安装适用于 SAP 应用程序的 Microsoft Sentinel 解决方案

适用于 SAP 应用程序的 Microsoft Sentinel 解决方案包括 SAP 数据连接器(用于从 SAP 系统收集日志,并将其发送到启用了 Microsoft Sentinel 的 Log Analytics 工作区)和现成的安全内容,可帮助你深入了解组织的 SAP 环境,以及检测和响应安全威胁。 安装解决方案是在配置数据连接器代理容器之前必须执行的步骤。

SAP 解决方案部署流程图,其中突出显示“安装解决方案内容”步骤。

本文的内容与安全团队相关

先决条件

若要从内容中心部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,你需要:

另请确保查看部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案的先决条件,尤其是 Azure 先决条件

从内容中心安装解决方案

安装适用于 SAP 应用程序的 Microsoft Sentinel 解决方案能使适用于 SAP 的 Microsoft Sentinel 数据连接器可用作 Microsoft Sentinel 数据连接器。 该解决方案还会部署安全内容,例如“SAP - 系统应用程序和产品”工作簿以及与 SAP 相关的分析规则

  1. 在 Microsoft Sentinel 的“内容中心”搜索“SAP 应用程序”解决方案,并将其安装在启用了 Microsoft Sentinel 的 Log Analytics 工作区中

  2. 在“适用于 SAP 应用程序的 Microsoft Sentinel 解决方案”页面上,选择“创建”以定义部署设置。 例如:

    显示“适用于 SAP 应用程序的 Microsoft Sentinel 解决方案”解决方案窗格的屏幕截图。

  3. 在“基本信息”选项卡上的“项目详细信息”下,选择要在其中安装解决方案的“订阅”和“资源组”

  4. 在“实例详细信息”下,选择要在其中安装解决方案的启用了 Microsoft Sentinel 的 Log Analytics 工作区

    如果你要在多个工作区中使用适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,请选择“部分数据位于不同的工作区”,然后定义目标工作区、SOC 工作区和 SAP 工作区。 例如:

    例如:

    显示如何将适用于 SAP 应用程序 的Microsoft Sentinel 解决方案配置为跨多个工作区运行的屏幕截图。

  5. 选择“查看 + 创建”或“下一步”以浏览解决方案组件。 准备就绪后,选择“创建”。

    部署过程可能需要几分钟时间。 部署完成后,可以在 Microsoft Sentinel 中查看已部署的内容。

提示

如果你希望将 SAP 和 SOC 数据保存在同一工作区中,且不需要额外的访问控制,请不要选择“某些数据位于不同的工作区”。 在这种情况下,如需详细信息,请参阅在同一工作区中维护的 SAP 和 SOC 数据

有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容

查看已部署的内容

部署完成后,通过在“内容中心”再次浏览到适用于 SAP 应用程序的 Microsoft Sentinel 解决方案来显示新内容。 也可使用以下命令:

只有在配置数据连接器代理容器以完成连接之后,数据连接器才会显示为已连接。

下一步

有关详细信息,请参阅适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考