Обнаружение угроз SecurityBridge для соединителя SAP для Microsoft Sentinel
SecurityBridge является первой и единственной комплексной платформой безопасности, встроенной в собственном коде, для защиты всех аспектов, необходимых для защиты организаций, работающих с SAP от внутренних и внешних угроз от основных бизнес-приложений. Платформа SecurityBridge — это надстройка с сертификацией SAP, используемая организациями по всему миру, и решает потребности клиентов в расширенной кибербезопасности, мониторинге в режиме реального времени, соответствии, безопасности кода и исправлении для защиты от внутренних и внешних угроз. Это решение Microsoft Sentinel позволяет интегрировать события обнаружения угроз SecurityBridge из всех локальных и облачных экземпляров SAP в мониторинг безопасности. Используйте это решение Microsoft Sentinel для получения нормализованных и говорящих событий безопасности, предварительно созданных панелей мониторинга и стандартных шаблонов для мониторинга безопасности SAP.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | SecurityBridgeLogs_CL |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Кристоф Наги |
Примеры запросов
Первые 10 имен событий
SecurityBridgeLogs_CL
| extend Name = tostring(split(RawData, '
|')[5])
| summarize count() by Name
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните следующие действия , чтобы создать псевдоним Функций Kusto, SecurityBridgeLogs
Примечание.
Этот соединитель данных разработан с помощью SecurityBridge Application Platform 7.4.0.
- Установка и подключение агента для Linux или Windows
Для этого решения требуется сбор журналов с помощью установки агента Microsoft Sentinel
Агент Sentinel поддерживается в следующих операционных системах:
Серверы Windows
SUSE Linux Enterprise Server
Redhat Linux Enterprise Server
Oracle Linux Enterprise Server
Если у вас есть решение SAP, установленное в HPUX или AIX, необходимо развернуть сборщик журналов в одном из перечисленных выше вариантов Linux и перенаправить журналы в этот сборщик.
Настройка журналов для сбора
Настройка настраиваемого каталога журнала для сбора
- Выберите указанную выше ссылку, чтобы открыть расширенные параметры рабочей области
- Нажмите кнопку + Добавить настраиваемую
- Нажмите кнопку " Обзор" , чтобы отправить пример файла журнала SAP SecurityBridge (например, AED_20211129164544.cef). Затем нажмите кнопку "Далее" >
- Выберите новую строку в качестве разделителя записей и нажмите кнопку "Далее" >
- Выберите Windows или Linux и введите путь к журналам SecurityBridge в зависимости от конфигурации. Пример:
- '/usr/sap/tmp/sb_events/*.cef'
ПРИМЕЧАНИЕ. В конфигурацию можно добавить столько путей, сколько требуется.
После ввода пути нажмите символ "+", который нужно применить, а затем нажмите кнопку "Далее". >
Добавление SecurityBridgeLogs в качестве настраиваемого имени журнала и нажатие кнопки "Готово"
Проверка журналов в Microsoft Sentinel
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью таблицы пользовательских журналов SecurityBridgeLogs_CL.
ПРИМЕЧАНИЕ. До появления новых журналов в таблице SecurityBridgeLogs_CL может потребоваться до 30 минут.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.