この記事では、SAP アプリケーション用の Microsoft Sentinel ソリューションのデプロイに必要な前提条件を示します。これは、データ コネクタ エージェントをデプロイするか、SAP Cloud Connector でエージェントレス データ コネクタを使用するかによって異なります。 このページの上部にあるデプロイに一致するオプションを選択します。
すべての前提条件を確認して理解することは、SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイするための最初の手順です。 接続の種類を選択して、環境の前提条件を一覧表示します。
この記事の内容は、 セキュリティ、 インフラストラクチャ、 および SAP BASIS チームに関連します。
この記事の内容は、 セキュリティ チームと SAP BASIS チームに関連しています。
重要
Microsoft Sentinel の SAP 用エージェントレス データ コネクタは現在 、限定プレビュー段階です。 Azure プレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される追加の法的条件が含まれています。
Azure の前提条件
通常、Azure の前提条件は セキュリティ チームによって管理されます。
| 前提条件 | 説明 | 必須/省略可能 |
|---|---|---|
| Microsoft Sentinel へのアクセス | Microsoft Sentinel で有効になっている Log Analytics ワークスペースのワークスペース ID と 主キー をメモしておきます。 これらの詳細は、Microsoft Sentinel で確認できます。ナビゲーション メニューから[設定]、[>>Agents 管理] の順に選択します。 デプロイ プロセス中に使用できるように、"ワークスペース ID" と "プライマリ キー" をコピーし、どこかに貼り付けておきます。 |
必須 |
| Azure リソースを作成するためのアクセス許可 | Microsoft Sentinel コンテンツ ハブからソリューションをデプロイするために必要なアクセス許可が必要です。 次の場合に必要な Microsoft Sentinel リソース グループの 所有者 ロールも必要です。 - データ収集ルールとデータ収集エンドポイントの作成。 - データ収集ルールに 対する監視メトリックパブリッシャー ロールの割り当て。 詳細については、Microsoft Sentinel ソリューションと Microsoft Entra 組み込みロールをデプロイするための前提条件を参照してください。 |
必須 |
| Azure Key Vault を作成するか、既存のコンテナーにアクセスするためのアクセス許可 | Azure Key Vault を使用して、SAP システムに接続するために必要なシークレットを格納します。 詳細については、「 キー コンテナーのアクセス許可を割り当てる」を参照してください。 | SAP システム資格情報を Azure Key Vault に格納する予定の場合は必須です。 構成ファイルに格納する予定の場合は省略可能です。 詳細については、「 仮想マシンを作成し、資格情報へのアクセスを構成する」を参照してください。 |
| SAP データ コネクタ エージェントに特権ロールを割り当てるアクセス許可 | SAP データ コネクタ エージェントをデプロイするには、Microsoft Sentinel Business Applications エージェント オペレーター ロールを使用して、Microsoft Sentinel ワークスペースに対する特定のアクセス許可を持つエージェントの VM ID を付与する必要があります。 このロールを付与するには、Microsoft Sentinel ワークスペースが存在するリソース グループに対する 所有者 アクセス許可が必要です。 詳細については、 データ コネクタ エージェント コンテナーをデプロイして SAP システムを接続するを参照してください。 |
必須。 リソース グループに対する 所有者 アクセス許可がない場合は、エージェントが完全にデプロイされた後に、関連するアクセス許可を持つ別のユーザーが関連する手順を実行することもできます。 |
データ コネクタ エージェント コンテナーのシステム前提条件
通常、システムの前提条件は インフラストラクチャ チームによって管理されます。
| 前提条件 | 説明 |
|---|---|
| システム アーキテクチャ | SAP ソリューションのデータ コネクタ コンポーネントは、Docker コンテナーとしてデプロイされます。 コンテナーのホストは物理マシン、仮想マシンのどちらでもかまいません。また、オンプレミス、任意のクラウド内のどちらにも配置できます。 コンテナーをホストする VM は、 Microsoft Sentinel ワークスペースと同じ Azure サブスクリプションに配置する必要はありません。また、同じ Microsoft Entra テナント内に配置する必要もありません。 |
