次の方法で共有

SAP システムを Microsoft Sentinel に接続する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

SAP アプリケーション向け Microsoft Sentinel ソリューションが正しく動作するには、最初に SAP データを Microsoft Sentinel に取り込む必要があります。 これを行うには、Microsoft Sentinel SAP データ コネクタ エージェントをデプロイするか、SAP 向け Microsoft Sentinel エージェントレス データ コネクタを接続します。 ページの上部にある、環境に一致するオプションを選択します。

この記事では、SAP アプリケーション用の Microsoft Sentinel ソリューションの 1 つをデプロイする 3 番目の手順について説明します。

SAP ソリューションのデプロイ フローのダイアグラム。SAP システムの接続手順が強調表示されています。

この記事の内容は、セキュリティインフラストラクチャSAP BASIS チームに関係します。 この記事の手順は、必ず示された順序で実行してください。

SAP ソリューションのデプロイ フローのダイアグラム。SAP システムの接続手順が強調表示されています。

この記事の内容は、 セキュリティ チームに関連します。

重要

Microsoft Sentinel の SAP 用エージェントレス データ コネクタは現在 、限定プレビュー段階です。 「Microsoft Azure プレビューの追加使用条件」には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が記載されています。

前提条件

SAP システムを Microsoft Sentinel に接続する前に、以下を確認します。

デモ動画を見る

この記事で説明されているデプロイ プロセスを説明した次の動画デモのいずれかをご覧ください。

ポータルのオプションについての詳細:

Azure KeyVault の使用に関する詳細が含まれています。 音声なし、キャプション付きのデモのみ:

仮想マシンを作成し、資格情報へのアクセスを構成する

最適なパフォーマンスを確保し、潜在的な競合を回避するために、データ コネクタ エージェント コンテナー用の専用の仮想マシンを作成することをお勧めします。 詳細については、データ コネクタ エージェント コンテナーの前提条件に関する記事を参照してください。

SAP シークレットと認証シークレットを Azure Key Vault に格納することをお勧めします。 キー コンテナーへのアクセス方法は、仮想マシン (VM) がデプロイされている場所によって異なります。

デプロイ方法 アクセス方法
Azure VM 上のコンテナー Azure Key Vault にアクセスするには、Azure のシステム割り当てマネージド ID を使用することをお勧めします。

システム割り当てマネージド ID を使用できない場合は、Microsoft Entra ID 登録済みアプリケーション サービス プリンシパルを使って、または最後の手段としては構成ファイルを使って、Azure Key Vault に対するコンテナーの認証を行うこともできます。
オンプレミスの VM 上のコンテナー、またはサード パーティのクラウド環境上の VM Microsoft Entra ID 登録済みアプリケーション サービス プリンシパルを使用して Azure Key Vault に対して認証します。

登録済みアプリケーションまたはサービス プリンシパルを使用できない場合は、構成ファイルを使用して資格情報を管理しますが、この方法は推奨されません。 詳細については、「構成ファイルを使用してデータ コネクタをデプロイする」を参照してください。

詳細については、次を参照してください。

通常、仮想マシンはインフラストラクチャ チームによって作成されます。 資格情報へのアクセスの構成とキー コンテナーの管理は、通常、セキュリティ チームによって行われます。

Azure VM でマネージド ID を作成する

  1. 次のコマンドを実行して Azure に VM を作成します (<placeholders> はお使いの環境での実際の名前に置き換えてください)。

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

    詳細については、「クイックスタート: Azure CLI を使用して Linux 仮想マシンを作成する」を参照してください。

    重要

    VM を作成したら、必ず、組織に適切なセキュリティ要件とセキュリティ強化手順を適用してください。

    このコマンドにより VM リソースが作成され、次のような出力が生成されます。

    {
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "___location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

  2. systemAssignedIdentity GUID をコピーします。これは後の手順で使用します。 これは、ご自分のマネージド ID です。

キー コンテナーを作成する

この手順では、SAP 認証シークレットなどのエージェント構成情報を格納するキー コンテナーを作成する方法について説明します。 既存のキー コンテナーを使う場合は、手順 2 に直接進んでください。

