مشاركة عبر

التحقق من التوافق مع عناصر تحكم أمان SAP باستخدام مصنف SAP - عناصر التحكم في تدقيق الأمان

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

توضح هذه المقالة كيف يمكنك استخدام مصنف SAP - Security Audit Controls لمراقبة وتتبع توافق إطار عمل التحكم في الأمان عبر أنظمة SAP، بما في ذلك الوظائف التالية:

  • راجع التوصيات بشأن قواعد التحليلات التي يجب تمكينها، وتمكينها في مكانها بتكوين مناسب محدد مسبقا.
  • إقران قواعد التحليلات الخاصة بك إلى إطار عمل التحكم SOX أو NIST، أو تطبيق إطار عمل التحكم المخصص الخاص بك.
  • راجع الحوادث والتنبيهات التي لخصها عنصر التحكم، وفقا لإطار عمل التحكم المحدد.
  • تصدير الحوادث ذات الصلة لمزيد من التحليل، لأغراض التدقيق والإبلاغ.

على سبيل المثال:

لقطة شاشة لأعلى مصنف عناصر تحكم تدقيق SAP.

المحتوى الوارد في هذه المقالة مخصص لفريق الأمان الخاص بك.

المتطلبات الأساسية

قبل أن تتمكن من البدء في استخدام SAP - سجل تدقيق الأمان ومصنف الوصول الأولي، يجب أن يكون لديك:

  • تم تثبيت حل Microsoft Sentinel ل SAP وتكوين موصل بيانات. لمزيد من المعلومات، راجع نشر حل Microsoft Sentinel لتطبيقات SAP.

  • تم تمكين مصنف عناصر تحكم تدقيق SAP المثبتة في مساحة عمل Log Analytics ل Microsoft Sentinel. لمزيد من المعلومات، راجع بياناتك وتصورها ومراقبتها باستخدام المصنفات في Microsoft Sentinel.

  • حدث واحد على الأقل في مساحة العمل الخاصة بك، مع إدخال واحد على الأقل متوفر في SecurityIncident الجدول. لا يلزم أن يكون هذا حدث SAP، ويمكنك إنشاء حدث تجريبي باستخدام قاعدة تحليلات أساسية إذا لم يكن لديك حدث آخر.

نوصي بتكوين التدقيق لكافة الرسائل من سجل التدقيق، بدلا من سجلات محددة فقط. عادة ما تكون اختلافات تكلفة الاستيعاب ضئيلة والبيانات مفيدة لاكتشافات Microsoft Sentinel وفي التحقيقات والتتبع بعد الاختراق. لمزيد من المعلومات، راجع تكوين تدقيق SAP.

عرض عرض توضيحي

عرض عرض توضيحي لهذا المصنف:

لمزيد من المعلومات، راجع قناة Microsoft Security Community YouTube:

عوامل التصفيةِ المدعومة

يدعم مصنف عناصر تحكم تدقيق SAP عوامل التصفية التالية لمساعدتك على التركيز على البيانات التي تحتاج إليها:

خيارات عامل التصفية ‏‏الوصف
الاشتراك ومساحة العمل حدد مساحة العمل التي ترغب في تدقيق توافق أنظمة SAP الخاصة بها. يمكن أن تكون هذه مساحة عمل مختلفة عن مكان نشر Microsoft Sentinel.
وقت إنشاء الحدث حدد نطاقا من الساعات الأربع الأخيرة إلى آخر 30 يوما، أو نطاق مخصص تحدده.
سمات الحادث الأخرى، بما في ذلك الحالة والخطورة والتكتيكات والمالك لكل من هذه، حدد من الخيارات المتاحة، والتي تتوافق مع القيم الممثلة في الحوادث في النطاق الزمني المحدد.
أدوار النظام أدوار نظام SAP، مثل الإنتاج.
استخدام النظام استخدام نظام SAP، مثل SAP ERP.
نظم حدد جميع معرفات نظام SAP أو معرف نظام معين أو معرفات نظام متعددة.
إطار عمل التحكم، مجموعات التحكم، معرفات التحكم حدد إطار عمل عنصر التحكم الذي تريد تقييم التغطية به، وعناصر التحكم المحددة التي تريد تصفية بيانات المصنف من خلالها.

