SAP 監査ログの監視ルールを構成する
SAP 監査ログには、失敗したサインイン試行やその他の疑わしいアクションなど、SAP システムの監査とセキュリティ アクションが記録されます。 この記事では、Microsoft Sentinel の組み込み分析ルールを使用して SAP 監査ログを監視する方法について説明します。
これらのルールを使用すると、すべての監査ログ イベントを監視したり、異常が検出されたときにのみアラートを取得したりできます。 これにより、SAP ログをより適切に管理し、セキュリティ値を損なうことがなくノイズを減らすことができます。
次の 2 つの分析ルールを使用して、SAP 監査ログ データを監視および分析します。
- SAP - 動的決定論的監査ログ モニター (プレビュー)。 最小の構成で SAP 監査ログ イベントに関するアラートを通知します。 誤検知率をさらに低くするようにルールを構成できます。 ルールの構成方法について説明します。
- SAP - 動的異常ベース監査ログ モニター アラート (プレビュー)。 機械学習機能を使用し、コーディングを必要とせず、異常が検出された場合に SAP 監査ログ イベントに関するアラートを通知します。 ルールの構成方法について説明します。
2 つの SAP 監査ログモニター ルールは既定値のまま実行できる状態で提供されており、SAP_Dynamic_Audit_Log_Monitor_Configuration and SAP_User_Config watchlists ウォッチリストを使ってさらに微調整することができます。
異常検出
SAP 監査ログなどのさまざまなアクティビティ ログでセキュリティ イベントを識別する場合は、構成作業とアラートによって生成されるノイズの量のバランスを取る必要があります。
Sentinel for SAP ソリューションの SAP 監査ログ モジュールを使用すると、次の内容を選択できます。
- カスタマイズされた定義済みのしきい値とフィルターを使用して、どのイベントを決定論的に確認するか。
- どのイベントを除外して、マシンが単独でパラメーターを学習できるようにするか。
SAP 監査ログ イベントの種類に異常検出をマークすると、アラート エンジンによって SAP 監査ログから最近ストリーミングされたイベントがチェックされます。 エンジンは、学習した履歴を考慮して、イベントが正常に見えるかどうかを確認します。
Microsoft Sentinel では、イベントまたはイベントのグループの異常をチェックします。 ユーザーレベルとシステムレベルで、以前に確認された同じ種類のアクティビティとイベントまたはイベントのグループを照合しようとします。 このアルゴリズムは、サブネット マスク レベルでのユーザーのネットワーク特性を、季節性に応じて学習します。
この機能を使用すると、ユーザー サインイン イベントなど、以前に静止されたイベントの種類で異常を検索できます。 たとえば、ユーザー JohnDoe が 1 時間に数百回サインインした場合、動作が疑わしいかどうかを Microsoft Sentinel に判断させることができます。 この John は会計部門に所属しており、複数のデータ ソースを使用して財務ダッシュボードを繰り返し更新しているのか、DDoS 攻撃が発生しているか、どちらでしょうか。
異常検出用に SAP - 動的異常ベース監査ログ モニター アラート (プレビュー) ルールを設定する
SAP 監査ログ データがまだ Microsoft Sentinel ワークスペースにデータをストリーミングしていない場合は、ソリューションをデプロイする方法を学んでください。
- Microsoft Sentinel ナビゲーション メニューの [コンテンツ管理] で、 [コンテンツ ハブ (プレビュー)] を選択します。
- Continuous threat monitoring for SAP アプリケーションに更新プログラムがあるかどうかを確認します。
- ナビゲーション メニューの [分析] で、次の 3 つの監査ログ アラートを有効にします。
- SAP - 動的決定論的監査ログ モニター。 10 分ごとに実行され、Deterministic としてマークされた SAP 監査ログ イベントに焦点を当てます。
- SAP - (プレビュー) 動的異常ベース監査ログ モニター アラート。 1 時間ごとに実行され、AnomaliesOnly としてマークされた SAP イベントに焦点を当てます。
