SAP アプリケーション用の Microsoft Sentinel ソリューションのデプロイの前提条件
この記事では、SAP アプリケーション用の Microsoft Sentinel ソリューションのデプロイに必要な前提条件を示します。 すべての前提条件を確認して理解することは、SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイするための最初の手順です。
この記事の内容は、セキュリティ、インフラストラクチャ、および SAP BASIS チームに関連します。
Azure の前提条件
通常、Azure の前提条件はセキュリティ チームによって管理されます。
| 前提条件 | 説明 | 必須/省略可能 |
|---|---|---|
| Microsoft Sentinel へのアクセス | Microsoft Sentinel で有効になっている Log Analytics ワークスペースの *workspace ID と 主キー をメモしておきます。 これらの詳細は、Microsoft Sentinel で確認できます。ナビゲーション メニューから、[設定]>[ワークスペース設定]>[エージェント管理] の順に選択します。 デプロイ プロセス中に使用できるように、"ワークスペース ID" と "プライマリ キー" をコピーし、どこかに貼り付けておきます。 |
必須 |
| Azure リソースを作成するアクセス許可 | 少なくとも、Microsoft Sentinel コンテンツ ハブからソリューションをデプロイするために必要なアクセス許可が必要です。 詳細については、「Microsoft Sentinel ソリューションをデプロイするための前提条件」を参照してください。 | 必須 |
| Azure キー コンテナーを作成するか、または既存のものにアクセスするためのアクセス許可 | Azure Key Vault を使用して、SAP システムに接続するために必要なシークレットを格納します。 詳細については、「キー コンテナーのアクセス許可を割り当てる」を参照してください。 | SAP システム資格情報を Azure Key Vault に格納する予定の場合は必須です。 構成ファイルに格納する予定の場合は省略可能です。 詳細については、「仮想マシンを作成して資格情報へのアクセスを構成する」を参照してください。 |
| アクセス許可を使用して SAP データ コネクタ エージェントに特権ロールを割り当てる | SAP データ コネクタ エージェントをデプロイするには、Microsoft Sentinel Business Applications エージェント オペレーター ロールを使用して、Microsoft Sentinel ワークスペースへの特定のアクセス許可を持つエージェントの VM ID を付与する必要があります。 このロールを付与するには、Microsoft Sentinel ワークスペースが存在しているリソース グループに対する所有者のアクセス許可が必要です。 詳細については、データ コネクタ エージェント コンテナーをデプロイして SAP システムを接続するを参照してください。 |
必須。 リソース グループに対する所有者のアクセス許可がない場合は、エージェントが完全にデプロイされた後で、関連する手順を、関連するアクセス許可を持つ別のユーザーが実行することもできます。 |
システムの前提条件
通常、システムの前提条件はインフラストラクチャ チームによって管理されます。 SAP データ コネクタ エージェント コンテナーをデプロイするには、次のシステム前提条件が必要です。
| 前提条件 | 説明 |
|---|---|
| システム アーキテクチャ | SAP ソリューションのデータ コネクタ コンポーネントは、Docker コンテナーとしてデプロイされます。 コンテナーのホストは物理マシン、仮想マシンのどちらでもかまいません。また、オンプレミス、任意のクラウド内のどちらにも配置できます。 コンテナーをホストする VM は、Microsoft Sentinel ワークスペースと同じ Azure サブスクリプションや、同じ Microsoft Entra テナント内に配置する必要は "ありません"。 |
| サポートされている Linux バージョン | SAP データ コネクタ エージェントは、次の Linux ディストリビューションでテストされます。 - Ubuntu 18.04 以降 - SLES バージョン 15 以降 - RHEL バージョン 7.7 以降 別のオペレーティング システムを使用している場合は、コンテナーの手動のデプロイと構成が必要となる場合があります。 詳細については、「エキスパート オプションを使用して Microsoft Sentinel for SAP データ コネクタ エージェント コンテナーをデプロイする」を参照するか、サポート チケットを開きます。 |
