共用方式為

適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案 - SAP 稽核控件活頁簿 (預覽)

  • 發行項

本文說明 SAP 稽核控件活頁簿,此活頁簿是 SAP® 應用程式的 Microsoft Sentinel 解決方案的一部分。

重要

Microsoft Sentinel SAP Audit Controls 活頁簿目前為預覽版。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

此活頁簿可協助您檢查 SAP® 環境的安全性控制件,以符合您選擇的控件架構、 SOXNIST 或自定義架構。

活頁簿提供工具,讓您將環境中的分析規則指派給特定的安全性控件和控制系列、監視和分類 SAP 解決方案型分析規則所產生的事件,以及報告您的合規性。

活頁簿會為您的合規性計劃提供下列功能:

  • 請參閱要啟用哪些分析規則的建議,並使用適當的預先設定來就地啟用這些規則。
  • 將分析規則關聯至 SOX 或 NIST 控制項架構,或套用您自己的自定義控件架構。
  • 根據選取的控制架構,檢閱依控件摘要的事件和警示。
  • 匯出相關事件以進行進一步分析,以供稽核和報告之用。

開始使用活頁簿

  1. 從 Microsoft Sentinel 入口網站,從 [威脅管理] 功能表中選取 [活頁簿]。

  2. 在 [活頁簿] 資源庫中,移至 [範本],然後在搜尋列中輸入 SAP,然後從結果中選取 [SAP 稽核控件]。

  3. 選取 [檢視範本] 直接使用活頁簿,或選取 [儲存] 以建立活頁簿的可編輯複本。 建立複本時,選取 [檢視已儲存的活頁簿]。

    SAP 稽核控件活頁簿頂端的螢幕快照。

  4. 選取下列欄位以根據您的需求篩選資料:

    • 用帳戶和 工作區。 選取您想要稽核其 SAP 系統合規性的工作區。 這可以是與 Microsoft Sentinel 部署位置不同的工作區。
    • 事件建立時間。 選取從過去 4 小時到過去 30 天的範圍,或您決定的自定義範圍。
    • 其他事件屬性:狀態、嚴重性策略擁有者 針對每個選項,請從可用的選項中選取,這些選項會對應至所選時間範圍內事件中所表示的值。
    • 系統角色。 SAP 系統角色,例如:生產環境。
    • 系統使用方式。 例如:SAP ERP。
    • 系統。 您可以選取所有 SAP 系統識別碼、特定系統識別碼或多個系統識別碼。
    • 控制架構控制項系列控制標識碼。 根據您要評估涵蓋範圍的控件架構,以及您想要篩選活頁簿數據的特定控件,選取這些控件。

    此活頁簿中的儀錶板允許根據 SecurityAlert 和 SecurityIncident 數據表來匯總事件和警示的檢視,預設會保留 30 天的數據。 請考慮延長這些數據表的保留期限,以符合貴組織的合規性需求。 不論您為這些數據表的保留原則做出何種選擇,事件數據本身都不會被刪除,但可能不會顯示在這裡。 警示數據會根據數據表的保留原則保留。

    • 這兩個數據表的實際保留原則可能定義為預設 30 天以外的其他專案。 查看活頁簿中藍色陰影背景的通知(如上述螢幕快照所示),根據目前的保留原則顯示數據表中實際時間範圍的數據。

    • 如需詳細資訊,請參閱 在Log Analytics工作區 中設定數據表的數據保留原則。

活頁簿概觀

活頁簿分成三個索引標籤:

  • 設定
  • 監視
  • 報告

Configure (設定) 索引標籤

從尚未使用的範本建立分析規則

準備使用之範本數據表會顯示尚未實作為使用中規則之 Microsoft® Sentinel 解決方案中 SAP 應用程式的分析規則範本。 您可能需要建立這些規則,才能達到合規性。

要從中建立規則的分析規則範本數據表螢幕快照。

  • 設定控制元件的解決方案樣本會顯示已安裝的解決方案,您可以在這裡評估其分析規則,以符合您選擇的控制架構。 根據預設,只會 選取SAP 解決方案,但您可以從此下拉式清單中選取任何其他方案。

  • 選取資料表中特定規則範本行的 [屬性] 資料行中的 [檢視] 連結,即可在快顯 [詳細數據] 窗格中查看範本的整個組態。 (此檢視是唯讀的。

  • 建議的組 數據行會顯示規則的用途:是否要建立 事件 以供調查? 還是只建立要擱置的警示,並新增至其他事件,以作為調查的證據?

