SAP 用のMicrosoft Sentinel データ コレクターとソリューションをデプロイすると、SAP システムで不審なアクティビティを監視したり、脅威を特定したりできますが、ソリューションが SAP デプロイ用に最適化されていることを確認するための追加の構成手順が必要です。 この記事では、SAP アプリケーション用のMicrosoft Sentinel ソリューションで提供されるセキュリティ コンテンツの使用を開始するためのベスト プラクティスについて説明します。これは、SAP 統合をデプロイする最後の手順です。
重要
SAP 用データ コネクタ エージェントは 非推奨 となり、 2026 年 9 月 14 日までに完全に無効になります。 エージェントレス データ コネクタに移行することをお勧めします。 エージェントレス アプローチの詳細については、 ブログ記事を参照してください。
![[ソリューション設定の構成] 手順を強調表示した SAP ソリューションのデプロイ フローの図。](media/deployment-steps/settings.png)
![[ソリューション設定の構成] 手順を強調表示した SAP ソリューションのデプロイ フローの図。](media/deployment-steps/settings-agentless.png)
この記事のコンテンツは、 セキュリティ チームに関連します。
前提条件
この記事で説明する設定を構成する前に、Microsoft Sentinel SAP ソリューションがインストールされ、データ コネクタが構成されている必要があります。
詳細については、「コンテンツ ハブから SAP アプリケーション用のMicrosoft Sentinel ソリューションをデプロイする」および「SAP アプリケーション用のMicrosoft Sentinel ソリューションをデプロイする」を参照してください。
ヒント
ベスト プラクティスの詳細な説明については、ブログ シリーズ「sap for Sentinel ソリューションを正常に評価し、運用環境に実装する方法」を使用します。
分析ルールの有効化を開始する
既定では、SAP アプリケーションのMicrosoft Sentinel ソリューション内のすべての分析ルールがアラート ルール テンプレートとして提供されます。 テンプレートを使用して一度にいくつかのルールを作成し、各シナリオを微調整する時間を許可する段階的なアプローチをお勧めします。
テストが簡単と見なされる次の分析ルールから始めてお勧めします。
- 機密特権ユーザーの変更
- 機密性の高い特権ユーザーがログインしている
- 機密性の高い特権ユーザーが他のユーザーに変更を加える
- 機密性の高いユーザーのパスワードの変更とログイン
- クライアント構成の変更
- 関数モジュールのテスト済み
詳細については、「組み込みの分析ルール」と「Microsoft Sentinelでの脅威検出」を参照してください。
ウォッチリストを構成する
次のウォッチリストで顧客固有の情報を提供して、SAP アプリケーションのMicrosoft Sentinel ソリューションを構成します。
| ウォッチリスト名 | 構成の詳細 |
|---|---|
| SAP - システム |
SAP - システムウォッチリストは、監視対象環境に存在する SAP システムを定義します。 システムごとに、次を指定します。 - SID - 運用システムでも、開発/テスト環境でも。 ウォッチリストでこれを定義しても課金には影響せず、分析ルールにのみ影響します。 たとえば、テスト中にテスト システムを運用システムとして使用できます。 - 意味のある説明 構成されたデータは、一部の分析ルールで使用されます。これは、関連するイベントが開発システムまたは運用システムに表示される場合に異なる反応を示す場合があります。 |
| SAP - ネットワーク |
SAP - ネットワークウォッチリストは、organizationで使用されるすべてのネットワークの概要を示します。 これは主に、ユーザーのサインインがネットワークの既知のセグメント内から発信されたかどうか、またはユーザーのサインインの配信元が予期せず変更されたかどうかを識別するために使用されます。 ネットワーク トポロジを文書化するには、多くの方法があります。 172.16.0.0/16 などの広範なアドレスを定義し、企業ネットワークという名前を付けることもできます。これは、その範囲外からのサインインを追跡するのに十分です。 ただし、よりセグメント化されたアプローチを使用すると、非定型の可能性のあるアクティビティをより適切に可視化できます。 たとえば、次のセグメントと地理的な場所を定義できます。 - 192.168.10.0/23: 西ヨーロッパ - 10.15.0.0/16: オーストラリア このような場合、Microsoft Sentinelは、最初のセグメントの 192.168.10.15 からのサインインと、2 番目のセグメントの 10.15.2.1 からのサインインを区別できます。 Microsoft Sentinel、このような動作が非定型として識別された場合にアラートが表示されます。 |
|
SAP - 機密性の高い汎用モジュール SAP - 機密テーブル SAP - 機密 ABAP プログラム SAP - 機密トランザクション |
機密コンテンツ ウォッチリストは、 ユーザーが実行またはアクセスできる機密性の高いアクションまたはデータを識別します。 ウォッチリストには、既知の操作、テーブル、および承認がいくつか事前に構成されていますが、SAP 環境で機密性が高いと見なされる操作、トランザクション、承認、テーブルを特定し、必要に応じてリストを更新するために、SAP BASIS チームに相談することをお勧めします。 |
|
SAP - 機密プロファイル SAP - 機密ロール SAP - 特権ユーザー SAP - 重要な権限 |
SAP アプリケーションのMicrosoft Sentinel ソリューションでは、SAP システムからユーザー データ ウォッチリストに収集されたユーザー データを使用して、機密と見なすユーザー、プロファイル、ロールを特定します。 サンプル データは既定でウォッチリストに含まれていますが、SAP BASIS チームに相談して、organization内の機密性の高いユーザー、ロール、プロファイルを特定し、必要に応じてリストを更新することをお勧めします。 |
初期ソリューションのデプロイ後、ウォッチリストにデータが入力されるまでに時間がかかる場合があります。 編集用のウォッチリストを開き、空である場合は、数分待ってからやり直してください。
詳細については、「 使用可能なウォッチリスト」を参照してください。
ブックを使用して SAP セキュリティコントロールのコンプライアンスをチェックする
SAP アプリケーションのMicrosoft Sentinel ソリューションには、SAP - セキュリティ監査コントロール ブックが含まれており、SAP セキュリティコントロールのコンプライアンスをチェックするのに役立ちます。 ブックには、配置されているセキュリティ コントロールと各コントロールのコンプライアンス状態の包括的なビューが表示されます。
詳細については、「 SAP - セキュリティ監査コントロール」ブックでの SAP セキュリティコントロールのコンプライアンスの確認に関するページを参照してください。
次の手順
機能、プレイブック、ブックなど、Microsoft Sentinelを使用して SAP に関してさらに多くのコンテンツを見つけ出す必要があります。 この記事では、いくつかの便利な出発点を取り上げています。また、SAP セキュリティ監視を最大限に活用するために、引き続き他のコンテンツを実装する必要があります。
詳細については、以下を参照してください:
- SAP アプリケーションのMicrosoft Sentinel ソリューション - 関数リファレンス
- SAP アプリケーションのMicrosoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス。
関連コンテンツ
詳細については、以下を参照してください: