安装适用于 SAP 应用程序的 Microsoft Sentinel 解决方案
适用于 SAP 应用程序的 Microsoft Sentinel 解决方案包括 SAP 数据连接器(用于从 SAP 系统收集日志,并将其发送到 Microsoft Sentinel 工作区)和现成的安全内容,可帮助你深入了解组织的 SAP 环境,以及检测和响应安全威胁。 安装解决方案是在配置数据连接器代理容器之前必须执行的步骤。
本文的内容与安全团队相关。
先决条件
若要从内容中心部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,你需要:
- 一个启用了 Microsoft Sentinel 的 Log Analytics 工作区。
- 对该工作区拥有读写权限。 有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限。
另请确保查看部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案的先决条件,尤其是 Azure 先决条件。
从内容中心安装解决方案
安装 Microsoft Sentinel 的 SAP 应用程序解决方案能使适用于 SAP 的 Microsoft Sentinel 数据连接器可用作 Microsoft Sentinel 数据连接器。 该解决方案还会部署安全内容,例如“SAP - 审核控制”工作簿以及与 SAP 相关的分析规则。
在 Microsoft Sentinel 的“内容中心”搜索“SAP 应用程序”解决方案,并将其安装在启用了 Microsoft Sentinel 的 Log Analytics 工作区中。
在“适用于 SAP 应用程序的 Microsoft Sentinel 解决方案”页面上,选择“创建”以定义部署设置。 例如:
在“基本信息”选项卡上的“项目详细信息”下,选择要在其中安装解决方案的“订阅”和“资源组”。
在“实例详细信息”下,选择要在其中安装解决方案的启用了 Microsoft Sentinel 的 Log Analytics 工作区。
如果你要在多个工作区中使用适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,请选择“部分数据位于不同的工作区”,然后定义目标工作区、SOC 工作区和 SAP 工作区。 例如:
例如:
选择“查看 + 创建”或“下一步”以浏览解决方案组件。 准备就绪后,选择“创建”。
部署过程可能需要几分钟时间。 部署完成后,可以在 Microsoft Sentinel 中查看已部署的内容。
提示
如果你希望将 SAP 和 SOC 数据保存在同一工作区中,且不需要额外的访问控制,请不要选择“某些数据位于不同的工作区”。 在这种情况下,如需详细信息,请参阅在同一工作区中维护的 SAP 和 SOC 数据。
有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容。
查看已部署的内容
部署完成后,通过在“内容中心”再次浏览到适用于 SAP 应用程序的 Microsoft Sentinel 解决方案来显示新内容。 也可使用以下命令:
对于 Microsoft Sentinel 中的内置 SAP 工作簿,请转到“威胁管理”>“工作簿”>“模板”。
对于一系列与 SAP 相关的分析规则,请转到“配置”>“分析规则模板”。
只有在配置数据连接器并完成连接之后,数据连接器才会显示为已连接。
下一步
相关内容
有关详细信息,请参阅适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考。