Interruption automatique d’attaque pour SAP (préversion)

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR met en corrélation des millions de signaux individuels pour identifier les campagnes de ransomware actives ou d’autres attaques sophistiquées dans l’environnement avec une grande confiance. Pendant qu’une attaque est en cours, Defender XDR interrompt l’attaque en confinant automatiquement les ressources compromises que l’attaquant utilise par le biais d’interruptions automatiques d’attaque. L’interruption automatique d’attaques limite le mouvement latéral dès le début et réduit l’impact global d’une attaque, des coûts associés à la perte de productivité. En même temps, elle laisse aux équipes des opérations de sécurité un contrôle total de l’enquête, de la correction et du retour en ligne des ressources.

Lorsque vous ajoutez un nouveau système SAP à Microsoft Sentinel, votre configuration par défaut inclut des fonctionnalités d’interruption d’attaque dans la plateforme SOC unifiée. Cet article explique comment vous assurer que votre système SAP est prêt à prendre en charge l’interruption automatique d’attaque pour SAP dans le portail Microsoft Defender.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Interruption d’attaque pour SAP et la plateforme d’opérations de sécurité unifiées

L’interruption d’attaque pour SAP est configurée en mettant à jour votre version de l’agent de connecteur de données et en veillant à ce que les rôles appropriés soient appliqués dans Azure et dans votre système SAP. Toutefois, une interruption automatique d’attaque s’affiche uniquement dans la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender.

Pour plus d’informations, consultez Interruption automatique d’attaque dans Microsoft Defender XDR.

Version minimale de l’agent et rôles requis

L’interruption automatique des attaques pour SAP nécessite les éléments suivants :

• Une version de l’agent de connecteur de données 90847355 ou ultérieure.
• L’identité de votre machine virtuelle de l’agent de connecteur de données doit être affectée aux rôles de l’opérateur Microsoft Sentinel Business Applications Agent et leLecteur des rôles Azure.
• Le rôle SAP /MSFTSEN/SENTINEL_RESPONDER doit être appliqué à votre système SAP et affecté au compte d’utilisateur SAP utilisé par l’agent de connecteur de données SAP de Microsoft Sentinel.

Pour utiliser une interruption d’attaque pour SAP, déployez un nouvel agent ou mettez à jour votre agent actuel vers la dernière version. Veillez à affecter l’opérateur Microsoft Sentinel Business Applications Agent et auLecteur rôles Azure et le rôle SAP /MSFTSEN/SENTINEL_RESPONDER en fonction des besoins.

Pour plus d’informations, consultez l’article suivant :

• Déployer et configurer le conteneur hébergeant l’agent de connecteur de données SAP
• Mettre à jour l’agent de connecteur de données SAP de Microsoft Sentinel, en particulier Mettre à jour votre système pour une interruption d’attaque

Contenu connexe

Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender (préversion).