キー コンテナーを作成するには:

  1. <placeholder> の値を実際の名前に置き換えて、次のコマンドを実行します。

    az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

  2. キー コンテナーの名前と、そのリソース グループの名前をコピーしておきます。 次の手順でキー コンテナーのアクセス許可を割り当て、デプロイ スクリプトを実行するときに、これらが必要になります。

キー コンテナーのアクセス許可を割り当てる

  1. キー コンテナーで、先ほど作成してコピーした ID に Azure のキー コンテナー シークレット閲覧者ロールを割り当てます。

  2. 同じキー コンテナーで、データ コネクタ エージェントを構成するユーザーに次の Azure ロールを割り当てます。

    • エージェントをデプロイする、キー コンテナー共同作成者
    • 新しいシステムを追加する、キー コンテナー シークレット責任者

ポータルからデータ コネクタ エージェントをデプロイする (プレビュー)

VM とキー コンテナーの作成が済んだので、次の手順は、新しいエージェントを作成し、いずれかの SAP システムに接続することです。 1 つのマシン上で複数のデータ コネクタ エージェントを実行できますが、まずは 1 つだけ実行し、パフォーマンスを監視してから、コネクタ数を段階的に増やすことをお勧めします。

この手順では、新しいエージェントを作成し、Azure ポータルまたは Defender ポータルを使用して SAP システムに接続する方法について説明します。 この手順は、セキュリティチームが SAP BASIS チームの支援を得ながら実行することをお勧めします。

ポータルからのデータ コネクタ エージェントのデプロイは、Microsoft Sentinel が Defender ポータルにオンボードされている場合、Azure portal と Defender ポータルの両方からサポートされます。

デプロイはコマンド ラインからもサポートされていますが、一般的なデプロイにはポータルを使用することをお勧めします。 コマンド ラインを使用してデプロイされたデータ コネクタ エージェントは、ポータル経由ではなく、コマンド ライン経由でのみ管理できます。 詳細については、「コマンド ラインから SAP データ コネクタ エージェントをデプロイする」を参照してください。

重要

コンテナーのデプロイと SAP システムへの接続の作成をポータルから行う機能は、現在プレビュー段階です。 「Microsoft Azure プレビューの追加使用条件」には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が記載されています。

前提条件:

  • ポータルを使用してデータ コネクタ エージェントをデプロイするには、次が必要です。

    • マネージド ID または登録済みアプリケーションを使用した認証
    • Azure Key Vault に格納された資格情報

    これらの前提条件が満たされていない場合は、代わりにコマンド ラインから SAP データ コネクタ エージェントを配置します

  • データ コネクタ エージェントを配置するには、データ コネクタ エージェント マシンに対する sudo 権限またはルート権限も必要です。

  • Secure Network Communications (SNC) を使って、セキュリティ保護された接続経由で NetWeaver/ABAP ログを取り込みたい場合には、次のものが必要です。

    • sapgenpse バイナリと libsapcrypto.so ライブラリへのパス
    • クライアント証明書の詳細

    詳細については、「セキュリティで保護された接続に SNC を使用するようにシステムを構成する」を参照してください。

データ コネクタ エージェントを配置するには次を行います。

  1. エージェントをインストールする予定の新しく作成した VM に、sudo 特権を持つユーザーとしてサインインします。

  2. マシンに SAP NetWeaver SDK をダウンロードまたは転送します。

  3. Microsoft Sentinel 上で、[構成]>[データ コネクタ] の順に選択します。

  4. 検索バーに「SAP」と入力します。 検索結果から Microsoft Sentinel for SAP - エージェントベース を選択し、[コネクタページを開く] を選択します。

