适用于 SAP 应用程序的 Microsoft Sentinel 解决方案包括 SAP 数据连接器(用于从 SAP 系统收集日志,并将其发送到 Microsoft Sentinel 工作区)和现成的安全内容,可帮助你深入了解组织的 SAP 环境,以及检测和响应安全威胁。 在配置数据连接器之前,需要先安装解决方案。
本文的内容与安全团队相关。
重要
Microsoft Sentinel 的 SAP 无代理数据连接器目前以 LIMITED PREVIEW 提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
先决条件
若要从内容中心部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,你需要:
- 一个启用了 Microsoft Sentinel 的 Log Analytics 工作区。
- 对该工作区拥有读写权限。 有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限。
另请确保查看部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案的先决条件,尤其是 Azure 先决条件。
从内容中心安装解决方案
安装 适用于 SAP 的 Microsoft Sentinel 解决方案 可让你从 Microsoft Sentinel 配置 > 数据连接器 页获取数据连接器代理和无代理数据连接器。 该解决方案还会部署安全内容,例如“SAP - 审核控制”工作簿以及与 SAP 相关的分析规则。
- 使用以下方法之一安装解决方案,具体取决于连接器类型:
如果使用 SAP 无代理数据连接器(受限预览版),请在收到载入通知后 通过 Azure 市场安装解决方案 。
如果使用数据连接器代理,请在 Microsoft Sentinel 内容中心搜索 SAP 以安装 SAP 应用程序 解决方案。
在“适用于 SAP 应用程序的 Microsoft Sentinel 解决方案”页面上,选择“创建”以定义部署设置。 例如:
在默认 的“基本信息 ”选项卡上,向下滚动以选择要安装解决方案的位置。 如果你要在多个工作区中使用适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,请选择“部分数据位于不同的工作区”,然后定义目标工作区、SOC 工作区和 SAP 工作区。 例如:
例如:
选择“查看 + 创建”或“下一步”以浏览解决方案组件。 准备就绪后,选择“创建”。
部署过程可能需要几分钟时间。 部署完成后,可以在 Microsoft Sentinel 中查看已部署的内容。
提示
如果你希望将 SAP 和 SOC 数据保存在同一工作区中,且不需要额外的访问控制,请不要选择“某些数据位于不同的工作区”。 在这种情况下,如需详细信息,请参阅在同一工作区中维护的 SAP 和 SOC 数据。
有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容。
查看已部署的内容
部署完成后,通过在“内容中心”再次浏览到适用于 SAP 应用程序的 Microsoft Sentinel 解决方案来显示新内容。 也可使用以下命令:
对于 Microsoft Sentinel 中的内置 SAP 工作簿,请转到“威胁管理”“工作簿”>“模板”>。
对于一系列与 SAP 相关的分析规则,请转到“配置”“分析规则模板”>。
只有在配置数据连接器并完成连接之后,数据连接器才会显示为已连接。
下一步
相关内容
有关详细信息,请参阅适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考。