SAP システム全体のユーザー監査アクティビティを監視および追跡する
この記事では、SAP システム全体のユーザー監査アクティビティの監視と追跡に使用される SAP - セキュリティ監査ログと初期アクセス ブックについて説明します。 ブックを使用して、ユーザー監査アクティビティの全体像を把握し、SAP システムのセキュリティを強化し、疑わしいアクションをすばやく可視化します。 必要に応じて、疑わしいイベントにドリルダウンします。
ブックは、SAP システムの継続的な監視、またはセキュリティ インシデントまたはその他の疑わしいアクティビティの後のシステムを確認するために使用します。
次に例を示します。
この記事の内容は、セキュリティ チームを対象としています。
前提条件
SAP - セキュリティ監査ログと初期アクセス ブックの使用を開始するには、次の前提条件を満たす必要があります。
SAP 用の Microsoft Sentinel ソリューションがインストールされ、データ コネクタが構成されています。 詳細については、「 SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイするを参照してください。
SAP - セキュリティ監査ログと初期アクセスブックが Log Analytics ワークスペースにインストールされ、Microsoft Sentinel に対して有効になっています。 詳細については、「Microsoft Sentinel でブックを使用してデータを視覚化および監視する」を参照してください。
重要
SAP - セキュリティ監査ログと初期アクセス ブックは、SAP アプリケーション用の Microsoft Sentinel ソリューションがインストールされたワークスペースによってホストされます。 既定では、SAP データと SOC データの両方が、ブックをホストするワークスペース上にあると見なされます。
SOC データがブックをホストしているワークスペースとは異なるワークスペース上にある場合は、必ずそのワークスペースのサブスクリプションを含め、Azure 監査とアクティビティ ワークスペースから SOC ワークスペースを選択してください。
Microsoft Sentinel ワークスペース内の少なくとも 1 つのインシデント。
SecurityIncidentテーブルで少なくとも 1 つのエントリを使用できます。 これは SAP インシデントである必要はありません。他にインシデントがない場合は、基本的な分析ルールを使用してデモ用インシデントを生成できます。Microsoft Entra データが別の Log Analytics ワークスペースにある場合は、ブックの上部にある Azure の監査とアクティビティで、関連するサブスクリプションとワークスペースを選択してください。
特定のログだけでなく、監査ログの "すべての" メッセージの監査を構成することをお勧めします。 通常、インジェスト コストの違いは最小限であり、データは Microsoft Sentinel の検出や侵害後の調査やハンティングに役立ちます。 詳細については、「SAP 監査を構成する」を参照してください。
サポートされているフィルター
SAP - セキュリティ監査ログと初期アクセスブックでは、次のフィルターがサポートされており、必要なデータに集中できます。
- [時間の範囲]。 4 時間から 90 日。
- System Roles。 SAP システム ロール (例: 開発)。
- System Usage。 たとえば、SAP GTS です。
- SAP systems。 すべてのシステムを選択することも、特定のシステムを選択することも、複数のシステムを選択することもできます。
SAP システムウォッチリストで構成されていないシステムを選択すると、ブックにエラーが表示され、問題のあるシステムが指定されます。 この場合は、これらのシステムを正しく含むようにウォッチリストを構成してください。
ログオン分析レポート データ
SAP - セキュリティ監査ログと初期アクセス ブックの Logon 分析レポート タブには、異常なデータ、Microsoft Entra データなどのサインイン エラーに関するデータが表示されます。
データは、 SAP システム ウォッチリストに基づいています。
Logon 分析レポートタブには、次の領域があります。
ログオン分析
Logon 分析領域には、ユーザーのサインインに関する情報が表示されます。例えば:
![SAP 監査ブックの [Logon Analysis] 領域のスクリーンショット。](media/sap-audit-log-workbook/logon-analysis.png#lightbox)
次の表では、 Logon 分析 領域の各メトリックについて説明します。
| 領域 | 説明 |
|---|---|
| Unique user logons per system | 各 SAP システムの一意のサインインの数と、各システムで選択した時間のサインイン傾向を示すグラフが表示されます。 たとえば、012 システムには過去 14 日間に 1,400 回の一意のログオン試行があり、この 14 日間、サインイン傾向が比較的上昇していることがグラフに示されています。 |
| Logon types trend | ダイアログからのログインなど、種類に応じたサインイン数の傾向を示します。 グラフの上にカーソルを合わせると、異なる日付のログオン数が表示されます。 |
| Logon failures Vs. success by unique users - trend | 選択した期間での成功したサインインと失敗したサインインの傾向を示します。 グラフの上にマウス ポインターを置くと、さまざまな日付に対する成功したサインインと失敗したサインインの量が表示されます。 |
Logon failures - anomaly detection
[Anomaly detection - filtering out noisy failed login attempts] 下の領域には、SAP システムとユーザーのログイン失敗データが表示されます。 フラグが設定されたデータのみを表示するには、右側の Failed logons の横にある Anomalous only を選択します。
詳細については、「 SAP 監査ログの監視」を参照してください。
次に例を示します。
![異常なデータでフィルター処理できる SAP 監査ブックの [Logon failures] 領域のセクションのスクリーンショット。](media/sap-audit-log-workbook/logon-failures.png#lightbox)
次の表では、 Anomaly 検出 領域の各メトリックについて説明します。
| 領域 | 説明 |
|---|---|
| [Logon failure rate]>[Logon failure anomalies]>[Unique User failed logons per SAP system] | SAP システムごとの一意の失敗したサインイン数を示します。 |
| SAP and Active Directory are better together | Anomalous ログイン エラー表には、Microsoft Sentinel と Microsoft Entra データの組み合わせが示されており、リスクに応じてユーザーが一覧表示され、最もリスクの高いユーザーが上位に表示されます。 各ユーザーについて、次の表を示します。 - 失敗したサインイン試行のタイムライン - 異常な失敗した試行が発生した時点を示すタイムライン - 異常の種類 - ユーザーのメール アドレス - Microsoft Entra リスク インジケーター - Microsoft Sentinel のインシデントとアラートの数 ユーザーの行を選択して、関連するアラートとインシデントの一覧を表示します。 Microsoft Entra リスク イベントは、ユーザーの Azure の監査とサインインのリスクの下に一覧表示されます。 |
| Logon failure rate per system | 選択した SAP システムを、種類別にグループ化し、選択した期間の障害数と共に表示します。 システムの色は、失敗した試行の数を示します。いくつかの疑わしいサインイン試行の場合は緑、それ以上は赤色です。 システムを選択すると、失敗したサインインの一覧と、エラーの詳細が表示されます。 |
次のスクリーンショットでは、 Anomalous ログイン エラー テーブルで最初の行が選択されたときに表示されるデータに注意してください。 特定のアラートとインシデント URL は、[Incidents/alerts overview for user] テーブルに表示されます。
![[Anomalous login failures] で行が選択されたときに表示されるデータのスクリーンショット。](media/sap-audit-log-workbook/anomalous-logon-failures-table.png#lightbox)
次のスクリーンショットの Azure audit and signin risk for user table shows data for the sign-in risk related to this user.
![[Anomalous login failures] テーブルで行が選択されたときに表示される監査およびサインイン リスク データのスクリーンショット。](media/sap-audit-log-workbook/azure-audit-signin-risks.png#lightbox)
次のスクリーンショットでは、Test グループの下の 84e システムが選択されているシステム領域ごとの Login エラー率に注意してください。 右側の [Failed logons for system] 領域には、このシステムのエラー イベントが表示されます。
![SAP 監査ブックの [Login failure rate per system] 領域のスクリーンショット。](media/sap-audit-log-workbook/logon-failure-rate.png#lightbox)
Logon failures - trends
[Logon failures trends] 領域には、失敗したサインインの傾向と数が、さまざまな種類のデータ別にグループ化されて表示されます。 次に例を示します。
![SAP 監査ブックの [Logon failures trends] 領域のスクリーンショット。](media/sap-audit-log-workbook/logon-failure-trends.png#lightbox)
次の表では、 Logon エラーの傾向 領域の各メトリックについて説明します。
| 領域 | 説明 |
|---|---|
| Login failure by cause | 正しくないサインイン データなど、失敗の原因に応じたサインイン エラーの数の傾向を示します。 |
| Login failure by type | サインインがバックグラウンド ジョブをトリガーした、サインインが HTTP 経由であったなど、種類に応じてサインインエラーの数の傾向を示します。 |
| Login failure by method | SNCやサインイン チケットなど、方法に従ってサインインエラーの数の傾向を示。 |
