コンテンツ ハブから SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする

この記事では、コンテンツ ハブから SAP アプリケーション セキュリティ コンテンツ向け Microsoft Sentinel ソリューションを Microsoft Sentinel ワークスペースにデプロイする方法について説明します。 このコンテンツは、SAP 向け Microsoft Sentinel ソリューションの残りの部分を構成します。

前提条件

コンテンツ ハブから SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイするには、次のものが必要です。

• Microsoft Sentinel インスタンス。
• 定義済みの Microsoft Sentinel ワークスペースと、そのワークスペースへの読み取りと書き込みのアクセス許可。
• SAP 向け Microsoft Sentinel のデータ コネクタの設定。

デプロイのマイルストーンを確認する

次の一連の記事を通じて、SAP ソリューションのデプロイの行程について説明します。

1. デプロイの概要

2. デプロイの前提条件

3. 複数のワークスペースでソリューションを操作する (プレビュー)

4. SAP 環境を準備する

5. 監査の構成

6. データ コネクタ エージェントをデプロイする

7. コンテンツ ハブから SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする ("現在はここです")

8. SAP アプリケーション向け Microsoft Sentinel ソリューションを構成する

9. 省略可能なデプロイ手順:

   • SNC を使用するように SAP データ コネクタを構成する
   • SAP HANA の監査ログを収集する
   • 監査ログの監視ルールを構成する
   • SAP データ コネクタを手動でデプロイする
   • SAP インジェスト プロファイルを選択する

コンテンツ ハブからセキュリティ コンテンツをデプロイする

Microsoft Sentinel の [コンテンツ ハブ] および [ウォッチリスト] 領域から、SAP セキュリティ コンテンツをデプロイします。

SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイすると、SAP 向け Microsoft Sentinel のデータ コネクタが Microsoft Sentinel の [データ コネクタ] 領域に表示されます。 また、SAP - System Applications and Products ブックと SAP 関連の分析ルールもデプロイされます。

SAP ソリューションのセキュリティ コンテンツをデプロイするには:

1. Microsoft Sentinel の左ペインで [コンテンツ ハブ (プレビュー)] を選択します。

   [コンテンツ ハブ (プレビュー)] ページに、フィルター処理された検索可能なソリューションの一覧が表示されます。

2. SAP ソリューションのページを開くには、[SAP アプリケーション向け Microsoft Sentinel ソリューション] を選択します。

   

3. ソリューション デプロイ ウィザードを起動するには、[作成] を選択してから、Azure サブスクリプションとリソース グループの詳細を入力します。

4. [デプロイ ターゲット ワークスペース] で、ソリューションをデプロイする Log Analytics ワークスペース (Microsoft Sentinel で使用されるもの) を選択します。

5. 複数のワークスペースで SAP アプリケーション向け Microsoft Sentinel ソリューションを使用する (プレビュー) 場合は、[一部のデータが別のワークスペースにある] を選択してから、次の手順を行います。

   1. SOC データが存在するワークスペースの構成で、SOC サブスクリプションとワークスペースを選択します。

   2. SAP データが存在するワークスペースの構成で、SAP サブスクリプションとワークスペースを選択します。

   次に例を示します。

   

   Note

   SAP と SOC のデータを追加のアクセスの制御なしで同じワークスペースに保持する場合は、一部のデータが別のワークスペースにある を選択しないでください。 SOC と SAP のデータを同じワークスペースに保持し、追加のアクセスの制御を適用する場合は、 このシナリオを確認してください。

6. [次へ] を選択して、[データ コネクタ]、[分析]、[ブック] タブを順番に切り替えます。ここでは、このソリューションでデプロイされるコンポーネントについて確認できます。

   詳細については、「SAP アプリケーション用の Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。

7. [確認 + 作成] タブ ペインで、[検証に成功しました] というメッセージを待ってから、[作成] を選択してソリューションをデプロイします。

   ヒント

   [テンプレートのダウンロード] リンクを選択して、ソリューションをコードとしてデプロイすることもできます。

8. デプロイが完了したら、新しくデプロイされたコンテンツを表示します。

   • 組み込みの SAP ブックの場合、[脅威の管理]>[ブック]>[マイ ブック] に移動します。

   • 一連の SAP 関連の分析ルールの場合、[構成]>[分析] に移動します。

9. Microsoft Sentinel で、Microsoft Sentinel for SAP データ コネクタに移動して接続を確認します。

   

   SAP ABAP ログは、Microsoft Sentinel の [ログ] ページの [カスタム ログ] の下に表示されます。

   

   詳細については、SAP アプリケーション向け Microsoft Sentinel ソリューションのソリューション ログ リファレンスに関するページを参照してください。

トラブルシューティングとリファレンス

トラブルシューティング情報については、次の記事をご覧ください。

• SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイに関するトラブルシューティング
• Microsoft Sentinel ソリューション

次の記事を参照してください:

• SAP アプリケーション向け Microsoft Sentinel ソリューションのソリューション データ リファレンス
• SAP アプリケーション向け Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス
• 更新スクリプト リファレンス
• Systemconfig.ini ファイル リファレンス

関連するコンテンツ

• SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする
• SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイするための前提条件
• SAP Change Request をデプロイして認可を構成する