  5. [構成] 領域で、[新しいエージェントの追加 (プレビュー)] を選択します。

    SAP API ベースのコレクター エージェントを追加する手順のスクリーンショット。

  6. [コレクター エージェントの作成] ウィンドウで、次のエージェントの詳細を入力します。

    名前 説明
    エージェント名 組織用に、わかりやすいエージェント名を入力します。 名前に含めることができるのは次の種類の文字のみという点を除き、特定の名前付け規則は推奨していません。
    • a-z
    • A-Z
    • 0 - 9
    • _ (アンダースコア)
    • . (ピリオド)
    • - (ダッシュ)
    サブスクリプション / キー コンテナー それぞれのドロップダウンから [サブスクリプション][キー コンテナー] を選択します。
    エージェント VM 上の NWRFC SDK zip ファイル パス SAP NetWeaver リモート関数呼び出し (RFC) ソフトウェア開発キット (SDK) アーカイブ (.zip ファイル) が含まれる VM 内のパスを入力します。

    このパスに、構文 <path>/NWRFC<version number>.zip の SDK バージョン番号が含まれていることを確認します。 例: /src/test/nwrfc750P_12-70002726.zip
    SNC 接続サポートを有効にする SNC を使用してセキュリティで保護された接続経由で NetWeaver/ABAP ログを取り込むことを選択します。

    このオプションを選ぶ場合は、sapgenpse バイナリと libsapcrypto.so ライブラリが含まれるパスを、[エージェント VM 上の SAP 暗号化ライブラリ パス] に入力します。

    SNC 接続を使う場合は、エージェントのデプロイを終えた後で戻って SNC 接続を有効にすることはできないため、この段階で [SNC 接続サポートを有効にする] を選んでください。 後でこの設定を変更する場合は、代わりに新しいエージェントを作成することをお勧めします。
    Azure Key Vault に対する認証 マネージド ID を使ってキー コンテナーに対する認証を行うには、既定で選ばれる [マネージド ID] オプションのままにします。 登録済みアプリケーションを使ってキー コンテナーの認証を行うには、[アプリケーション ID] を選びます。

    事前にマネージド ID または登録済みアプリケーションを設定しておく必要があります。 詳細については、「仮想マシンを作成し、資格情報へのアクセスを構成する」を参照してください。

    例:

    [コレクター エージェントの作成] 領域のスクリーンショット。

  7. [作成] を選択し、デプロイを完了する前に推奨事項を確認します。

    エージェントをデプロイする最終段階のスクリーンショット。

  8. SAP データ コネクタ エージェントをデプロイするには、Microsoft Sentinel Business Applications エージェント オペレーター閲覧者のロールを使って、Microsoft Sentinel ワークスペースへの特定のアクセス許可を、エージェントの VM ID に付与する必要があります。

    このステップでコマンドを実行するには、Microsoft Sentinel ワークスペースのリソース グループ所有者である必要があります。 ワークスペースのリソース グループ所有者でない場合は、エージェントのデプロイが完了した後でこの手順を実行することもできます。

    "あと数ステップで完了です" の下にある手順 1 の "ロール割り当てコマンド" をコピーし、エージェント VM 上で実行し、[Object_ID] プレースホルダーを VM ID のオブジェクト ID に置き換えます。 例:

    ステップ 1 のコマンドの [コピー] アイコンのスクリーンショット。

    Azure 上では、VM ID のオブジェクト ID は次のようにして見つけます。

    • マネージド ID の場合、オブジェクト ID は VM の [ID] ページに一覧表示されます。

    • サービス プリンシパルの場合は、Azure の [エンタープライズ アプリケーション] に移動します。 [すべてのアプリケーション] を選択し、VM を選択します。 オブジェクト ID が [概要] ページに表示されます。

    このコマンドは、Microsoft Sentinel Business Applications エージェント オペレーター閲覧者の Azure ロールを、VM のマネージド ID またはアプリケーション ID に割り当てます。これには、ワークスペース内の指定されたエージェントのデータのスコープのみが含まれます。

    重要

    CLI 経由で Microsoft Sentinel Business Applications エージェント オペレーター ロールと閲覧者ロールを割り当てると、ワークスペース内の指定されたエージェントのデータのスコープに対してのみ、ロールが割り当てられます。 これは最も安全であるため、推奨されるオプションです。

    Azure portal 経由でロールを割り当てる必要がある場合は、Microsoft Sentinel ワークスペースのみなどの小さなスコープでロールを割り当てることをお勧めします。

  9. ステップ 2 のエージェント デプロイ コマンドの横にある [コピー]エージェントのデプロイ コマンドの横にある [コピー] アイコンのスクリーンショット。 を選びます。 例:

    ステップ 2 でコピーするエージェント コマンドのスクリーンショット。

  10. コマンド ラインを別の場所にコピーし、[閉じる] を選択します。

    関連するエージェント情報が Azure キー コンテナーにデプロイされ、新しいエージェントが [API ベースのコレクター エージェントの追加] の下の表に表示されます。

    この段階では、エージェントの "正常性" 状態は "不完全なインストール。指示に従ってください" となっています。 エージェントが正常にインストールされると、状態は "エージェントは正常" に変わります。 更新には最大で 10 分かかります。 例:

    SAP データ コネクタ ページでの API ベースのコレクター エージェントの正常性状態のスクリーンショット。

    この表には、Azure portal を使ってデプロイしたエージェントのエージェント名と正常性状態のみが表示されます。 コマンド ラインを使ってデプロイされたエージェントは、ここには表示されません。 詳細については、代わりに [コマンド ライン] タブを参照してください。

  11. エージェントをインストールする VM でターミナルを開き、前のステップでコピーしたエージェント配置コマンドを実行します。 この手順には、データ コネクタ エージェント マシンに対する sudo 権限またはルート権限が必要です。

    このスクリプトは、OS のコンポーネントを更新し、Azure CLI、Docker ソフトウェア、その他の必要なユーティリティ (jq、netcat、curl など) をインストールします。

    必要に応じてスクリプトに追加のパラメーターを指定し、コンテナーのデプロイをカスタマイズします。 使用可能なコマンド ライン オプションの詳細については、「Kickstart スクリプト リファレンス」を参照してください。

    コマンドをもう一度コピーする必要がある場合は、[正常性] 列の右にある [表示][正常性] 列の横にある [表示] アイコンのスクリーンショット。 を選択し、右下の [エージェント デプロイ コマンド] の横にあるコマンドをコピーします。

  12. SAP アプリケーション向け Microsoft Sentinel ソリューションの [データ コネクタ] ページ上の [構成] 領域で [新しいシステムの追加 (プレビュー)] を選択し、次の詳細を入力します。

    • [エージェントの選択] では、前に作成したエージェントを選択します。

    • [システム識別子] では、サーバーの種類を選択します。

      • ABAP サーバー
      • ABAP SAP セントラル サービス (ASCS) の一部としてメッセージ サーバーを使用する場合はメッセージ サーバー

    • 続いて、サーバーの種類に関連する詳細を定義します。

      • ABAP サーバーの場合は、ABAP アプリケーション サーバーの IP アドレス/FQDN、システム ID と番号、クライアント ID を入力します。
      • メッセージ サーバーの場合は、メッセージ サーバーの IP アドレス/FQDN、ポート番号またはサービス名、ログオン グループを入力します

    完了したら、[次へ: 認証] を選択します。

    例:

    [新しいシステムの追加] 領域の [システム設定] タブのスクリーンショット。

  13. [認証] タブで、次の詳細を入力します。

    • 基本認証の場合は、ユーザーとパスワードを入力します。
    • エージェントの設定時に SNC 接続を選択した場合は、[SNC] を選択し、証明書の詳細を入力します。

    完了したら、[次へ: ログ] を選びます。

  14. [ログ] タブでは、SAP から取り込むログを選択し、さらに [次へ: 確認して作成] を選択します。 例:

    [新しいシステムの追加] サイド ウィンドウの [ログ] タブのスクリーンショット。

  15. (省略可能) SAP PAHI テーブルを監視する際に最適な結果を得るには、[構成履歴] を選択します。 詳細については、「PAHI テーブルが定期的に更新されていることを確認する」を参照してください。

  16. 定義した設定を確認します。 [戻る] を選んで設定を変更するか、[デプロイ] を選んでシステムをデプロイします。

定義したシステム構成は、デプロイ時に定義した Azure Key Vault にデプロイされます。 システムの詳細が [SAP システムを構成し、コレクター エージェントに割り当てる] の下の表に表示されます。 この表には、ポータルまたは別の方法を使って追加したシステムの関連エージェント名、SAP システム ID (SID)、正常性状態が表示されます。

この段階では、システムの "正常性" 状態は "保留中" になっています。 エージェントが正常に更新されると、Azure キー コンテナーから構成がプルされ、状態が [System healthy] に変わります。 更新には最大で 10 分かかります。

エージェントレス データ コネクタを接続する (制限付きプレビュー)

  1. Microsoft Sentinel で、[ Configuration > Data Connectors ] ページに移動し、 Microsoft Sentinel for SAP - agent-less (プレビュー) データ コネクタを見つけます。

  2. [構成] 領域で、手順 1 を展開します。必要な Azure リソース/SOC エンジニアの自動デプロイをトリガーし、[必要な Azure リソースのデプロイ] を選択します。

    重要

    Entra ID Application Developer ロール以上を持っていなくても、必要な Azure リソースのデプロイを選択すると、"必要な Azure リソースのデプロイ" などのエラー メッセージが表示されます (エラーは異なる場合があります)。 つまり、データ収集規則 (DCR) とデータ収集エンドポイント (DCE) が作成されましたが、Entra ID アプリの登録が承認されていることを確認する必要があります。 正しい承認を設定し続けます。

  3. 次のいずれかを行ってください:

    • Entra ID アプリケーション開発者ロール以上の場合は、次の手順に進みます。

    • Entra ID アプリケーション開発者以上のロールを持っていない場合:

      • 必要なアクセス許可を持つ Entra ID 管理者または同僚と DCR ID を共有します。
      • Entra ID アプリ登録のクライアント ID を使用し、サービス プリンシパルによる割り当てにより、DCR に対して監視メトリック発行者ロールが割り当てられていることを確認します。
      • DCR の承認に使用する Entra ID アプリ登録からクライアント ID とクライアント シークレットを取得します。

      SAP 管理者は、クライアント ID とクライアント シークレット情報を使用して DCR に投稿します。

      SAP 管理者で、コネクタのインストールにアクセスできない場合は、 統合パッケージ を直接ダウンロードします。

  4. 下にスクロールし、[ SAP クライアントの追加] を選択します。

  5. [ SAP クライアントへの接続 ] サイド ウィンドウで、次の詳細を入力します。

    フィールド 説明
    RFC 宛先の名前 BTP 宛先から取得された RFC 宛先の名前。
    SAP エージェントレス クライアント ID Process Integration Runtime サービス キー JSON ファイルから取得された clientid 値。
    SAP エージェントレス クライアント シークレット Process Integration Runtime サービス キー JSON ファイルから取得された clientsecret 値。
    認可サーバー URL Process Integration Runtime サービス キー JSON ファイルから取得された tokenurl 値。 例: https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
    Integration Suite エンドポイント Process Integration Runtime サービス キー JSON ファイルから取得された url 値。 例: https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

  6. を選択し、に接続します。」

データ コネクタの動作をカスタマイズする (省略可能)

Microsoft Sentinel 用の SAP エージェントレス データ コネクタがある場合は、SAP Integration Suite を使用して、エージェントレス データ コネクタが SAP システムから Microsoft Sentinel にデータを取り込む方法をカスタマイズできます。

この手順は、SAP エージェントレス データ コネクタの動作をカスタマイズする場合にのみ関連します。 既定の機能に問題がない場合は、この手順をスキップします。 たとえば、Sybase を使用している場合は、 collect-changedocs-logs パラメーターを構成して、iflow の Change Docs ログのインジェストをオフにすることをお勧めします。 データベースのパフォーマンスの問題により、Change Docs ログ Sybase の取り込みはサポートされていません。

