安装适用于 SAP 应用程序的 Microsoft Sentinel 解决方案

适用于 SAP 应用程序的 Microsoft Sentinel 解决方案包括 SAP 数据连接器(用于从 SAP 系统收集日志,并将其发送到 Microsoft Sentinel 工作区)和现成的安全内容,可帮助你深入了解组织的 SAP 环境,以及检测和响应安全威胁。 在配置数据连接器之前,需要先安装解决方案。

SAP 解决方案部署流的示意图,其中突出显示了“安装解决方案内容”步骤。

本文的内容与安全团队相关

先决条件

若要从内容中心部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,你需要:

请确保还查看为 SAP 应用程序(尤其是 Azure 先决条件)部署 Microsoft Sentinel 解决方案的先决条件

从内容中心安装解决方案

安装 Microsoft Sentinel 的 SAP 应用程序解决方案能使适用于 SAP 的 Microsoft Sentinel 数据连接器可用作 Microsoft Sentinel 数据连接器。 该解决方案还会部署安全内容,例如“SAP - 审核控制”工作簿以及与 SAP 相关的分析规则

  1. 在 Microsoft Sentinel 内容中心,搜索 SAP 以安装 SAP 应用程序 解决方案。 在“适用于 SAP 应用程序的 Microsoft Sentinel 解决方案”页面上,选择“创建”以定义部署设置。 例如:

    显示 SAP 应用程序解决方案窗格的 Microsoft Sentinel 解决方案的屏幕截图。

  2. 在默认 的“基本信息 ”选项卡上,向下滚动以选择要安装解决方案的位置。 如果要处理 多个工作区中 SAP 应用程序的 Microsoft Sentinel 解决方案,请选择 其他工作区上的某些数据,然后定义目标工作区、SOC 工作区和 SAP 工作区。 例如:

    例如:

    显示如何为 SAP 应用程序配置 Microsoft Sentinel 解决方案以跨多个工作区工作的屏幕截图。

  3. 选择“查看 + 创建”或“下一步”以浏览解决方案组件。 准备就绪后,选择“创建”。

    部署过程可能需要几分钟时间。 部署完成后,可以在 Microsoft Sentinel 中查看已部署的内容。

提示

如果希望 SAP 和 SOC 数据保留在没有其他访问控制的同一工作区上,请不要选择 其他工作区上的某些数据。 在这种情况下,有关详细信息,请参阅 在同一工作区中维护的 SAP 和 SOC 数据

有关详细信息,请参阅 发现和管理 Microsoft Sentinel 开箱即用的内容

查看已部署的内容

部署完成后,通过在“内容中心”再次浏览到适用于 SAP 应用程序的 Microsoft Sentinel 解决方案来显示新内容。 也可使用以下命令:

配置数据连接器 并完成连接之前,数据连接器不会显示为已连接。

下一步

有关详细信息,请参阅 适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考