SAP® アプリケーション向け Microsoft Sentinel ソリューション - SAP - セキュリティ監査ログと初期アクセスブック

[アーティクル]
01/10/2024

この記事では、SAP システム全体でのユーザー監査アクティビティを監視および追跡するために使用される SAP - セキュリティ監査ログと初期アクセスブックについて説明します。ブックを使用すると、ユーザー監査アクティビティの全体像を把握し、SAP システムのセキュリティを強化し、疑わしいアクションをすばやく可視化できます。必要に応じて、疑わしいイベントをドリルダウンできます。

ブックは、SAP システムの継続的な監視に使用することも、セキュリティインシデントやその他の疑わしいアクティビティ後のシステムを確認するために使用することもできます。

ブックの使用を開始する

Microsoft Sentinel ポータルの [脅威管理] メニューから [ブック] を選択します。
ブック ギャラリーで、[テンプレート] に移動し、検索バーに SAP と入力し、結果の中から [SAP - セキュリティ監査ログと初期アクセス] を選択します。
ブックをそのまま使用するには [テンプレートの表示] を選択し、ブックの編集可能なコピーを作成するには [保存] を選択します。コピーが作成されたら、 [保存されたブックの表示] を選択します。

重要

SAP - セキュリティ監査ログと初期アクセスブックは、SAP® アプリケーション向け Microsoft Sentinel ソリューションがインストールされたワークスペースによってホストされます。既定では、SAP データと SOC データの両方が、ブックをホストするワークスペース上にあると見なされます。

SOC データがブックをホストしているワークスペースとは異なるワークスペース上にある場合は、必ずそのワークスペースのサブスクリプションを含め、Azure 監査とアクティビティワークスペースから SOC ワークスペースを選択してください。
以下のフィールドを選択して、必要に応じてデータをフィルター処理します。
- [時間の範囲]。 4 時間から 90 日。
- System Roles。 SAP システムロール (例: 開発)。
- System Usage。たとえば、SAP GTS です。
- SAP systems。すべてのシステムを選択することも、特定のシステムを選択することも、複数のシステムを選択することもできます。
"SAP systems" ウォッチリストで構成されていないシステムを選択すると、ブックにエラーが表示され、問題のあるシステムが示されます。この場合は、これらのシステムを正しく含むようにウォッチリストを構成してください。

ブックの概要

ブックは 2 つのタブに分かれています。

Logon analysis report。サインインエラーに関連するさまざまな種類のデータを表示します。データには、異常なデータ、Microsoft Entra データなどが含まれます。データは "SAP systems" ウォッチリストに基づいています。
Audit log alerts report。 SAP® アプリケーション用の Microsoft Sentinel ソリューションが監視する SAP 監査ログイベントに関するさまざまな種類のデータを示します。データは、"SAP_Dynamic_Audit_Log_Monitor_Configuration" ウォッチリストに基づきます。

[Logon analysis report] タブ

[Logon Analysis] と [Logon failures] の領域が含まれます。

Logon Analysis

ユーザーのサインインに関連するさまざまな種類のデータが表示されます。

領域	説明	Options
Unique user logons per system	各 SAP システムの一意のサインインの数と、各システムで選択した時間のサインイン傾向を示すグラフが表示されます。たとえば、012 システムには過去 14 日間に 1,400 回の一意のログオン試行があり、この 14 日間、サインイン傾向が比較的上昇していることがグラフに示されています。
Logon types trend	ダイアログからのログインなど、種類に応じたサインイン数の傾向を示します。	グラフの上にマウスポインターを合わせて、さまざまな日付のログオン数を表示できます。
Logon failures Vs. success by unique users - trend	選択した期間での成功したサインインと失敗したサインインの傾向を示します。	グラフの上にマウスポインターを合わせて、さまざまな日付に対する成功したサインインと失敗したサインインの量を表示できます。

Logon failures - anomaly detection

[Anomaly detection - filtering out noisy failed login attempts] 下の領域には、SAP システムとユーザーのログイン失敗データが表示されます。異常検出によってフラグが設定されたデータのみを表示するには、右側の [Failed logons] の横にある [Anomalous only] を選択します。

領域	説明	特定のデータ	オプション/メモ
[Logon failure rate]>[Logon failure anomalies]>[Unique User failed logons per SAP system]	SAP システムごとの一意の失敗したサインイン数を示します。
SAP and Active Directory are better together	[Anomalous login failures] テーブルには、Microsoft Sentinel と Microsoft Entra データの組み合わせが示されています。ブックには、リスクに従ってユーザーが表示されます。最もリスクの高いユーザーは一覧の先頭に表示され、最もセキュリティリスクの低いユーザーは末尾に表示されます。	ユーザーごとに、次の情報が表示されます。 • 失敗したサインイン試行のタイムライン • 異常な失敗の試行が発生した時点を示すタイムライン • 異常の種類 • ユーザーのメールアドレス • Microsoft Entra のリスクインジケーター • Microsoft Sentinel でのインシデントとアラートの数	• 行を選択すると、ユーザーのインシデントとアラートの概要の下に、そのユーザーのインシデントとアラートの一覧が表示されます。この一覧の下には、ユーザーの Azure 監査およびサインインリスクの下に Microsoft Entra リスクイベントも表示されます。 • Microsoft Entra データが別の Log Analytics ワークスペースにある場合は、ブックの上部にある [Azure の監査とアクティビティ] の下で、関連するサブスクリプションとワークスペースを選択してください。
Logon failure rate per system	選択した SAP システムを視覚的に表します。	• システムごとに、選択したエラー数が表示されます • システムは種類別にグループ化されます。 • システムの色は、失敗した試行回数を示します。緑は、疑わしいログオン試行がいくつかあったことを示します。赤は、疑わしいログオン試行がさらに多くあったことを示します。	システムを選択すると、失敗したサインインの一覧とエラーの詳細を確認できます。

