Microsoft Sentinel での SAP 監査を有効にして構成する

  • [アーティクル]

この記事では、SAP ソリューションを完全に可視化できるように、SAP® アプリケーション用の Microsoft Sentinel ソリューションでの監査を有効にして構成する方法について説明します。

重要

SAP システムの管理は、経験のある SAP システム管理者が行うことを強くお勧めします。

この記事の手順は SAP システムのバージョンによって異なる可能性があり、単にサンプルであると考えてください。

インストールされた SAP システムの中には、監査ログが既定で有効になっていないものがあります。 SAP® アプリケーション用の Microsoft Sentinel ソリューションのパフォーマンスと有効性の評価で最良の結果を得るには、SAP システムの監査を有効にし、監査パラメーターを構成します。

デプロイのマイルストーン

次の一連の記事を通じて、SAP ソリューションのデプロイの行程について説明します。

  1. デプロイの概要

  2. デプロイの前提条件

  3. 複数のワークスペースでソリューションを操作する (プレビュー)

  4. SAP 環境を準備する

  5. 監査を構成する ("現在はここです")

  6. データ コネクター エージェントのデプロイ

  7. SAP セキュリティ コンテンツをデプロイする

  8. SAP 向け Microsoft Sentinel ソリューション® アプリケーションを構成する

  9. オプションのデプロイ手順

監査が有効になっているかどうかを確認する

  1. SAP GUI にサインインし、RSAU_CONFIG トランザクションを実行します。

    RSAU CONFIG トランザクションを実行する方法を示すスクリーンショット。

  2. [Security Audit Log - Display of Current Configuration] (セキュリティ監査ログ - 現在の構成の表示) ウィンドウで、[構成] セクション内にある [パラメーター] セクションを見つけます。 [General Parameters] (一般パラメーター) で、[Static security audit active] (静的セキュリティ監査をアクティブ化) チェック ボックスがオンになっていることを確認します。

監査を有効にする

重要

監査ポリシーは、SAP 管理者およびセキュリティ部門と緊密にコラボレーションして決定する必要があります。

  1. SAP GUI にサインインし、RSAU_CONFIG トランザクションを実行します。

  2. [Security Audit Log] (セキュリティ監査ログ) 画面で、[構成] ツリーの [Security Audit Log Configuration] (セキュリティ監査ログの構成) セクションで [パラメーター] を選択します。

  3. [Static security audit active] (静的セキュリティ監査をアクティブ化) チェック ボックスがオンの場合、システム レベルの監査が有効になっています。 そうでない場合は、[Display <-> Change] (表示 <-> 変更) を選択し、[Static security audit active] (静的セキュリティ監査をアクティブ化) チェックボックスをオンにします。

  4. 既定では、クライアント IP アドレスではなく、クライアント名 (ターミナル ID) が SAP システムによってログされます。 代わりに、システムでクライアント IP アドレスによってログする場合は、[General Parameters] (一般パラメーター) セクションの [Log peer address not terminal ID] (ターミナル ID ではなくピア アドレスをログする) チェックボックスをオンにします。

  5. [Security Audit Log Configuration] (セキュリティ監査ログの構成) - [パラメーター] セクションでいずれかの設定を変更した場合は、[保存] を選択して変更を保存します。 監査は、サーバーが再起動された後に有効になります。

    重要

    Windows OS で実行されている SAP アプリケーションでは、セットアップ後に監査ログが正しく読み取られない場合に備えて、SAP ノート 2360334 の推奨事項を考慮する必要があります。

    RSAU CONFIG パラメーターを示すスクリーンショット。

  6. [静的な構成] を右クリックし、[プロファイルの作成] を選択します。

    RSAU CONFIG のプロファイルの作成画面を示すスクリーンショット。

  7. [Profile/Filter Number] (プロファイル/フィルター番号) フィールドにプロファイルの名前を指定します。

    注意

    Vanilla SAP のインストールには、次の追加の手順が必要です。作成したプロファイルを右クリックし、新しいフィルターを作成します。

  8. [Filter for recording active] (記録のフィルターをアクティブ化) チェックボックスをオンにします。

  9. [クライアント] フィールドに「*」と入力します。

  10. [ユーザー] フィールドに「*」と入力します。

  11. [Event Selection] (イベント選択) で、[Classic event selection] (クラシック イベント選択) を選択し、一覧にあるすべてのイベントの種類を選択します。

  12. [保存] を選択します。

    静的プロファイル設定を示すスクリーンショット。

  13. [静的な構成] セクションに、新しく作成したプロファイルが表示されます。 そのプロファイルを右クリックし、[アクティブにする] を選択します。

  14. 確認ウィンドウで [はい] を選択して、新しく作成したプロファイルをアクティブにします。

    Note

    静的構成は、システムの再起動後にのみ有効になります。 すぐにセットアップするには、新しく作成した静的プロファイルを右クリックし、[動的構成に適用] を選択して、同じプロパティを持つ追加の動的フィルターを作成します。

次のステップ

この記事では、Microsoft Sentinel の SAP 監査を有効にして構成する方法について説明しました。

データ コネクタ エージェント をホスティングしてるコンテナーのデプロイと構成