SAP - セキュリティ監査コントロール ブックを使用して SAP セキュリティ コントロールのコンプライアンスを確認する
この記事では、SAP - セキュリティ監査コントロール ブックを使用して、SAP システム全体のセキュリティ コントロール フレームワークのコンプライアンスを監視および追跡する方法について説明します。これには、次の機能が含まれます。
- 有効にする分析ルールに関する推奨事項を確認し、適切な事前設定された構成でそれらをインプレースで有効にします。
- 分析ルールを SOX または NIST コントロール フレームワークに関連付けるか、独自のカスタム コントロール フレームワークを適用します。
- 選択したコントロール フレームワークに従って、コントロール別に要約されたインシデントとアラートを確認します。
- 監査とレポートの目的で、さらに分析するために関連するインシデントをエクスポートします。
次に例を示します。
この記事の内容は、セキュリティ チームを対象としています。
前提条件
SAP - セキュリティ監査ログと初期アクセス ブックの使用を開始するには、次の前提条件を満たす必要があります。
SAP 向け Microsoft Sentinel ソリューションがインストールされ、データ コネクタが構成されました。 詳細については、SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイに関する記事を参照してください。
SAP 監査コントロール ブックが、Microsoft Sentinel に対して有効になっている Log Analytics ワークスペースにインストールされていること。 詳細については、「Microsoft Sentinel でブックを使用してデータを視覚化および監視する」を参照してください。
ワークスペース内に少なくとも 1 つのインシデントがあり、
SecurityIncidentテーブルで少なくとも 1 つのエントリを使用できること。 これは SAP インシデントである必要はありません。他にインシデントがない場合は、基本的な分析ルールを使用してデモ用インシデントを生成できます。
特定のログだけでなく、監査ログの "すべての" メッセージの監査を構成することをお勧めします。 通常、インジェスト コストの違いは最小限であり、データは Microsoft Sentinel の検出や侵害後の調査やハンティングに役立ちます。 詳細については、「SAP 監査を構成する」を参照してください。
デモを表示する
このブックのデモを表示します。
詳細については、Microsoft Security コミュニティの YouTube チャネルを参照してください。
サポートされているフィルター
SAP 監査コントロール ブックでは、必要なデータに集中するのに役立つ次のフィルターがサポートされています。
| フィルター オプション | 説明 |
|---|---|
| [サブスクリプション] と [ワークスペース] | SAP システムのコンプライアンスを監査するワークスペースを選択します。 これは、Microsoft Sentinel がデプロイされている場所とは異なるワークスペースである可能性があります。 |
| [インシデントの作成日時] | [過去 4 時間] から [過去 30 日間] までの範囲、または決定したカスタム範囲を選択します。 |
| その他のインシデント属性 ([状態]、[重要度]、[戦術]、[所有者] など) | これらのそれぞれについて、使用可能な選択肢から選択します。これは、選択した時間範囲内のインシデントに表される値に対応します。 |
| システム ロール | [運用] などの SAP システム ロール。 |
| [システムの用途] | [SAP ERP] などの SAP システムの用途。 |
| システム | すべての SAP システム ID、特定のシステム ID、または複数のシステム ID を選択します。 |
| [コントロール フレームワーク]、[コントロール ファミリ]、[コントロール ID] | 対象範囲を評価するコントロール フレームワークと、ブック データをフィルター処理する特定のコントロールを選択します。 |
データ保持に関する推奨事項
[SAP 監査コントロール] ダッシュボードは、SecurityAlert テーブルと SecurityIncident テーブルに基づいてインシデントとアラートを集計して表示できます。既定では、30 日間のデータが保持されます。
組織のコンプライアンス要件に合わせて、これらのテーブルの保持期間を延長することを検討してください。 これらのテーブルのアイテム保持ポリシーの選択に関係なく、インシデント データは、ここに表示されなくても削除されることはありません。 アラート データは、テーブルのアイテム保持ポリシーに従って保持されます。
SecurityAlert および SecurityIncident テーブルの実際のアイテム保持ポリシーとして、既定の 30 日間以外の日数を定義しても問題ありません。 ブックの背景が青い網かけの通知を参照してください。これは、現在のアイテム保持ポリシーに従ってテーブル内のデータの実際の時間範囲を示しています。
詳細については、「Log Analytics ワークスペース内のテーブルのデータ保持ポリシーを構成する」を参照してください。
[構成] タブ - まだ使用されていないテンプレートから分析ルールを作成する
[構成] タブの [使用可能なテンプレート] テーブルには、アクティブなルールとしてまだ実装されていない、SAP アプリケーション向け Microsoft Sentinel ソリューションの分析ルール テンプレートが表示されます。 コンプライアンスを達成するには、これらのルールを作成することが必要になる場合があります。 次に例を示します。
既定では、[構成するソリューション テンプレート] ドロップダウンで [SAP] が選択され、このテーブルは [SAP] でフィルター処理されています。 [使用できるテンプレート] テーブルにさらにテンプレートを設定するには、このドロップダウンで任意またはすべてのソリューションを選択します。
