Microsoft Sentinel に対して Log Analytics ワークスペースを有効に設定すると、 複数のアーキテクチャ オプション と考慮事項があります。 アカウントの地域、規制、アクセス制御、その他の要因を考慮して、組織に複数のワークスペースを含めることができます。
SAP を使用する場合、SAP と SOC のチームは、セキュリティ境界を保持するために、必要に応じて個別のワークスペースで作業します。 組織全体の他のすべてのセキュリティ ログを SAP チームが閲覧できないようにする場合もあります。 ただし、SAP BASIS チームは、SAP アプリケーション向け Microsoft Sentinel ソリューションの実装と保守を成功させる上で重要な役割を果たします。 その技術的知識は、SAP システムを効果的に監視し、セキュリティの設定を構成し、適切なインシデント応答手順を確実に実施する上で不可欠です。 このため、SAP BASIS チームは Microsoft Sentinel に対して有効になっている Log Analytics ワークスペースにアクセスできる必要があります。そうすると、特に SAP 関連のセキュリティ監視に重点を置きながら、SOC チームと共同作業できるようになります。
この記事では、以下の場合に柔軟性を高めながら、複数のワークスペースで SAP アプリケーション向け Microsoft Sentinel ソリューションを使用する方法について説明します。
- マネージド セキュリティ サービス プロバイダー (MSSP)、またはグローバルまたはフェデレーション セキュリティ オペレーション センター (SOC)。
- データ所在地の要件。
- 組織階層と IT 設計。
- 1 つのワークスペースでロールベースのアクセス制御 (RBAC) が不十分である。
重要
複数のワークスペースの操作は、現在プレビュー段階です。 この機能は、サービス レベル アグリーメントがなくても提供されます。 詳細については、「 Microsoft Azure プレビューの追加使用条件」を参照してください。
SAP データと SOC データが個別のワークスペースで保持される
SAP チームと SOC チームで、チーム データが保持されている Microsoft Sentinel に対して個別の Log Analytics ワークスペースが有効になっている場合は、SAP BASIS チームのワークスペースの Sentinel 閲覧者 ロールを一部またはすべての SOC チーム メンバーに提供することをお勧めします。 これにより、両方のチームがクロスワークスペース クエリを使用して SAP データを確認できるようになります。
SAP データと SOC データ用に個別のワークスペースを保持すると、次の利点があります。
| 特長 | 説明 |
|---|---|
| アラート | Microsoft Sentinel では、SOC データと SAP データの両方を含むアラートをトリガーすることができ、SOC ワークスペースでそれらのアラートを実行できます。 |
| データの分離 | SAP BASIS チームには、SOC と SAP のデータを両方含む検出を除き、すべての機能が含まれる独自のワークスペースがあります。 SOC では、SAP インシデントを確認および調査できます。 既存のデータを使用して説明できないイベントが SAP BASIS チームで発生した場合、チームは SOC にインシデントを割り当てることができます。 |
| 柔軟性 | SAP BASIS チームは、そのランドスケープ内にある内部脅威の制御に集中でき、SOC は外部脅威に集中できます。 |
| プライシング | データが Microsoft Sentinel に取り込まれるのは 1 回のみなので、インジェスト料金が追加で請求されることはありません。 ただし、各ワークスペースには独自の 価格レベルがあります。 |
次の表は、SAP と SOC のチームがそれぞれ独自のワークスペースを保持する場合のデータと機能へのアクセスをマップしたものです。
| 機能 | SOC チーム | SAP BASIS チーム |
|---|---|---|
| SOCワークスペース アクセス | ✅ | ❌ |
| SAP ワークスペース のデータ、分析ルール、関数、ウォッチリスト、ブックへのアクセス | ✅ | ✅* |
| SAP インシデントのアクセスとコラボレーション | ✅ | ✅* |
* SOC チームは、両方のワークスペースでこれらの機能を確認できます。 SAP BASIS チームは、SAP ワークスペースでのみ、これらの機能を確認できます。
注
大規模な SAP ランドスケープ全体でクロスワークスペース クエリを実行すると、パフォーマンスに影響する可能性があります。 パフォーマンスとコストの最適化を改善するには、同じ 専用クラスターに SOC と SAP の両方のワークスペースを用意することを検討してください。 詳細については、「 Azure Monitor ログでの専用クラスターの作成と管理」を参照してください。
SAP と SOC のデータを同じワークスペースで保持する
すべてのデータを 1 つのワークスペースに保持し、アクセス制御を適用して、チームの誰がデータにアクセスできるかを決定することができます。
そのためには、次の手順に従います。
Azure Monitor で Log Analytics を使用して、リソース別のデータへのアクセスを管理します。 詳細については、「 リソースによる Microsoft Sentinel データへのアクセスの管理」を参照してください。
SAP リソースを Azure リソース ID に関連付けます。 このオプションは、CLI を介してデプロイされたデータ コネクタ エージェントに対してのみサポートされます。 SAP システムから Microsoft Sentinel にデータを取り込むために使用するデータ コレクターのコネクタ構成セクションで、必須の
azure_resource_idフィールドを指定します。 詳細については、コマンド ラインとコネクタの構成から SAP データ コネクタ エージェントをデプロイするを参照してください。
データ コレクター エージェントが正しいリソース ID で構成されると、SAP BASIS チームは、スコープ付きリソース クエリを使用して SOC ワークスペース内にある特定の SAP データにアクセスできます。 SAP BASIS チームは、SAP 以外の他のデータ型を読み取ることができません。
データが Microsoft Sentinel に取り込まれるのは 1 回のみなので、この方法に関連するコストはありません。
リソースごとにアクセスを管理する場合、SAP BASIS チームには、Log Analytics または Power BI 経由でアクセスできる、書式設定されていない生データのみが表示されます。 SAP BASIS チームは、Microsoft Sentinel 機能を使用できません。
関連するコンテンツ
詳細については、「 SAP アプリケーション用の Microsoft Sentinel ソリューションのデプロイ」を参照してください。