Microsoft Sentinel für SAP-Systeme eines Goldbergbauunternehmens
DE
EN PL
Kontakt

Unübertroffene SAP-Sicherheit mit Microsoft Sentinel für Goldminenunternehmen

Zurück Fallbeispiel herunterladen
Gold Mining Company

Standort:

Asien

Branchen:

Herstellung

Mitarbeiter:

9,000+

Über den Kunden:

Unser Kunde ist eines der größten Goldbergbau- und Produktionsunternehmen in Zentralasien. Als Eigentümer eines umfangreichen Portfolios von Vermögenswerten, das sich über mehrere große Goldlagerstätten in der Region erstreckt, produziert das Unternehmen jährlich Millionen Tonnen Golderz. Das Unternehmen deckt als Branchenführer die gesamte Wertschöpfungskette von der Mine bis zum Markt ab – von der geologischen Exploration über den Abbau, die Verarbeitung und den Vertrieb von Edelmetallen bis hin zur Planung und zum Bau von Goldproduktionsanlagen.

Zusammenfassung

Ziele: Auswahl und Implementierung einer SIEM-Lösung, die die Risiken von Insider-Bedrohungen minimiert und eine umfassende Sicherheits Überwachung des SAP ERP-Systems des Unternehmens gewährleistet und gleichzeitig die Anforderungen an die Kosteneffizienz erfüllt.

Lösung: Infopulse integrierte Microsoft Sentinel nahtlos in die hybride Infrastruktur des Kunden, führte mehr als 80 benutzerdefinierte Regeln für die Sicherheitsüberwachung ein und beriet ihn bei der Einführung eines effizienten Prozesses für die Verwaltung von Vorfällen, der es ermöglicht, nahezu in Echtzeit auf Warnmeldungen zu reagieren.

Vorteile: Mit den Funktionen von Microsoft Sentinel in Verbindung mit maßgeschneiderten Sicherheitsregeln konnte das Unternehmen seine SAP-Umgebungen optimal schützen, schnell potenzielle Bedrohungen aufspüren und die TCO-Kosten erheblich senken, während die Arbeit des internen Sicherheitsteams optimiert wurde.

Gelieferte Dienstleistungen: Dienstleistungen im Bereich Cybersicherheit und Sicherheitsbewertung, Microsoft Sentinel-Implementierung, SIEM/SOAR-Bereitstellung.    

Zusammenfassung

unmatched-sap-data-security-with-microsoft-sentinel-landing-1024x500

Anforderung

Unser Kunde unterhält eine komplexe hybride Infrastruktur, die sowohl Cloud-basierte als auch lokale IT-Systeme umfasst. Das Unternehmen war sich der wachsenden Sicherheitsrisiken durch die weltweite Verbreitung von Cyberbedrohungen bewusst und wollte geschäftskritische IT-Ressourcen in allen Bereichen schützen.

Am Anfang der Zusammenarbeit zwischen Infopulse und dem Goldbergbauunternehmen standen mehrere gemeinsame Projekte, darunter eine Implementierung von Microsoft Sentinel für die Backup-Cloud-Infrastruktur des Unternehmens sowie eine Disaster-Recovery-Lösung für das SAP-System vor Ort.

Nach dem Abschluss der Pilotprojekte bewertete das Unternehmen seine Sicherheitslage weiter und stellte fest, dass seinem SAP-System, in dem große Mengen sensibler Unternehmensdaten gespeichert sind, effiziente Funktionen zur Sicherheitsüberwachung fehlten.

Aufgrund dieser grundlegenden Schwäche kann es zu Datenlecks kommen, die durch unbefugten Zugriff oder andere Insider-Bedrohungen verursacht werden und zu erheblichen finanziellen Verlusten und Reputationsschäden führen. Ferner wären Ausfallzeiten und finanzielle Störungen zu befürchten gewesen, da das SAP-System auch für die Bearbeitung von Rechnungen und anderen Transaktionen verwendet wird.

Die wichtigsten Herausforderungen für den Kunden waren also folgende:

  • die Einrichtung einer effizienten Sicherheitsüberwachung und einer schnellen Reaktion auf Vorfälle, um einen umfassenden Datenschutz für das SAP ERP des Unternehmens zu gewährleisten
  • eine Lösung zu finden, die den Anforderungen des Kunden in Bezug auf ihre Fähigkeiten und ihr Kostenverhältnis entspricht
  • die Integration der Lösung in das bestehende SIEM-System – IBM QRadar.

Damit der Kunde eine Lösung auswählen konnte, die seinen Herausforderungen gerecht wurde, implementierte Infopulse ein weiteres Pilotprojekt, das sich auf die Verbindung der ursprünglich eingesetzten Microsoft Sentinel-Lösung mit dem SAP-System vor Ort und die Implementierung von 7 Testszenarien zur Überwachung der SAP-Umgebung konzentrierte.

Slight rephrasing "To help the client choose a solution that effectively addresses their challenges" as pilot project didn't directly resolve described above challenges.

Nachdem der Kunde mit den Ergebnissen des Pilotprojekts zufrieden war, entschied er sich für eine umfassende Implementierung von Microsoft Sentinel für SAP.

