SAP 向け Microsoft Sentinel データ コレクターとソリューションをデプロイすると、不審なアクティビティについて SAP システムを監視し、脅威を特定できるようになります。使用する SAP デプロイに最適なソリューションを確実にするには、追加の構成手順が必要です。 この記事では、SAP アプリケーション向け Microsoft Sentinel ソリューションが提供するセキュリティ コンテンツを初めて使用する場合のベスト プラクティスについて説明します。これは、SAP 統合のデプロイの最後の手順です。
重要
SAP 用データ コネクタ エージェントは 非推奨 となり、 2026 年 9 月 14 日までに完全に無効になります。 エージェントレス データ コネクタに移行することをお勧めします。 エージェントレス アプローチの詳細については、 ブログ記事を参照してください。
この記事の内容は、 セキュリティ チームに関連します。
前提条件
この記事で説明する設定を構成する前に、Microsoft Sentinel SAP ソリューションをインストールし、データ コネクタを構成しておくことが必要です。
詳細については、「 コンテンツ ハブから SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイする 」および「 SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイする」を参照してください。
ヒント
ベスト プラクティスの詳細な説明については、ブログシリーズ「SAP for Sentinel ソリューションを正常に評価し、運用環境で実装する方法」を参照してください。
分析ルールの有効化を開始する
既定では、SAP アプリケーション用の Microsoft Sentinel ソリューション内のすべての分析ルールが アラート ルール テンプレートとして提供されます。 各シナリオを微調整する時間を確保するため、テンプレートから複数のルールを一度に作成する段階的なアプローチをお勧めします。
次の分析ルールから開始することをお勧めします。このルールのテストがより簡単であると考えられるためです。
- 機密性の高い特権ユーザーの変更
- 機密性の高い特権ユーザーがログインしている
- 機密性の高い特権ユーザーが他のユーザーに変更を加える
- 機密性の高いユーザーのパスワード変更とログイン
- クライアント構成の変更
- Function Module のテスト済み
詳細については、「Microsoft Sentinel の組み込みの分析ルール と 脅威検出」を参照してください。
ウォッチリストを構成する
次のウォッチリストに顧客固有の情報を入力して、SAP アプリケーション向け Microsoft Sentinel ソリューションを構成します。
| ウォッチリスト名 | 構成の詳細 |
|---|---|
| SAP - システム |
SAP - Systems ウォッチリストは、監視対象環境に存在する SAP システムを定義します。 システムごとに、以下を指定します。 - SID - 運用システムであるか、または Dev/Test 環境であるかについて。 これをウォッチリストに定義することは課金に影響せず、分析ルールにのみ影響します。 たとえば、テスト中にテスト システムを運用システムとして使用する場合があります。 - わかりやすい説明 構成したデータは、一部の分析ルールで使用されます。関連するイベントが開発システムまたは運用システムのどちらに発生するかによって異なる反応になることがあります。 |
| SAP - ネットワーク |
SAP - Networks ウォッチリストには、組織で使用されるすべてのネットワークの概要が示されています。 これは主に、ユーザー サインインがネットワークの既知のセグメント内から発生しているかを判断するため、またはユーザーのサインインの発生元が予期せず変更されたかを判断するために使用されます。 ネットワーク トポロジを文書化するには、多くの方法があります。 172.16.0.0/16 などの幅広いアドレスを定義し、企業ネットワークという名前を付けることもできます。これは、その範囲外からのサインインを追跡するのに十分です。 ただし、さらにセグメント化されたアプローチを使用することで、通常とは異なるようなアクティビティが発生した場合により明確に把握することができます。 たとえば、次の 2 つのセグメントと地理的な場所を定義したとします。 - 192.168.10.0/23: 西ヨーロッパ - 10.15.0.0/16: オーストラリア このような場合、Microsoft Sentinel では、最初のセグメントの 192.168.10.15 からのサインインと、2 番目のセグメントの 10.15.2.1 からのサインインを区別できます。 Microsoft Sentinel は、このような行為が通常とは異なると判断された場合にアラートを発します。 |
|
SAP - 機密機能モジュール SAP - 機密テーブル SAP - 機微な ABAP プログラム SAP - 機密トランザクション |
機密性の高いコンテンツ ウォッチリストは、 ユーザーが実行またはアクセスできる機密性の高いアクションまたはデータを識別します。 ウォッチリストにはいくつかのよく知られた操作、テーブル、承認が事前に構成されていますが、SAP BASIS チームと相談してご使用の SAP 環境で機密性が高いと見なされる操作、トランザクション、承認、およびテーブルを特定し、必要に応じてリストを更新することをお勧めします。 |
|
SAP - 機密プロファイル SAP - 機密性の高い役割 SAP - 特権ユーザー SAP - 重要な権限 |
SAP アプリケーション用の Microsoft Sentinel ソリューションでは、SAP システムから ユーザー データ ウォッチリスト に収集されたユーザー データを使用して、機密性の高いユーザー、プロファイル、ロールを識別します。 サンプル データは既定でウォッチリストに含まれていますが、SAP BASIS チームと相談して組織内の機密性の高いユーザー、ロール、プロファイルを特定し、必要に応じてリストを更新することをお勧めします。 |
初期ソリューションをデプロイ後、ウォッチリストにデータが入力されるまでに時間がかかることがあります。 編集するためにウォッチリストを開いたときにこれが空である場合は、数分待ってから再試行してください。
詳細については、「 使用可能なウォッチリスト」を参照してください。
ワークブックを使用して SAP セキュリティ管理のコンプライアンスを確認する
SAP アプリケーション用の Microsoft Sentinel ソリューションには、 SAP - Security Audit Controls ブックが含まれています。これは、SAP セキュリティ コントロールのコンプライアンスを確認するのに役立ちます。 このワークブックには、実施されているセキュリティ コントロールと各管理のコンプライアンス状態の包括的なビューが用意されています。
詳細については、「 SAP - セキュリティ監査コントロール」ブックを使用して SAP セキュリティコントロールのコンプライアンスを確認するを参照してください。
次のステップ
Microsoft Sentinel を使用する SAP には、関数、プレイブック、ブックなど、確認すべきコンテンツが他にもたくさんあります。 この記事では、役立ついくつかの着手点を取り上げています。SAP セキュリティ監視を最大限に利用するには、他のコンテンツについても引き続き導入してくことが必要です。
詳細については、次を参照してください。
- SAP アプリケーション用の Microsoft Sentinel ソリューション - 関数リファレンス
- SAP アプリケーション向けの Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス。
関連コンテンツ
詳細については、次を参照してください。