このスクリーンショットには、[Anomalous login failures] テーブルで最初の行が選択されたときに表示されるデータが示されています。特定のアラートとインシデント URL は、[Incidents/alerts overview for user] テーブルに表示されます。

このスクリーンショットでの [Azure audit and signin risks for user] テーブルには、このユーザーに関連したサインインリスクのデータが示されています。

このスクリーンショットには、[Test] グループ下の 84e システムが選択された、[Login failure rate per system] 領域が示されています。右側の [Failed logons for system] 領域には、このシステムのエラーイベントが表示されます。

Logon failures - trends

[Logon failures trends] 領域には、失敗したサインインの傾向と数が、さまざまな種類のデータ別にグループ化されて表示されます。

領域	説明
Login failure by cause	正しくないサインインデータなど、失敗の原因に基づいたサインインエラー数の傾向が表示されます。
Login failure by type	サインインによりバックグラウンドジョブをトリガーされたか、サインインが HTTP 経由であったかなど、種類に基づいたサインインエラー数の傾向が表示されます。
Login failure by method	SNC やサインインチケットなど、方法に基づいたサインインエラー数の傾向を示します。

[Audit log alerts report] タブ

このタブには、各 SAP システムとユーザーの重大度と監査の傾向が表示されます。このタブのすべての領域には、異常検出によってのみフラグが設定されたデータが表示されます。すべてのイベントについて、右側の [Failed logons] の横にある [All] を選択します。

領域	説明	特定のデータ	オプション/メモ
Alert severity trends per System ID	システムごとの重大度が中程度および高のイベント傾向とともに、システムの一覧が表示されます。たとえば、012 システムでは、期間全体で重大度の高いイベントが多数あり、重大度の中程度のイベントがいくつかあり、期間の途中にはより多くの重大度の中程度のイベントを示すスパイクが発生しました。
Audit trend per user	Microsoft Sentinel と Microsoft Entra データの組み合わせが表示されます。ブックには、リスクに従ってユーザーが表示されます。最もリスクの高いユーザーは一覧の先頭に表示され、最もセキュリティリスクの低いユーザーは末尾に表示されます。	ユーザーごとに、次の情報が表示されます。 • 重大度の高いイベントと中程度のイベントのタイムライン • ユーザーのメールアドレス • Microsoft Entra のリスクインジケーター • Microsoft Sentinel でのインシデントとアラートの数	行を選択すると、ユーザーのインシデントとアラートの概要の下に、そのユーザーのインシデントとアラートの一覧が表示されます。この一覧の下には、ユーザーの Azure 監査およびサインインリスクの下に Microsoft Entra リスクイベントも表示されます。
Risk score per system	各システムがセル形状内に視覚的に表示されます。	• 各システムのリスクスコアを表示します。 • システムは種類別にグループ化されます。 • システムの色はリスクを示します。緑はリスクスコアが低いシステムを示し、赤はリスクスコアが高いことを示します。	システムを選択すると、システムごとの SAP イベントの一覧を表示できます。
MITRE ATT&CK® の戦術によるイベント	初期アクセスや防御回避など、MITRE ATT&CK® 戦術別にグループ化された SAP イベントの一覧を表示します。		グラフの上にマウスポインターを合わせて、さまざまな日付のサインイン数を表示できます。
Events by category	RFC の開始やログオンなど、カテゴリ別にグループ化された SAP イベントの傾向の一覧が表示されます。		グラフの上にマウスポインターを合わせて、さまざまな日付のサインイン数を表示できます。
Events by authorization group	USER や SUPER などの SAP 認可グループによってグループ化された SAP イベントの傾向の一覧が表示されます。		グラフの上にマウスポインターを合わせて、さまざまな日付のサインイン数を表示できます。
Events by user type	ダイアログやシステムなど、SAP ユーザーの種類でグループ化された SAP イベントの傾向の一覧が表示されます。		グラフの上にマウスポインターを合わせて、さまざまな日付のサインイン数を表示できます。

このスクリーンショットには、[Audit trends per user] テーブルで最初の行が選択されたときに表示されるデータが示されています。特定のアラートとインシデント URL は、[Incidents/alerts overview for user] テーブルに表示されます。

このスクリーンショットには、UAT グループ下の cb7 システムが選択された、[Risk score per system] 領域が表示されます。システム視覚化の下の [SAP events for system] 領域には、このシステムの SAP イベントが表示されます。

このスクリーンショットでは、さまざまな種類のデータ (MITRE ATT&CK® 戦術、SAP 承認グループ、ユーザーの種類) ごとにグループ化されたイベントとイベントの傾向を含む領域を確認できます。

次のステップ

詳細については、次を参照してください。

SAP® アプリケーション向け Microsoft Sentinel ソリューション - SAP - セキュリティ監査ログと初期アクセス ブック