SAP 向け Microsoft Sentinel ソリューション® アプリケーションを構成する

注意

Azure Sentinel は現在 Microsoft Sentinel と呼ばれており、今後数週間でこれらのページを更新する予定です。 最近の Microsoft のセキュリティ強化の詳細を確認してください。

この記事では、SAP 向け Microsoft Sentinel ソリューション® アプリケーションを構成するためのベスト プラクティスについて説明します。 完全なデプロイ プロセスについては、「デプロイのマイルストーン」にリンクされている一連の記事全体で詳しく説明しています。

重要

現在、SAP 向け Microsoft Sentinel ソリューション® アプリケーションの一部のコンポーネントはプレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

Microsoft Sentinel にデータ コレクター エージェントとソリューションをデプロイすると、SAP システムで疑わしいアクティビティを監視し、脅威を特定できます。 ただし、最良の結果を得るには、ソリューションを運用するためのベスト プラクティスとして、SAP デプロイに特化した追加の構成手順をいくつか実行することを強くお勧めします。

デプロイのマイルストーン

次の一連の記事を通じて、SAP ソリューションのデプロイの行程について説明します。

1. デプロイの概要

2. デプロイの前提条件

3. 複数のワークスペースでソリューションを操作する (プレビュー)

4. SAP 環境を準備する

5. 監査の構成

6. コンテンツ ハブから SAP アプリケーション®向け Microsoft Sentinel ソリューションをデプロイする

7. データ コネクター エージェントのデプロイ

8. SAP 向け Microsoft Sentinel ソリューション® アプリケーションを構成する (現在位置)

9. オプションのデプロイ手順

   • SNC を使用するようにデータ コネクタを構成する
   • SAP HANA の監査ログを収集する
   • 監査ログの監視ルールを構成する
   • SAP コネクタを手動でデプロイする
   • SAP インジェスト プロファイルを選択する

ウォッチリストを構成する

SAP 向け Microsoft Sentinel ソリューション® アプリケーションの構成は、プロビジョニングされたウォッチリスト内に顧客固有の情報を指定することによって実現されます。

注意

初期ソリューションのデプロイ後、ウォッチリストにデータが入力されるまでに時間がかかる場合があります。 ウォッチリストを編集する際、リストが空である場合は、数分待ってから、ウォッチリストを開いて編集を再試行してください。

SAP - システム ウォッチリスト

SAP - システムウォッチリストでは、監視対象の環境に存在する SAP システムを定義します。 システムごとに、SID (それが運用システムなのか開発/テスト環境なのか) と、説明を指定します。 この情報は、一部の分析ルールで使用されます。関連するイベントが開発システムと運用システムのいずれに表示されるかによって、分析ルールでの対応が変わる可能性があります。

SAP - ネットワーク ウォッチリスト

SAP - ネットワーク ウォッチリストには、組織で使用されるすべてのネットワークの概要を示します。 これは主に、ユーザー ログオンがネットワークの既知のセグメント内から発生しているかどうかを識別するために使用されます。また、ユーザー ログオンの発生元が予期せず変更された場合にも使用されます。

ネットワーク トポロジを文書化するには、さまざまな方法があります。 たとえば、さまざまなアドレス (172.16.0.0/16 など) を定義し、"企業ネットワーク" という名前を付ける方法もあります。この方法でも、その範囲外からのログオンを十分に追跡できます。 ただし、さらにセグメント化されたアプローチを使用すれば、変則的なアクティビティが発生した場合でも、それらをより効果的に把握できます。

たとえば、次の 2 つのセグメントと、その地理的な場所を定義したとします。

Segment	場所
192.168.10.0/23	西ヨーロッパ
10.15.0.0/16	オーストラリア

この場合、Microsoft Sentinel では、192.168.10.15 (最初のセグメント) からのログオンと 10.15.2.1 (2 番目のセグメント) からのログオンを区別し、その動作が特殊なものとして識別された場合に、アラートを生成できるようになります。

機密データ ウォッチリスト

• SAP - 機密性の高い関数モジュール
• SAP - 機密性の高いテーブル
• SAP - 機密性の高い ABAP プログラム
• SAP - 機密性の高いトランザクション

これらすべてのウォッチリストでは、ユーザーが実行またはアクセスできる、機密性の高いアクションやデータを識別します。 ウォッチリストには、いくつかのよく知られた操作、テーブル、および承認が事前に構成されていますが、ご使用の SAP 環境で機密性が高いと見なされる操作、トランザクション、承認、およびテーブルを特定するには、SAP BASIS チームに問い合わせてください。

