Conector de detección de amenazas de SecurityBridge para SAP para Microsoft Sentinel

  • Artículo

SecurityBridge es la primera y única plataforma de seguridad holística e integrada de forma nativa, que aborda todos los aspectos necesarios para proteger a las organizaciones que ejecutan SAP frente a amenazas internas y externas contra sus aplicaciones empresariales principales. La plataforma de SecurityBridge es un complemento certificado por SAP que usan las organizaciones de todo el mundo y que aborda la necesidad de los clientes de ciberseguridad avanzada, supervisión en tiempo real, cumplimiento, seguridad de código y aplicación de revisiones para protegerse frente a amenazas internas y externas. Esta solución de Microsoft Sentinel le permite integrar eventos de detección de amenazas de SecurityBridge desde todas las instancias de SAP locales y en la nube en la supervisión de seguridad. Use esta solución de Microsoft Sentinel para recibir eventos de seguridad normalizados y de habla, paneles pregenerados y plantillas listas para usar para la supervisión de seguridad de SAP.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics SecurityBridgeLogs_CL
Soporte de reglas de recopilación de datos No se admite actualmente.
Compatible con Christoph Nagy

Ejemplos de consultas

Nombres de los 10 eventos principales

SecurityBridgeLogs_CL 

| extend Name = tostring(split(RawData, '
|')[5]) 

| summarize count() by Name 
| top 10 by count_

Instrucciones de instalación del proveedor

Nota

Este conector de datos depende de un analizador basado en una función de Kusto para funcionar según lo previsto. Siga estos pasos para crear el alias de Functions de Kusto, SecurityBridgeLogs.

Nota

Este conector de datos se ha desarrollado mediante la plataforma de aplicaciones de SecurityBridge 7.4.0.

  1. Instalación e incorporación del agente para Linux o Windows

Esta solución requiere la recopilación de registros mediante una instalación del agente de Microsoft Sentinel.

El agente de Sentinel es compatible con los sistemas operativos siguientes:

  1. Servidores Windows

  2. SUSE Linux Enterprise Server

  3. Redhat Linux Enterprise Server

  4. Oracle Linux Enterprise Server

  5. Si tiene la solución de SAP instalada en HPUX/AIX, deberá implementar un recopilador de registros en una de las opciones de Linux enumeradas anteriormente y reenviar los registros a ese recopilador.

  6. Configure los registros que se van a recopilar.

Permite configurar el directorio de registros personalizados que se debe recopilar.

  1. Seleccione el vínculo anterior para abrir la configuración avanzada del área de trabajo.
  2. Haga clic en +Agregar personalizado.
  3. Haga clic en Examinar para cargar una muestra de un archivo de registro de SAP de SecurityBridge (por ejemplo, AED_20211129164544.cef). A continuación, haga clic en Siguiente >
  4. Seleccione Nueva línea como delimitador de registros y, a continuación, haga clic en Siguiente >
  5. Seleccione Windows o Linux y escriba la ruta de acceso a los registros de SecurityBridge en función de la configuración. Ejemplo:
  • "/usr/sap/tmp/sb_events/*.cef"

NOTA: Puede agregar tantas rutas de acceso como desee en la configuración.

  1. Después de escribir la ruta de acceso, haga clic en el símbolo "+" que se va a aplicar y, a continuación, haga clic en Siguiente >

  2. Agregue SecurityBridgeLogs como nombre de registro personalizado y haga clic en Listo.

  3. Comprobación de registros en Microsoft Sentinel

Abra Log Analytics para comprobar si los registros se reciben mediante la tabla de registro personalizada SecurityBridgeLogs_CL.

NOTA: Los registros nuevos pueden tardar hasta 30 minutos en aparecer en la tabla SecurityBridgeLogs_CL.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.