SAP - Güvenlik Denetimi Denetimleri çalışma kitabıyla SAP güvenlik denetimlerinizin uyumluluğunu denetleme
Bu makalede, aşağıdaki işlevler de dahil olmak üzere SAP sistemlerinizde güvenlik denetimi çerçevesi uyumluluğunu izlemek ve izlemek için SAP - Güvenlik Denetimi Denetimleri çalışma kitabını nasıl kullanabileceğiniz açıklanmaktadır:
- Hangi analiz kurallarının etkinleştirileceğine ilişkin önerilere bakın ve uygun önceden ayarlanmış yapılandırmayla bunları yerinde etkinleştirin.
- Analiz kurallarınızı SOX veya NIST denetim çerçevesiyle ilişkilendirin veya kendi özel denetim çerçevenizi uygulayın.
- Seçilen denetim çerçevesine göre denetim tarafından özetlenen olayları ve uyarıları gözden geçirin.
- Denetim ve raporlama amacıyla daha fazla analiz için ilgili olayları dışarı aktarın.
Örneğin:
Bu makaledeki içerik güvenlik ekibinize yöneliktir.
Önkoşullar
SAP - Güvenlik Denetimi günlüğünü ve İlk Erişim çalışma kitabını kullanmaya başlamadan önce aşağıdakilere sahip olmanız gerekir:
SAP için Microsoft Sentinel çözümü yüklü ve yapılandırılmış bir veri bağlayıcısı. Daha fazla bilgi için bkz . SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma.
Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanınızda yüklü SAP Denetim Denetimleri çalışma kitabı. Daha fazla bilgi için bkz . Microsoft Sentinel'de çalışma kitaplarını kullanarak verilerinizi görselleştirme ve izleme.
Çalışma alanınızda en az bir olay ve tabloda en az bir giriş bulunur
SecurityIncident. Bunun bir SAP olayı olması gerekmez ve başka bir tane yoksa temel analiz kuralı kullanarak bir tanıtım olayı oluşturabilirsiniz.
Yalnızca belirli günlükler yerine denetim günlüğündeki tüm iletiler için denetimi yapılandırmanızı öneririz. Alım maliyeti farklılıkları genellikle en düşük düzeydedir ve veriler Microsoft Sentinel algılamaları ve güvenlik ihlalleri sonrası araştırmalarda ve tehdit avcılığında kullanışlıdır. Daha fazla bilgi için bkz. SAP denetimini yapılandırma.
Tanıtım görüntüleme
Bu çalışma kitabının tanıtımını görüntüleyin:
Daha fazla bilgi için bkz . Microsoft Güvenlik Topluluğu YouTube kanalı:
Desteklenen filtreler
SAP Denetim Denetimleri çalışma kitabı, ihtiyacınız olan verilere odaklanmanıza yardımcı olmak için aşağıdaki filtreleri destekler:
| Filtre seçeneği | Açıklama |
|---|---|
| Abonelik ve Çalışma Alanı | SAP sistemlerinin uyumluluğunu denetlemek istediğiniz çalışma alanını seçin. Bu, Microsoft Sentinel'in dağıtıldığı yerden farklı bir çalışma alanı olabilir. |
| Olay oluşturma zamanı | Son dört saat ile son 30 gün arasında bir aralık veya belirlediğiniz özel bir aralık seçin. |
| Durum, Önem Derecesi, Taktikler, Sahip gibi diğer olay öznitelikleri | Bunların her biri için, seçilen zaman aralığındaki olaylarda temsil edilen değerlere karşılık gelen kullanılabilir seçenekler arasından seçim yapın. |
| Sistem rolleri | Üretim gibi SAP sistem rolleri. |
| Sistem kullanımı | SAP ERP gibi SAP sistem kullanımı. |
| Sistemler | Tüm SAP sistem kimliklerini, belirli bir sistem kimliğini veya birden çok sistem kimliğini seçin. |
| Denetim çerçevesi, Denetim aileleri, Denetim kimlikleri | Kapsamınızı değerlendirmek istediğiniz denetim çerçevesini ve çalışma kitabı verilerini filtrelemek istediğiniz belirli denetimleri seçin. |
Veri saklama önerileri
SAP Denetim Denetimleri panoları, varsayılan olarak 30 günlük verileri koruyan SecurityAlert ve SecurityIncident tablolarını temel alan olayların ve uyarıların toplu bir görünümünü sağlar.
Bu tabloların saklama süresini kuruluşunuzun uyumluluk gereksinimlerine uyacak şekilde uzatmayı göz önünde bulundurun. Bu tabloların bekletme ilkesi için yaptığınız seçimden bağımsız olarak olay verileri hiçbir zaman silinmez, ancak burada gösterilmeyebilir. Uyarı verileri tablonun bekletme ilkesine göre tutulur.
SecurityAlert ve SecurityIncident tablolarının gerçek bekletme ilkesi, varsayılan 30 günden farklı bir değer olarak tanımlanabilir. Çalışma kitabındaki mavi gölgeli arka planda, tablolardaki verilerin geçerli bekletme ilkesine göre gerçek zaman aralığını gösteren bildirime bakın.
Daha fazla bilgi için bkz . Log Analytics çalışma alanında bir tablo için veri saklama ilkesi yapılandırma.
Yapılandırma sekmesi - henüz kullanılmayan şablonlardan analiz kuralları oluşturma
Yapılandır sekmesindeki Kullanılmaya hazır şablonlar tablosu, henüz etkin kurallar olarak uygulanmamış SAP uygulamaları için Microsoft Sentinel çözümünden analiz kuralı şablonlarını gösterir. Uyumluluk sağlamak için bu kuralları oluşturmanız gerekebilir. Örneğin:
Varsayılan olarak, bu tablo SAP için filtrelenir ve açılan listeyi yapılandırmak için Çözüm şablonlarında SAP seçilidir. Kullanılmaya hazır Şablonlar tablosunu daha fazla doldurmak için bu açılan listeden herhangi bir çözümü veya diğer tüm çözümleri seçin.
