本文介绍如何使用 SAP - 安全审核控件 工作簿监视和跟踪 SAP 系统中的安全控制框架符合性,包括以下功能:
- 查看建议,以了解要启用的分析规则,以及如何利用合适的预设配置就地启用它们。
- 将分析规则关联到 SOX 或 NIST 控件框架,或应用你自己的自定义控件框架。
- 根据所选的控件框架,查看按控件汇总的事件和警报。
- 出于审核和报告的目的,导出相关事件进行进一步分析。
例如:
本文中的内容适用于安全性团队。
先决条件
在开始使用 SAP - 安全审核日志和初始访问工作簿之前,必须具备:
已安装的适用于 SAP 的 Microsoft Sentinel 解决方案和已配置的数据连接器。 有关详细信息,请参阅 为 SAP 应用程序部署 Microsoft Sentinel 解决方案。
在为 Microsoft Sentinel 启用的 Log Analytics 工作区中安装的“SAP 审核控制”工作簿。 有关详细信息,请参阅 使用 Microsoft Sentinel 工作簿来可视化和监视您的数据。
工作区中至少有一个事件,
SecurityIncident表中至少有一个条目可用。 这不需要是 SAP 事件,如果你没有其他事件,则可以使用基本分析规则生成演示事件。
建议为审核日志中的所有消息(而不是仅特定日志)配置审核。 引入成本差异通常很小,并且数据对于 Microsoft Sentinel 检测以及入侵后调查和搜寻很有用。 有关详细信息,请参阅 配置 SAP 审核。
支持的筛选器
SAP 审核控件工作簿支持以下筛选器,帮助你专注于所需的数据:
| 筛选器选项 | 说明 |
|---|---|
| 订阅 和 工作区 | 选择要审核其 SAP 系统合规性的工作区。 可以是与部署 Microsoft Sentinel 的工作区不同的工作区。 |
| 事件创建时间 | 选择过去 4 小时到过去 30 天的范围,或确定的自定义范围。 |
| 其他事件属性,包括 状态、 严重性、 策略、 所有者 | 对于每个属性,选择可用的选择,这些选择对应所选时间范围内事情中表示的值。 |
| 系统角色 | SAP 系统的角色,例如 生产。 |
| 系统用途 | SAP 系统使用情况,例如 SAP ERP。 |
| 系统 | 选择所有 SAP 系统 ID、特定系统 ID 或多个系统 ID。 |
| 控件框架、控件系列、控件 ID | 根据想要评估覆盖范围的控制框架,以及希望依据其筛选工作簿数据的具体控件进行选择。 |
数据保留建议
SAP 审核控制仪表板基于 SecurityAlert 和 SecurityIncident 表提供事件和警报的聚合视图,默认情况下会保留 30 天的数据。
请根据贵组织的合规性要求,酌情考虑延长上述表的保留期。 无论为上述表选择怎样的保留策略,事件数据都不会被删除,尽管它们可能不会显示在此处。 警报数据根据表的保留策略进行保留。
SecurityAlert 和 SecurityIncident 表的实际保留策略很可能定义为默认 30 天以外的其他内容。 请参阅工作簿中蓝色阴影背景上的通知,根据其当前的保留策略显示表中数据的实际时间范围。
有关详细信息,请参阅 在 Log Analytics 工作区中为表配置数据保留策略。
配置选项卡 - 从尚未使用的模板创建分析规则
“配置”选项卡上模板准备就绪表显示了尚未作为活动规则实现的适用于 SAP 的 Microsoft Sentinel 解决方案中的分析规则模板。 可能需要创建这些规则才能实现合规。 例如:
默认情况下,此表筛选为 SAP,并在进行配置的解决方案模板下拉列表中选择了 SAP 。 从此下拉列表中选择任何其他解决方案,以填充模板准备就绪表进一步使用。
对于表中的每一行,请选择“查看”以获取有关规则配置的更多只读详细信息。
“建议的配置”列显示规则的用途:是否要创建事件进行调查? 或者只是创建警报放在一边,之后添加到其他事件,在其调查中作为证据使用?
在侧窗格中选择“激活规则”,会使用已经内置的建议配置从模板创建分析规则。 此功能免去了你猜测正确配置并手动定义它的麻烦。
配置选项卡- 查看或更改分析规则的安全控件分配
在配置选项卡上的“选择一个要配置的规则”表显示了与 SAP 相关的已激活分析规则列表。 例如:
在表中,检查:
事件和警报列中每个规则生成的计数和图形线。 相同的计数表明 已禁用警报分组功能。
事件和源列值,用于了解规则是否设置为创建事件。
是否将规则的建议配置设定为仅为警报。 如果是这样,请考虑关闭规则中的 事件创建设置 。
选择一个规则以查看详细信息窗格。 例如:
此侧面板的上半部分提供关于在分析规则配置中是启用还是禁用事件创建的建议。
侧窗格下个部分显示可用框架的规则识别的安全控件和控件系列。
- 如果是 SOX 和 NIST 框架,可通过从相关下拉列表选择不同控件或控件系列,自定义控件分配。
- 对于自定义框架,请在 MyOrg 文本框中输入所选控件和控件系列。 如果进行任何更改,请选择“ 保存更改”。
如果未为给定框架分配特定分析规则的安全控件或控件系列,系统会提示你手动设置控件。 选择控件后,选择“ 保存更改”。
若要查看当前定义的所选规则的其余详细信息,请选择 “规则概述”。
监视选项卡
监视选项卡包含环境中与工作簿顶部的筛选器匹配的各种事件分组的多个图形表示形式:
一个趋势线图,标记为 事件趋势,显示一段时间内的事件数。 默认情况下,这些事件会根据生成它们的规则代表的控件进行分组(由不同颜色的线条和阴影代表)。 通过下拉列表从详细信息事件中选择这些事件的备用分组。 例如:
事件蜂巢图显示按两种方式分组的事件数量。 SOX 框架的默认值首先为 SOX 控制系列(即蜂巢单元格数组),然后 为系统 ID(这是蜂巢中的每个单元格)。 使用“钻取依据”和“之后依据”选择器,选择按其显示分组的不同条件。
蜂巢图可以放大到看清文字,也可以缩小到看到全部分组。 拖动整个图形可以查看不同部分。 例如:
“报表”选项卡
“ 报表 ”选项卡包含环境中与工作簿顶部的筛选器匹配的所有事件的列表。
事件按控件系列和控件 ID 进行分组。
“ 事件 URL ”列中的链接将打开一个新的浏览器窗口,打开该事件的事件调查页。 此链接是永久性的,无论 SecurityIncident 表的保留策略如何,此链接都将起作用。
向下滚动到窗口的末尾(外部滚动条)查看水平滚动条,可用于查看报告中剩余的列。
通过选择报表右上角的省略号(三点),然后选择 “导出到 Excel”,将此报表导出到电子表格。
相关内容
有关详细信息,请参阅 从内容中心为 SAP 应用程序部署 Microsoft Sentinel 解决方案 ,并为 SAP 应用程序Microsoft Sentinel 解决方案:安全内容参考。