通过

跨多个工作区集成 SAP

  • 项目

为 Microsoft Sentinel 设置 Log Analytics 工作区时,需要考虑多个体系结构选项和因素。 考虑到地理位置、法规、访问控制和其他因素,你可以选择在组织中拥有多个工作区。

使用 SAP 时,SAP 和 SOC 团队可能需要在单独的工作区中工作,以维护安全边界。 你可能不希望 SAP 团队能够查看整个组织中的所有其他安全日志。 但是,SAP BASIS 团队在成功实现和维护适用于 SAP 应用程序的 Microsoft Sentinel 解决方案方面发挥着关键作用。 他们的技术知识对于有效监视 SAP 系统、配置安全设置并确保配备适当的事件响应过程至关重要。 因此,SAP BASIS 团队必须有权访问为 Microsoft Sentinel 启用的 Log Analytics 工作区,这样他们就可以与 SOC 团队协作,同时专注于与 SAP 相关的安全监视。

本文将讨论如何在多个工作区中使用适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,并在以下方面提高灵活性:

  • 托管安全服务提供商 (MSSP) 或全局或联合安全运营中心 (SOC)。
  • 数据驻留要求。
  • 组织层次结构和 IT 设计。
  • 单个工作区中基于角色的访问控制 (RBAC) 不足。

重要

使用多个工作区目前为预览版。 服务级别协议未随此功能一起提供。 有关详细信息,请参阅适用于 Azure 预览版的补充使用条款

在单独的工作区中维护的 SAP 和 SOC 数据

如果你的 SAP 和 SOC 团队各自为 Microsoft Sentinel 启用了单独的 Log Analytics 工作区,用于保存团队数据,我们建议你为部分或所有 SOC 团队成员提供针对 SAP BASIS 团队工作区的 Sentinel 读取者角色。 这样,两个团队就都可以使用跨工作区查询查看 SAP 数据。

该示意图显示了 SAP 和 SOC 团队各自的单独工作区。

为 SAP 和 SOC 数据维护单独的工作区具有以下优势:

好处 说明
警报 Microsoft Sentinel 可以触发同时包含 SOC 和 SAP 数据的警报,并且可以在 SOC 工作区上运行这些警报。
数据隔离 SAP BASIS 团队有自己的工作区,其中包括除检测之外的所有功能且这些功能同时包括 SOC 和 SAP 数据。

SOC 可以查看和调查 SAP 事件。 如果 SAP BASIS 团队遇到了无法使用现有数据解释的事件,则团队可以将该事件分配给 SOC。
灵活性 SAP BASIS 团队可以专注于对其环境中内部威胁的控制,而 SOC 可以专注于外部威胁。
定价 不收取额外的引入费用,因为数据只需要引入到 Microsoft Sentinel 中一次。 但是,每个工作区都有自己的定价层

下表针对 SAP 团队和 SOC 团队各自维护自己的工作空间的情况,显示了对应的数据和功能访问权限:

函数 SOC 团队 SAP BASIS 团队
SOC 工作区访问
SAP 工作区数据、分析规则、函数、监视列表和工作簿访问 *
SAP 事件访问和协作 *

* SOC 团队可以在这两个工作区中看到这些功能。 SAP BASIS 团队只能在 SAP 工作区中看到这些功能。

注意

跨更大的 SAP 布局运行跨工作区查询可能会影响性能。 为了提高性能和成本优化,请考虑将 SOC 和 SAP 工作区同时放在同一专用群集上。 有关详细信息,请参阅在 Azure Monitor 日志中创建和管理专用群集

在同一工作区中维护的 SAP 和 SOC 数据

你可能希望将所有数据置于单个工作区中,并应用访问控制来确定团队中的哪些用户能够访问数据。

为此,请安装下列步骤操作:

此图显示了当 SAP 和 SOC 数据位于同一工作区时,如何使用适用于 SAP 应用程序的 Microsoft Sentinel 解决方案。

在为数据收集器代理配置正确的资源 ID 后,SAP BASIS 团队可以使用资源范围的查询访问 SOC 工作区中的特定 SAP 数据。 SAP BASIS 团队无法读取任何其他非 SAP 数据类型。

此方法不产生任何费用,因为数据仅引入到 Microsoft Sentinel 一次。

按资源管理访问权限时,SAP BASIS 团队仅可看到未进行格式设置的原始数据(可通过 Log Analytics 或 Power BI 进行访问)。 SAP BASIS 团队无法使用任何 Microsoft Sentinel 功能。

相关内容

有关详细信息,请参阅部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案