- SAP - 動的セキュリティ監査ログ モニターの構成の不足。 SAP 監査ログ モジュールの構成に関する推奨事項を提供するために毎日実行されます。
Microsoft Sentinel では、一定の間隔で SAP 監査ログ全体がスキャンされ、確定的なセキュリティ イベントと異常が検出されるようになりました。 このログで生成されたインシデントは、[インシデント] ページで確認できます。
すべての機械学習ソリューションと同様に、時間と共にパフォーマンスが向上します。 異常検出は、7 日以上の SAP 監査ログ履歴を使用して最適に機能します。
SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストを使用してイベントの種類を構成する
SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストを使用して、生成されるインシデントの数が多すぎるイベントの種類をさらに構成できます。 インシデントを減らすためのいくつかのオプションを次に示します。
| オプション | 説明 |
|---|---|
| 重大度を設定し、不要なイベントを無効にする | 既定では、決定論的ルールと異常に基づくルールの両方で、重大度が中および高でマークされたイベントのアラートが作成されます。 これらの重大度は、運用環境と非運用環境専用に設定できます。 たとえば、実稼働システムでデバッグ アクティビティ イベントを重大度高で設定し、非運用システムでそれらのイベントを無効にすることができます。 |
| SAP ロールまたは SAP プロファイルでユーザーを除外する | Microsoft Sentinel for SAP では、直接ロールと間接ロールの割り当て、グループ、プロファイルなど、SAP ユーザーの認可プロファイルが取り込まれるので、SIEM で SAP 言語を使うことができます。 SAP のロールとプロファイルに基づいてユーザーを除外するように SAP イベントを構成できます。 ウォッチリストで、RFC による汎用テーブル アクセス イベントの横にある RolesTagsToExclude 列に、RFC インターフェイス ユーザーをグループ化するロールまたはプロファイルを追加します。 今後は、これらのロールが不足しているユーザーに対してのみアラートが表示されます。 |
| SOC タグでユーザーを除外する | タグを使用すると、複雑な SAP 定義に依存することなく、または SAP 承認なしでも、独自のグループ化を考え出すことができます。 この方法は、SAP ユーザー用に独自のグループ化を作成する SOC チームに役立ちます。 概念的には、タグによるユーザーの除外は、名前タグと同様に機能します。複数のタグを使用して構成で複数のイベントを設定できます。 特定のイベントに関連付けられたタグを持つユーザーのアラートは通知されません。 たとえば、RFC による汎用テーブル アクセス イベントについて特定のサービス アカウントに対するアラートが必要ありませんが、これらのユーザーをグループ化する SAP ロールまたは SAP プロファイルが見つからない場合です。 この場合は、ウォッチリストの関連イベントの横に GenTableRFCReadOK タグを追加し、SAP_User_Config ウォッチリストに移動して、インターフェイス ユーザーに同じタグを割り当てることができます。 |
| イベントの種類とシステム ロールごとに頻度のしきい値を指定する | 速度制限のように機能します。 たとえば、運用システムの同じユーザーによる 1 時間に 12 を超えるアクティビティが観察された場合にのみ、ノイズの多いユーザー マスター レコード変更イベントによってアラートがトリガーされるようにすることができます。 ユーザーが 1 時間あたり 12 個の制限 (たとえば、10 分の期間で 2 つのイベント) を超えると、インシデントがトリガーされます。 |
| 決定論または異常 | イベントの特性がわかっている場合は、決定論的な機能を使用できます。 イベントを正しく構成する方法がわからない場合は、機械学習機能で決定できます。 |
| SOAR 機能 | Microsoft Sentinel を使用して、SAP 監査ログの動的アラートに適用できるインシデントをさらに調整、自動化、対応できます。 セキュリティ オーケストレーション、オートメーション、応答 (SOAR) について学習します。 |
次のステップ
この記事では、Microsoft Sentinel の組み込み分析ルールを使用して SAP 監査ログを監視する方法について説明しました。