使用 SAP - 安全审核控件工作簿检查 SAP 安全控件的符合性
本文介绍如何使用 SAP - 安全审核控制工作簿监视和跟踪 SAP 系统中的安全控制框架符合性,包括以下功能:
- 查看建议,了解要启用哪些分析规则,以及启用规则时选择哪些合适的预设置配置。
- 将分析规则关联到 SOX 或 NIST 控件框架,或应用你自己的自定义控件框架。
- 根据所选的控件框架,查看按控件汇总的事件和警报。
- 出于审核和报告的目的,导出相关事件进行进一步分析。
例如:
本文中的内容适用于安全性团队。
先决条件
在开始使用 SAP - 安全审核日志和初始访问工作簿之前,必须具备:
已安装适用于 SAP 的 Microsoft Sentinel 解决方案,并部署了数据连接器代理。 有关详细信息,请参阅部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案。
为 Microsoft Sentinel 启用的 Log Analytics 工作区中安装的 SAP 审核控制工作簿。 有关详细信息,请参阅使用 Microsoft Sentinel 中的工作簿可视化和监视数据。
工作区中至少有一个事件,
SecurityIncident表中至少有一个条目可用。 这不需要是 SAP 事件,如果你没有其他事件,则可以使用基本分析规则生成演示事件。
建议为审核日志中的所有消息(而不是仅特定日志)配置审核。 引入成本差异通常很小,并且数据对于 Microsoft Sentinel 检测以及入侵后调查和搜寻很有用。 有关详细信息,请参阅配置 SAP 审核。
支持的筛选器
SAP 审核控制工作簿支持以下筛选器,帮助你专注于所需的数据:
| 筛选器选项 | 说明 |
|---|---|
| 订阅和工作区。 | 选择要审核其 SAP 系统合规性的工作区。 可以是与部署 Microsoft Sentinel 的工作区不同的工作区。 |
| 事件创建时间 | 选择过去 4 小时到过去 30 天的范围,或确定的自定义范围。 |
| 其他事件属性,包括状态、严重性、策略、所有者 | 对于每个属性,选择可用的选择,这些选择对应所选时间范围内事情中表示的值。 |
| 系统角色 | SAP 系统角色,如生产。 |
| 系统用途 | SAP 系统使用情况,例如 SAP ERP。 |
| 系统 | 选择所有 SAP 系统 ID、特定系统 ID 或多个系统 ID。 |
| 控件框架、控件系列、控件 ID | 根据想要评估覆盖范围的控制框架,以及希望依据其筛选工作簿数据的具体控件进行选择。 |
数据保留建议
SAP 审核控制仪表板基于 SecurityAlert 和 SecurityIncident 表提供事件和警报的聚合视图,默认情况下会保留 30 天的数据。
请根据贵组织的合规性要求,酌情考虑延长上述表的保留期。 无论为上述表选择怎样的保留策略,事件数据都不会被删除,尽管它们可能不会显示在此处。 警报数据根据表的保留策略进行保留。
SecurityAlert 和 SecurityIncident 表的实际保留策略很可能定义为默认 30 天以外的其他内容。 请参阅工作簿中蓝色阴影背景上的通知,根据其当前的保留策略显示表中数据的实际时间范围。
有关更多消息,请参阅为 Log Analytics 工作区中的表配置数据保留策略。
配置选项卡 - 从尚未使用的模板创建分析规则
“配置”选项卡上模板准备就绪表显示了尚未作为活动规则实现的适用于 SAP 的 Microsoft Sentinel 解决方案中的分析规则模板。 可能需要创建这些规则才能实现合规。 例如:
默认情况下,此表筛选为 SAP,并在进行配置的解决方案模板下拉列表中选择了 SAP 。 从此下拉列表中选择任何其他解决方案,以填充模板准备就绪表进一步使用。
对于表中的每一行,请选择“查看”以获取有关规则配置的更多只读详细信息。
“建议配置”列显示规则的用途:是用于创建要调查的事件吗? 或者只是创建警报放在一边,之后添加到其他事件,在其调查中作为证据使用?
在侧窗格中选择“激活规则”,会使用已经内置的建议配置从模板创建分析规则。 此功能可帮助你省去猜测正确配置并手动定义配置的麻烦。
配置选项卡- 查看或更改分析规则的安全控件分配
在配置选项卡的“选择要配置的规则”表中,会显示已激活的与 SAP 相关的分析规则列表。 例如:
在表中,检查:
事件和警报列中每个规则生成的计数和图形线。 计数相同则表明警报分组已禁用。
事件和源列值,以了解规则是否设置为创建事件。
某规则的建议的配置是否为仅作为警报。 如果是这样,请考虑关闭规则中的事件创建设置。
选择一个规则以查看详细信息窗格。 例如:
此侧面板的上半部分提供关于在分析规则配置中是启用还是禁用事件创建的建议。
侧窗格下个部分显示可用框架的规则识别的安全控件和控件系列。
- 如果是 SOX 和 NIST 框架,可通过从相关下拉列表选择不同控件或控件系列,自定义控件分配。
- 如果是自定义控件,则在 MyOrg 文本框中输入所选择的控件和控件系列。 如果进行了任何更改,请选择“保存更改”。
如果未为给定框架分配特定分析规则的安全控件或控件系列,系统会提示你手动设置控件。 选择控件后,选择“保存更改”。
若要查看当前定义的所选规则的其余详细信息,请选择“规则概述”。
监视选项卡
监视选项卡包含环境中与工作簿顶部的筛选器匹配的各种事件分组的多个图形表示形式:
标记为“事件趋势”的趋势线形图显示一段时间内的事件数量。 默认情况下,这些事件会根据生成它们的规则代表的控件进行分组(由不同颜色的线条和阴影代表)。 通过下拉列表从详细信息事件中选择这些事件的备用分组。 例如:
事件配置单元图显示以两种方式分组的事件数量。 SOX 框架的默认值首先为 SOX 控制系列(即蜂巢单元格数组),然后 为系统 ID(这是蜂巢中的每个单元格)。 使用“钻取依据”和“之后依据”选择器,选择依据不同条件显示分组。
蜂巢图可以放大到看清文字,也可以缩小到看到全部分组。 拖动整个图形可以查看不同部分。 例如:
“报表”选项卡
“报告”选项卡包含环境与工作簿顶部筛选条件匹配的所有事件的列表。
事件按控件系列和控件 ID 进行分组。
“事件 URL”列中的链接会打开新的浏览器窗口,以打开事件调查页面。 此链接永久有效,无论“SecurityIncident”表采用怎样的保留策略都可以访问。
向下滚动到窗口的末尾(外部滚动条)查看水平滚动条,可用于查看报告中剩余的列。
选择报告右上角的省略号(三个点),然后选择“导出到 Excel”,将此报告导出到电子表格。
相关内容
有关详细信息,请参阅从内容中心适用于 SAP 应用程序的 Microsoft Sentinel 解决方案和部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考。