Microsoft Sentinel-lösning för SAP-program® – ARBETSbok för SAP-granskningskontroller (förhandsversion)

Den här artikeln beskriver arbetsboken SAP Audit Controls som tillhandahålls till dig som en del av Microsoft Sentinel-lösningen för SAP-program®.

Viktigt!

Microsoft Sentinel SAP Audit Controls-arbetsboken är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Den här arbetsboken hjälper dig att kontrollera din SAP-miljös® säkerhetskontroller för efterlevnad med ditt valda kontrollramverk, oavsett om det är SOX, NIST eller ett anpassat ramverk som du väljer.

Arbetsboken innehåller verktyg för att tilldela analysregler i din miljö till specifika säkerhetskontroller och kontrollfamiljer, övervaka och kategorisera incidenter som genereras av SAP-lösningsbaserade analysregler och rapportera om din efterlevnad.

Arbetsboken innehåller följande funktioner för ditt efterlevnadsprogram:

• Se rekommendationer om vilka analysregler som ska aktiveras och aktivera dem på plats med rätt förinställd konfiguration.
• Associera dina analysregler med SOX- eller NIST-kontrollramverket eller använd ditt eget anpassade kontrollramverk.
• Granska incidenter och aviseringar som sammanfattas av kontroll, enligt det valda kontrollramverket.
• Exportera relevanta incidenter för ytterligare analys i gransknings- och rapporteringssyfte.

Börja använda arbetsboken

1. I Microsoft Sentinel-portalen väljer du Arbetsböcker på menyn Hothantering .

2. I galleriet Arbetsböcker går du till Mallar och anger SAP i sökfältet och väljer SAP-granskningskontroller bland resultaten.

3. Välj Visa mall för att använda arbetsboken som den är eller välj Spara för att skapa en redigerbar kopia av arbetsboken. När kopian skapas väljer du Visa sparad arbetsbok.

   

4. Välj följande fält för att filtrera data efter dina behov:

   • Prenumeration och arbetsyta. Välj den arbetsyta vars SAP-systemefterlevnad du vill granska. Detta kan vara en annan arbetsyta än där Microsoft Sentinel distribueras.
   • Tiden då incidenten skapades. Välj ett intervall från de senaste fyra timmarna till de senaste 30 dagarna, eller ett anpassat intervall som du fastställer.
   • Andra incidentattribut – Status, Allvarlighetsgrad, Taktik, Ägare. För var och en av dessa väljer du bland de tillgängliga alternativen, vilket motsvarar de värden som representeras i incidenterna i det valda tidsintervallet.
   • Systemroller. SAP-systemrollerna, till exempel: Produktion.
   • Systemanvändning. Exempel: SAP ERP.
   • System. Du kan välja alla SAP-system-ID:er, ett specifikt system-ID eller flera system-ID:er.
   • Kontrollramverk, Kontrollfamiljer, Kontroll-ID:er. Välj dessa enligt det kontrollramverk som du vill utvärdera din täckning med och de specifika kontroller som du vill filtrera arbetsboksdata med.

   Instrumentpanelerna i den här arbetsboken möjliggör en aggregerad vy över incidenter och aviseringar baserat på tabellerna SecurityAlert och SecurityIncident , som som standard behåller 30 dagars data. Överväg att förlänga kvarhållningsperioden för de här tabellerna så att den matchar organisationens efterlevnadskrav. Oavsett vilket val du väljer för kvarhållningsprincipen för dessa tabeller tas inte själva incidentdata bort, även om de kanske inte visas här. Aviseringsdata sparas enligt tabellens kvarhållningsprincip.

   • Den faktiska kvarhållningsprincipen för dessa två tabeller kan mycket väl definieras som något annat än standardvärdet 30 dagar. Se meddelandet om den blå skuggade bakgrunden i arbetsboken (visas på skärmbilden ovan) som visar det faktiska tidsintervallet för data i tabellerna enligt deras aktuella kvarhållningsprincip.

   • Mer information finns i Konfigurera en datakvarhållningsprincip för en tabell på en Log Analytics-arbetsyta .

Översikt över arbetsbok

Arbetsboken är uppdelad i tre flikar:

• I
• Övervaka
• Rapport

Fliken Konfigurera

Skapa analysregler från ännu oanvända mallar

Tabellen Mallar som är redo att användas visar analysregelmallarna från Microsoft Sentinel-lösningen för SAP-program® som ännu inte har implementerats som aktiva regler. Du kan behöva skapa dessa regler för att uppnå efterlevnad.

• Lösningsmallarna för att konfigurera kontrollen visar de installerade lösningar vars analysregler du kan utvärdera här för kompatibilitet med ditt valda kontrollramverk. Som standard är endast SAP-lösningen markerad, men du kan välja valfri eller alla andra i den här listrutan.

• Välj länken Visa i kolumnen Egenskaper för en viss regelmalls rad i tabellen för att se hela mallens konfiguration i fönstret Information i popup-fönstret. (Den här vyn är skrivskyddad.)

