Utiliser la solution Microsoft Sentinel pour les applications SAP dans plusieurs espaces de travail
Lorsque vous configurez votre espace de travail Microsoft Sentinel, vous avez plusieurs options d’architecture et facteurs à prendre en compte. Compte tenu de la géographie, de la réglementation, du contrôle d’accès et d’autres facteurs, vous pouvez choisir d’avoir plusieurs espaces de travail Microsoft Sentinel dans votre organisation.
Cet article explique comment utiliser la solution Microsoft Sentinel pour les applications SAP dans plusieurs espaces de travail pour différents scénarios de déploiement.
La solution Microsoft Sentinel pour les applications SAP prend en charge en mode natif une architecture inter-espaces de travail afin de prendre en charge une flexibilité améliorée pour :
- Fournisseurs de services de sécurité gérée (MSSPs) ou centre des opérations de sécurité global ou fédéré (SOC).
- Exigences de résidence des données.
- Hiérarchie organisationnelle et conception informatique.
- Contrôle d’accès en fonction du rôle (RBAC) insuffisant dans un seul espace de travail.
Important
L’utilisation de plusieurs espaces de travail est actuellement en préversion. Cette fonctionnalité est fournie sans contrat de niveau de service. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.
Vous pouvez définir plusieurs espaces de travail lorsque vous déployer du contenu de sécurité SAP.
Collaboration entre le SOC et les équipes SAP dans votre organisation
Un cas d’usage courant est celui dans lequel la collaboration entre les équipes SOC et SAP de votre organisation nécessite une configuration multi-espace de travail.
L’équipe SAP de votre organisation a des connaissances techniques qui sont essentielles pour implémenter correctement et efficacement la solution Microsoft Sentinel pour les applications SAP. Par conséquent, il est important pour l’équipe SAP de voir les données pertinentes et de collaborer avec le SOC sur les procédures de configuration et de réponse aux incidents requises.
Il existe deux scénarios possibles pour la collaboration d’équipe SOC et SAP, en fonction des besoins de votre organisation :
Scénario 1 : données SAP et les données SOC conservées dans des espaces de travail distincts. Les deux équipes peuvent voir les données SAP à l’aide de requêtes inter-espaces de travail.
Scénario 2 : données SAP conservées uniquement dans l’espace de travail SOC. L’équipe SAP peut interroger les données à l’aide de requêtes de contexte de ressources.
Scénario 1 : données SAP et données SOC conservées dans des espaces de travail distincts
Dans ce scénario, l’équipe SAP et l’équipe SOC ont des espaces de travail Microsoft Sentinel distincts où les données d’équipe sont conservées.
Lorsque votre organisation déploie la solution Microsoft Sentinel pour les applications SAP, chaque équipe spécifie son espace de travail SAP.
Une pratique courante consiste à fournir à certains membres ou à tous les membres de l’équipe SOC le rôle Lecteur Sentinel pour l’espace de travail SAP.
La création d’espaces de travail distincts pour les données SAP et SOC présente les avantages suivants :
Microsoft Sentinel peut déclencher des alertes qui incluent des données SOC et SAP, et elle peut exécuter ces alertes sur l’espace de travail SOC.
Remarque
Pour les paysages SAP plus volumineux, l’exécution de requêtes effectuées par le SOC sur les données de l’espace de travail SAP peut affecter les performances. Les données SAP doivent se déplacer vers l’espace de travail SOC lorsqu’elles sont interrogées. Pour optimiser les performances et les coûts, configurez les espaces de travail SOC et SAP sur le même cluster dédié.
L’équipe SAP possède son propre espace de travail Microsoft Sentinel qui inclut toutes les fonctionnalités, à l’exception des détections qui incluent les données SOC et SAP.
Flexibilité. L’équipe SAP peut se concentrer sur le contrôle des menaces internes dans son paysage, et le SOC peut se concentrer sur les menaces externes.
Il n’y a pas de frais supplémentaires pour les frais d’ingestion, car les données sont ingérées une seule fois dans Microsoft Sentinel. Toutefois, chaque espace de travail a son propre niveau tarifaire.
Le SOC peut voir et examiner les incidents SAP. Si l’équipe SAP fait face à un événement qu’elle ne peut pas expliquer à l’aide de données existantes, l’équipe peut affecter l’incident au SOC.
Le tableau suivant mappe l’accès aux données et fonctionnalités des équipes SAP et SOC dans ce scénario :
| Fonction | Équipe SOC | Équipe SAP |
|---|---|---|
| Accès à l’espace de travail SOC | ✅ | ❌ |
| Accès aux données de l’espace de travail SAP, aux règles analytiques, aux fonctions, aux watchlists et aux workbooks | ✅ | ✅1 |
| Accès aux incidents SAP et collaboration | ✅ | ✅1 |
1 L’équipe SOC peut voir ces fonctions dans les deux espaces de travail. L’équipe SAP peut voir ces fonctions uniquement dans l’espace de travail SAP.
Scénario 2 : Données SAP conservées uniquement dans l’espace de travail SOC
Dans ce scénario, vous souhaitez conserver toutes les données d’un espace de travail et appliquer des contrôles d’accès. Pour ce faire, utilisez Log Analytics dans Azure Monitor pour gérer l’accès aux données par ressources. Vous pouvez également associer des ressources SAP à un ID de ressource Azure en spécifiant le champ azure_resource_id requis dans la section de configuration du connecteur sur le collecteur de données que vous utilisez pour ingérer des données du système SAP dans Microsoft Sentinel.
Une fois que l’agent du collecteur de données est configuré avec l’ID de ressource approprié, l’équipe SAP peut accéder aux données SAP spécifiques dans l’espace de travail SOC à l’aide d’une requête étendue à la ressource. L’équipe SAP ne peut pas lire les autres types de données non SAP.
Il n’existe aucun coût associé à cette approche, car les données ne sont ingérées qu’une seule fois dans Microsoft Sentinel. Lorsque vous utilisez ce mode d’accès, l’équipe SAP voit uniquement les données brutes et non mises en forme. L’équipe SAP ne peut pas utiliser de fonctionnalités Microsoft Sentinel. En plus d’accéder aux données brutes via Log Analytics, l’équipe SAP peut accéder aux mêmes données via Power BI.
Étape suivante
Dans cet article, vous avez appris à utiliser la solution Microsoft Sentinel pour les applications SAP dans plusieurs espaces de travail pour différents scénarios de déploiement. Ensuite, découvrez comment déployer la solution :