여러 작업 영역에서 SAP 통합
Microsoft Sentinel에 대해 Log Analytics 작업 영역을 사용하도록 설정한 경우 여러 아키텍처 옵션 및 고려해야 할 요소가 있습니다. 지리, 규정, 액세스 제어 및 기타 요인을 고려하여 조직에 여러 작업 영역을 포함하도록 선택할 수 있습니다.
SAP와 함께 작업할 때 SAP 및 SOC 팀은 보안 경계를 유지하기 위해 별도의 작업 영역에서 작업해야 할 수 있습니다. SAP 팀이 조직 전체의 다른 모든 보안 로그에 대한 가시성을 갖지 않도록 할 수 있습니다. 그러나 SAP BASIS 팀은 SAP 애플리케이션용 Microsoft Sentinel 솔루션을 성공적으로 구현하고 유지 관리하는 데 중요한 역할을 합니다. 이러한 기술 지식은 SAP 시스템을 효과적으로 모니터링하고, 보안 설정을 구성하며, 적절한 인시던트 대응 절차를 마련하는 데 필수적입니다. 이러한 이유로 SAP BASIS 팀은 Microsoft Sentinel에 대해 사용하도록 설정된 Log Analytics 작업 영역에 액세스할 수 있어야 하며, 특히 SAP 관련 보안 모니터링에 집중하면서 SOC 팀과 공동 작업할 수 있습니다.
이 문서에서는 여러 작업 영역에서 SAP 애플리케이션에 대한 Microsoft Sentinel 솔루션을 사용하여 유연성이 향상되는 방법을 설명합니다.
- MSSP(관리형 보안 서비스 공급자) 또는 전역 또는 페더레이션된 SOC(보안 운영 센터)
- 데이터 상주 요구 사항
- 조직 계층 및 IT 디자인
- 단일 작업 영역에 부족한 RBAC(역할 기반 액세스 제어)
Important
여러 작업 영역으로 작업하는 것은 현재 미리 보기로 제공됩니다. 해당 기능은 별도의 서비스 수준 규약 없이 사용할 수 있습니다. 자세한 내용은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
참고 항목
다중 작업 영역 지원은 데이터 커넥터 에이전트에서만 사용할 수 있으며 SAP 에이전트 없는 솔루션(제한된 미리 보기)에서는 지원되지 않습니다.
별도의 작업 영역에서 유지 관리되는 SAP 및 SOC 데이터
SAP 및 SOC 팀이 팀 데이터가 보관되는 Microsoft Sentinel에 대해 별도의 Log Analytics 작업 영역을 사용하도록 설정한 경우 일부 또는 모든 SOC 팀 구성원 에게 SAP BASIS 팀의 작업 영역에 대한 Sentinel 읽기 권한자 역할을 제공하는 것이 좋습니다. 이렇게 하면 두 팀이 작업 영역 간 쿼리를 사용하여 SAP 데이터를 볼 수 있습니다.
SAP 및 SOC 데이터에 대해 별도의 작업 영역을 유지 관리하는 경우 다음과 같은 이점이 있습니다.
| 혜택 | 설명 |
|---|---|
| 경고 | Microsoft Sentinel은 SOC 및 SAP 데이터를 모두 포함하는 경고를 트리거하고 SOC 작업 영역에서 해당 경고를 실행할 수 있습니다. |
| 데이터 격리 | SAP BASIS 팀에는 SOC 및 SAP 데이터를 모두 포함하는 검색을 제외한 모든 기능을 포함하는 고유한 작업 영역이 있습니다. SOC는 SAP 인시던트를 보고 조사할 수 있습니다. SAP BASIS 팀이 기존 데이터를 사용하여 설명할 수 없는 이벤트에 직면하는 경우 팀은 SOC에 인시던트를 할당할 수 있습니다. |
| 유연성 | SAP BASIS 팀은 해당 환경에서 내부 위협을 제어하는 데 집중할 수 있으며 SOC는 외부 위협에 집중할 수 있습니다. |
| 가격 | 데이터는 Microsoft Sentinel에 한 번만 수집되므로 수집 요금에 대한 추가 요금은 없습니다. 그러나 각 작업 영역에는 고유한 가격 책정 계층이 있습니다. |
다음 표에서는 각각 고유한 작업 영역을 유지할 때 SAP 및 SOC 팀의 데이터 및 기능 액세스를 매핑합니다.
| 함수 | SOC 팀 | SAP BASIS 팀 |
|---|---|---|
| SOC 작업 영역 액세스 | ✅ | ❌ |
| SAP 작업 영역 데이터, 분석 규칙, 함수, 관심 목록 및 통합 문서 액세스 | ✅ | ✅* |
| SAP 인시던트 액세스 및 협업 | ✅ | ✅* |
* SOC 팀은 두 작업 영역에서 이러한 함수를 볼 수 있습니다. SAP BASIS 팀은 SAP 작업 영역에서만 이러한 함수를 볼 수 있습니다.
참고 항목
더 큰 SAP 환경에서 작업 영역 간 쿼리를 실행하면 성능에 영향을 줄 수 있습니다. 향상된 성능 및 비용 최적화를 위해 동일한 전용 클러스터에 SOC 및 SAP 작업 영역을 둘 다 사용하는 것이 좋습니다. 자세한 내용은 Azure Monitor 로그에서 전용 클러스터 만들기 및 관리를 참조하세요.
동일한 작업 영역에서 유지 관리되는 SAP 및 SOC 데이터
모든 데이터를 단일 작업 영역에 유지하고 액세스 제어를 적용하여 팀에서 데이터에 액세스할 수 있는 사용자를 결정할 수 있습니다.
이렇게 하려면 다음 단계를 따릅니다.
Azure Monitor의 Log Analytics를 사용하여 리소스별로 데이터에 대한 액세스를 관리합니다. 자세한 내용은 리소스별로 Microsoft Sentinel 데이터에 대한 액세스 관리를 참조하세요.
SAP 리소스를 Azure 리소스 ID와 연결합니다. 이 옵션은 CLI를 통해 배포된 데이터 커넥터 에이전트에 대해서만 지원됩니다. SAP 시스템에서 Microsoft Sentinel로 데이터를 수집하는 데 사용하는 데이터 수집기의 커넥터 구성 섹션에서 필요한
azure_resource_id필드를 지정합니다. 자세한 내용은 명령줄 및 커넥터 구성에서 SAP 데이터 커넥터 에이전트 배포를 참조하세요.
데이터 수집기 에이전트가 올바른 리소스 ID로 구성된 후 SAP BASIS 팀은 리소스 범위 쿼리를 사용하여 SOC 작업 영역의 특정 SAP 데이터에 액세스할 수 있습니다. SAP BASIS 팀은 SAP가 아닌 다른 데이터 형식을 읽을 수 없습니다.
데이터가 Microsoft Sentinel에 한 번만 수집되므로 이 접근 방식과 관련된 비용은 없습니다.
리소스별 액세스를 관리하는 경우 SAP BASIS 팀은 Log Analytics 또는 Power BI를 통해 액세스할 수 있는 원시 데이터와 형식이 지정되지 않은 데이터만 볼 수 있습니다. SAP BASIS 팀은 Microsoft Sentinel 기능을 사용할 수 없습니다.
관련 콘텐츠
자세한 내용은 SAP 애플리케이션용 Microsoft Sentinel 솔루션 배포를 참조 하세요.