SAP® アプリケーション用の Microsoft Sentinel ソリューションをデプロイするための前提条件
この記事では、SAP® アプリケーション用の Microsoft Sentinel ソリューションのデプロイに必要な前提条件の一覧を示します。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
デプロイのマイルストーン
次の一連の記事を通じて、SAP ソリューションのデプロイの行程について説明します。
デプロイの前提条件 (現在はここです)
複数のワークスペースでソリューションを操作する (プレビュー)
オプションのデプロイ手順
前提条件の表
SAP® アプリケーション用の Microsoft Sentinel ソリューションを正しくデプロイするには、次の前提条件を満たす必要があります。
Azure の前提条件
| 前提条件 | 説明 | 必須/省略可能 |
|---|---|---|
| Microsoft Sentinel へのアクセス | Microsoft Sentinel の "ワークスペース ID" と "プライマリ キー" を書き留めます。 これらの詳細は、Microsoft Sentinel で確認できます。ナビゲーション メニューから、[設定]>[ワークスペース設定]>[エージェント管理] の順に選択します。 デプロイ プロセス中に使用できるように、"ワークスペース ID" と "プライマリ キー" をコピーし、どこかに貼り付けておきます。 |
必須 |
| Azure リソースを作成するアクセス許可 | 少なくとも、Microsoft Sentinel コンテンツ ハブからソリューションをデプロイするために必要なアクセス許可が必要です。 詳細については、「Microsoft Sentinel コンテンツ ハブ カタログ」を参照してください。 | 必須 |
| Azure キー コンテナーを作成するか、または既存のものにアクセスするためのアクセス許可 | Azure Key Vault を使用して、SAP システムへの接続に必要なシークレットを格納します (これが必須の前提条件である場合に推奨)。 詳細については、「キー コンテナーのアクセス許可を割り当てる」を参照してください。 | SAP システム資格情報を Azure Key Vault に格納する予定の場合は必須です。 構成ファイルに格納する予定の場合は省略可能です。 詳細については、「仮想マシンを作成して資格情報へのアクセスを構成する」を参照してください。 |
| アクセス許可を使用して SAP データ コネクタ エージェントに特権ロールを割り当てる | SAP データ コネクタ エージェントをデプロイするには、Microsoft Sentinel Business Applications エージェント オペレーター ロールを使用して、Microsoft Sentinel ワークスペースへの特定のアクセス許可を持つエージェントの VM ID を付与する必要があります。 このロールを付与するには、Microsoft Sentinel ワークスペースが存在しているリソース グループに対する所有者のアクセス許可が必要です。 詳細については、「データ コネクタ エージェントをデプロイする」を参照してください。 |
必須。 リソース グループに対する所有者のアクセス許可がない場合は、エージェントが完全にデプロイされた後で、関連する手順を、関連するアクセス許可を持つ別のユーザーが実行することもできます。 |
システムの前提条件
| 前提条件 | 説明 |
|---|---|
| システム アーキテクチャ | SAP ソリューションのデータ コネクタ コンポーネントは Docker コンテナーとしてデプロイされます。各 SAP クライアントには独自のコンテナー インスタンスが必要です。 コンテナーのホストは物理マシン、仮想マシンのどちらでもかまいません。また、オンプレミス、任意のクラウド内のどちらにも配置できます。 コンテナーをホストする VM は、Microsoft Sentinel ワークスペースと同じ Azure サブスクリプションや、同じ Microsoft Entra テナント内に配置する必要は "ありません"。 |
| 仮想マシンのサイズ設定に関する推奨事項 | 最小仕様 (ラボ環境の場合など): Standard_B2s VM (以下を含む): - 2 コア - 4 GB RAM 標準コネクタ (既定): Standard_D2as_v5 VM または Standard_D2_v5 VM (以下を含む): - 2 コア - 8 GB RAM 複数コネクタ: Standard_D4as_v5 または Standard_D4_v5 VM (以下を含む): - 4 コア - 16 GB RAM |
| 管理者特権 | コンテナーのホスト コンピューターに対する管理者特権 (ルート) が必要です。 |
| サポートされている Linux バージョン | SAP データ コネクタ エージェントは、次の Linux ディストリビューションでテストされます。 - Ubuntu 18.04 以降 - SLES バージョン 15 以降 - RHEL バージョン 7.7 以降 別のオペレーティング システムを使用している場合は、コンテナーの手動のデプロイと構成が必要となる場合があります。 詳細については、サポート チケットを開いてください。 |
| ネットワーク接続 | 以下に対するアクセス権がコンテナーのホストにあることを確認します。 Microsoft Sentinel- - Azure Key Vault (Azure Key Vault を使用してシークレットを格納するデプロイ シナリオの場合) - SAP システム。次の TCP ポートを介してアクセス。32xx、5xx13、33xx、48xx (SNC 使用の場合)。ここで xx は SAP インスタンス番号。 |
