Birden çok çalışma alanında SAP uygulamaları için Microsoft Sentinel çözümüyle çalışma
Microsoft Sentinel çalışma alanınızı ayarlarken dikkate almanız gereken birden çok mimari seçeneği ve faktör vardır. Coğrafyayı, düzenlemeyi, erişim denetimini ve diğer faktörleri dikkate alarak kuruluşunuzda birden çok Microsoft Sentinel çalışma alanı olmasını seçebilirsiniz.
Bu makalede, farklı dağıtım senaryoları için birden çok çalışma alanında SAP uygulamaları için Microsoft Sentinel çözümüyle nasıl çalışılacağı açıklanır.
SAP uygulamaları için Microsoft Sentinel çözümü, aşağıdakiler için geliştirilmiş esnekliği desteklemek üzere çalışma alanları arası mimariyi yerel olarak destekler:
- Yönetilen güvenlik hizmeti sağlayıcıları (MSSP' ler) veya genel veya federasyon güvenlik operasyonları merkezi (SOC).
- Veri yerleşimi gereksinimleri.
- Kuruluş hiyerarşisi ve BT tasarımı.
- Tek bir çalışma alanında rol tabanlı erişim denetimi (RBAC) yetersiz.
Önemli
Şu anda birden çok çalışma alanıyla çalışma önizleme aşamasındadır. Bu özellik, hizmet düzeyi sözleşmesi olmadan sağlanır. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.
SAP güvenlik içeriğini dağıtırken birden çok çalışma alanı tanımlayabilirsiniz.
Kuruluşunuzdaki SOC ve SAP ekipleri arasında işbirliği
Yaygın bir kullanım örneği, kuruluşunuzdaki SOC ve SAP ekipleri arasında işbirliğinin çok çalışma alanılı bir kurulum gerektirdiği durumdur.
Kuruluşunuzun SAP ekibi, SAP uygulamaları için Microsoft Sentinel çözümünü başarılı ve etkili bir şekilde uygulamak için kritik öneme sahip teknik bilgilere sahiptir. Bu nedenle, SAP ekibinin ilgili verileri görmesi ve gerekli yapılandırma ve olay yanıtı yordamları hakkında SOC ile işbirliği yapmak önemlidir.
Kuruluşunuzun gereksinimlerine bağlı olarak SOC ve SAP ekip işbirliği için iki olası senaryo vardır:
Senaryo 1: SAP verileri ve SOC verileri ayrı çalışma alanlarında tutulur. Her iki ekip de çalışma alanları arası sorguları kullanarak SAP verilerini görebilir.
Senaryo 2: SAP verileri yalnızca SOC çalışma alanında tutulur. SAP ekibi, kaynak bağlamı sorgularını kullanarak verileri sorgulayabilir.
Senaryo 1: SAP verileri ve SOC verileri ayrı çalışma alanlarında tutulur
Bu senaryoda SAP ekibi ve SOC ekibi, ekip verilerinin tutulduğu ayrı Microsoft Sentinel çalışma alanlarına sahiptir.
Kuruluşunuz SAP uygulamaları için Microsoft Sentinel çözümünü dağıttığında, her ekip SAP çalışma alanını belirtir.
Yaygın bir uygulama, SOC ekip üyelerinin bir kısmına veya tümüne SAP çalışma alanı için Sentinel Okuyucusu rolü sağlamaktır.
SAP ve SOC verileri için ayrı çalışma alanları oluşturmanın şu avantajları vardır:
Microsoft Sentinel hem SOC hem de SAP verilerini içeren uyarılar tetikleyebilir ve bu uyarıları SOC çalışma alanında çalıştırabilir.
Not
Daha büyük SAP manzaraları için, SAP çalışma alanından alınan veriler üzerinde SOC tarafından yapılan sorguları çalıştırmak performansı etkileyebilir. SORGUlanırken SAP verilerinin SOC çalışma alanına gitmesi gerekir. Gelişmiş performans ve maliyet iyileştirmeleri için hem SOC hem de SAP çalışma alanlarının aynı ayrılmış kümede olmasını göz önünde bulundurun.
SAP ekibinin hem SOC hem de SAP verilerini içeren algılamalar dışında tüm özellikleri içeren kendi Microsoft Sentinel çalışma alanı vardır.
Esneklik. SAP ekibi kendi alanında iç tehditlerin denetimine odaklanabilir ve SOC dış tehditlere odaklanabilir.
Veriler Microsoft Sentinel'e yalnızca bir kez alınacağından alım ücretleri için ek ücret alınmaz. Ancak her çalışma alanının kendi fiyatlandırma katmanı vardır.
SOC, SAP olaylarını görebilir ve araştırabilir. SAP ekibi mevcut verileri kullanarak açıklayabildiği bir olayla karşılaşıyorsa, ekip olayı SOC'ye atayabilir.
Aşağıdaki tablo, bu senaryoda SAP ve SOC ekipleri için veri ve özelliklere erişimi eşler:
| İşlev | SOC ekibi | SAP ekibi |
|---|---|---|
| SOC çalışma alanı erişimi | ✅ | ❌ |
| SAP çalışma alanı verileri, analiz kuralları, işlevler, izleme listeleri ve çalışma kitapları erişimi | ✅ | ✅1 |
| SAP olay erişimi ve işbirliği | ✅ | ✅1 |
1 SOC ekibi bu işlevleri her iki çalışma alanında da görebilir. SAP ekibi bu işlevleri yalnızca SAP çalışma alanında görebilir.
Senaryo 2: SAP verileri yalnızca SOC çalışma alanında tutulur
Bu senaryoda, tüm verileri tek bir çalışma alanında tutmak ve erişim denetimleri uygulamak istiyorsunuz. Verilere erişimi kaynağa göre yönetmek için Azure İzleyici'deki Log Analytics'i kullanarak bunu yapabilirsiniz. SAP sisteminden Microsoft Sentinel'e veri almak için kullandığınız veri toplayıcının bağlayıcı yapılandırması bölümünde gerekli azure_resource_id alanı belirterek SAP kaynaklarını bir Azure kaynak kimliğiyle de ilişkilendirebilirsiniz.
Veri toplayıcı aracısı doğru kaynak kimliğiyle yapılandırıldıktan sonra SAP ekibi, kaynak kapsamlı bir sorgu kullanarak SOC çalışma alanında belirli SAP verilerine erişebilir. SAP ekibi, SAP olmayan diğer veri türlerini okuyamaz.
Bu yaklaşımla ilişkili maliyet yoktur çünkü veriler Microsoft Sentinel'e yalnızca bir kez alınır. Bu erişim modunu kullandığınızda SAP ekibi yalnızca ham ve biçimlendirilmemiş verileri görür. SAP ekibi herhangi bir Microsoft Sentinel özelliğini kullanamaz. SAP ekibi, Log Analytics aracılığıyla ham verilere erişmenin yanı sıra Power BI aracılığıyla da aynı verilere erişebilir.
Sonraki adım
Bu makalede, farklı dağıtım senaryoları için birden çok çalışma alanında SAP uygulamaları için Microsoft Sentinel çözümüyle çalışmayı öğrendiniz. Ardından çözümü dağıtmayı öğrenin: