Conector da Detecção de Ameaças SecurityBridge para SAP para o Microsoft Sentinel

  • Artigo

A SecurityBridge é a primeira e única plataforma de segurança holística integrada nativamente e aborda todos os aspectos necessários para proteger as organizações que executam o SAP das ameaças internas e externas contra seus principais aplicativos de negócios. A plataforma SecurityBridge, um complemento certificado pelo SAP, é usada por organizações em todo o mundo e satisfaz a necessidade que os clientes têm de uma segurança cibernética avançada, monitoramento em tempo real, conformidade, segurança de códigos e aplicação de patches para proteção contra ameaças internas e externas. Essa solução do Microsoft Sentinel permite que você integre os eventos de Detecção de Ameaças da SecurityBridge, de todas as suas instâncias SAP locais e baseadas em nuvem, ao seu monitoramento de segurança. Use essa solução do Microsoft Sentinel para receber eventos de segurança normalizados e falados, painéis de controle criados previamente e modelos prontos para uso em seu monitoramento de segurança do SAP.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics SecurityBridgeLogs_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Christoph Nagy

Exemplos de consulta

10 Principais Nomes de Eventos

SecurityBridgeLogs_CL 

| extend Name = tostring(split(RawData, '
|')[5]) 

| summarize count() by Name 
| top 10 by count_

Instruções de instalação do fornecedor

Observação

Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Siga essas etapas para criar o alias de Funções do Kusto, SecurityBridgeLogs

Observação

Esse conector de dados foi desenvolvido usando a Plataforma de Aplicativos SecurityBridge 7.4.0.

  1. Instalar e integrar o agente para Linux ou Windows

Essa solução requer a coleta de logs por meio de uma instalação do agente do Microsoft Sentinel

O agente do Sentinel é compatível com os seguintes sistemas operacionais:

  1. Servidores Windows

  2. SUSE Linux Enterprise Server

  3. Redhat Linux Enterprise Server 7

  4. Oracle Linux Enterprise Server

  5. Se a sua solução SAP estiver instalada no HPUX/AIX, você precisará implantar um coletor de logs em uma das opções do Linux listadas acima e encaminhar seus logs para esse coletor

  6. Configurar os logs a serem coletados

Configure o diretório de log personalizado a ser coletado

  1. Selecione o link acima para abrir as configurações avançadas do seu espaço de trabalho
  2. Clique em +Adicionar função personalizada
  3. Clique em Procurar para carregar uma amostra de um arquivo de log da SecurityBridge do SAP (por exemplo, AED_20211129164544.cef). Em seguida, clique em Avançar >
  4. Selecione Nova Linha como o delimitador do registro e clique em Avançar >
  5. Selecione Windows ou Linux e insira o caminho para os logs da SecurityBridge com base na sua configuração. Exemplo:
  • "/usr/sap/tmp/sb_events/*.cef"

OBSERVAÇÃO: você pode adicionar quantos caminhos desejar à configuração.

  1. Após ter inserido o caminho, clique no símbolo "+" para aplicar e, a seguir, clique em Avançar >

  2. Adicione SecurityBridgeLogs como o Nome do log personalizado e clique em Concluído

  3. Verifique os logs no Microsoft Sentinel

Abra a Análise de Logs para verificar se os logs são recebidos usando a tabela de logs personalizada. SecurityBridgeLogs_CL.

OBSERVAÇÃO: pode levar até 30 minutos para que os novos logs apareçam na tabela SecurityBridgeLogs_CL.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.