• Kolumnen Rekommenderad konfiguration visar syftet med regeln: är det tänkt att skapa incidenter för undersökning? Eller bara för att skapa aviseringar som ska hållas åt sidan och läggas till andra incidenter som ska användas som bevis i deras undersökningar?

• Välj Aktivera regel (i beskrivningsfönstret) för att skapa en analysregel från mallen, med den rekommenderade konfigurationen redan inbyggd. Med den här funktionen kan du inte gissa dig till rätt konfiguration och definiera den manuellt.

Visa eller ändra tilldelningar av säkerhetskontroll för dina analysregler

I tabellen Välj en regel för att konfigurera visas listan över aktiverade analysregler som är relevanta för SAP.

• Antalet och graflinjerna för incidenter och aviseringarsom genereras av varje regel visas. (Identiska antal tyder på att aviseringsgruppering är inaktiverad.)

• Det visas också kolumner som anger att regelns inställning för incidentskapande är aktiverad ( kolumnen Incidenter ) och vad källan till regeln är ( kolumnen Källa )– Galleri, Innehållshubb eller Anpassad.

• Om den rekommenderade konfigurationen för regeln är "Endast som avisering" bör du överväga att inaktivera inställningen för att skapa incidenter i regeln (se nedan).

• När du väljer en regel visas en informationspanel med information om regeln.

  

  • Den övre delen av den här sidopanelen har rekommendationer om aktivering eller inaktivering av incidentskapande i konfigurationen av analysregeln, enligt ovan.

  • I nästa avsnitt visas vilka säkerhetskontroller och kontrollfamiljer som regeln identifieras med för vart och ett av de tillgängliga ramverken. För SOX- och NIST-ramverken kan du anpassa kontrolltilldelningen genom att välja en annan kontroll- eller kontrollfamilj från de relevanta listrutorna. För anpassade ramverk skriver du in valfria kontroller och kontrollfamiljer i textrutorna MyOrg . Om du gör några ändringar väljer du Spara ändringar.

  Om en viss analysregel inte har tilldelats någon säkerhetskontroll eller kontrollfamilj för ett visst ramverk visas en rekommendation om att ange kontrollerna. När du har valt kontrollerna väljer du Spara ändringar.

  • Om du vill se resten av informationen om den valda regeln som den definieras för tillfället väljer du Regelöversikt. Då öppnas samma informationsfönster som beskrevs tidigare i det här dokumentet.

Fliken Övervaka

Den här fliken innehåller flera grafiska representationer av olika grupper av incidenter i din miljö som matchar filtren överst i arbetsboken.

• Ett trendlinjediagram, märkt Incidenttrend, visar antalet incidenter över tid. Dessa incidenter grupperas (representeras av olika färgade linjer och skuggningar) som standard enligt kontrollfamiljen som representeras av regeln som genererade dem. Du kan välja alternativa grupper för dessa incidenter i listrutan Informationsincidenter .

  

• Hive-diagrammet Incidenter visar antalet incidenter grupperade på två sätt. Standardvärdena (för SOX-ramverket) är först av SOX Control-familjen (matrisen "honeycomb" med celler) och sedan av system-ID (varje cell i "honeycomb"). Du kan välja olika kriterier för att visa grupperingarna med hjälp av Drill by och And then by selectors (Granska efter och sedan efter väljare).

  Zooma in i hive-grafen för att göra texten tillräckligt stor för att läsa klart och zooma ut för att se alla grupper tillsammans. Dra hela grafen om du vill se olika delar av den.

  

Fliken Rapport

Slutligen innehåller fliken Rapport en lista över alla incidenter i din miljö som matchar filtren överst i arbetsboken.

• Incidenterna grupperas efter kontrollfamilj och kontroll-ID.

• Länken i kolumnen Incident-URL öppnar ett nytt webbläsarfönster som är öppet för incidentundersökningssidan för incidenten. Den här länken är beständig och fungerar oavsett kvarhållningsprincip för tabellen SecurityIncident .

• Rulla ned till slutet av fönstret (den yttre rullningslisten) för att se den vågräta rullningslisten, som du kan använda för att se resten av kolumnerna i rapporten.

• Exportera den här rapporten till ett kalkylblad genom att välja ellipsen (de tre punkterna) i det övre högra hörnet av rapporten och sedan välja Exportera till Excel.

  

  

Nästa steg

Mer information finns i:

• Distribuera Microsoft Sentinel-lösning för SAP-program®
• Referens för Microsoft Sentinel-lösning för SAP-programloggar®
• Övervaka hälsotillståndet för ditt SAP-system
• Förutsättningar för att distribuera Microsoft Sentinel-lösningen för SAP-program®
• Felsöka din Microsoft Sentinel-lösning för distribution av SAP-program®

Se den här YouTube-videon på Microsoft Security Community YouTube-kanalen för en demonstration av arbetsboken.