在多个工作区中使用适用于 SAP 的 Microsoft Sentinel 解决方案应用程序

为 Microsoft Sentinel 设置 Log Analytics 工作区时,需要考虑多个体系结构选项和因素。 考虑到地理位置、法规、访问控制和其他因素,你可以选择在组织中拥有多个工作区。

本文讨论如何在不同的部署方案中,在多个工作区中使用适用于 SAP 的 Microsoft Sentinel 解决方案应用程序。

适用于 SAP 的 Microsoft Sentinel 解决方案应用程序原生支持跨工作区体系结构,在以下方面提升了灵活性:

  • 托管安全服务提供商 (MSSP) 或全局或联合安全运营中心 (SOC)。
  • 数据驻留要求。
  • 组织层次结构和 IT 设计。
  • 单个工作区中基于角色的访问控制 (RBAC) 不足。

重要

使用多个工作区目前为预览版。 服务级别协议未随此功能一起提供。 有关详细信息,请参阅适用于 Azure 预览版的补充使用条款

部署 SAP 安全内容时,可以定义多个工作区。

组织中的 SOC 和 SAP 团队之间的协作

一个常见用例是组织中 SOC 和 SAP 团队之间的协作需要多工作区设置。

你的组织的 SAP 团队具有技术知识,对于成功有效地实现适用于 SAP 的 Microsoft Sentinel 解决方案应用程序至关重要。 因此,SAP 团队必须查看相关数据,并与 SOC 协作完成所需的配置和事件响应过程。

SOC 和 SAP 团队协作有两种可能的方案,具体取决于组织的需求:

  • 方案 1:在单独的工作区中维护 SAP 数据和 SOC 数据。 两个团队都可以使用跨工作区查询查看 SAP 数据。

  • 方案 2:SAP 数据仅保留在 SOC 工作区中。 SAP 团队可以使用资源上下文查询来查询数据。

方案 1:在单独的工作区中维护 SAP 数据和 SOC 数据

在此方案中,SAP 团队和 SOC 团队具有单独的为 Microsoft Sentinel 启用的 Log Analytics 工作区,在其中保留团队数据。

此图显示了当 SAP 和 SOC 数据位于不用的工作区时,如何在这些工作区中使用适用于 SAP 应用程序的 Microsoft Sentinel 解决方案。

当你的组织部署适用于 SAP 的 Microsoft Sentinel 解决方案应用程序时,每个团队都会指定其 SAP 工作区。

一种常见做法是为部分或所有 SOC 团队成员提供 SAP 工作区的“Sentinel 读者”角色。

为 SAP 和 SOC 数据创建单独的工作区有以下好处:

  • Microsoft Sentinel 可以触发同时包含 SOC 和 SAP 数据的警报,并且可以在 SOC 工作区上运行这些警报。

    注意

    对于更大的 SAP 环境,运行 SOC 针对 SAP 工作区中的数据进行的查询可能会影响性能。 在查询 SAP 数据时,SAP 数据必须前往 SOC 工作区。 为了提高性能和成本优化,请考虑将 SOC 和 SAP 工作区同时放在同一专用群集上。

  • SAP 团队有自己的适用于 Microsoft Sentinel 的 Log Analytics 工作区,包括除包含 SOC 和 SAP 数据的检测之外的所有功能。

  • 灵活性。 SAP 团队可以专注于其环境中对内部威胁的控制,而 SOC 可以专注于外部威胁。

  • 不收取额外的引入费用,因为数据只引入到 Microsoft Sentinel 一次。 但是,每个工作区都有自己的定价层

  • SOC 可以查看和调查 SAP 事件。 如果 SAP 团队遇到了无法使用现有数据解释的事件,则团队可以将事件分配给 SOC。

此表对照了 SAP 和 SOC 团队在此方案中对数据和功能的访问:

函数 SOC 团队 SAP 团队
SOC 工作区访问
SAP 工作区数据、分析规则、函数、监视列表和工作簿访问 1
SAP 事件访问和协作 1

1 SOC 团队可以在这两个工作区中看到这些功能。 SAP 团队只能在 SAP 工作区中看到这些功能。

方案 2:SAP 数据仅保留在 SOC 工作区中

在此方案中,你想要将所有数据保留在一个工作区中并应用访问控制。 为此,可以使用 Azure Monitor 中的 Log Analytics 来按资源管理对数据的访问。 还可以通过在用于将数据从 SAP 系统引入 Microsoft Sentinel 的数据收集器上的azure_resource_id连接器配置部分中指定必需 字段,将 SAP 资源与 Azure 资源 ID 相关联。

此图显示了当 SAP 和 SOC 数据位于同一工作区时,如何使用适用于 SAP 应用程序的 Microsoft Sentinel 解决方案。

在为数据收集器代理配置了正确的资源 ID 后,SAP 团队可以使用资源范围的查询访问 SOC 工作区中的特定 SAP 数据。 SAP 团队无法读取任何其他非 SAP 数据类型。

此方法不产生任何费用,因为数据仅引入到 Microsoft Sentinel 一次。 使用此访问模式时,SAP 团队只会看到原始数据和非格式数据。 SAP 团队无法使用任何 Microsoft Sentinel 功能。 除了通过 Log Analytics 访问原始数据外,SAP 团队还可以通过 Power BI 访问相同的数据。

下一步

在本文中,你学习了如何在不同的部署方案中在多个工作区内使用适用于 SAP 的 Microsoft Sentinel 解决方案应用程序。 接下来,了解如何部署解决方案: