دمج SAP عبر مساحات عمل متعددة
عند إعداد مساحة عمل Log Analytics الممكنة ل Microsoft Sentinel، لديك خيارات وعوامل بنية متعددة يجب مراعاتها. مع مراعاة الجغرافيا والتنظيم والتحكم في الوصول وعوامل أخرى، قد تختار أن يكون لديك مساحات عمل متعددة في مؤسستك.
عند العمل مع SAP، قد تحتاج فرق SAP وSOC إلى العمل في مساحات عمل منفصلة للحفاظ على حدود الأمان. قد لا ترغب في أن يكون لفريق SAP رؤية في جميع سجلات الأمان الأخرى عبر مؤسستك. ومع ذلك، يلعب فريق SAP BASIS دورا حاسما في تنفيذ حل Microsoft Sentinel لتطبيقات SAP وصيانته بنجاح. معرفتهم التقنية ضرورية لمراقبة أنظمة SAP بشكل فعال، وتكوين إعدادات الأمان، وضمان وجود إجراءات مناسبة للاستجابة للحوادث. لهذا السبب، يجب أن يكون لدى فريق SAP BASIS حق الوصول إلى مساحة عمل Log Analytics الممكنة ل Microsoft Sentinel، ما يسمح لهم بالتعاون مع فريق SOC مع التركيز بشكل خاص على مراقبة الأمان المتعلقة ب SAP.
تتناول هذه المقالة كيفية العمل مع حل Microsoft Sentinel لتطبيقات SAP في مساحات عمل متعددة، مع مرونة محسنة من أجل:
- موفرو خدمات الأمان المدارة (MSSPs) أو مركز عمليات أمان عالمي أو متحد (SOC).
- متطلبات موقع البيانات.
- التدرج الهرمي التنظيمي وتصميم تكنولوجيا المعلومات.
- التحكم في الوصول المستند إلى الدور (RBAC) غير كاف في مساحة عمل واحدة.
هام
العمل مع مساحات عمل متعددة قيد المعاينة حاليا. يتم توفير هذه الميزة دون اتفاقية على مستوى الخدمة. لمزيد من المعلومات، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.
إشعار
يتوفر دعم مساحات العمل المتعددة فقط مع عامل موصل البيانات، وهو غير مدعوم مع حل SAP بدون عامل (معاينة محدودة).
بيانات SAP وS SOC التي يتم الاحتفاظ بها في مساحات عمل منفصلة
إذا كان لدى فرق SAP وSOC مساحات عمل Log Analytics منفصلة ممكنة ل Microsoft Sentinel حيث يتم الاحتفاظ ببيانات الفريق، نوصي بتزويد بعض أعضاء فريق SOC أو كلهم بدور Sentinel Reader لمساحة عمل فريق SAP BASIS. وهذا يمكن كلا الفريقين من رؤية بيانات SAP باستخدام استعلامات عبر مساحة العمل.
الحفاظ على مساحات عمل منفصلة لبيانات SAP وS SOC له المزايا التالية:
| الميزة | الوصف |
|---|---|
| Alerts | يمكن ل Microsoft Sentinel تشغيل التنبيهات التي تتضمن بيانات SOC وSAP، ويمكنه تشغيل هذه التنبيهات على مساحة عمل SOC. |
| عزل البيانات | لدى فريق SAP BASIS مساحة العمل الخاصة به التي تتضمن جميع الميزات باستثناء عمليات الكشف التي تتضمن كل من بيانات SOC وSAP. يمكن ل SOC رؤية أحداث SAP والتحقيق فيها. إذا واجه فريق SAP BASIS حدثا لا يمكنه شرحه باستخدام البيانات الموجودة، يمكن للفريق تعيين الحدث إلى SOC. |
| المرونة | يمكن لفريق SAP BASIS التركيز على التحكم في التهديدات الداخلية في مشهده، ويمكن أن تركز SOC على التهديدات الخارجية. |
| التسعير | لا توجد رسوم إضافية مقابل رسوم الاستيعاب، لأنه يتم استيعاب البيانات مرة واحدة فقط في Microsoft Sentinel. ومع ذلك، كل مساحة عمل لها مستوى التسعير الخاص بها. |
يعين الجدول التالي البيانات والوصول إلى الميزات لفرق SAP وS SOC عندما يحتفظ كل منهما مساحة العمل الخاصة به:
| الدالة | فريق SOC | فريق SAP BASIS |
|---|---|---|
| الوصول إلى مساحة عمل SOC | ✅ | ❌ |
| الوصول إلى بيانات مساحة عمل SAP وقواعد التحليلات والوظائف وقوائم المشاهدة والمصنفات | ✅ | ✅* |
| الوصول إلى الحوادث والتعاون في SAP | ✅ | ✅* |
* يمكن لفريق SOC رؤية هذه الوظائف في كلتا مساحات العمل. يمكن لفريق SAP BASIS رؤية هذه الوظائف فقط في مساحة عمل SAP.
إشعار
يمكن أن يؤثر تشغيل الاستعلامات عبر مساحة العمل عبر مناظر SAP الأفقية الأكبر على الأداء. لتحسين الأداء وتحسين التكلفة، ضع في اعتبارك وجود مساحات عمل SOC وSAP على نفس المجموعة المخصصة. لمزيد من المعلومات، راجع إنشاء مجموعة مخصصة وإدارتها في سجلات Azure Monitor.
بيانات SAP وS SOC التي يتم الاحتفاظ بها في نفس مساحة العمل
قد ترغب في الاحتفاظ بكافة البيانات في مساحة عمل واحدة وتطبيق عناصر التحكم في الوصول لتحديد من في فريقك قادر على الوصول إلى البيانات.
للقيام بذلك، استخدم الخطوات التالية:
استخدم Log Analytics في Azure Monitor لإدارة الوصول إلى البيانات حسب المورد. لمزيد من المعلومات، راجع إدارة الوصول إلى بيانات Microsoft Azure Sentinel حسب المورد.
إقران موارد SAP بمعرف مورد Azure. يتم دعم هذا الخيار فقط لعامل موصل البيانات المنشور عبر CLI. حدد الحقل المطلوب
azure_resource_idفي قسم تكوين الموصل في جامع البيانات الذي تستخدمه لاستيعاب البيانات من نظام SAP إلى Microsoft Sentinel. لمزيد من المعلومات، راجع نشر عامل موصل بيانات SAP من سطر الأوامر وتكوين الموصل.
بعد تكوين عامل جامع البيانات بمعرف المورد الصحيح، يمكن لفريق SAP BASIS الوصول إلى بيانات SAP المحددة في مساحة عمل SOC باستخدام استعلام نطاق المورد. لا يمكن لفريق SAP BASIS قراءة أي من أنواع البيانات الأخرى غير SAP.
لا توجد تكاليف مقترنة بهذا الأسلوب لأن البيانات يتم استيعابها مرة واحدة فقط في Microsoft Sentinel.
عند إدارة الوصول حسب المورد، يرى فريق SAP BASIS البيانات الأولية وغير المنسقة فقط، والتي يمكن الوصول إليها عبر Log Analytics أو Power BI. لا يمكن لفريق SAP BASIS استخدام أي ميزات Microsoft Sentinel.
المحتوى ذو الصلة
لمزيد من المعلومات، راجع نشر حل Microsoft Sentinel لتطبيقات SAP.