SAP アプリケーション向け Microsoft Sentinel ソリューション: デプロイの概要

次の図に示すように、SAP 用 Microsoft Sentinel エージェントレス データ コネクタでは、SAP Cloud Connector と SAP Integration Suite を使用して SAP システムに接続し、そこからログをプルします。

SAP Cloud Connector を使用すると、エージェントレス データ コネクタは、既存のセットアップと確立された統合プロセスから利益を得られます。 つまり、SAP Cloud Connector を実行しているユーザーが既にそのプロセスを完了しているため、ネットワークに関する問題に再度取り組む必要はありません。

エージェントレス データ コネクタは、 SAP NetWeaver ベースのシステムと互換性があります。 その中でも、SAP S/4HANA Cloud、Private Edition (RISE with SAP)、SAP S/4HANA On-Premises、SAP ERP Central Component (ECC)、SAP Business Warehouse (BW) などがあり、これらを含む検出、ワークブック、プレイブックなどの既存のセキュリティコンテンツの継続的な機能が確保されています。

エージェントレス データ コネクタは、セキュリティ監査ログ、変更ドキュメント ログ、ユーザー ロールや承認などのユーザー マスター データなどの重要なセキュリティ ログを取り込みます。

たとえば、次の図では、運用環境システムと SAP Business Technology Platform を含む非運用環境システムに分割されたマルチ SID SAP のランドスケープを示しています。 図示されるすべてのシステムは、SAP ソリューション用の Microsoft Sentinel にオンボードされています。

エージェントは、SAP システムに接続してそこからログとその他のデータをプルし、次にそれらのログを Microsoft Sentinel ワークスペースに送信します。 これを行うため、エージェントは、この目的のために特別に作成されたユーザーとロールを使用して、SAP システムに対して認証する必要があります。

Microsoft Sentinel では、SAP 認証シークレットの構成など、エージェント構成情報を保存するためのいくつかのオプションがサポートされています。 どのオプションを使用するかは、VM をデプロイする場所および使用する SAP 認証メカニズムによって異なることがあります。 サポートされているオプションは次のとおりです(優先順)。

• Azure Key Vault (Azure システム割り当てマネージド ID からアクセス)
• Azure Key Vault (Microsoft Entra ID 登録アプリケーション サービス プリンシパルからアクセス)
• プレーンテキストの構成ファイル

SAP の Secure Network Communication (SNC) および X.509 証明書を使用して認証することもできます。 SNC を使用すると認証セキュリティのレベルは向上しますが、必ずしもすべてのシナリオで実用的であるとは限りません。

SAP アプリケーション向けの Microsoft Sentinel ソリューションをデプロイするには複数の段階があり、セキュリティおよび SAP BASIS チーム間でのコラボレーションが必要です。 次の図では、SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする手順と関連するチームを示しています。

作業を割り当て、デプロイを円滑に進めることができるように、デプロイを計画する際には、関連する両方のチームを参加させることをお勧めします。

デプロイの手順は次のようになります。

1. SAP エージェントレス データ コネクタをデプロイするための前提条件を確認します。

2. コンテンツ ハブから SAP アプリケーション ソリューションをデプロイします。 この手順は、セキュリティ チームによって Azure portal で行います。

3. Microsoft Sentinel ソリューションに SAP システムを構成します。これには、SAP 承認の構成、SAP 監査の構成などが含まれます。 これらの手順は SAP BASIS チームが行うことをお勧めします。Microsoft のドキュメントには SAP ドキュメントへの参照が含まれています。 この手順の一部の手順は、ソリューションをインストールする前に SAP BASIS チームが実行できます。

4. エージェントレス データ コネクタを SAP Cloud Connector で使用して、SAP システムを接続します。 この手順は、SAP BASIS チームから提供された情報を使用して、Azure portal のセキュリティ チームが行います。

5. SAP の検出と脅威に対する保護を可能にします。 この手順は、セキュリティ チームによって Azure portal で行います。

SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイには複数の段階があり、セキュリティ、インフラストラクチャ、SAP BASIS チームなど、複数のチーム間でのコラボレーションが必要です。 次の図では、SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする手順と関連するチームを示しています。

作業を割り当て、デプロイを円滑に進めることができるように、デプロイを計画する際には、関連するすべてのチームを参加させることをお勧めします。

デプロイの手順は次のようになります。

1. SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイするための前提条件を確認します。 一部の前提条件では、インフラストラクチャまたは SAP BASIS チームとの調整が必要です。

2. 次の手順は、別々のチームが行い、それぞれが相互に依存しないため、並行して実行できます。

   1. コンテンツ ハブから SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイします。 環境に適したソリューションがインストールされていることを確認します。 この手順は、セキュリティ チームによって Azure portal で行います。

   2. Microsoft Sentinel ソリューションに SAP システムを構成します。これには、SAP 承認の構成、SAP 監査の構成などが含まれます。 これらの手順は SAP BASIS チームが行うことをお勧めします。Microsoft のドキュメントには SAP ドキュメントへの参照が含まれています。 一部の手順は、セキュリティ チームによっても実行されます。

3. コンテナ化されたデータ コネクタ エージェントをデプロイして SAP システムを接続します。 この手順は、セキュリティ、インフラストラクチャ、SAP BASIS の各チーム間での調整が必要です。

4. SAP の検出と脅威に対する保護を可能にします。 この手順は、セキュリティ チームによって Azure portal で行います。

その他のオプションとしては、次のものがあります。

• SAP HANA の監査ログを収集する
• SAP データ コネクタ エージェントを手動でデプロイする

SAP データ収集を停止する

データ コネクタ エージェントを使用していて、Microsoft Sentinel による SAP データの収集を停止する必要がある場合は、ログ インジェストを停止し、コネクタを無効にします。 次に、SAP システムにインストールされている余分なユーザー ロールとオプションの CR を削除します。

詳細については、「SAP データの収集を停止する」を参照してください。