SAP® 向け Microsoft Sentinel ソリューション アプリケーションの概要

SAP システムには、固有のセキュリティ上の課題があります。 SAP システムは非常に機密性の高い情報を処理し、攻撃者の主要なターゲットになります。

セキュリティ運用チームは、従来、SAP システムをほとんど可視化していませんでした。 SAP システムの侵害により、ファイルが盗まれたり、データが公開されたり、サプライ チェーンが中断されたりする可能性があります。 攻撃者がシステムに侵入すると、流出やその他の不適切な行為を検出するための制御はほとんどありません。 効果的な脅威検出を行うには、SAP アクティビティを組織全体の他のデータと関連付ける必要があります。

このギャップを埋めるため、Microsoft Sentinel では SAP® 向け Microsoft Sentinel ソリューション アプリケーションが提供されています。 この包括的なソリューションは、Microsoft Sentinel のあらゆるレベルのコンポーネントを使用して、SAP 環境内の脅威に対するエンドツーエンドの検出、分析、調査、対応を提供します。

SAP® アプリケーション用の Microsoft Sentinel ソリューションの機能

SAP® 向け Microsoft Sentinel ソリューション アプリケーションは、SAP システムのすべてのレイヤー (ビジネス ロジック、アプリケーション、データベース、OS) で、脅威を継続的に監視します。 これにより次の操作を行うことができます。

• SAP 監視を組織全体の他のシグナルと関連付け、ソリューションによって提供される検出を使用したり、独自の検出を構築したりして、機密性の高いトランザクションや、特権エスカレーション、未承認の変更、未承認のアクセスなどの他のビジネス リスクを監視します。

• SAP システムと対話してアクティブなセキュリティの脅威を阻止するための自動応答プロセスを構築します。

SAP アプリケーション用の Microsoft Sentinel ソリューションでは、SAP® Business Technology Platform の脅威の監視と検出も提供されます。

たとえば、次の図は、SAP Business Technology Platform を含む、生産性の高いシステムと非生産的なシステムの間に分割されたマルチ SID SAP ランドスケープを示しています。 このイメージ内のすべてのシステムは、SAP ソリューションの Microsoft Sentinel にオンボードされます。

ソリューションの詳細

ログ ソース

ソリューションのデータ コネクタは、さまざまな SAP ログ ソースを取得します。

• ABAP セキュリティ監査ログ
• ABAP ドキュメント変更ログ
• ABAP スプール ログ
• ABAP スプール出力ログ
• ABAP ジョブ ログ
• ABAP ワークフロー ログ
• ABAP DB テーブル データ
• SAP ユーザー マスター データ
• ABAP CR ログ
• ICM ログ
• JAVA Webdispacher ログ
• syslog

脅威検出の対象範囲

• 不審な特権操作 – 特権ユーザーの作成

  • 緊急用ユーザーの使用
  • ユーザーのロック解除と、同じ IP からのそれへのログイン
  • 機密性の高いロールと管理者特権の割り当て
  • ユーザーが他のユーザーをロック解除して使用する
  • 重要な承認の割り当て

• SAP のセキュリティ メカニズムを回避する試み –

  • 監査ログの無効化 (HANA と SAP)
  • 機密性の高い機能モジュールの実行
  • ブロックされたトランザクションのロック解除
  • 運用システムのデバッグ
  • RFC による機密テーブルへの直接アクセス
  • サニティブ関数の RFC 実行
  • システム構成の変更、動的 ABAP プログラム。

• バックドアの作成 (永続化)

  • 新しいインターネット接続インターフェイス (ICF) の作成
  • リモート関数呼び出しによる機密テーブルへの直接アクセス
  • ICF への新しいサービス ハンドラーの割り当て
  • 古いプログラムの実行
  • ユーザーが他のユーザーをロック解除して使用する。  

• データ流出

  • 複数のファイルのダウンロード
  • スプール引き継ぎ
  • 安全でない FTP サーバーへのアクセスと未承認のホストからの接続を許可する
  • 動的 RFC 転送先
  • HANA DB - DB レベルからのユーザー管理アクション。  

• 初期アクセス – ブルート フォース

  • 同じ IP からの複数のログオン
  • 予期しないネットワークからの特権ユーザー ログオン
  • SPNego 再生攻撃

認定資格

SAP® アプリケーション向け Microsoft Sentinel ソリューションは、SAP S/4HANA® Cloud, Private Edition の RISE with SAP とオンプレミス版 SAP S/4 で認定されています。

• 統合シナリオには、S/4-BC-XAL 1.0/S/4 外部アラートと監視 1.0 (S/4 向け) が含まれます。
• Microsoft の認定には、任意のクラウドとオンプレミスで実行されている S/4 および SAP Rise S/4 HANA® Cloud Private Edition が含まれます。
• お客様の資産全体をカバーできるハイブリッド デプロイをサポートしています。

SAP 認定ソリューション ディレクトリで認定をご確認ください。

商標属性

SAP S/4HANA および SAP は、ドイツおよびその他の国/地域における SAP SE またはその関連会社の商標または登録商標です。 

次のステップ

SAP® 向け Microsoft Sentinel ソリューション アプリケーションについて詳しくは、以下を参照してください。

• SAP® 向け Microsoft Sentinel ソリューション アプリケーションをデプロイする
• SAP® 向け Microsoft Sentinel ソリューション アプリケーションをデプロイするための前提条件
• SAP Change Request (CR) をデプロイして認可を構成する
• コンテンツ ハブからソリューション コンテンツをデプロイする
• SAP データ コネクタ エージェントをホストしてるコンテナーをデプロイして構成する
• SAP システムの正常性を監視する
• SNC を使用して Microsoft Sentinel for SAP データ コネクタをデプロイする
• SAP 監査を有効にして構成する
• SAP HANA の監査ログを収集する
• SAP® BTP 用の Microsoft Sentinel ソリューションをデプロイする

トラブルシューティング:

• SAP® 向け Microsoft Sentinel ソリューション アプリケーションのデプロイに関するトラブルシューティング

参照ファイル:

• SAP® 向け Microsoft Sentinel ソリューション アプリケーションのデータ リファレンス
• SAP® 向け Microsoft Sentinel ソリューション アプリケーション: セキュリティ コンテンツ リファレンス
• Kickstart スクリプトのリファレンス
• 更新スクリプト リファレンス
• Systemconfig.ini ファイル リファレンス