ユーザー マスター データ ウォッチリスト

• SAP - 機密性の高いプロファイル
• SAP - 機密性の高いロール
• SAP - 特権ユーザー
• SAP - クリティカル認可

SAP 向け Microsoft Sentinel ソリューション® アプリケーションは、SAP システムから収集されたユーザー マスター データを使用して、機密性が高いと思われるユーザー、プロファイル、ロールを特定します。 一部のサンプル データはウォッチリストに含まれていますが、SAP BASIS チームに問い合わせて機密性の高いユーザー、ロール、プロファイルを特定し、それに応じてウォッチリストを設定することをお勧めします。

分析ルールの有効化を開始する

既定では、SAP 向け Microsoft Sentinel ソリューション® アプリケーションで提供されるすべての分析ルールは、アラート ルール テンプレートとして提供されます。 各シナリオを微調整する時間を確保するため、一度にテンプレートから複数のルールを作成する段階的なアプローチをお勧めします。 特に実装しやすいのは次のルールです。まずは、これらから始めるのが良いでしょう。

1. 機密性の高い特権ユーザーの変更
2. クライアント構成の変更
3. 機密性の高い特権ユーザー ログオン
4. 機密性の高い特権ユーザーが他のユーザーに変更を行っている
5. 機密性の高いユーザーのパスワード変更とログイン
6. テストされた関数モジュール

特定の SAP ログの取り込みを有効または無効にする

特定のログの取り込みを有効または無効にするには:

1. コネクタの VM 上の /opt/sapcon/SID/ に配置されている systemconfig.ini ファイルを編集します。
2. 構成ファイル内で、関連するログを見つけ、次の操作のいずれかを行います。
   • ログを有効にするには、その値を True に変更します。
   • ログを無効にするには、その値を False に変更します。

たとえば、ABAPJobLog の取り込みを停止するには、その値を False に変更します。

"abapjoblog": "True",

Systemconfig.ini ファイル リファレンス で、使用可能なログの一覧を確認してください。

ユーザー マスター データ テーブルの取り込みを停止することもできます。

注意

ログまたはテーブルのいずれかを停止すると、そのログを使用するブックや分析クエリが機能しなくなる可能性があります。 各ブックがどのログを使用しているかを理解し、各分析ルールがどのログを使用しているかを理解してください。

ログの取り込みを停止し、コネクタを無効にする

SAP ログの Microsoft Sentinel ワークスペースへの取り込みを停止し、Docker コンテナーからのデータ ストリームを停止するには、次のコマンドを実行します。

docker stop sapcon-[SID/agent-name]

マルチ SID コンテナーの特定の SID の取り込みを停止するには、Sentinel のコネクタ ページ UI から SID を削除する必要があります。Docker コンテナーは停止し、それ以上 SAP ログを Microsoft Sentinel ワークスペースに送信しません。 これにより、コネクタに関連した SAP システムの取り込みと課金の両方が停止されます。

Docker コンテナーを再び有効にする必要がある場合は、次のコマンドを実行します。

docker start sapcon-[SID]

ABAP システムにインストールされているユーザー ロールとオプションの CR を削除する

システムにインポートされたユーザー ロールとオプションの CR を削除するには、削除 CR NPLK900259 を ABAP システムにインポートします。

次のステップ

SAP® 向け Microsoft Sentinel ソリューション アプリケーションについて詳しくは、以下を参照してください。

• SAP® 向け Microsoft Sentinel ソリューション アプリケーションをデプロイする
• SAP® 向け Microsoft Sentinel ソリューション アプリケーションをデプロイするための前提条件
• SAP Change Request (CR) をデプロイして認可を構成する
• SAP データ コネクタ エージェントをホストしてるコンテナーをデプロイして構成する
• SAP セキュリティ コンテンツをデプロイする
• SAP システムの正常性を監視する
• SNC を使用して Microsoft Sentinel for SAP データ コネクタをデプロイする
• SAP 監査を有効にして構成する
• SAP HANA の監査ログを収集する

トラブルシューティング:

• SAP® 向け Microsoft Sentinel ソリューション アプリケーションのデプロイに関するトラブルシューティング

参照ファイル:

• SAP® 向け Microsoft Sentinel ソリューション アプリケーションのデータ リファレンス
• SAP® 向け Microsoft Sentinel ソリューション アプリケーション: セキュリティ コンテンツ リファレンス
• Kickstart スクリプトのリファレンス
• 更新スクリプト リファレンス
• Systemconfig.ini ファイル リファレンス

詳細については、Microsoft Sentinel ソリューションに関する記事を参照してください。