Lösung und Unternehmenswert

Nachdem Infopulse Microsoft Sentinel nahtlos in die komplexe hybride Infrastruktur des Kunden integriert hatte, entwickelte, testete und implementierte Infopulse mehr als 80 benutzerdefinierte Sicherheitsüberwachungsregeln, um einen unübertroffenen Datenschutz für das SAP ERP des Kunden zu gewährleisten.   

Infolgedessen erhielt das Goldbergbauunternehmen eine ganze Reihe von Vorteilen

  • eine verstärkte Sicherheitslage – Die robuste Sicherheitsüberwachung durch Microsoft Sentinel hilft dem Goldminenunternehmen, seine SAP-Landschaft zu schützen und das Risiko kostspieliger Datenverletzungen zu minimieren.
  • die schnelle Erkennung von Bedrohungen – Das nahezu in Echtzeit arbeitende Incident Management-System ermöglichte unserem Kunden eine schnelle Erkennung von illegalen Operationen und verdächtigem Nutzerverhalten
  • geringere Gesamtbetriebskosten – Microsoft Sentinel verfügt nicht nur über alle erforderlichen Überwachungsfunktionen, sondern ist im Vergleich zu alternativen SIEM-Tools auch kostengünstiger und einfacher zu implementieren, zu konfigurieren und feinabzustimmen.
  • Kostenoptimierung – Durch die Implementierung von Sentinel in der Cloud konnte das Unternehmen die Kosten für den Kauf, die Einrichtung und den Support einer zusätzlichen Infrastruktur vor Ort optimieren.
  • eine einwandfreie Systeminteroperabilität – durch die Integration von Microsoft Sentinel mit dem lokalen SAP-System des Kunden und dem Cloud-basierten ERP-Backup sorgte Infopulse für einen reibungslosen Fluss von Sicherheitsprotokollen über alle Standorte hinweg und half dem Kunden so, doppelten Aufwand und zusätzliche Kosten zu vermeiden
  • rationalisierte Sicherheitsabläufe – Einige Sicherheitsregeln wurden angepasst, um die „Alarmmüdigkeit“ der Sicherheitsmitarbeiter des Kunden zu vermeiden. Darüber hinaus stellte Infopulse dem Unternehmen ausführliche Leitfäden zur Analyse und Reaktion auf Vorfälle zur Verfügung.

Technical Details

At the beginning of the project, the key task for Infopulse was to ensure seamless interoperability and data exchange between Microsoft Sentinel and the client’s cloud-based and on-premises IT infrastructure. Our team used Microsoft’s proprietary data connectors for SAP applications to integrate Microsoft Sentinel with the client’s backup ERP system that resides in the cloud (Microsoft Azure).  

The integration of Microsoft Sentinel with the client’s SAP ERP was performed via the following approach. Our team configured and deployed a log forwarder – a Linux-based virtual machine that collects the logs from the Cloud and on-premises SAP environment and transfers them to Microsoft Sentinel for further processing.

To connect the company’s on-premises SIEM system IBM QRadar with Microsoft Sentinel, Log Analytics workspace in Microsoft Azure and Cloud REST API connector were used, both being officially supported by Microsoft and IBM platforms.  

Consequently, Infopulse proceeded with the development of 80+ security event monitoring rules that fall into one of three categories:  

  • Custom security monitoring rules tailored to the client’s requirements 
  • Built-in Microsoft Sentinel rules for monitoring SAP environments
  • A set of rules that was based on SAP Enterprise Threat Detection

The implementation of the security rules was highly dependent on the deployed SAP modules and the specifics of the client’s operations. Infopulse worked in close cooperation with the client’s security team, as well as employees from various departments to outline normal and abnormal user behavior across finance and accounting, HR, supply chain management, and other processes. To maintain business continuity for the company, our team did not establish any restrictions – the entire analysis was carried out in the form of a seamless process discovery.

The security rules were designed to combat both intentional and negligent insider threats. Some of the examples include – the detection of unauthorized access attempts, illegitimate operations, or configuration changes in the SAP environment, as well as suspicious user activities, such as direct connection to the database, transferring large volumes of corporate data to a USB flash drive, etc.  

Ultimately, the security monitoring rules developed by Infopulse served as a foundation for enabling near-real-time incident management, which includes the following stages:  

  • A security event occurs in the SAP system and generates logs that are transferred to Sentinel
  • Microsoft Sentinel analyzes the logs to identify illegitimate actions/abnormalities and triggers an alert
  • The security operator analyzes the alert and responds according to the internal security policies

Infopulse thoroughly reviewed and tested each of the 80+ security rules. Upon confirming that the rule was feasible and worked as expected, our team continued to improve it. Certain rules had to be optimized, as they generated too many incidents, which could potentially hamper the work of the security operators. Therefore, to minimize the “alert fatigue” for the client’s security team, some of the rules were implemented in the form of dashboards, regularly checked by the operators. 

Last but not least, to further facilitate the work of the client’s security team, we developed numerous playbooks with detailed instructions on how to analyze and respond to specific security alerts.  

Technologies

Azure Sentinel logo
Microsoft Sentinel
SAP logo
SAP
Microsoft Azure logo
Microsoft Azure
ibm-qradar
IBM QRadar

Related Services

Wir haben eine Lösung für Ihre Anforderungen. Senden Sie uns einfach eine Nachricht, und unsere Experten werden sich so schnell wie möglich mit Ihnen in Verbindung setzen.

Vielen Dank!

Wir haben Ihre Anfrage erhalten und werden Sie in Kürze kontaktieren.