnica è essenziale per monitorare in modo efficace i sistemi SAP, configurare le impostazioni di sicurezza e garantire che siano presenti procedure appropriate per la risposta agli eventi imprevisti. Per questo motivo, il team SAP BASIS deve avere accesso all'area di lavoro Log Analytics abilitata per Microsoft Sentinel, consentendo loro di collaborare con il team SOC concentrandosi specificamente sul monitoraggio della sicurezza correlato a SAP.
Questo articolo illustra come usare la soluzione Microsoft Sentinel per le applicazioni SAP in più aree di lavoro, con una maggiore flessibilità per:
- Provider di servizi di sicurezza gestiti (MSSP) o un centro operativo di sicurezza globale o federato (SOC).
- Requisiti di residenza dei dati.
- Gerarchia dell'organizzazione e struttura IT.
- Controllo degli accessi in base al ruolo insufficiente in una singola area di lavoro.
Importante
L'uso di più aree di lavoro è attualmente in anteprima. Questa funzionalità viene fornita senza un contratto di servizio. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.
Nota
Il supporto per più aree di lavoro è disponibile solo con l'agente del connettore dati e non è supportato con la soluzione SAP senza agente (anteprima limitata).
Dati SAP e SOC gestiti in aree di lavoro separate
Se i team SAP e SOC hanno aree di lavoro Log Analytics separate abilitate per Microsoft Sentinel in cui vengono conservati i dati del team, è consigliabile fornire a alcuni o a tutti i membri del team SOC il ruolo lettore sentinel per l'area di lavoro del team SAP BASIS. In questo modo entrambi i team possono visualizzare i dati SAP usando query tra aree di lavoro.
La gestione di aree di lavoro separate per i dati SAP e SOC offre i vantaggi seguenti:
| Vantaggio | Descrizione |
|---|---|
| Avvisi | Microsoft Sentinel può attivare avvisi che includono dati SOC e SAP e può eseguire tali avvisi nell'area di lavoro SOC. |
| Isolamento dei dati | Il team SAP BASIS ha una propria area di lavoro che include tutte le funzionalità tranne i rilevamenti che includono sia i dati SOC che i dati SAP. Il SOC può visualizzare e analizzare gli eventi imprevisti SAP. Se il team SAP BASIS affronta un evento che non può spiegare usando i dati esistenti, il team può assegnare l'evento imprevisto al SOC. |
| Flessibilità | Il team SAP BASIS può concentrarsi sul controllo delle minacce interne nel proprio panorama e il SOC può concentrarsi sulle minacce esterne. |
| Prezzi | Non sono previsti costi aggiuntivi per l'inserimento dei costi, perché i dati vengono inseriti una sola volta in Microsoft Sentinel. Tuttavia, ogni area di lavoro ha un proprio piano tariffario. |
La tabella seguente esegue il mapping dei dati e dell'accesso alle funzionalità per i team SAP e SOC quando ognuno gestisce la propria area di lavoro:
| Funzione | Team SOC | Team SAP BASIS |
|---|---|---|
| Accesso all'area di lavoro SOC | ✅ | ❌ |
| Dati dell'area di lavoro SAP, regole di analisi, funzioni, watchlist e accesso alle cartelle di lavoro | ✅ | ✅* |
| Accesso agli eventi imprevisti SAP e collaborazione | ✅ | ✅* |
* Il team SOC può visualizzare queste funzioni in entrambe le aree di lavoro. Il team SAP BASIS può visualizzare queste funzioni solo nell'area di lavoro SAP.
Nota
L'esecuzione di query tra aree di lavoro in scenari SAP più grandi può influire sulle prestazioni. Per migliorare le prestazioni e l'ottimizzazione dei costi, è consigliabile avere sia le aree di lavoro SOC che SAP nello stesso cluster dedicato. Per altre informazioni, vedere Creare e gestire un cluster dedicato nei log di Monitoraggio di Azure.
Dati SAP e SOC mantenuti nella stessa area di lavoro
È possibile mantenere tutti i dati in un'unica area di lavoro e applicare i controlli di accesso per determinare chi nel team è in grado di accedere ai dati.
A tale scopo, seguire questa procedura:
Usare Log Analytics in Monitoraggio di Azure per gestire l'accesso ai dati in base alla risorsa. Per altre informazioni, vedere Gestire l'accesso ai dati di Microsoft Sentinel in base alla risorsa.
Associare le risorse SAP a un ID risorsa di Azure. Questa opzione è supportata solo per un agente del connettore dati distribuito tramite l'interfaccia della riga di comando. Specificare il campo obbligatorio
azure_resource_idnella sezione di configurazione del connettore nell'agente di raccolta dati usato per inserire dati dal sistema SAP in Microsoft Sentinel. Per altre informazioni, vedere Distribuire un agente del connettore dati SAP dalla riga di comando e dalla configurazione del connettore.
Dopo aver configurato l'agente di raccolta dati con l'ID risorsa corretto, il team SAP BASIS può accedere ai dati SAP specifici nell'area di lavoro SOC usando una query con ambito risorsa. Il team SAP BASIS non è in grado di leggere nessun altro tipo di dati non SAP.
Non sono previsti costi associati a questo approccio perché i dati vengono inseriti una sola volta in Microsoft Sentinel.
Quando si gestisce l'accesso in base alla risorsa, il team SAP BASIS vede solo dati non elaborati e non formattati, accessibili tramite Log Analytics o Power BI. Il team SAP BASIS non può usare alcuna funzionalità di Microsoft Sentinel.
Contenuto correlato
Per altre informazioni, vedere Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP.