Compartilhar via


Interrupção automática de ataque para SAP (versão prévia)

O Microsoft Defender XDR correlaciona milhões de sinais individuais para identificar campanhas de ransomware ativas ou outros ataques sofisticados no ambiente com alta confiança. Enquanto um ataque está em andamento, o Defender XDR interrompe o ataque contendo automaticamente ativos comprometidos que o invasor está usando por meio de interrupção automática de ataque. A interrupção automática do ataque limita o movimento lateral no início e reduz o impacto geral de um ataque, desde custos associados até perda de produtividade. Ao mesmo tempo, ele deixa as equipes de operações de segurança no controle total de investigar, corrigir e colocar ativos online novamente.

Ao adicionar um novo sistema SAP ao Microsoft Sentinel, sua configuração padrão incluirá a funcionalidade de interrupção de ataque na plataforma unificada de operações de segurança. Este artigo descreve como garantir que seu sistema SAP esteja pronto para dar suporte à interrupção automática de ataque para SAP no portal do Microsoft Defender.

Para uma demonstração em vídeo de interrupção de ataque para SAP, assista ao seguinte vídeo:

O conteúdo deste artigo é destinado às suas equipes de segurança, infraestrutura e SAP BASIS.

Observação

A interrupção de ataques requer um agente de conector de dados e não é compatível com a solução sem agente SAP (visualização limitada).

Interrupção de ataques para SAP na plataforma de operações de segurança unificada da Microsoft

A interrupção de ataques para SAP é configurada pela atualização da versão do agente do conector de dados e pela garantia de que as funções relevantes sejam aplicadas no Azure e no sistema SAP. No entanto, a interrupção automática de ataques em si só aparece no portal do Microsoft Defender.

Para obter mais informações, confira Interrupção automática de ataques no Microsoft Defender XDR e Conectar o Microsoft Sentinel ao portal do Microsoft Defender.

Versão mínima do agente e funções necessárias

A interrupção automática de ataques para SAP requer:

  • Uma versão do agente do conector de dados 90847355 ou superior.
  • A identidade da sua VM do agente do conector de dados deve ser atribuída às funções Operador do Agente de Aplicativos de Negócios do Microsoft Sentinel e Leitor do Azure.
  • A função SAP /MSFTSEN/SENTINEL_RESPONDER deve ser aplicada ao seu sistema SAP e atribuída à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel.

Para usar a interrupção de ataque para SAP, implante um novo agente ou atualize seu agente atual para a versão mais recente. Certifique-se de atribuir as funções Operador do Agente de Aplicativos de Negócios do Microsoft Sentinel e Leitor do Azure e a função SAP /MSFTSEN/SENTINEL_RESPONDER, conforme necessário.

Para saber mais, veja:

Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender (versão prévia).