データ コネクタの動作をカスタマイズするための前提条件

  • 値マッピングを編集するためのアクセス許可を持つ SAP Integration Suite にアクセスできる必要があります。
  • 既定値マッピング ファイルをアップロードするための SAP 統合パッケージ (既存または新規)。

構成ファイルをダウンロードして設定をカスタマイズする

  1. 既定の example-parameters.zip ファイルをダウンロードします。このファイルには、既定の動作を定義する設定が用意されており、カスタマイズを開始するのに適しています。

    example-parameters.zip ファイルを SAP Integration Suite 環境からアクセスできる場所に保存します。

  2. 値マッピング ファイルをアップロードし、変更を加えてデータ コネクタの設定をカスタマイズするには、標準の SAP 手順を使用します。

    1. example-parameters.zip ファイルを値マッピング成果物として SAP Integration Suite にアップロードします。 詳細については、 SAP ドキュメントを参照してください。

    2. 設定をカスタマイズするには、次のいずれかの方法を使用します。

      • すべての SAP システムの設定をカスタマイズするにはグローバル 双方向マッピングエージェンシーの値マッピングを追加します。
      • 特定の SAP システムの設定をカスタマイズするには、各 SAP システムに新しい双方向マッピングエージェンシーを追加してから、それぞれに値マッピングを追加します。 myRfc、key、myRfc、value など、カスタマイズする RFC 宛先の名前と正確に一致するように機関に名前を付けます。

      詳細については、値マッピングの設定に関する SAP ドキュメントを参照してください。

    更新された設定をアクティブ化するためのカスタマイズが完了したら、必ず成果物をデプロイしてください。

次の表に、Microsoft Sentinel 用の SAP エージェントレス データ コネクタのカスタマイズ可能なパラメーターを示します。

パラメーター 説明 使用できる値 既定値
changedocs-object-classes Change Docs ログから取り込まれるオブジェクト クラスの一覧。 オブジェクト クラスのコンマ区切りリスト BANK, CLEARING, IBAN, IDENTITY, KERBEROS, OA2_CLIENT, PCA_BLOCK, PCA_MASTER, PFCG, SECM, SU_USOBT_C, SECURITY_POLICY, STATUS, SU22_USOBT, SU22_USOBX, SUSR_PROF, SU_USOBX_C, USER_CUA
監査ログを収集する 監査ログ データが取り込まれるかどうかを判断します。 true: 取り込み済み
false: 取り込まれません		 真実
変更ドキュメントログを収集 Change Docs ログを取り込むかどうかを決定します。 true: 取り込み済み
false: 取り込まれません		 真実
ユーザーマスターデータを収集する ユーザー マスター データが取り込まれるかどうかを判断します。 true: 取り込み済み
false: 取り込まれません		 真実
監査ログをすべてのクライアントから読み取るように強制する 監査ログをすべてのクライアントから読み取るかどうかを判断します。 true: すべてのクライアントから読み取る
false: すべてのクライアントから読み取られない		 false
摂取サイクル日数 すべてのロールとユーザーを含む、完全なユーザー マスター データを取り込むための時間 (日数)。 このパラメーターは、ユーザー マスター データへの変更の取り込みには影響しません。 1-14 の整数 1
秒単位のオフセット データ収集ウィンドウの開始時刻と終了時刻の両方のオフセットを秒単位で決定します。 このパラメーターを使用して、構成された秒数だけデータ収集を遅延します。 1 から - までの整数 60

接続と正常性を確認する

SAP データ コネクタをデプロイしたら、エージェントの正常性と接続性を確認します。 詳細については、「SAP システムの正常性とロールを監視する」を参照してください。

次のステップ

コネクタがデプロイされたら、SAP アプリケーション向け Microsoft Sentinel ソリューションのコンテンツの構成に進みます。 具体的には、ウォッチリストの詳細を構成することは、検出と脅威に対する保護を有効にする上で不可欠な手順です。

SAP の検出と脅威に対する保護を有効にする