你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从内容中心部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案
本文介绍如何将适用于 SAP 应用程序的 Microsoft Sentinel 解决方案安全内容从内容中心部署到 Microsoft Sentinel 工作区。 此内容是适用于 SAP 的 Microsoft Sentinel 解决方案的其余部分。
先决条件
若要从内容中心部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,你需要:
- 一个 Microsoft Sentinel 实例。
- 一个定义的 Microsoft Sentinel 工作区,以及对该工作区的读取和写入权限。
- 一个已设置的适用于 SAP 数据连接器的 Microsoft Sentinel。
检查部署里程碑
通过以下系列文章跟踪 SAP 解决方案部署过程:
在多个工作区中使用该解决方案(预览版)
从内容中心(你当前所在位置)部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案
可选部署步骤:
从内容中心部署安全内容
从 Microsoft Sentinel“内容中心”和“监视列表”区域部署 SAP 安全内容。
部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案会使适用于 SAP 数据连接器的 Microsoft Sentinel 显示在 Microsoft Sentinel“数据连接器”区域中。 此解决方案还会部署“SAP - 系统应用程序和产品”工作簿以及与 SAP 相关的分析规则。
部署 SAP 解决方案安全内容:
在 Microsoft Sentinel 的左侧窗格中,选择“内容中心(预览版)”。
“内容中心(预览版)”页面显示经过筛选的可搜索解决方案列表。
若要打开 SAP 解决方案页,请选择“适用于 SAP 应用程序的 Microsoft Sentinel 解决方案”。
若要启动解决方案部署向导,请选择“创建”,然后输入 Azure 订阅和资源组的详细信息。
对于“部署目标工作区”,请选择要在其中部署解决方案的 Log Analytics 工作区(Microsoft Sentinel 使用的工作区)。
如果要在多个工作区中使用适用于 SAP 应用程序的 Microsoft Sentinel 解决方案(预览版),请选择“部分数据位于不同的工作区”,然后执行以下步骤:
在“配置 SOC 数据所在的工作区”下,选择 SOC 订阅和工作区。
在“配置 SAP 数据所在的工作区”下,选择 SAP 订阅和工作区。
例如:
注意
如果你希望将 SAP 和 SOC 数据保存在同一工作区中,且不需要额外的访问控制,请不要选择“某些数据位于不同的工作区”。 如果你希望将 SOC 和 SAP 数据保存在同一工作区中,但要应用额外的访问控制,请参阅此方案。
选择“下一步”以循环显示“数据连接器”、“分析”和“工作簿”选项卡,你可在其中了解随此解决方案一起部署的组件。
有关详细信息,请参阅适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考。
在“查看 + 创建”选项卡窗格中,等待“已通过验证”消息,然后选择“创建”以部署解决方案。
提示
还可以选择“下载模板”以获得将解决方案部署为代码的链接。
在部署完成后显示新部署的内容:
对于内置 SAP 工作簿,请转到“威胁管理”>“工作簿”>“我的工作簿”。
对于一系列与 SAP 相关的分析规则,请转到“配置”>“分析”。
在 Microsoft Sentinel 中,转到“适用于 SAP 的 Microsoft Sentinel”数据连接器以确认连接:
SAP ABAP 日志显示在 Microsoft Sentinel“日志”页面上的“自定义日志”下 :
故障排除和参考
有关排除故障的信息,请参阅以下文章:
如需参考,请查看以下文章:
- 适用于 SAP 应用程序的 Microsoft Sentinel 解决方案的解决方案数据参考
- 适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考
- 更新脚本参考
- Systemconfig.ini 文件参考