Kural yapılandırması hakkında daha fazla salt okunur ayrıntı için tablodaki her satır için Görünüm'ü seçin.
Önerilen yapılandırma sütunu kuralın amacını gösterir: Araştırma amacıyla olaylar oluşturmak için mi? Ya da yalnızca bir kenara tutulacak ve araştırmalarında kanıt olarak kullanılacak diğer olaylara eklenecek uyarılar oluşturmak için mi?
Önerilen yapılandırmanın yerleşik olduğu şablondan bir analiz kuralı oluşturmak için yan bölmede Kuralı etkinleştir'i seçin. Bu işlevsellik, doğru yapılandırmada tahminde bulunma ve el ile tanımlama zahmetini size kazandırır.
Yapılandırma sekmesi - Analiz kurallarınızın güvenlik denetimi atamalarını görüntüleme veya değiştirme
Yapılandır sekmesindeki Yapılandırmak için kural seçin sekmesinde SAP ile ilgili etkinleştirilmiş analiz kurallarının listesi gösterilir. Örneğin:
Tabloda şunları denetleyin:
Olaylar ve Uyarılar sütunlarındaki her kural tarafından oluşturulan sayı ve grafik çizgileri. Aynı sayımlar uyarı gruplandırma işleminin devre dışı bırakıldığını gösterir.
Kuralın olay oluşturmak üzere ayarlanıp ayarlanmadığını anlamak için Olaylar ve Kaynak sütun değerleri.
Bir kural için Önerilen yapılandırmanın Yalnızca Uyarı olarak olup olmadığı. Öyleyse, kuralda olay oluşturma ayarını kapatmayı göz önünde bulundurun.
Daha fazla bilgi içeren ayrıntılar bölmesini görüntülemek için bir kural seçin. Örneğin:
Bu yan panelin üst kısmında analiz kuralı yapılandırmasında olay oluşturmayı etkinleştirme veya devre dışı bırakmayla ilgili öneriler bulunur.
Yan bölmenin sonraki bölümünde, kullanılabilir çerçevelerin her biri için kuralın hangi güvenlik denetimleri ve denetim aileleri ile tanımlandığı gösterilir.
- SOX ve NIST çerçeveleri için, ilgili açılan listelerden farklı bir denetim veya denetim ailesi seçerek denetim atamasını özelleştirin.
- Özel çerçeveler için MyOrg metin kutularına seçtiğiniz denetimleri ve denetim ailelerini girin. Herhangi bir değişiklik yaparsanız Değişiklikleri kaydet'i seçin.
Belirli bir analiz kuralına belirli bir çerçeve için bir güvenlik denetimi veya denetim ailesi atanmamışsa denetimleri el ile ayarlamanız istenir. Denetimleri seçtikten sonra Değişiklikleri kaydet'i seçin.
Seçili kuralın şu anda tanımlandığı şekilde diğer ayrıntılarını görmek için Kurala genel bakış'ı seçin.
İzleyin sekmesi
İzleyici sekmesi, ortamınızdaki olayların çalışma kitabının en üstündeki filtrelerle eşleşen çeşitli gruplandırmaların çeşitli grafik gösterimlerini içerir:
Olaylar eğilimi etiketli eğilim çizgisi grafiği, zaman içindeki olay sayısını gösterir. Bu olaylar gruplandırılır ve bunları oluşturan kural tarafından temsil edilen denetim ailesine göre varsayılan olarak farklı renkli çizgiler ve gölgelendirmelerle temsil edilir. Ayrıntılar açılan listesinden bu olaylar için alternatif gruplandırmalar seçin. Örneğin:
Olaylar kovanı grafı, iki şekilde gruplandırılmış olay sayısını gösterir. SOX çerçevesi için varsayılan değerler önce hücre petek dizisi olan SOX Denetimi ailesi ve ardından petekteki her hücre olan Sistem Kimliği'ne göre yapılır. Detaylandırma ölçütü ve ardından seçiciler tarafından kullanılarak gruplandırmaların görüntüleneceği farklı ölçütler seçin.
Metni net bir şekilde okuyacak kadar büyütmek için hive grafiğini yakınlaştırın ve tüm gruplandırmaları birlikte görmek için uzaklaştırın. Grafiğin farklı bölümlerini görmek için grafiğin tamamını sürükleyin. Örneğin:
Rapor sekmesi
Rapor sekmesi, çalışma kitabının en üstündeki filtrelerle eşleşen ortamınızdaki tüm olayların listesini içerir.
Olaylar, denetim ailesi ve denetim kimliğine göre gruplandırılır.
Olay URL'si sütunundaki bağlantı, o olayın olay araştırma sayfasına açılan yeni bir tarayıcı penceresi açar. Bu bağlantı kalıcıdır ve SecurityIncident tablosunun bekletme ilkesinden bağımsız olarak çalışır.
Raporun kalan sütunlarını görmek için kullanabileceğiniz yatay kaydırma çubuğunu görmek için pencerenin sonuna (dış kaydırma çubuğu) aşağı kaydırın.
Raporun sağ üst köşesindeki üç noktayı (üç nokta) seçip Excel'e Aktar'ı seçerek bu raporu bir elektronik tabloya aktarın.
İlgili içerik
Daha fazla bilgi için bkz . İçerik hub'ından SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma ve SAP uygulamaları için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu.