适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序 - SAP 审核控件工作簿(预览版)

本文介绍作为适用于 SAP 的 Microsoft Sentinel 解决方案应用程序一部分提供的 SAP 审核控件工作簿。

重要

Microsoft Sentinel SAP 审核控件工作簿目前以预览版形式提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

此工作簿可帮助你检查 SAP® 环境的安全控制措施是否符合所选控制框架的要求。在框架方面,可以选择 SOXNIST 或者自定义。

借助该工作簿提供的工具,可将环境中的分析规则分配给特定的安全控件和控件组合,监视和分类基于 SAP 解决方案的分析规则生成的事件,并报告合规性。

该工作簿可为合规性计划提供以下功能:

  • 查看建议,了解要启用哪些分析规则,以及启用规则时选择哪些合适的预设置配置。
  • 将分析规则关联到 SOX 或 NIST 控件框架,或应用你自己的自定义控件框架。
  • 根据所选的控件框架,查看按控件汇总的事件和警报。
  • 出于审核和报告的目的,导出相关事件进行进一步分析。

开始使用该工作簿

  1. 在 Microsoft Sentinel 门户中,从“威胁管理”菜单中选择“工作簿” 。

  2. 在“工作簿”库中,转到“模板”并在搜索栏中输入“SAP”,然后从结果中选择“SAP 审核控件”。

  3. 选择“查看模板”以按原样使用工作簿,或选择“保存”以创建工作簿的可编辑副本。 创建复制时,选择“查看保存的工作簿”。

    SAP 审核控件工作簿的最前面部分的屏幕截图。

  4. 选择以下字段以根据需要筛选数据:

    • 订阅工作区。 选择要审核其 SAP 系统合规性的工作区。 可以是与部署 Microsoft Sentinel 的工作区不同的工作区。
    • 事件创建时间。 选择过去 4 小时到过去 30 天的范围,或确定的自定义范围。
    • 其他事件属性:状态严重性策略所有者。 对于每个属性,选择可用的选择,这些选择对应所选时间范围内事情中表示的值。
    • 系统角色。 SAP 系统角色,例如:开发。
    • 系统用途。 例如:SAP ERP。
    • 系统。 可以选择所有 SAP 系统 ID、特定系统 ID 或多个系统 ID。
    • 控件框架控件系列控件 ID。 根据想要依据其评估覆盖范围,以及希望依据其筛选工作簿数据的具体控件进行选择。

    该工作簿中的仪表板能够将基于 SecurityAlertSecurityIncident 表(数据默认保留 30 天)的事件和警告汇总到聚合视图中。 请根据贵组织的合规性要求,酌情考虑延长上述表的保留期。 无论为上述表选择怎样的保留策略,事件数据本身都不会被删除,尽管它们可能不会显示在此处。 警报数据根据表的保留策略进行保留。

    • 这两个表的实际保留策略很可能定义为默认的 30 天以外的其他策略。 请参阅工作簿中蓝色阴影背景上的通知(如上方屏幕截图所示),根据其当前的保留策略显示表中数据的实际时间范围。

    • 请参阅为 Log Analytics 工作区中的表配置数据保留策略,了解更多信息。

工作簿概述

工作簿划分为三个选项卡:

  • 配置
  • 监视
  • 报告

配置选项卡

从尚未使用的模板创建分析规则

可供使用的模板”表显示适用于 SAP 的 Microsoft Sentinel 解决方案应用程序的分析规则模板,这些模板尚未被实施为实际规则。 可能需要创建这些规则才能实现合规。

用于创建规则的分析规则模板的屏幕截图。

  • 要配置的解决方案模板”控件显示你可以在此处使用哪些已安装的解决方案的分配规则来评估是否符合所选控件框架的要求。 默认情况下,仅选择 SAP 解决方案,但可以从此下拉列表中选择任何其他解决方案或所有其他解决方案。

  • 选择某规则模板行的“属性”列中的“查看”链接,在弹出的“详细信息”窗格中查看该模板的完整配置。 (此视图是只读的。)

  • 建议配置”列显示规则的用途:是用于创建要调查的事件吗? 或者只是创建警报放在一边,之后添加到其他事件,在其调查中作为证据使用?

  • 在说明窗格中选择“激活规则”,会使用已经内置的建议配置从模板创建分析规则。 此功能可帮助你省去猜测正确配置并手动定义配置的麻烦。

查看或更改分析规则的安全控件分配

在“选择要配置的规则”表中,将会看到已激活的与 SAP 相关的分析规则列表。

选择配置范围的屏幕截图。

  • 会显示每个规则生成的事件警报的计数和线形图。 (计数相同则表明警报分组已禁用。)

  • 此外,还显示几列用来表明规则的事件创建设置已启用事件列),以及规则的来源(来源无列):内容中心自定义

  • 如果规则的建议配置是“仅作为警报”,则应考虑在规则中禁用事件创建设置(请见下方)。

  • 选择规则时,会显示包含规则相关信息的详细信息面板。

    规则配置侧面板的屏幕截图。

    • 如上述所,此侧面板的上半部分提供关于在分析规则配置中是启用还是禁用事件创建的建议。

    • 下个部分显示可用框架的规则识别的安全控件和控件系列。 如果是 SOX 和 NIST 框架,可通过从相关下拉列表选择不同控件或控件系列,自定义控件分配。 如果是自定义控件,则在 MyOrg 文本框中写入所选择的控件和控件系列。 如果进行了任何更改,请选择“保存更改”。

    如果尚未为特定分析规则分配给定框架的安全控件或控件系列,则会显示设置这些控件的建议。 选择控件后,选择“保存更改”。

    • 若要查看当前定义的所选规则的其余详细信息,请选择“规则概述”。 会打开本文档之前介绍过的相同的“详细信息”窗格。

监视选项卡

此选项卡包含环境中与工作簿顶部的筛选器匹配的各种事件分组的多个图形表示形式。

  • 标记为“事件趋势”的趋势线形图显示一段时间内的事件数量。 默认情况下,这些事件会根据生成它们的规则代表的控件进行分组(由不同颜色的线条和阴影代表)。 可以从“详细信息事件分类条件”下拉列表,这些事件选择备选分组。

    按规则分组的事件数量趋势线形图的屏幕截图。

  • 事件配置单元图显示以两种方式分组的事件数量。 SOX 框架的默认分组条件首先是按 SOX 控件系列(单元格的“蜂巢”数组),然后是按系统 ID(“蜂巢”中的每个单元格)。 可以使用“钻取依据”和“之后依据”选择器,选择依据不同条件显示分组。

    蜂巢图可以放大到看清文字,也可以缩小到看到全部分组。 拖动整个图形可以查看不同部分。

    按控件系列和系统 ID 分组的事件数量蜂巢图的屏幕截图。

“报表”选项卡

最后,“报告”选项卡包含环境与工作簿顶部筛选条件匹配的所有事件的列表。

  • 事件按控件系列和控件 ID 进行分组。

  • 事件 URL”列中的链接会打开新的浏览器窗口,以打开事件调查页面。 此链接永久有效,无论“SecurityIncident”表采用怎样的保留策略都可以访问。

  • 向下滚动到窗口的末尾(外部滚动条)查看水平滚动条,可用于查看报告中剩余的列。

  • 选择报告右上角的省略号(三个点),然后选择“导出到 Excel”,将此报告导出到电子表格。

    工作簿中“报告”选项卡的屏幕截图。

    导出到 Excel 选项的屏幕截图。

后续步骤

有关详细信息,请参阅: