安装适用于 SAP 应用程序的 Microsoft Sentinel 解决方案

适用于 SAP 应用程序的 Microsoft Sentinel 解决方案包括 SAP 数据连接器(用于从 SAP 系统收集日志,并将其发送到 Microsoft Sentinel 工作区)和现成的安全内容,可帮助你深入了解组织的 SAP 环境,以及检测和响应安全威胁。 在配置数据连接器之前,需要先安装解决方案。

SAP 解决方案部署流程图,其中突出显示“安装解决方案内容”步骤。

SAP 解决方案部署流程图,其中突出显示“安装解决方案内容”步骤。

本文的内容与安全团队相关

重要

Microsoft Sentinel 的 SAP 无代理数据连接器目前以 LIMITED PREVIEW 提供Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

若要从内容中心部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,你需要:

另请确保查看部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案的先决条件,尤其是 Azure 先决条件

从内容中心安装解决方案

安装 适用于 SAP 的 Microsoft Sentinel 解决方案 可让你从 Microsoft Sentinel 配置 > 数据连接器 页获取数据连接器代理和无代理数据连接器。 该解决方案还会部署安全内容,例如“SAP - 审核控制”工作簿以及与 SAP 相关的分析规则

  1. 在 Microsoft Sentinel 内容中心,搜索 SAP 以安装 SAP 应用程序 解决方案。 在“适用于 SAP 应用程序的 Microsoft Sentinel 解决方案”页面上,选择“创建”以定义部署设置。 例如:

    显示“适用于 SAP 应用程序的 Microsoft Sentinel 解决方案”解决方案窗格的屏幕截图。

  2. 在默认 的“基本信息 ”选项卡上,向下滚动以选择要安装解决方案的位置。 如果你要在多个工作区中使用适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,请选择“部分数据位于不同的工作区”,然后定义目标工作区、SOC 工作区和 SAP 工作区。 例如:

    例如:

    显示如何将适用于 SAP 应用程序 的Microsoft Sentinel 解决方案配置为跨多个工作区运行的屏幕截图。

  3. 选择“查看 + 创建”或“下一步”以浏览解决方案组件。 准备就绪后,选择“创建”。

    部署过程可能需要几分钟时间。 部署完成后,可以在 Microsoft Sentinel 中查看已部署的内容。

提示

如果你希望将 SAP 和 SOC 数据保存在同一工作区中,且不需要额外的访问控制,请不要选择“某些数据位于不同的工作区”。 在这种情况下,如需详细信息,请参阅在同一工作区中维护的 SAP 和 SOC 数据

有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容

查看已部署的内容

部署完成后,通过在“内容中心”再次浏览到适用于 SAP 应用程序的 Microsoft Sentinel 解决方案来显示新内容。 也可使用以下命令:

只有在配置数据连接器并完成连接之后,数据连接器才会显示为已连接。

下一步

有关详细信息,请参阅适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考