Controllare la conformità per i controlli di sicurezza SAP con la cartella di lavoro SAP - Security Audit Controls
Questo articolo descrive come usare la cartella di lavoro SAP - Security Audit Controls per monitorare e tenere traccia della conformità del framework di controllo della sicurezza nei sistemi SAP, incluse le funzionalità seguenti:
- Vedere le raccomandazioni sulle regole di analisi da abilitare e abilitarle sul posto con la configurazione predefinita appropriata.
- Associare le regole di analisi al framework di controllo SOX o NIST o applicare un framework di controllo personalizzato.
- Esaminare gli eventi imprevisti e gli avvisi riepilogati in base al controllo, in base al framework di controllo selezionato.
- Esportare eventi imprevisti rilevanti per ulteriori analisi, a scopo di controllo e creazione di report.
Ad esempio:
Il contenuto di questo articolo è destinato al team di sicurezza .
Prerequisiti
Prima di iniziare a usare il log di controllo sap - sicurezza e la cartella di lavoro Di accesso iniziale, è necessario disporre di:
Una soluzione Microsoft Sentinel per SAP installata e un connettore dati configurato. Per altre informazioni, vedere Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP.
Cartella di lavoro sap Audit Controls installata nell'area di lavoro Log Analytics abilitata per Microsoft Sentinel. Per altre informazioni, vedere Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel.
Almeno un evento imprevisto nell'area di lavoro, con almeno una voce disponibile nella
SecurityIncidenttabella. Questo non deve essere un evento imprevisto SAP ed è possibile generare un evento imprevisto demo usando una regola di analisi di base se non si ha un altro evento imprevisto.
È consigliabile configurare il controllo per tutti i messaggi del log di controllo, anziché solo per i log specifici. Le differenze dei costi di inserimento sono in genere minime e i dati sono utili per i rilevamenti di Microsoft Sentinel e nelle indagini e nella ricerca post-compromissione. Per altre informazioni, vedere Configurare il controllo SAP.
Visualizzare una demo
Visualizzare una dimostrazione di questa cartella di lavoro:
Per altre informazioni, vedere il canale YouTube della community di sicurezza Microsoft:
Filtri supportati
La cartella di lavoro sap Audit Controls supporta i filtri seguenti per concentrarsi sui dati necessari:
| Opzione filtro | Descrizione |
|---|---|
| Sottoscrizione e area di lavoro | Selezionare l'area di lavoro di cui si vuole controllare la conformità dei sistemi SAP. Può trattarsi di un'area di lavoro diversa da quella in cui viene distribuito Microsoft Sentinel. |
| Tempo di creazione degli eventi imprevisti | Selezionare un intervallo tra le ultime quattro ore e gli ultimi 30 giorni o un intervallo personalizzato determinato. |
| Altri attributi degli eventi imprevisti, tra cui Stato, Gravità, Tattiche, Proprietario | Per ognuno di questi, selezionare tra le scelte disponibili, che corrispondono ai valori rappresentati negli eventi imprevisti nell'intervallo di tempo selezionato. |
| Ruoli di sistema | Ruoli del sistema SAP, ad esempio Production. |
| Utilizzo del sistema | Utilizzo del sistema SAP, ad esempio SAP ERP. |
| Sistemi | Selezionare tutti gli ID di sistema SAP, un ID di sistema specifico o più ID di sistema. |
| Framework di controllo, famiglie di controlli, ID di controllo | Selezionare il framework di controllo in base al quale valutare la copertura e i controlli specifici in base ai quali filtrare i dati della cartella di lavoro. |
Raccomandazioni sulla conservazione dei dati
I dashboard dei controlli di controllo SAP offrono una visualizzazione aggregata degli eventi imprevisti e degli avvisi in base alle tabelle SecurityAlert e SecurityIncident , che, per impostazione predefinita, mantengono 30 giorni di dati.
Valutare la possibilità di estendere il periodo di conservazione per queste tabelle in base ai requisiti di conformità dell'organizzazione. Indipendentemente dalla scelta effettuata per i criteri di conservazione di queste tabelle, i dati degli eventi imprevisti non vengono mai eliminati, anche se potrebbero non essere visualizzati qui. I dati degli avvisi vengono mantenuti in base ai criteri di conservazione della tabella.
I criteri di conservazione effettivi delle tabelle SecurityAlert e SecurityIncident potrebbero essere definiti come elementi diversi dai 30 giorni predefiniti. Vedere l'avviso sullo sfondo blu ombreggiato nella cartella di lavoro, che mostra l'intervallo di tempo effettivo dei dati nelle tabelle in base ai criteri di conservazione correnti.
Per altre informazioni, vedere Configurare i criteri di conservazione dei dati per una tabella in un'area di lavoro Log Analytics.
Scheda Configura : creare regole di analisi da modelli ancora inutilizzati
La tabella Modelli pronti per l'uso nella scheda Configura mostra i modelli di regola di analisi della soluzione Microsoft Sentinel per le applicazioni SAP che non sono ancora state implementate come regole attive. Potrebbe essere necessario creare queste regole per ottenere la conformità. Ad esempio:
Per impostazione predefinita, questa tabella viene filtrata per SAP, con SAP selezionato nei modelli di soluzione per configurare l'elenco a discesa. Selezionare una o tutte le altre soluzioni da questo elenco a discesa per popolare ulteriormente la tabella Modelli pronti per l'uso.
Per ogni riga della tabella, selezionare Visualizza per altri dettagli di sola lettura sulla configurazione delle regole.
La colonna Configurazione consigliata mostra lo scopo della regola: è progettato per creare eventi imprevisti per l'analisi ? O solo per creare avvisi da tenere da parte e aggiungere ad altri eventi imprevisti da usare come prove nelle indagini?
Selezionare Attiva regola nel riquadro laterale per creare una regola di analisi dal modello, con la configurazione consigliata già incorporata. Questa funzionalità consente di evitare di dover indovinare la configurazione corretta e definirla manualmente.
Scheda Configura - Visualizzare o modificare le assegnazioni dei controlli di sicurezza delle regole di analisi
La tabella Selezionare una regola da configurare nella scheda Configura mostra un elenco di regole di analisi attivate rilevanti per SAP. Ad esempio:
Nella tabella controllare:
Conteggio e linee del grafico generate da ogni regola nelle colonne Eventi imprevisti e Avvisi . I conteggi identici suggeriscono che il raggruppamento di avvisi sia disabilitato.
I valori della colonna Eventi imprevisti e Origine per comprendere se la regola è impostata per creare eventi imprevisti .
Indica se la configurazione consigliata per una regola è Solo come avviso. In tal caso, valutare la possibilità di disattivare l'impostazione di creazione dell'evento imprevisto nella regola.
Selezionare una regola per visualizzare un riquadro dei dettagli con altre informazioni. Ad esempio:
La parte superiore di questo pannello laterale include raccomandazioni relative all'abilitazione o alla disabilitazione della creazione di eventi imprevisti nella configurazione della regola di analisi.
La sezione successiva del riquadro laterale mostra i controlli di sicurezza e le famiglie di controlli con cui viene identificata la regola, per ognuno dei framework disponibili.
- Per i framework SOX e NIST, personalizzare l'assegnazione del controllo scegliendo un controllo o una famiglia di controlli diversi dagli elenchi a discesa pertinenti.
- Per i framework personalizzati, immettere nei controlli e nelle famiglie di controlli desiderati nelle caselle di testo MyOrg . Se si apportano modifiche, selezionare Salva modifiche.
Se a una determinata regola di analisi non è stata assegnata una famiglia di controlli o controlli di sicurezza per un determinato framework, viene richiesto di impostare manualmente i controlli. Dopo aver selezionato i controlli, selezionare Salva modifiche.
Per visualizzare il resto dei dettagli della regola selezionata come attualmente definito, selezionare Panoramica delle regole.
Scheda Monitoraggio
La scheda Monitoraggio contiene diverse rappresentazioni grafiche di vari raggruppamenti degli eventi imprevisti nell'ambiente in uso che corrispondono ai filtri nella parte superiore della cartella di lavoro:
Un grafico a linee di tendenza, etichettato Tendenza eventi imprevisti, mostra il numero di eventi imprevisti nel tempo. Questi eventi imprevisti sono raggruppati e rappresentati da linee e ombreggiature colorate diverse, per impostazione predefinita in base alla famiglia di controlli rappresentata dalla regola che li ha generati. Selezionare raggruppamenti alternativi per questi eventi imprevisti nell'elenco a discesa Dettagli eventi imprevisti . Ad esempio:
Il grafico Hive degli eventi imprevisti mostra il numero di eventi imprevisti raggruppati in due modi. Le impostazioni predefinite per il framework SOX sono prima di tutto della famiglia soX Control, ovvero la matrice honeycomb di celle, e quindi per ID sistema, che è ogni cella del honeycomb. Selezionare criteri diversi in base ai quali visualizzare i raggruppamenti, usando drill-by e quindi per selettori.
Ingrandire il grafico hive per fare in modo che il testo sia sufficientemente grande da leggere in modo chiaro e fare zoom indietro per visualizzare tutti i raggruppamenti. Trascinare l'intero grafico per visualizzare parti diverse. Ad esempio:
Scheda Report
La scheda Report contiene un elenco di tutti gli eventi imprevisti nell'ambiente che corrispondono ai filtri nella parte superiore della cartella di lavoro.
Gli eventi imprevisti sono raggruppati in base alla famiglia di controlli e all'ID di controllo.
Il collegamento nella colonna URL evento imprevisto apre una nuova finestra del browser aperta alla pagina di indagine degli eventi imprevisti per tale evento imprevisto. Questo collegamento è persistente e funzionerà indipendentemente dai criteri di conservazione per la tabella SecurityIncident .
Scorrere verso il basso fino alla fine della finestra (barra di scorrimento esterna) per visualizzare la barra di scorrimento orizzontale, che è possibile usare per visualizzare le altre colonne del report.
Esportare il report in un foglio di calcolo selezionando i puntini di sospensione (i tre puntini) nell'angolo superiore destro del report, quindi selezionando Esporta in Excel.
Contenuto correlato
Per altre informazioni, vedere Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP dall'hub del contenuto e dalla soluzione Microsoft Sentinel per le applicazioni SAP: informazioni di riferimento sul contenuto di sicurezza.