توصيات استبقاء البيانات

توفر لوحات معلومات عناصر التحكم في تدقيق SAP طريقة عرض مجمعة للحوادث والتنبيهات استنادا إلى جداول SecurityAlert وSecurityIncident، والتي تحتفظ افتراضيا بالبيانات لمدة 30 يوما.

ضع في اعتبارك تمديد فترة الاستبقاء لهذه الجداول لمطابقة متطلبات التوافق الخاصة بمؤسستك. بغض النظر عن الخيار الذي تختاره لنهج الاستبقاء لهذه الجداول، لا يتم حذف بيانات الحدث أبدا، على الرغم من أنها قد لا تظهر هنا. يتم الاحتفاظ ببيانات التنبيه وفقا لنهج استبقاء الجدول.

قد يتم تعريف نهج الاستبقاء الفعلي لجداول SecurityAlert وSecurityIncident كشيء آخر غير 30 يوما الافتراضية. راجع الإشعار على الخلفية المظللة باللون الأزرق في المصنف، مع إظهار النطاق الزمني الفعلي للبيانات في الجداول وفقا لنهج الاستبقاء الحالي.

لمزيد من المعلومات، راجع تكوين نهج استبقاء البيانات لجدول في مساحة عمل Log Analytics.

علامة التبويب "تكوين" - إنشاء قواعد تحليلات من قوالب غير مستخدمة بعد

يعرض الجدول Templates ready to be used في علامة التبويب Configure قوالب قواعد التحليلات من حل Microsoft Sentinel لتطبيقات SAP التي لم يتم تنفيذها بعد كقواعد نشطة. قد تحتاج إلى إنشاء هذه القواعد لتحقيق التوافق. على سبيل المثال:

لقطة شاشة لجدول قوالب قواعد التحليلات التي يتم إنشاء القواعد منها.

بشكل افتراضي، تتم تصفية هذا الجدول ل SAP، مع تحديد SAP في قوالب الحل لتكوين القائمة المنسدلة. حدد أي حلول أخرى أو جميعها من هذه القائمة المنسدلة لملء الجدول Templates الجاهز لاستخدامه بشكل أكبر.

لكل صف في الجدول، حدد عرض لمزيد من التفاصيل للقراءة فقط حول تكوين القاعدة.

يوضح عمود التكوين الموصى به الغرض من القاعدة: هل المقصود منه إنشاء حوادث للتحقيق؟ أو فقط لإنشاء تنبيهات ليتم وضعها جانبا وإضافتها إلى حوادث أخرى لاستخدامها كدليل في تحقيقاتهم؟

حدد تنشيط القاعدة في الجزء الجانبي لإنشاء قاعدة تحليلات من القالب، مع التكوين الموصى به المضمن بالفعل. توفر لك هذه الوظيفة مشكلة الاضطرار إلى التخمين في التكوين الصحيح وتحديده يدويا.

علامة التبويب "تكوين" - عرض تعيينات التحكم في الأمان لقواعد التحليلات أو تغييرها

تعرض علامة التبويب تحديد قاعدة لتكوين الجدول في علامة التبويب تكوين قائمة بقواعد التحليلات المنشطة ذات الصلة ب SAP. على سبيل المثال:

لقطة شاشة لتحديد قاعدة لتكوينها.

في الجدول، تحقق مما يلي:

  • خطوط العد والرسم البياني التي تم إنشاؤها بواسطة كل قاعدة في عمودي الحوادث والتنبيهات. تشير العد المتطابقة إلى تعطيل تجميع التنبيه.

  • قيم عمود الحوادث والمصدرلفهم ما إذا كانت القاعدة معينة لإنشاء الحوادث .

  • ما إذا كان التكوين الموصى به لقاعدة ما هو بمثابة تنبيه فقط. إذا كان الأمر كذلك، ففكر في إيقاف تشغيل إعداد إنشاء الحدث في القاعدة.

حدد قاعدة لعرض جزء التفاصيل مع مزيد من المعلومات. على سبيل المثال:

لقطة شاشة للوحة جانبية لتكوين القاعدة.

  • يحتوي الجزء العلوي من هذه اللوحة الجانبية على توصيات تتعلق بتمكين أو تعطيل إنشاء الحدث في تكوين قاعدة التحليلات.

  • يوضح القسم التالي من الجزء الجانبي عناصر التحكم الأمنية وعائلات التحكم التي تم تعريف القاعدة بها، لكل إطار من الأطر المتاحة.

    • بالنسبة لأطر عمل SOX و NIST، قم بتخصيص تعيين عنصر التحكم عن طريق اختيار مجموعة تحكم أو تحكم مختلفة من القوائم المنسدلة ذات الصلة.
    • بالنسبة لأطر العمل المخصصة، أدخل عناصر التحكم وعائلات التحكم التي تختارها في مربعات النص MyOrg . إذا أجريت أي تغييرات، فحدد حفظ التغييرات.

    إذا لم يتم تعيين قاعدة تحليلات معينة لعنصر تحكم أمان أو عائلة تحكم لإطار عمل معين، فستتم مطالبتك بتعيين عناصر التحكم يدويا. بعد تحديد عناصر التحكم، حدد حفظ التغييرات.

    للاطلاع على بقية تفاصيل القاعدة المحددة كما هو محدد حاليا، حدد نظرة عامة على القاعدة.

علامة التبويب مراقبة

تحتوي علامة التبويب Monitor على العديد من التمثيلات الرسومية للمجموعات المختلفة للحوادث في بيئتك التي تطابق عوامل التصفية في أعلى المصنف:

  • يعرض الرسم البياني لخط الاتجاه، المسمى اتجاه الحوادث، أعداد الحوادث بمرور الوقت. يتم تجميع هذه الحوادث، وتمثيلها بخطوط وتظليلات ملونة مختلفة، بشكل افتراضي وفقا لعائلة التحكم الممثلة بالقاعدة التي أنشأتها. حدد التجميعات البديلة لهذه الحوادث من القائمة المنسدلة تفاصيل الحوادث حسب . على سبيل المثال:

    لقطة شاشة لخطوط اتجاه أعداد الحوادث، مجمعة حسب القاعدة.

  • يعرض الرسم البياني لخلية الحوادث أعداد الحوادث المجمعة بطريقتين. تكون الإعدادات الافتراضية لإطار عمل SOX أولا بواسطة مجموعة SOX Control، وهي صفيف خلايا honeycomb ، ثم حسب معرف النظام، وهو كل خلية في العسل. حدد معايير مختلفة لعرض التجميعات باستخدام Drill by ثم بواسطة المحددات.

قم بالتكبير إلى الرسم البياني للخلية لجعل النص كبيرا بما يكفي للقراءة بوضوح، والتصغير لرؤية جميع التجميعات معا. اسحب الرسم البياني بأكمله لرؤية أجزاء مختلفة منه. على سبيل المثال:

لقطة شاشة للرسوم البيانية للخلية لأعداد الحوادث، مجمعة حسب مجموعة التحكم ومعرف النظام.

علامة التبويب "تقرير"

تحتوي علامة التبويب تقرير على قائمة بجميع الأحداث في بيئتك التي تطابق عوامل التصفية في أعلى المصنف.

  • يتم تجميع الحوادث حسب عائلة التحكم ومعرف التحكم.

  • يفتح الارتباط الموجود في عمود عنوان URL للحادث نافذة متصفح جديدة مفتوحة لصفحة التحقيق في الحادث لهذا الحادث. هذا الارتباط مستمر، وسيعمل بغض النظر عن نهج الاستبقاء لجدول SecurityIncident .

  • قم بالتمرير لأسفل حتى نهاية النافذة (شريط التمرير الخارجي) لمشاهدة شريط التمرير الأفقي، والذي يمكنك استخدامه لرؤية بقية الأعمدة في التقرير.

  • قم بتصدير هذا التقرير إلى جدول بيانات عن طريق تحديد علامة الحذف (النقاط الثلاث) في الزاوية العلوية اليسرى من التقرير، ثم تحديد تصدير إلى Excel.

    لقطة شاشة لعلامة التبويب

    لقطة شاشة لخيار التصدير إلى excel.

المحتوى ذو الصلة

لمزيد من المعلومات، راجع نشر حل Microsoft Sentinel لتطبيقات SAP من مركز المحتوى وحل Microsoft Sentinel لتطبيقات SAP: مرجع محتوى الأمان.