适用于 SAP 应用程序的 Microsoft Sentinel 解决方案包括 SAP 数据连接器(用于从 SAP 系统收集日志,并将其发送到 Microsoft Sentinel 工作区)和现成的安全内容,可帮助你深入了解组织的 SAP 环境,以及检测和响应安全威胁。 在配置数据连接器之前,需要先安装解决方案。
本文的内容与安全团队相关。
若要从内容中心部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,你需要:
- 一个启用了 Microsoft Sentinel 的 Log Analytics 工作区。
- 对该工作区拥有读写权限。 有关详细信息,请参阅 sentinel Microsoft 中的角色和权限。
请确保还查看为 SAP 应用程序(尤其是 Azure 先决条件)部署 Microsoft Sentinel 解决方案的先决条件。
安装 Microsoft Sentinel 的 SAP 应用程序解决方案能使适用于 SAP 的 Microsoft Sentinel 数据连接器可用作 Microsoft Sentinel 数据连接器。 该解决方案还会部署安全内容,例如“SAP - 审核控制”工作簿以及与 SAP 相关的分析规则。
在 Microsoft Sentinel 内容中心,搜索 SAP 以安装 SAP 应用程序 解决方案。 在“适用于 SAP 应用程序的 Microsoft Sentinel 解决方案”页面上,选择“创建”以定义部署设置。 例如:
在默认 的“基本信息 ”选项卡上,向下滚动以选择要安装解决方案的位置。 如果要处理 多个工作区中 SAP 应用程序的 Microsoft Sentinel 解决方案,请选择 其他工作区上的某些数据,然后定义目标工作区、SOC 工作区和 SAP 工作区。 例如:
例如:
选择“查看 + 创建”或“下一步”以浏览解决方案组件。 准备就绪后,选择“创建”。
部署过程可能需要几分钟时间。 部署完成后,可以在 Microsoft Sentinel 中查看已部署的内容。
提示
如果希望 SAP 和 SOC 数据保留在没有其他访问控制的同一工作区上,请不要选择 其他工作区上的某些数据。 在这种情况下,有关详细信息,请参阅 在同一工作区中维护的 SAP 和 SOC 数据。
有关详细信息,请参阅 发现和管理 Microsoft Sentinel 开箱即用的内容。
部署完成后,通过在“内容中心”再次浏览到适用于 SAP 应用程序的 Microsoft Sentinel 解决方案来显示新内容。 也可使用以下命令:
对于 内置的 SAP 工作簿,在 Microsoft Sentinel 中,转到 威胁管理>工作簿>模板。
有关一系列 与 SAP 相关的分析规则,请转到 配置>分析规则模板。
在 配置数据连接器 并完成连接之前,数据连接器不会显示为已连接。
有关详细信息,请参阅 适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考。