テーブル内の各行の[表示] を選択すると、ルールの構成に関する読み取り専用のより詳細な説明が表示されます。
[おすすめの構成] 列に、ルールの目的 (調査のためにインシデントを作成しようとしているか、 取り置いて、調査で証拠として使用するために他のインシデントに追加されるアラートを作成するのみか) が表示されます。
サイド ペインで [ルールのアクティブ化] を選択すると、分析ルールをテンプレートから作成できます。これには、推奨される構成が既に組み込まれています。 この機能により、適切な構成を推測して手動で定義する面倒な作業が削減されます。
[構成] タブ - 分析ルールのセキュリティ コントロールの割り当てを表示または変更する
[構成] タブの [構成するルールの選択] テーブルには、SAP に関連するアクティブ化された分析ルールの一覧が表示されます。 次に例を示します。
このテーブルでは、次の情報を確認します。
[インシデント] および [アラート] 列にある、各ルールによって生成された数とグラフの線。 数が同じである場合、アラートが無効になっていることを示します。
[インシデント] および [ソース] 列の値。ルールがインシデントを作成するように設定されているかどうかを把握できます。
ルールの[推奨される構成] が [アラートのみ] であるかどうか。 そうである場合は、ルールでインシデント作成設定をオフにすることを検討します。
ルールを選択すると、詳細な情報を含む詳細ウィンドウが表示されます。 次に例を示します。
このサイド パネルの上部には、分析ルール構成でのインシデント作成の有効化または無効化に関する推奨事項が表示されます。
サイド ペインの次のセクションには、使用可能な各フレームワークについて、ルールの特定に使用されたセキュリティ コントロールとコントロール ファミリが表示されます。
- SOX および NIST フレームワークの場合、コントロールの割り当てをカスタマイズするには、関連するドロップダウンから別のコントロールまたはコントロール ファミリを選択します。
- カスタム フレームワークの場合は、[MyOrg] テキスト ボックスに、任意のコントロールとコントロール ファミリを入力します。 変更を加えた場合は、[変更内容を保存] を選択します。
特定の分析ルールに該当のフレームワークのセキュリティ コントロールまたはコントロール ファミリが割り当てられていない場合は、コントロールを手動で設定するように求められます。 コントロールを選択したら、[変更内容を保存] を選択します。
選択したルールに現在定義されている残りの詳細を表示するには、[ルール概要] を選択します。
[監視] タブ
[監視] タブには、ブックの上部にあるフィルターと一致する環境内のインシデントのさまざまなグループのグラフィカル表現がいくつか表示されます。
[インシデントの傾向] というラベルの付いた傾向折れ線グラフには、時間の経過に伴うインシデントの数が表示されます。 これらのインシデントは、既定では、生成されたルールによって表されるコントロール ファミリに従ってグループ化され、異なる色の線と網かけで表されます。 これらのインシデントの代替グループは、[インシデントの詳細表示基準] ドロップダウンから選択します。 次に例を示します。
インシデント ハイブ グラフには、2 とおりにグループ化されたインシデントの数が表示されます。 SOX フレームワークの場合、既定では、最初の基準は [SOX コントロール ファミリ] (セルの "ハニカム" 配列) で、次の基準は [システム ID] (ハニカム内の各セル) になります。 グループを表示するための別の基準を選択するには、[ドリル基準] および [次の基準] セレクターを使用します。
テキストをはっきりと読み取ることができる大きさにするには、ハイブ グラフを拡大し、すべてのグループを一覧表示するには縮小します。 グラフのさまざまな部分を表示するには、全体をドラッグします。 次に例を示します。
[レポート] タブ
[レポート] タブには、ブックの上部にあるフィルターと一致する、環境内のすべてのインシデントの一覧が表示されます。
インシデントは、コントロール ファミリとコントロール ID によってグループ化されます。
[インシデント URL] 列のリンクにより、そのインシデントのインシデント調査ページの新しいブラウザー ウィンドウが開きます。 このリンクは永続的であり、SecurityIncident テーブルのアイテム保持ポリシーに関係なく機能します。
ウィンドウの末尾 (外側のスクロール バー) まで下にスクロールすると、水平スクロール バーが表示されます。これを使用して、レポート内の残りの列を表示できます。
レポートの右上隅にある省略記号 (3 つのドット) を選択し、[Excel にエクスポート] を選択すると、このレポートがスプレッドシートにエクスポートされます。
![ブックの [レポート] タブのスクリーンショット。](media/sap-audit-controls-workbook/incidents-report.png)
![[Excel にエクスポート] オプションのスクリーンショット。](media/sap-audit-controls-workbook/export-report.png)
![ブックの [レポート] タブのスクリーンショット。](media/sap-audit-controls-workbook/incidents-report.png#lightbox)
関連するコンテンツ
詳細については、コンテンツ ハブからの SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイに関するページ、および「SAP アプリケーション向け Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。