| 仮想マシンのサイズ設定に関する推奨事項 | 最小仕様 (ラボ環境の場合など): Standard_B2s VM (以下を含む): - 2 コア - 4 GB RAM 標準コネクタ (既定): Standard_D2as_v5 VM または Standard_D2_v5 VM (以下を含む): - 2 コア - 8 GB RAM 複数コネクタ: Standard_D4as_v5 または Standard_D4_v5 VM (以下を含む): - 4 コア - 16 GB RAM |
| 管理者特権 | コンテナーのホスト コンピューターに対する管理者特権 (ルート) が必要です。 |
| ネットワーク接続 | 以下に対するアクセス権がコンテナーのホストにあることを確認します。 Microsoft Sentinel- - Azure Key Vault (Azure Key Vault を使用してシークレットを格納するデプロイ シナリオの場合) - SAP システム。次の TCP ポートを介してアクセス。32xx、5xx13、33xx、48xx (SNC 使用の場合)。ここで xx は SAP インスタンス番号。 |
| ソフトウェア ユーティリティ | SAP データ コネクタ デプロイ スクリプトを使用すると、コンテナーのホスト VM に次の必須ソフトウェアがインストールされます (使用する Linux ディストリビューションによっては、この一覧が多少異なる場合があります)。 - Unzip - NetCat - Docker - jq - curl |
| マネージド ID またはサービス プリンシパル | 最新バージョンの SAP データ コネクタ エージェントでは、 Microsoft Sentinel に対して認証するためにマネージド ID または サービス プリンシパル が必要です。 レガシ エージェントは、最新バージョンへの更新がサポートされています。それ以降のバージョンへの継続的な更新には、マネージド ID またはサービス プリンシパルを使用する必要があります。 |
SAP 前提条件
SAP BASIS チームが SAP システムの前提条件を確認し、確認することをお勧めします。 SAP システムの管理は、経験のある SAP システム管理者が行うことを強くお勧めします。
| 前提条件 | 説明 |
|---|---|
| サポートされている SAP バージョン | SAP データ コネクタ エージェントでは SAP NetWeaver システムがサポートされます。これは、SAP_BASISバージョン 731 以降でテストされました。 このチュートリアルの一部の手順では、以前のバージョン (SAP_BASIS バージョン 740) で作業している場合の代替手順を示しています。 |
| 必要なソフトウェア | SAP NetWeaver RFC SDK 7.50 (こちらからダウンロード) SAP ソフトウェアのダウンロード ページにアクセスするために、SAP ユーザー アカウントも持っていることを確認します。 |
| SAP システムの詳細 | 次の SAP システムの詳細を書き留めます。 - SAP システムの IP アドレスと FQDN ホスト名 - SAP システム番号 ( 00 など)- SAP NetWeaver システムの SAP システム ID ( NPL など) - SAP クライアント ID ( 001 など) |
| SAP NetWeaver インスタンスへのアクセス | SAP データ コネクタ エージェントでは、次のいずれかのメカニズムを使用して SAP システムに対する認証を行います。 - SAP ABAP ユーザー/パスワード - X.509 証明書を持つユーザー。 このオプションには、追加の構成手順が必要です。 詳細については、セキュリティで保護された接続に SNC を使用するようにシステムを構成するを参照してください。 |
| SAP ロールの要件 | SAP データ コネクタが SAP システムに接続できるようにするには、SAP システム ロールを作成する必要があります。 SAP NPLK900271 変更要求 (CR) をデプロイして、必要なシステム ロールを作成することをお勧めします。 詳細については、「Microsoft Sentinel ロールの構成」を参照してください。 |
| 追加サポートに推奨される PR | 推奨される PR を SAP システムにデプロイして、クライアント IP アドレスや追加ログなどの追加の詳細を取得します。 詳細については、「追加のデータ取得のサポートを構成する (推奨)」を参照してください。 |
インジェストを計画する
システムをテストして、各 SAP システムが Microsoft Sentinel に送信するログの数を決定することをお勧めします。 Microsoft Sentinel の課金はログ インジェストのサイズによって異なります。これは、システムの使用状況、デプロイされたモジュール、ユーザー数、実行ユース ケース、ネットワーク トラフィック、ログの種類などの要因によって異なります。
詳細については、以下を参照してください:
- ソリューションの価格
- コストを計画し、Microsoft Sentinel の価格と課金を理解する
- Microsoft Sentinel のコストを削減する
- Microsoft Sentinel のコストを管理および監視する