SAP アプリケーション向け Microsoft Sentinel ソリューション: デプロイの概要
SAP アプリケーション向け Microsoft Sentinel ソリューションを使用して、Microsoft Sentinel で SAP システムを監視し、SAP アプリケーションのビジネス ロジックとアプリケーション層全体で高度な脅威を検出します。
この記事では、SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイについて説明します。
重要
記載されている機能は、現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
ソリューション コンポーネント
SAP アプリケーション向けの Microsoft Sentinel ソリューションには、SAP システムからログを収集して Microsoft Sentinel ワークスペースに送信するデータ コネクタと、組織の SAP 環境に関する分析情報を取得し、セキュリティの脅威を検出して対応するのに役立つすぐに使用できるセキュリティ コンテンツが含まれています。
データ コネクタ
SAP 向け Microsoft Sentinel ソリューション アプリケーションでは、コンテナー化されたデータ コネクタ エージェントとエージェントレス データ コネクタの両方がサポートされています。 どちらのエージェントも、オンボードされているすべての SAP SID のアプリケーション ログを SAP システム ランドスケープ全体から収集し、それらのログを Microsoft Sentinel の Log Analytics ワークスペースに送信します。
詳細については、次のいずれかのタブを選択してください。
たとえば、次の図は、運用環境システムと SAP Business Technology Platform を含む非運用環境システムに分割されたマルチ SID SAP ランドスケープを示しています。 この画像内のすべてのシステムは、SAP ソリューション用の Microsoft Sentinel にオンボードされています。
エージェントは、SAP システムに接続してそこからログとその他のデータをプルし、次にそれらのログを Microsoft Sentinel ワークスペースに送信します。 これを行うには、エージェントは、この目的のために特別に作成されたユーザーとロールを使用して、SAP システムに対して認証する必要があります。
Microsoft Sentinel では、SAP 認証シークレットの構成など、エージェント構成情報を保存するためのいくつかのオプションがサポートされています。 どのオプションを使用するかは、VM をデプロイする場所と、使用する SAP 認証メカニズムによって異なる可能性があります。 サポートされているオプションは次のとおりです。優先順に示されています。
- Azure Key Vault (Azure システム割り当てマネージド ID を使用してアクセス)
- Azure Key Vault (Microsoft Entra ID 登録済みアプリケーション サービス プリンシパルを使用してアクセス)
- プレーンテキストの構成ファイル
SAP の Secure Network Communication (SNC) および X.509 証明書を使用して認証することもできます。 SNC を使用すると認証セキュリティのレベルは向上しますが、必ずしもすべてのシナリオで実用的であるとは限りません。
セキュリティ コンテンツ
SAP アプリケーション向け Microsoft Sentinel ソリューションには、組織の SAP 環境に関する分析情報を取得し、セキュリティの脅威を検出して対応するのに役立つ次の種類のセキュリティ コンテンツが含まれています。
- 脅威検出のための分析ルールとウォッチリスト。
- データ アクセスを簡単にするための関数。
- 対話型のデータの可視化を作成するためのブック。
- 組み込みソリューションのパラメーターをカスタマイズするためのウォッチリスト。
- 脅威への対応を自動化するために使用できるプレイブック。
詳細については、「SAP アプリケーション用の Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。
デプロイ フローとペルソナ
SAP アプリケーション向けに Microsoft Sentinel ソリューションをデプロイするには、いくつかの手順が必要であり、データ コネクタ エージェントとエージェントレス ソリューションのどちらを使用しているかによって異なり、複数のチーム間でのコラボレーションが必要です。 詳細については、次のいずれかのタブを選択してください。
SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイには、いくつかの手順が必要であり、セキュリティ、インフラストラクチャ、SAP BASIS チームなど、複数のチーム間でのコラボレーションが必要です。 次の図は、SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする手順と、関係するチームを示しています。
作業が割り当てられ、デプロイを円滑に進めることができるように、デプロイを計画する際には、関係するすべてのチームを関与させることをお勧めします。
デプロイの手順は次のとおりです。
SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイするための前提条件を確認します。 一部の前提条件は、インフラストラクチャまたは SAP BASIS チームと調整する必要があります。
次の手順は、別々のチームが関与し、相互に依存していないため、並行して実行できます。
コンテンツ ハブから SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイします。 環境に適したソリューションがインストールされていることを確認します。 この手順は、セキュリティ チームによって Azure portal で処理されます。
Microsoft Sentinel ソリューション用に SAP システムを構成します。たとえば、SAP 承認の構成、SAP 監査の構成などがあります。 これらの手順は SAP BASIS チームが行うことをお勧めします。Microsoft のドキュメントには SAP ドキュメントへの参照が含まれています。
コンテナー化されたデータ コネクタ エージェントを配置して SAP システムを接続します。 この手順は、セキュリティ、インフラストラクチャ、SAP BASIS の各チーム間での調整が必要です。
SAP の検出と脅威に対する保護を有効にします。 この手順は、セキュリティ チームによって Azure portal で処理されます。
その他のオプションとしては、次のものがあります。
SAP データの収集を停止する
データ コネクタ エージェントを使用していて、Microsoft Sentinel による SAP データの収集を停止する必要がある場合は、ログ インジェストを停止し、コネクタを無効にします。 次に、SAP システムにインストールされている余分なユーザー ロールとオプションの CR を削除します。
詳細については、「SAP データの収集を停止する」を参照してください。
関連するコンテンツ
詳細については、以下を参照してください:
- Microsoft Sentinel コンテンツとソリューションについて。
- SAP システムの正常性とロールを監視する
- Microsoft Sentinel の SAP データ コネクタ エージェントを更新する
次のステップ
前提条件を確認して、SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイを開始します。