| サポートされている Linux バージョン | SAP データ コネクタ エージェントは、次の Linux ディストリビューションでテストされます。 - Ubuntu 18.04 以降 - SLES バージョン 15 以降 - RHEL バージョン 7.7 以降 別のオペレーティング システムを使用している場合は、コンテナーの手動のデプロイと構成が必要となる場合があります。 詳細については、「 エキスパート オプションを使用して Microsoft Sentinel for SAP データ コネクタ エージェント コンテナーをデプロイ する」を参照するか、サポート チケットを開きます。 |
| 仮想マシンのサイズ設定に関する推奨事項 | ラボ環境の場合など、最小仕様: Standard_B2s VM(次を含む): - 2 コア - 4 GB RAM 標準コネクタ (既定): Standard_D2as_v5 VM または Standard_D2_v5 VM(次を含む): - 2 コア - 8 GB RAM 複数のコネクタ: Standard_D4as_v5 または Standard_D4_v5 VM(次を含む): - 4 コア - 16 GB RAM |
| 管理特権 | コンテナーのホスト コンピューターに対する管理者特権 (ルート) が必要です。 |
| ネットワーク接続 | 以下に対するアクセス権がコンテナーのホストにあることを確認します。 Microsoft Sentinel- - Azure Key Vault (Azure Key Vault を使用してシークレットを格納するデプロイ シナリオ) - 32xx、5xx13、33xx、48xx (SNC が使用されている場合) の TCP ポートを介した SAP システム。xx は SAP インスタンス番号です。 |
| ソフトウェア ユーティリティ |
SAP データ コネクタデプロイ スクリプトは、コンテナー ホスト VM に次の必要なソフトウェアをインストールします (使用される Linux ディストリビューションによっては、一覧が若干異なる場合があります)。 - 解凍 - NetCat - 港湾労働者 - jq - カール |
| マネージド ID またはサービス プリンシパル | 最新バージョンの SAP データ コネクタ エージェントでは、Microsoft Sentinel に対して認証するために マネージド ID または サービス プリンシパル が必要です。 レガシ エージェントは、最新バージョンへの更新がサポートされています。それ以降のバージョンへの継続的な更新には、マネージド ID またはサービス プリンシパルを使用する必要があります。 |
データ コネクタ エージェント コンテナーの SAP 前提条件
SAP BASIS チームが SAP システムの前提条件を確認し、確認することをお勧めします。 SAP システムの管理は、経験のある SAP システム管理者が行うことを強くお勧めします。
| 前提条件 | 説明 |
|---|---|
| サポートされている SAP バージョン | SAP データ コネクタ エージェントは SAP NetWeaver システムをサポートしており、 SAP_BASIS バージョン 731 以降でテストされました。 このチュートリアルの特定の手順では、古い SAP_BASIS バージョン 740 で作業している場合に、別の手順を提供します。 |
| 必要なソフトウェア | SAP NetWeaver RFC SDK 7.50 (ここからダウンロード) SAP ソフトウェアのダウンロード ページにアクセスするために、SAP ユーザー アカウントも持っていることを確認します。 |
| SAP システムの詳細 | 次の SAP システムの詳細を書き留めます。 - SAP システムの IP アドレスと FQDN ホスト名 - SAP システム番号 ( 00 など)- SAP NetWeaver システムの SAP システム ID ( NPL など) - SAP クライアント ID ( 001 など) |
| SAP NetWeaver インスタンスへのアクセス | SAP データ コネクタ エージェントでは、次のいずれかのメカニズムを使用して SAP システムに対する認証を行います。 - SAP ABAP ユーザー/パスワード - X.509 証明書を持つユーザー。 このオプションには、追加の構成手順が必要です。 詳細については、 セキュリティで保護された接続に SNC を使用するようにシステムを構成するを参照してください。 |
| SAP ロールの要件 | SAP データ コネクタが SAP システムに接続できるようにするには、SAP システム ロールを作成する必要があります。 SAP NPLK900271 変更要求 (CR) をデプロイして、必要なシステム ロールを作成することをお勧めします。 詳細については、「 Microsoft Sentinel ロールの構成」を参照してください。 |
