複数のワークスペースに SAP を統合する
Log Analytics ワークスペースを Microsoft Sentinel で有効化して設定するときは、複数のアーキテクチャ オプションと考慮すべき要因があります。 アカウントの地域、規制、アクセス制御、その他の要因を考慮して、組織に複数のワークスペースを含めることができます。
SAP を使用する場合、SAP と SOC のチームは、セキュリティ境界を保持するために、必要に応じて個別のワークスペースで作業します。 組織全体の他のすべてのセキュリティ ログを SAP チームが閲覧できないようにする場合もあります。 ただし、SAP BASIS チームは、SAP アプリケーション向け Microsoft Sentinel ソリューションの実装と保守を成功させる上で重要な役割を果たします。 その技術的知識は、SAP システムを効果的に監視し、セキュリティの設定を構成し、適切なインシデント応答手順を確実に実施する上で不可欠です。 このため、SAP BASIS チームは Microsoft Sentinel に対して有効になっている Log Analytics ワークスペースにアクセスできる必要があります。そうすると、特に SAP 関連のセキュリティ監視に重点を置きながら、SOC チームと共同作業できるようになります。
この記事では、以下の場合に柔軟性を高めながら、複数のワークスペースで SAP アプリケーション向け Microsoft Sentinel ソリューションを使用する方法について説明します。
- マネージド セキュリティ サービス プロバイダー (MSSP)、またはグローバルまたはフェデレーション セキュリティ オペレーション センター (SOC)。
- データ所在地の要件。
- 組織階層と IT 設計。
- 1 つのワークスペースでロールベースのアクセス制御 (RBAC) が不十分である。
重要
複数のワークスペースの操作は、現在プレビュー段階です。 この機能は、サービス レベル アグリーメントがなくても提供されます。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。
Note
複数ワークスペースのサポートは、データ コネクタ エージェントを使用する場合のみ使用でき、SAP エージェントレス ソリューション (限定プレビュー) ではサポートされていません。
SAP データと SOC データが個別のワークスペースで保持される
SAP チームと SOC チームが、Microsoft Sentinel に対して有効になっている個別の Log Analytics ワークスペースを持ち、そこにチーム データが保存される場合は、一部またはすべての SOC チーム メンバーに SAP BASIS チームのワークスペースに対する Sentinel 閲覧者ロールを付与することをお勧めします。 これにより、両方のチームがクロスワークスペース クエリを使用して SAP データを確認できるようになります。
SAP データと SOC データ用に個別のワークスペースを保持すると、次の利点があります。
| 特長 | 説明 |
|---|---|
| 警告 | Microsoft Sentinel では、SOC データと SAP データの両方を含むアラートをトリガーすることができ、SOC ワークスペースでそれらのアラートを実行できます。 |
| データの分離 | SAP BASIS チームには、SOC と SAP のデータを両方含む検出を除き、すべての機能が含まれる独自のワークスペースがあります。 SOC では、SAP インシデントを確認および調査できます。 既存のデータを使用して説明できないイベントが SAP BASIS チームで発生した場合、チームは SOC にインシデントを割り当てることができます。 |
| 柔軟性 | SAP BASIS チームは、そのランドスケープ内にある内部脅威の制御に集中でき、SOC は外部脅威に集中できます。 |
| Pricing | データが Microsoft Sentinel に取り込まれるのは 1 回のみなので、インジェスト料金が追加で請求されることはありません。 ただし、各ワークスペースには、独自の価格レベルがあります。 |
次の表は、SAP と SOC のチームがそれぞれ独自のワークスペースを保持する場合のデータと機能へのアクセスをマップしたものです。
| 機能 | SOC チーム | SAP BASIS チーム |
|---|---|---|
| SOCワークスペース アクセス | ✅ | ❌ |
| SAP ワークスペース のデータ、分析ルール、関数、ウォッチリスト、ブックへのアクセス | ✅ | ✅* |
| SAP インシデントのアクセスとコラボレーション | ✅ | ✅* |
* SOC チームは、両方のワークスペースでこれらの機能を確認できます。 SAP BASIS チームは、SAP ワークスペースでのみ、これらの機能を確認できます。
Note
大規模な SAP ランドスケープ全体でクロスワークスペース クエリを実行すると、パフォーマンスに影響する可能性があります。 パフォーマンスとコストの最適化を改善するには、同じ 専用クラスターに SOC と SAP の両方のワークスペースを用意することを検討してください。 詳細については、「Azure Monitor ログで専用クラスターを作成および管理する」を参照してください。
SAP と SOC のデータを同じワークスペースで保持する
すべてのデータを 1 つのワークスペースに保持し、アクセス制御を適用して、チームの誰がデータにアクセスできるかを決定することができます。
そのためには、次の手順に従います。
Azure Monitor で Log Analytics を使用して、リソースごとにデータへのアクセスを管理します。 詳細については、「リソースによる Microsoft Sentinel データへのアクセスを管理する」を参照してください。
SAP リソースを Azure リソース ID に関連付けます。 このオプションは、CLI を介してデプロイされたデータ コネクタ エージェントに対してのみサポートされます。 SAP システムから Microsoft Sentinel にデータを取り込むために使用するデータ コレクターのコネクタ構成セクションで、必須の
azure_resource_idフィールドを指定します。 詳細情報については、「コマンド ラインから SAP データ コネクタ エージェントをデプロイする」、および「Connector の構成」を参照してください。
データ コレクター エージェントが正しいリソース ID で構成されると、SAP BASIS チームは、スコープ付きリソース クエリを使用して SOC ワークスペース内にある特定の SAP データにアクセスできます。 SAP BASIS チームは、SAP 以外の他のデータ型を読み取ることができません。
データが Microsoft Sentinel に取り込まれるのは 1 回のみなので、この方法に関連するコストはありません。
リソースごとにアクセスを管理する場合、SAP BASIS チームには、Log Analytics または Power BI 経由でアクセスできる、書式設定されていない生データのみが表示されます。 SAP BASIS チームは、Microsoft Sentinel 機能を使用できません。
関連するコンテンツ
詳細については、SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイに関する記事を参照してください。