SAP 向け Microsoft Sentinel データ コレクターとソリューションをデプロイすると、不審なアクティビティが発生していないか SAP システムを監視し、脅威を特定できるようになりますが、ソリューションが SAP デプロイ用に最適化されていることを確認するには、追加の構成手順が必要です。 この記事では、SAP アプリケーション向け Microsoft Sentinel ソリューションで提供されるセキュリティ コンテンツを初めて使用する場合のベスト プラクティスについて説明します。これは、SAP 統合のデプロイに関する最後の手順です。
この記事の内容は、 セキュリティ チームに関連します。
重要
現在、SAP アプリケーション向け Microsoft Sentinel ソリューションの一部のコンポーネントはプレビュー段階です。 エージェントレス データ コネクタは 、制限付きプレビュー段階です。 Azure プレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される追加の法的条件が含まれています。
前提条件
この記事で説明する設定を構成する前に、Microsoft Sentinel SAP ソリューションをインストールし、データ コネクタを構成しておく必要があります。
詳細については、「 コンテンツ ハブから SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイする 」および「 SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイする」を参照してください。
分析ルールの有効化を開始する
既定では、SAP アプリケーション用の Microsoft Sentinel ソリューション内のすべての分析ルールが アラート ルール テンプレートとして提供されます。 テンプレートを使用して一度に数個のルールを作成し、各シナリオを微調整する時間を確保するという段階的なアプローチをお勧めします。
テストが簡単であると考えられるため、次の分析ルールから始めることをお勧めします。
- 機密性の高い特権ユーザーの変更
- 機密性の高い特権ユーザーがログインしている
- 機密性の高い特権ユーザーが他のユーザーに変更を加える
- 機密性の高いユーザーのパスワード変更とログイン
- クライアント構成の変更
- Function Module のテスト済み
詳細については、「Microsoft Sentinel の組み込みの分析ルール と 脅威検出」を参照してください。
ウォッチリストを構成する
次のウォッチリストに顧客固有の情報を入力して、SAP アプリケーション向け Microsoft Sentinel ソリューションを構成します。
| ウォッチリスト名 | 構成の詳細 |
|---|---|
| SAP - システム |
SAP - Systems ウォッチリストは、監視対象環境に存在する SAP システムを定義します。 システムごとに、以下を指定します。 - SID - 運用システムであるか、Dev/Test 環境であるか。 これをウォッチリストに定義しても課金には影響せず、分析ルールにのみ影響します。 たとえば、テスト中にテスト システムを運用システムとして使用する場合があります。 - わかりやすい説明 構成されたデータは一部の分析ルールによって使用されます。関連するイベントが開発システムまたは運用システムで発生した場合に異なる反応を示す可能性があります。 |
| SAP - ネットワーク |
SAP - Networks ウォッチリストには、組織で使用されるすべてのネットワークの概要が示されています。 主に、ユーザーのサインインがネットワークの既知のセグメント内から行われたかどうか、またはユーザーのサインイン元が予期せず変更されたかどうかを特定するために使用されます。 ネットワーク トポロジを文書化するには、さまざまな方法があります。 172.16.0.0/16 などの幅広いアドレスを定義し、企業ネットワークという名前を付けることもできます。これは、その範囲外からのサインインを追跡するのに十分です。 ただし、さらにセグメント化されたアプローチを使用すれば、変則的なアクティビティが発生した場合でも、それらをより効果的に把握できます。 たとえば、次のセグメントと地理的な場所を定義できます。 - 192.168.10.0/23: 西ヨーロッパ - 10.15.0.0/16: オーストラリア このような場合、Microsoft Sentinel では、最初のセグメントの 192.168.10.15 からのサインインと、2 番目のセグメントの 10.15.2.1 からのサインインを区別できます。 そのような動作が異常であると特定された場合に、Microsoft Sentinel はアラートを発します。 |
|
SAP - 機密機能モジュール SAP - 機密テーブル SAP - 機微な ABAP プログラム SAP - 機密トランザクション |
機密性の高いコンテンツ ウォッチリストは、 ユーザーが実行またはアクセスできる機密性の高いアクションまたはデータを識別します。 ウォッチリストには、いくつかの既知の操作、テーブル、認可が事前に構成されていますが、SAP BASIS チームに相談して SAP 環境で機密性が高いと見なされる操作、トランザクション、認可、テーブルを特定し、必要に応じて一覧を更新することをお勧めします。 |
|
SAP - 機密プロファイル SAP - 機密性の高い役割 SAP - 特権ユーザー SAP - 重要な権限 |
SAP アプリケーション用の Microsoft Sentinel ソリューションでは、SAP システムから ユーザー データ ウォッチリスト に収集されたユーザー データを使用して、機密性の高いユーザー、プロファイル、ロールを識別します。 サンプル データは既定でウォッチリストに含まれていますが、SAP BASIS チームに相談して組織内の機密性の高いユーザー、ロール、プロファイルを特定し、必要に応じて一覧を更新することをお勧めします。 |
最初のソリューション デプロイ後、ウォッチリストにデータが設定されるまでに時間がかかる場合があります。 編集対象のウォッチリストを開いたときに空だった場合は、数分待ってから再試行してください。
詳細については、「 使用可能なウォッチリスト」を参照してください。
ブックを使用して SAP セキュリティ管理のコンプライアンスを確認する
SAP アプリケーション用の Microsoft Sentinel ソリューションには、 SAP - Security Audit Controls ブックが含まれています。これは、SAP セキュリティ コントロールのコンプライアンスを確認するのに役立ちます。 このブックには、実施されているセキュリティ コントロールと各管理のコンプライアンス状態の包括的なビューが用意されています。
詳細については、「 SAP - セキュリティ監査コントロール」ブックを使用して SAP セキュリティコントロールのコンプライアンスを確認するを参照してください。
次のステップ
Microsoft Sentinel を使用する SAP には、関数、プレイブック、ブックなど、確認すべきコンテンツが他にも多くがあります。 この記事では、いくつかの便利な出発点に焦点を当てています。SAP セキュリティ監視を最大限に利用するには、他のコンテンツを実装し続ける必要があります。
詳細については、以下を参照してください:
- SAP アプリケーション用の Microsoft Sentinel ソリューション - 関数リファレンス
- SAP アプリケーション向けの Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス。
関連するコンテンツ
詳細については、以下を参照してください: