次の方法で共有


Microsoft Sentinel で SAP HANA 監査ログを収集する

この記事では、SAP HANA データベースから監査ログを収集する方法について説明します。

この記事の内容は、セキュリティインフラストラクチャSAP BASIS チームを対象としています。

重要

Microsoft Sentinel SAP HANAサポートは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

前提条件

SAP HANA ログは Syslog 経由で送信されます。 Syslog ファイルを収集するように Azure Monitor エージェントが構成されていることを確認します。 詳しくは「Azure Monitor エージェントを使用して syslog と CEF のメッセージを Microsoft Sentinel に取り込む」を参照してください。

SAP HANA の監査ログを収集する

  1. SAP Launchpad サポート サイトからアクセスできる SAP ノート 0002624117 の説明に従って、Syslog を使用するように SAP HANA 監査ログ証跡が構成されていることを確認します。 詳細については、次を参照してください。

  2. オペレーティング システムの Syslog ファイルに、関連する HANA データベース イベントがないか確認します。

  3. HANA データベース オペレーティング システムに sudo 特権を持つユーザーとしてサインインします。

  4. 使用しているマシンにエージェントをインストールし、マシンが接続されていることを確認します。 詳細については、「Azure Monitor エージェントのインストールと管理」を参照してください。

  5. Syslog データを収集するようにエージェントを構成します。 詳細については、「Azure Monitor エージェントを使用して Syslog イベントを収集する」を参照してください。

    ヒント

    HANA データベース イベントが保存されるファシリティは、ディストリビューションごとに変わる可能性があるため、すべてのファシリティを追加することをお勧めします。 それらを Syslog ログと照合し、関係のないものを削除します。

構成の確認

Microsoft Sentinel と SAP HANA データベースの両方で次の手順を使用して、システムが想定どおりに構成されていることを確認します。

Microsoft Sentinel

Microsoft Sentinel の [ログ] ページで、取り込んだログに HANA データベース イベントが表示されるようになったことを確認します。 たとえば、以下のクエリを実行します。

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

SAP HANA データベースで、構成されている監査ポリシーを確認します。 必要な SQL ステートメントの詳細については、SAP ノート 3016478 を参照してください。

Microsoft Sentinel で SAP HANA の分析ルールを追加する

次の組み込みの分析ルールを使用して、関連する SAP HANA アクティビティに対するアラートのトリガーが Microsoft Sentinel で開始されるようにします。

  • SAP - (プレビュー) HANA DB - 管理者認可の割り当て
  • SAP - (プレビュー) HANA DB - 監査証跡ポリシーの変更
  • SAP - (プレビュー) HANA DB - 監査証跡の非アクティブ化
  • SAP - (プレビュー) HANA DB - ユーザー管理者アクション

詳細については、「SAP アプリケーション用の Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。

SAP 向け Microsoft Sentinel ソリューション アプリケーションの詳細については、以下を参照してください。