  • 選取 [啟用規則 ] (在描述窗格中) 以從範本建立分析規則,並已內建建議的組態。 這項功能可讓您無法猜測正確的組態,並 手動定義。

檢視或變更分析規則的安全性控制指派

在 [ 選取要設定 資料表的規則] 中,您會看到與 SAP 相關的已啟用分析規則清單。

選取要設定之規則的螢幕快照。

  • 會顯示每個規則所產生的事件和警示計數和圖表線。 (相同的計數表明 已停用警示群組。

  • 此外,也顯示數據行,指出規則的事件 建立設定已啟用事件 數據行),以及規則的來源( 來源 數據行)—資源庫內容中樞自定義

  • 如果該規則的建議設定為「僅限警示」,則您應該考慮停用規則中的事件建立設定(請參閱下方)。

  • 當您選取規則時,會顯示詳細數據面板,其中包含規則的相關信息。

    規則設定端面板的螢幕快照。

    • 此側面板的上半部有關於在分析規則設定中啟用或停用事件建立的建議,如上述所述。

    • 下一節會針對每個可用的架構,顯示規則識別的安全性控件和控件系列。 針對 SOX 和 NIST 架構,您可以從相關的下拉式清單選擇不同的控件或控件系列,以自定義控制項指派。 針對自定義架構,請在 [MyOrg] 文字框中,於您選擇的控件和控件系列中寫入。 如果您進行任何變更,請選取 [ 儲存變更]。

    如果特定分析規則尚未為指定的架構指派安全性控制項或控件系列,則會顯示設定控件的建議。 選取控件之後,請選取 [ 儲存變更]。

    • 若要查看目前所定義之所選規則的其餘詳細數據,請選取 [ 規則概觀]。 這會開啟本檔稍早所述的相同 [詳細數據 ] 窗格。

監視索引標籤

此索引標籤包含環境中事件之各種群組的數個圖形表示法,這些群組符合活頁簿頂端的篩選條件。

  • 標示為 事件趨勢的趨勢線圖會顯示一段時間的事件數目。 根據產生事件的規則所代表的控制系列,這些事件預設會分組(以不同的彩色線條和底紋表示)。 您可以從 [詳細事件] 下拉式清單中選取這些事件的替代群組。

    依規則分組的事件數目趨勢線螢幕快照。

  • 事件 Hive 圖表顯示以兩種方式分組的事件數目。 預設值 (針對 SOX 架構) 首先由 SOX 控制系列 (單元格的 “honeycomb” 陣列),然後由 系統識別碼 (“honeycomb” 中的每個儲存格) 您可以使用 [鑽研依據] 和[選取器],選取不同的準則來顯示群組。

    放大Hive圖形,讓文字變得足夠大,以便清楚閱讀,並縮小以查看所有群組在一起。 拖曳整個圖表以查看其不同部分。

    依控制系列和系統標識碼分組之事件數目的Hive圖形螢幕快照。

報表索引標籤

最後,[ 報表 ] 索引標籤包含環境中符合活頁簿頂端篩選條件的所有事件清單。

  • 事件會依控制系列和控制標識碼分組。

  • [事件 URL] 資料行中的鏈接會開啟新的瀏覽器視窗,並開啟該事件的事件調查頁面。 此鏈接是持續性的,無論 SecurityIncident 數據表的保留原則為何,都會運作。

  • 向下捲動到視窗結尾(外部滾動條)以查看水平滾動條,您可以使用它來查看報表中其餘的數據行。

  • 選取報表右上角的省略號(三個點),然後選取 [匯出至 Excel],將此報表匯出至電子錶格。

    活頁簿中 [報表] 索引卷標的螢幕快照。

    匯出至 Excel 選項的螢幕快照。

下一步

如需詳細資訊,請參閱

如需此活頁簿的示範,請參閱 Microsoft 安全性社群 YouTube 頻道上的這個 YouTube 影片