你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 SecurityBridge Threat Detection for SAP 连接器
SecurityBridge 是首个也是唯一一个本机集成的综合安全平台,可在各个方面保护运行 SAP 的组织免受针对其核心业务应用程序的内部和外部威胁。 SecurityBridge 平台是经 SAP 认证的附加产品,由全球各地的组织使用,可满足客户对高级网络安全、实时监视、合规性、代码安全和修补的需求,以抵御内部和外部威胁。借助此 Microsoft Sentinel 解决方案,可以将来自所有本地实例和基于云的 SAP 实例的 SecurityBridge Threat Detection 事件集成到安全监视中。使用此 Microsoft Sentinel 解决方案,可接收规范化和口语化安全事件、预生成的仪表板和现成模板来进行 SAP 安全监视。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | SecurityBridgeLogs_CL |
数据收集规则支持 | 目前不支持 |
支持的服务 | Christoph Nagy |
查询示例
前 10 个事件名称
SecurityBridgeLogs_CL
| extend Name = tostring(split(RawData, '
|')[5])
| summarize count() by Name
| top 10 by count_
供应商安装说明
注意
此数据连接器依赖于基于 Kusto 函数的分析程序来按预期方式工作。 按照以下步骤创建 Kusto Functions 别名 SecurityBridgeLogs
注意
此数据连接器是使用 SecurityBridge Application Platform 7.4.0 开发的。
- 安装并载入适用于 Linux 或 Windows 的代理
此解决方案需要通过 Microsoft Sentinel 代理安装收集日志
以下操作系统支持 Sentinel 代理:
Windows Server
SUSE Linux Enterprise Server
Redhat Linux Enterprise Server
Oracle Linux Enterprise Server
如果在 HPUX/AIX 上安装 SAP 解决方案,则需要在上面列出的某个 Linux 选项上部署日志收集器,并将日志转发到该收集器
配置要收集的日志
配置要收集的自定义日志目录
- 选择上面的链接以打开工作区高级设置
- 单击“+ 添加自定义”
- 单击“浏览”以上传 SecurityBridge SAP 日志文件示例(例如 AED_20211129164544.cef)。 然后单击“下一步 >”
- 选择“换行符”作为记录分隔符,然后单击“下一步 >”
- 选择“Windows”或“Linux”,并根据配置输入 SecurityBridge 日志的路径。 例如:
- “/usr/sap/tmp/sb_events/*.cef”
注意:可以在配置中添加任意数量的路径。
输入路径后,单击要应用的“+”符号,然后单击“下一步 >”
将 SecurityBridgeLogs 添加为自定义日志名称,然后单击“完成”
在 Microsoft Sentinel 中检查日志
打开 Log Analytics 以检查是否使用自定义日志表 SecurityBridgeLogs_CL 接收日志。
注意:新日志最多可能需要 30 分钟才会显示在 SecurityBridgeLogs_CL 表中。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。