重要
注意:根据世纪互联发布的公告,所有Microsoft Sentinel功能将于2026年8月18日在中国地区的Azure中正式停用。
当您设置启用了 Microsoft Sentinel 的 Log Analytics 工作区时,您有多种架构选项和因素需要考虑。 考虑到地理位置、法规、访问控制和其他因素,你可以选择在组织中拥有多个工作区。
使用 SAP 时,SAP 和 SOC 团队可能需要在单独的工作区中工作,以维护安全边界。 你可能不希望 SAP 团队能够查看整个组织中的所有其他安全日志。 但是,SAP BASIS 团队在成功实现和维护 SAP 应用程序的Microsoft Sentinel解决方案方面发挥了关键作用。 他们的技术知识对于有效监视 SAP 系统、配置安全设置并确保配备适当的事件响应过程至关重要。 因此,SAP BASIS 团队必须有权访问为Microsoft Sentinel启用的Log Analytics工作区,从而能够与 SOC 团队协作,同时专注于与 SAP 相关的安全监视。
本文介绍如何在多个工作区中使用和操作 Microsoft Sentinel 解决方案,以提高 SAP 应用程序的灵活性,涵盖以下内容:
- 托管安全服务提供商 (MSSP) 或全局或联合安全运营中心 (SOC)。
- 数据驻留要求。
- 组织层次结构和 IT 设计。
- 单个工作区中基于角色的访问控制 (RBAC) 不足。
重要
使用多个工作区目前为预览版。 此功能不提供服务级别协议。 有关详细信息,请参阅 Azure 预览版的使用条款。
在单独的工作区中维护的 SAP 和 SOC 数据
如果 SAP 和 SOC 团队为 Microsoft Sentinel 启用了单独的 Log Analytics 工作区来存储团队数据,我们建议为 SOC 团队的部分或全部成员提供 SAP BASIS 团队工作区的Sentinel Reader角色。 这样,两个团队就都可以使用跨工作区查询查看 SAP 数据。
为 SAP 和 SOC 数据维护单独的工作区具有以下优势:
| 好处 | 说明 |
|---|---|
| 警报 | Microsoft Sentinel可以触发包含 SOC 和 SAP 数据的警报,并且可以在 SOC 工作区上运行这些警报。 |
| 数据隔离 | SAP BASIS 团队有自己的工作区,其中包括除检测之外的所有功能且这些功能同时包括 SOC 和 SAP 数据。 SOC 可以查看和调查 SAP 事件。 如果 SAP BASIS 团队遇到了无法使用现有数据解释的事件,则团队可以将该事件分配给 SOC。 |
| 灵活性 | SAP BASIS 团队可以专注于对其环境中内部威胁的控制,而 SOC 可以专注于外部威胁。 |
| 定价 | 没有额外的摄取费用,因为数据只需摄入一次到 Microsoft Sentinel。 但是,每个工作区都有自己的定价层。 |
下表针对 SAP 团队和 SOC 团队各自维护自己的工作空间的情况,显示了对应的数据和功能访问权限:
| 功能 | SOC 团队 | SAP BASIS 团队 |
|---|---|---|
| SOC 工作区访问 | ✅ | ❌ |
| SAP 工作区数据、分析规则、函数、监视列表和对工作簿的访问 | ✅ | ✅* |
| SAP 事件访问和协作 | ✅ | ✅* |
* SOC 团队可以在这两个工作区中看到这些功能。 SAP BASIS 团队只能在 SAP 工作区中看到这些功能。
注意
跨更大的 SAP 布局运行跨工作区查询可能会影响性能。 为了提高性能和成本优化,请考虑将 SOC 和 SAP 工作区同时放在同一专用群集上。 有关详细信息,请参阅 在 Azure Monitor Logs 中创建和管理专用群集。
在同一工作区中维护的 SAP 和 SOC 数据
你可能希望将所有数据置于单个工作区中,并应用访问控制来确定团队中的哪些用户能够访问数据。
为此,请按照下列步骤操作:
在 Azure Monitor 中使用 Log Analytics 按资源管理对数据的访问。 有关详细信息,请参阅按资源对Microsoft Sentinel数据进行管理访问。
将 SAP 资源与Azure资源 ID 关联。 只有通过 CLI 部署的数据连接器代理才支持此选项。 在用于将数据从 SAP 系统引入 Microsoft Sentinel 的数据收集器的连接器配置部分中,指定所需的
azure_resource_id字段。 有关详细信息,请参阅通过命令行部署 SAP 数据连接器代理和Connector 配置。
在为数据收集器代理配置正确的资源 ID 后,SAP BASIS 团队可以使用资源范围的查询访问 SOC 工作区中的特定 SAP 数据。 SAP BASIS 团队无法读取任何其他非 SAP 数据类型。
这种方法无相关费用,因为数据只被引入一次到 Microsoft Sentinel。
按资源管理访问权限时,SAP BASIS 团队仅看到原始和未格式化的数据,可通过Log Analytics或Power BI进行访问。 SAP BASIS 团队无法使用任何Microsoft Sentinel功能。
相关内容
有关详细信息,请参阅适用于 SAP 应用程序的 Deploy Microsoft Sentinel 解决方案。