SAP アプリケーション向け Microsoft Sentinel ソリューションをインストールする

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

SAP アプリケーション向け Microsoft Sentinel ソリューションには、SAP システムからログを収集して Microsoft Sentinel ワークスペースに送信する SAP データ コネクタと、組織の SAP 環境に関する分析情報を取得し、セキュリティの脅威を検出して対応するのに役立つすぐに使用できるセキュリティ コンテンツが含まれています。 ソリューションをインストールすることは、データ コネクタ エージェント コンテナーを構成する前に必要な手順です。

Microsoft Sentinel は、コンテナー化されたデータ コレクター エージェントとエージェントレス ソリューションの両方をサポートしています。 ページの上部にある、環境に適したデプロイ オプションを選択します。

この記事の内容は、セキュリティチームに関連します。

重要

Microsoft Sentinel の エージェントレス ソリューション は、リリース前の製品として限定プレビュー段階にあり、商用リリース前に大幅に変更される可能性があります。 Microsoft では、ここに記載されている情報について、明示的であれ黙示的であれ、一切保証していません。 エージェントレス ソリューションへのアクセスには登録も必要であり、プレビュー期間中は承認されたお客様とパートナーのみが利用できます。 詳細については、「SAP 向け Microsoft Sentinel がエージェントレスに」を参照してください。

前提条件

コンテンツ ハブから SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイするには、次のものが必要です。

• Microsoft Sentinel が有効な Log Analytics ワークスペース。
• ワークスペースに対する読み取りと書き込みのアクセス許可。 詳細については、「Microsoft Sentinel のロールとアクセス許可」を参照してください。

また、SAP アプリケーション向け Microsoft Sentinel ソリューションを展開するための前提条件 (特に Azure の前提条件) も確認してください。

コンテンツ ハブからソリューションをインストールする

Microsoft Sentinel の SAP アプリケーション ソリューションをインストールすると、SAP 向け Microsoft Sentinel データ コネクタを Microsoft Sentinel データ コネクタとして使用できるようになります。 また、このソリューションでは、SAP - Audit Controls ブックと SAP 関連の分析ルールなどのセキュリティ コンテンツもデプロイされます。

1. Microsoft Sentinel コンテンツ ハブで SAP アプリケーションを検索し、コンテナー化されたデータ コネクタ エージェントを使用して、Microsoft Sentinel が有効になっている Log Analytics ワークスペースにソリューションをインストールします。

2. [SAP アプリケーション 向け Microsoft Sentinel ソリューション] ページで、[作成] を選択して展開設定を定義します。 次に例を示します。

   

3. [基本] タブの [プロジェクトの詳細] で、ソリューションをインストールする [サブスクリプション] と [リソース グループ] を選択します。

4. [インスタンスの詳細] で、ソリューションのインストール先となる Microsoft Sentinel が有効な Log Analytics ワークスペースを選択します。

   複数のワークスペースで SAP アプリケーション向け Microsoft Sentinel ソリューションを使用している場合は、[一部のデータが別のワークスペース上にある] を選択し、ターゲット ワークスペース、SOC ワークスペース、および SAP ワークスペースを定義します。 次に例を示します。

   次に例を示します。

   

5. [確認と作成] または [次へ] を選択 して、ソリューション コンポーネントを参照します。 準備ができたら、[作成] を選択します

   展開プロセスには数分かかる場合があります。 展開が完了したら、Microsoft Sentinel で展開したコンテンツを表示できます。

ヒント

SAP と SOC のデータを追加のアクセスの制御なしで同じワークスペースに保持する場合は、一部のデータが別のワークスペースにある を選択しないでください。 このような場合は、詳細については、同じワークスペース に保持されている SAP データと SOC データを参照してください。

Microsoft Sentinel の SAP エージェントレス ソリューションをインストールすると、エージェントレス SAP 向け Microsoft Sentinel を Microsoft Sentinel データ コネクタとして使用できるようになります。 また、このソリューションでは、SAP - Audit Controls ブックや SAP 関連の分析ルール、データ収集エンドポイント、データ収集ルール (DCR) などのセキュリティ コンテンツもデプロイされます。

1. Microsoft Sentinel コンテンツ ハブで SAP エージェントレス (プレビュー) を検索し、エージェントレス データ コネクタを使用して、Microsoft Sentinel が有効になっている Log Analytics ワークスペースにソリューションをインストールします。

2. [SAP 向け Sentinel ソリューション (エージェントレス)] ページで、[作成] を選択してデプロイ設定を定義します。

3. [基本] タブの [プロジェクトの詳細] で、ソリューションをインストールする [サブスクリプション] と [リソース グループ] を選択します。

4. [インスタンスの詳細] で、ソリューションのインストール先となる Microsoft Sentinel が有効な Log Analytics ワークスペースを選択します。

5. [確認と作成] または [次へ] を選択 して、ソリューション コンポーネントを参照します。 準備ができたら、[作成] を選択します

   展開プロセスには数分かかる場合があります。 展開が完了したら、Microsoft Sentinel で展開したコンテンツを表示できます。

6. Microsoft Sentinel の[構成 > データ コネクタ] ページで、[クラウド コネクタを介した SAP ABAP および S/4 (プレビュー)] データ コネクタを見つけて選択します。

7. [クラウド コネクタを介した SAP ABAP および S/4 (プレビュー)] ページの構成領域で、[プッシュ コネクタ リソースのデプロイ] を選択して、データ収集ルール (DCR) と Microsoft Entra ID アプリの登録をサブスクリプションにデプロイします。

8. デプロイが完了したら、後で使用するため次の値をメモしてください。

   • 不変 ID
   • ログ インジェスト URL
   • テナント ID
   • Entra アプリケーション ID
   • Entra アプリケーション シークレット

重要

コネクタを作成するために [接続の追加] を選択する前に、「Microsoft Sentinel ソリューション用に SAP システムを構成する」のすべての SAP デプロイ手順を完了してください。 SAP システムを Microsoft Sentinel に接続するには、SAP iflow を完全に構成してデプロイする必要があります。

詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。

展開されたコンテンツを表示する

展開が完了したら、コンテンツ ハブから SAP アプリケーション向け Microsoft Sentinel ソリューションをもう一度参照して、新しいコンテンツを表示します。 あるいは:

• 組み込みの SAP ブックについては、Microsoft Sentinel 上で [脅威管理]>[ブック]>[テンプレート] と移動します。

• 一連の SAP 関連の分析ルールについては、[構成]>[分析][ルール] と移動します。

データ コネクタを構成して接続を完了するまでは、データ コネクタは接続済みとして表示されません。

次のステップ

Microsoft Sentinel ソリューション用に SAP システムを構成する

関連するコンテンツ

詳細については、「SAP アプリケーション用の Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。