| ソフトウェア ユーティリティ | SAP データ コネクタ デプロイ スクリプトを使用すると、コンテナーのホスト VM に次の必須ソフトウェアがインストールされます (使用する Linux ディストリビューションによっては、この一覧が多少異なる場合があります)。 - Unzip - NetCat - Docker - jq - curl |
| マネージド ID またはサービス プリンシパル | 最新バージョンの SAP データ コネクタ エージェントでは、Microsoft Sentinel に対する認証に、マネージド ID またはサービス プリンシパルが必要です。 レガシ エージェントは、最新バージョンへの更新がサポートされています。それ以降のバージョンへの継続的な更新には、マネージド ID またはサービス プリンシパルを使用する必要があります。 |
SAP 前提条件
| 前提条件 | 説明 |
|---|---|
| サポートされている SAP バージョン | SAP データ コネクタ エージェントでは SAP NetWeaver システムがサポートされます。これは、SAP_BASISバージョン 731 以降でテストされました。 このチュートリアルの一部の手順では、以前のバージョン (SAP_BASIS バージョン 740) で作業している場合の代替手順を示しています。 |
| 必要なソフトウェア | SAP NetWeaver RFC SDK 7.50 (こちらからダウンロード) SAP ソフトウェアのダウンロード ページにアクセスするために、SAP ユーザー アカウントも持っていることを確認します。 |
| SAP システムの詳細 | このチュートリアルで使用するために、次の SAP システムの詳細をメモしておきます。 - SAP システムの IP アドレスと FQDN ホスト名 - SAP システム番号 ( 00 など)- SAP NetWeaver システムの SAP システム ID ( NPL など) - SAP クライアント ID ( 001 など) |
| SAP NetWeaver インスタンスへのアクセス | SAP データ コネクタ エージェントでは、次のいずれかのメカニズムを使用して SAP システムに対する認証を行います。 - SAP ABAP ユーザー/パスワード - X.509 証明書を持つユーザー (このオプションには、追加の構成手順が必要です) |
SAP 環境の検証手順
注意
CR をデプロイし、必要なロールを割り当てる詳細な手順については、SAP CR のデプロイと承認の構成に関するガイドを参照してください。 デプロイする必要のある CR を判別し、以下の表のリンクから関連する CR を取得して、ステップ バイ ステップ ガイドに進みます。
ロールを作成して構成する (必須)
SAP データ コネクタが SAP システムに接続できるようにするには、ロールを作成する必要があります。 /MSFTSEN/SENTINEL_RESPONDER ファイルからロールの承認を読み込んで、ロールを作成します。
/MSFTSEN/SENTINEL_RESPONDER ロールには、ログ取得と攻撃中断応答アクションの両方が含まれます。 攻撃中断応答アクションなしでログ取得のみを有効にするには、SAP システムに SAP NPLK900271 CR をデプロイするか、MSFTSEN_SENTINEL_CONNECTOR ファイルからロールの承認を読み込みます。 データ コネクタが動作するための基本的なアクセス許可をすべて持つ /MSFTSEN/SENTINEL_CONNECTOR ロール。
| SAP Basis のバージョン | サンプル CR |
|---|---|
| 任意のバージョン | NPLK900271: K900271.NPL、R900271.NPL |
経験豊富な SAP 管理者なら、ロールを手動で作成して、適切なアクセス許可を割り当てるかもしれません。 そのような場合は、各ログに対して推奨されている承認を実行してください。 詳細については、「必要な ABAP 承認」を参照してください。
SAP から追加情報を取得する (省略可能)
Microsoft Sentinel GitHub リポジトリから追加の CR をデプロイすると、SAP データ コネクタを使用して SAP システムから特定の情報を取得できます。
- SAP BASIS 7.5 SP12 以降: セキュリティ監査ログからのクライアント IP アドレス情報
- 任意の SAP BASIS バージョン: DB テーブル ログ、スプール出力ログ
| SAP Basis のバージョン | 推奨される CR | メモ |
|---|---|---|
| - 750 以降 | NPLK900202: K900202.NPL、R900202.NPL | 関連する SAP ノートをデプロイします。 |
| - 740 | NPLK900201: K900201.NPL、R900201.NPL |
SAP ノートをデプロイする (省略可能)
NPLK900202 オプション CR で追加情報を取得する場合は、バージョンに従って次の SAP ノートが SAP システムにデプロイされていることを確認してください。
| SAP Basis のバージョン | メモ |
|---|---|
| - 750 SP04 から SP12 - 751 SP00 から SP06 - 752 SP00 から SP02 |
2641084 - セキュリティ監査ログのデータへの標準化された読み取りアクセス* |
次のステップ
すべての前提条件が満たされていることを確認したら、次の手順に進み、必要な CR を SAP システムにデプロイし、承認を構成します。