| 追加サポートに推奨される PR | 推奨される PR を SAP システムにデプロイして、クライアント IP アドレスや追加ログなどの追加の詳細を取得します。 詳細については、「 追加のデータ取得のサポートを構成する (推奨)」を参照してください。 |
限定プレビューにサインアップする
SAP のエージェントレス データ コネクタを使用するには、 制限付きプレビューにサインアップします。
Azure の前提条件
通常、Azure の前提条件は セキュリティ チームによって管理されます。
| 前提条件 | 説明 | 必須/省略可能 |
|---|---|---|
| Azure リソースを作成するためのアクセス許可 | 次の情報が必要です。 - Microsoft Sentinel コンテンツ ハブからソリューションをデプロイするために必要なアクセス許可。 詳細については、Microsoft Sentinel ソリューションと Microsoft Entra 組み込みロールをデプロイするための前提条件を参照してください。 Microsoft Sentinel リソース グループの所有者。次の場合に必要です。 - データ収集規則とデータ収集エンドポイントの作成。 - データ収集ルールに対するメトリックパブリッシャーロールの割り当ての監視。 |
必須 |
| ワークスペースの共有キーに対する読み取りアクセス許可 | 詳細については、「 Windows コンピューターへの Log Analytics エージェントのインストール」を参照してください。 | 必須 |
| Microsoft Entra のアクセス許可 | アプリの登録を作成するには、Microsoft Entra ID のアクセス許可が必要です。 このアクセス許可は、組み込みの Microsoft Entra ID ロールのメンバーシップを通じて取得できます。 - アプリケーション開発者。 |
必須 |
エージェントレス データ コネクタの SAP 前提条件
SAP BASIS チームが SAP システムの前提条件を確認し、確認することをお勧めします。 SAP BASIS 管理者は、SAP ノートの3390051と382318を確認して、NetWeaver が統合用に設定されていることを確認する必要があります。
SAP システムの管理は、経験のある SAP システム管理者が行うことを強くお勧めします。
| 前提条件 | 説明 |
|---|---|
| サポートされている SAP バージョン |
エージェントレス ソリューションは、SAP_BASIS バージョン 750 以上の SAP NetWeaver システムをサポートしています。 Sybase で実行されている Change Docs ログはサポートされていません。 Sybase を使用している場合は、Change Docs ログのインジェストを無効にするようにシステムをカスタマイズすることをお勧めします。 詳細については、「 データ コネクタの動作をカスタマイズする (省略可能)」を参照してください。 |
| SAP 環境 | SAP 環境には次が必要です。 SAP システムでリモート対応の RSAU_API_GET_LOG_DATA 汎用モジュール。 詳細については、 SAP ドキュメントを参照してください。 次のサービスが有効になっている SAP BTP サブアカウント: - SAP Integration Suite - SAP プロセス統合ランタイム - Cloud Foundry Runtime 詳細については、 SAP ドキュメントを参照してください。 試用版アカウント がサポートされています。 デプロイされた SAP Cloud Connector SAP NetWeaver バージョン 7.5 以降 |
| SAP ロールとアクセス許可 | SAP システムには次のロールが必要です。 SAP NetWeaver 7.5 以降: SAP Netweaver 管理者 SAP BTP では、次のすべてのロールが含まれます。 - サブアカウント管理者 - Integration Provisioner - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
インジェストを計画する
システムをテストして、各 SAP システムが Microsoft Sentinel に送信するログの数を決定することをお勧めします。 Microsoft Sentinel の課金はログ インジェストのサイズによって異なります。これは、システムの使用状況、デプロイされたモジュール、ユーザー数、実行ユース ケース、ネットワーク トラフィック、ログの種類などの要因によって異なります。
詳細については、以下を参照してください:
- ソリューションの価格
- コストを計画し、Microsoft Sentinel の価格と課金について理解する
- Microsoft Sentinel のコストを削減する
- Microsoft Sentinel のコストを管理および監視する