[Audit log alerts report] タブ
Audit ログ アラート タブには、SAP アプリケーション用の Microsoft Sentinel ソリューションが監視する SAP 監査ログ イベントに関するデータが表示されます。 データは、 SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストに基づいています。
Audit ログ アラート タブには、各 SAP システムとユーザーの重大度と監査の傾向が表示されます。 このタブのすべての領域には、異常検出によってのみフラグが設定されたデータが表示されます。 すべてのイベントについて、右側の [Failed logons] の横にある [All] を選択します。
詳細については、「 SAP 監査ログの監視」を参照してください。
次に例を示します。
![SAP 監査ブックの [Audit Log Alerts] 領域のスクリーンショット。](media/sap-audit-log-workbook/audit-log-alerts.png#lightbox)
次の表では、 Audit ログ アラート タブの各メトリックについて説明します。
| 領域 | 説明 |
|---|---|
| システム ID ごとのアラートの重大度の傾向 | Medium と High システムごとの重大度イベントの傾向のグラフを含むシステムの一覧を示します。 たとえば、 012 システムには、期間中に多くの High 重大度イベントと、いくつかの Medium 重大度イベントがあり、期間の途中でより多くの Medium 重大度イベントが示されます。 |
| Audit trend per user | Microsoft Sentinel と Microsoft Entra データの組み合わせを示し、リスクに応じてユーザーを一覧表示し、最もリスクの高いユーザーを上位に表示します。 各ユーザーについて、ブックには次のデータが表示されます。 - High および Medium 重大度イベントのタイムライン - ユーザーのメール アドレス - Microsoft Entra リスク インジケーター - Microsoft Sentinel のインシデントとアラートの数 行を選択すると、そのユーザーのアラートとインシデントの一覧が表示 ユーザーのIncidents/alerts の概要。 ユーザーの Azure の監査とサインインのリスクで Microsoft Entra リスク イベントを表示します。 |
| Risk score per system | セル図形内の各システムを視覚的に表し、各システムのリスク スコアと、システムを種類別にグループ化する方法を示します。 システムの色は、システムのリスク スコアを示します。低リスク スコアの場合は緑、リスク スコアが高い場合は赤です。 システムを選択して、システムごとの SAP イベントの一覧を表示します。 |
| MITRE ATT&CK の戦術によるイベント | グラフの上にカーソルを合わせると、さまざまな日付のサインインの数が表示されます。 |
| Events by category | RFC Start や Logon など、カテゴリ別にグループ化された SAP イベントの傾向の一覧を表示します。 グラフの上にマウス ポインターを置くと、さまざまな日付のサインイン番号が表示されます。 |
| Events by authorization group | グラフの上にカーソルを合わせると、さまざまな日付のサインインの数が表示されます。 |
| Events by user type | Dialog や System など、SAP ユーザーの種類別にグループ化された SAP イベントの傾向の一覧を表示します。 グラフの上にカーソルを合わせると、さまざまな日付のサインインの数が表示されます。 |
次のスクリーンショットでは、ユーザーごとの Audit 傾向 テーブルで最初の行が選択されたときに表示されるデータをメモします。 特定のアラートとインシデント URL は、[Incidents/alerts overview for user] テーブルに表示されます。
![[Audit trends per user] テーブルで行が選択されたときに表示されるデータのスクリーンショット。](media/sap-audit-log-workbook/audit-trend-per-user.png#lightbox)
次のスクリーンショットでは、UAT グループの下の cb7 システムが選択されているシステム領域ごとのRisk スコアに注意してください。 システム視覚化の下の [SAP events for system] 領域には、このシステムの SAP イベントが表示されます。
![SAP 監査ブックの [Risk score per system] 領域のスクリーンショット。](media/sap-audit-log-workbook/risk-score-per-system.png#lightbox)
次のスクリーンショットでは、さまざまな種類のデータによってグループ化されたイベントとイベントの傾向を示す領域 (MITRE ATT&CK 戦術、SAP 承認グループ、ユーザーの種類) をメモします。
関連するコンテンツ
詳細については、コンテンツ ハブからの SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイに関するページ、および「SAP アプリケーション向け Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。