Microsoft Sentinel ソリューション用に SAP システムを構成する
この記事では、SAP データ コネクタ エージェントに接続するために SAP 環境を準備する方法について説明します。 準備には、必要な SAP 承認の構成に加え、必要に応じて追加の SAP 変更要求 (PR) のデプロイが含まれます。
この記事は、SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする 2 つ目の手順の一部です。
通常、この記事の手順は SAP BASIS チームが実行します。
前提条件
- 作業を開始する前に、SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイするための前提条件を必ず確認してください。
Microsoft Sentinel ロールを構成する
SAP データ コネクタが SAP システムに接続できるようにするには、この目的専用の SAP システム ロールを作成する必要があります。
ログの取得と攻撃かく乱応答アクションの両方を含めるには、/MSFTSEN/SENTINEL_RESPONDER ファイルからロールの認可を読み込むことで、このロールを作成することをお勧めします。
ログの取得のみを含めるには、NPLK900271 SAP 変更要求 (CR): K900271.NPL | R900271.NPL をデプロイすることで、このロールを作成することをお勧めします
他の CR をデプロイする場合と同様に、必要に応じてこれらの CR を SAP システムにデプロイします。 SAP CR のデプロイは、経験豊富な SAP システム管理者が行うことを強くお勧めします。 詳しくは、SAP のドキュメントをご覧ください。
または、MSFTSEN_SENTINEL_CONNECTOR ファイルからロールの認可を読み込みます。これには、データ コネクタが動作するためのすべての基本的なアクセス許可が含まれています。
経験豊富な SAP 管理者なら、ロールを手動で作成して、適切なアクセス許可を割り当てるかもしれません。 このような場合は、取り込むログに必要な関連する認可を使用して、ロールを手動で作成します。 詳細については、「必要な ABAP 承認」を参照してください。 このドキュメントの例では、/MSFTSEN/SENTINEL_RESPONDER という名前を使用しています。
ロールを構成するときは、次のことをお勧めします。
- PFCG トランザクションを実行して、Microsoft Sentinel のアクティブなロール プロファイルを生成します。
- ロール名として
/MSFTSEN/SENTINEL_RESPONDERを使用します。
詳細については、ロールの作成に関する SAP ドキュメントを参照してください。
ユーザーの作成
SAP システムに接続するには、SAP アプリケーション向け Microsoft Sentinel ソリューションにユーザー アカウントが必要です。 ユーザーを作成する場合:
- システム ユーザーを作成してください。
- 前の手順で作成した /MSFTSEN/SENTINEL_RESPONDER ロールをユーザーに割り当てます。
詳しくは、SAP のドキュメントをご覧ください。
SAP 監査を構成する
SAP システムの一部のインストールでは、監査ログが既定で有効になっていない場合があります。 SAP アプリケーション向け Microsoft Sentinel ソリューションのパフォーマンスと有効性の評価で最良の結果を得るには、SAP システムの監査を有効にし、監査パラメーターを構成します。 SAP HANA DB ログを取り込む場合は、SAP HANA DB の監査も有効にします。
監査ログのすべてのメッセージに対して監査を構成することをお勧めします。このデータは、Microsoft Sentinel の検出や、侵害後の調査やハンティングに役立つからです。
詳細については、SAP コミュニティと「Microsoft Sentinel で SAP HANA 監査ログを収集する」を参照してください。
追加のデータ取得についてサポートを構成する (推奨)
この手順は省略可能ですが、Microsoft Sentinel GitHub リポジトリから追加の CR をデプロイして、SAP データ コネクタが SAP システムから次のコンテンツ情報を取得できるようにすることをお勧めします。
- DB テーブルとスプール出力のログ
- セキュリティ監査ログからのクライアント IP アドレス情報 (SAP BASIS バージョン 7.5 SP12 以降のみ)
SAP バージョンに応じて、関連する CR をデプロイします。
| SAP Basis のバージョン | 推奨される CR |
|---|---|
| 750 以降 | NPLK900202: K900202.NPL、R900202.NPL この CR を次の SAP バージョンのいずれかにデプロイする場合は、2641084 - セキュリティ監査ログのデータに対する標準化された読み取りアクセス権もデプロイします。 - 750 SP04 から SP12 - 751 SP00 から SP06 - 752 SP00 から SP02 |
| 740 | NPLK900201: K900201.NPL、R900201.NPL |
他の CR をデプロイする場合と同様に、必要に応じてこれらの CR を SAP システムにデプロイします。 SAP CR のデプロイは、経験豊富な SAP システム管理者が行うことを強くお勧めします。 詳しくは、SAP のドキュメントをご覧ください。
詳細については、SAP コミュニティと SAP ドキュメントを参照してください。
PAHI テーブルが定期的に更新されていることを確認する
SAP PAHI テーブルには、SAP システム、データベース、および SAP パラメーターの履歴に関するデータが含まれています。 場合によっては、構成に不足や問題があるため、SAP アプリケーション向け Microsoft Sentinel ソリューションで SAP PAHI テーブルを定期的に監視できないことがあります。 PAHI テーブルを更新し、それを頻繁に監視することが重要です。こうすることで、SAP アプリケーション向け Microsoft Sentinel ソリューションは、1 日を通していつでも発生する可能性のある疑わしいアクションに対してアラートを生成できます。 詳細については、以下を参照してください:
PAHI テーブルが定期的に更新される場合、SAP_COLLECTOR_FOR_PERFMONITOR ジョブがスケジュールされ、1 時間ごとに実行されます。 SAP_COLLECTOR_FOR_PERFMONITOR ジョブが存在しない場合は、必要に応じて構成してください。
詳細については、以下を参照してください:
- SAP ドキュメント: 「バックグラウンド処理でのデータベースコレクター」と「データ コレクターの構成」
- SAP PAHI テーブルの監視を最適化する (推奨)
安全な接続に SNC を使用するようにシステムを構成する
SAP データ コネクタ エージェントの既定では、リモート関数呼び出し (RFC) 接続と認証用のユーザー名とパスワードを使用して SAP サーバーに接続します。
ただし、場合によっては、暗号化されたチャネルで接続を確立したり、認証にクライアント証明書を使用したりする必要があります。 このような場合は、このセクションで説明するように、SAP のスマート ネットワーク コミュニケーション (SNC) を使用してデータ接続をセキュリティで保護します。
運用環境では、SAP 管理者に相談して、SNC を構成するためのデプロイ計画を作成することを強くお勧めします。 詳しくは、SAP のドキュメントをご覧ください。
SNC を構成する場合:
- エンタープライズ証明機関からクライアント証明書が発行された場合は、発行元の CA 証明書とルート CA 証明書を、データ コネクタ エージェントを作成する予定のシステムに転送します。
- また、SAP データ コネクタ エージェント コンテナーを構成するときには、必ず関連する値を入力し、関連する手順を使用してください。