次の方法で共有


SAP アプリケーション向け Microsoft Sentinel ソリューション - 関数リファレンス

この記事では、SAP アプリケーション用の Microsoft Sentinel ソリューションをインストールした後にワークスペースで使用できる関数の選択について説明します。 Microsoft Sentinel で参照し、関数コードを読み込むことで、その他の関数を検出します。

次のように関数を検索します。

  • Azure portal の General > Logs ページの Functions タブで、 Workspace 関数の下に一覧表示されます。
  • Defender ポータルの Investigation & response > Advanced hunting ページの Functions タブで、 Sentinel ワークスペース関数の下に一覧表示されます。

この記事の内容は、 security チームを対象としています。

基になるログやテーブルの代わりにクエリで関数を使用する

基になるログまたはテーブルではなく、可能な限り、この記事に記載されている関数を分析の対象として使用することをお勧めします

これらの関数は、データのプリンシパル ユーザー インターフェイスとして機能することを意図しています。 これらは、既定で使用できるすべての組み込みの分析ルールとブックの基礎を形成しています。 関数を使用すると、ユーザーが作成したコンテンツを中断することなく、関数の下のデータ インフラストラクチャに変更を加えることができます。

SAPUsersAssignments

SAPUsersAssignments 関数は、複数の SAP データ ソースからデータを収集し、現在割り当てられているロールとプロファイルを含む、現在のユーザー マスター データのユーザー中心のビューを作成します。

この関数は、ロールとプロファイルへのユーザーの割り当てをまとめて、次のデータを返します。

フィールド 説明 データ ソース/メモ
User SAP ユーザー ID SAL のみ
電子メール SMTP アドレス USR21 (SMTP_ADDR)
UserType ユーザー タイプ USR02 (USTYP)
タイム ゾーン タイム ゾーン USR02 (TZONE)
LockedStatus ロックの状態 USR02 (UFLAG)
LastSeenDate 最終表示日 USR02 (TRDAT)
LastSeenTime 最終表示時刻 USR02 (LTIME)
UserGroupAuth ユーザー マスター メンテナンスのユーザー グループ USR02 (CLASS)
Profiles プロファイルのセット (既定の最大セット サイズ = 50) ["Profile 1", "Profile 2",...,"profile 50"]
DirectRoles 直接割り当てられるロールのセット (既定の最大セット サイズ = 50) ["Role 1", "Role 2",...,"”"Role 50"]
ChildRoles 間接的に割り当てられるロールのセット (既定の最大セット サイズ = 50) ["Role 1", "Role 2",...,"”"Role 50"]
Client クライアント ID
SystemID システム ID コネクタに定義されているとおり

SAPUsersGetPrivileged

SAPUsersGetPrivileged 関数は、クライアントおよびシステム ID ごとの特権ユーザーの一覧を返します。

ユーザーは、次の説明のいずれかに一致すると特権を持つと見なされます。

  • これらは、 SAP - Privileged Users ウォッチリストに表示されます
  • SAP - 機密プロファイルウォッチリストに一覧表示されているプロファイルに割り当てられます
  • SAP - 機密ロールウォッチリストに一覧表示されているロールに追加されます

パラメーター:

Name 省略可/必須 既定値 説明
TimeAgo 省略可能 7 日 TimeAgo値で定義された時刻から、now()値によって定義された時刻まで、関数がユーザー マスター データをシークすることを決定します。

SAPUsersGetPrivileged 関数は、次のデータを返します。

フィールド 説明
User SAP ユーザー ID
Client クライアント ID
SystemID システム ID

SAPUsersAuthorizations

SAPUsersAuthorizations 関数は、複数のテーブルのデータをまとめて、割り当てられている現在のロールと認可のユーザー中心のビューを生成します。 アクティブなロールと認可の割り当てを持つユーザーのみが返されます。

パラメーター:

Name 省略可/必須 既定値 説明
TimeAgo 省略可能 7 日 TimeAgo値で定義された時刻から、now()値によって定義された時刻まで、関数がユーザー マスター データをシークすることを決定します。

SAPUsersAuthorizations 関数は、次のデータを返します。

フィールド 説明 Notes
User SAP ユーザー ID
ロール ロールのセット (既定の最大セット サイズ = 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails 認可のセット (既定の最大セット サイズ = 100) {{AuthorizationsDetails1},
{AuthorizationsDetails2},
...,
{AuthorizationsDetails100}}
Client クライアント ID
SystemID システム ID

SAPConnectorHealth

SAPConnectorHealth 関数には、エージェントと、基になる SAP システムの接続の状態が反映されます。 ハートビート ログ SAP_HeartBeat_CL と他の正常性インジケーターに基づいて、次のデータが返されます。

フィールド 説明
エージェント エージェントの構成内のエージェント ID (自動的に生成)
SystemID SAP システム ID
Status 全体的な接続状態
詳細 接続に関する詳細
ExtendedDetails 接続の拡張詳細
LastSeen 最新のアクティビティのタイムスタンプ
StatusCode システムの状態を反映するコード

SAPConnectorOverview

SAPConnectorOverview 関数は、各 SAP テーブルのシステム ID ごとの行数を表示します。 システム ID ごとのデータ レコードと、その生成時間の一覧を返します。

パラメーター:

Name 省略可/必須 既定値 説明
TimeAgo 省略可能 7 日 TimeAgo値で定義された時刻から、now()値によって定義された時刻まで、関数がユーザー マスター データをシークすることを決定します。

SAPConnectorOverview 関数は、次のデータを返します。

フィールド 説明
TimeGenerated レコードが生成されたタイムスタンプの datetime 値
SystemID_s SAP システム ID を表す文字列

次の Kusto クエリを使用して、日次傾向分析を実行します。

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

SAPUsersEmail 関数を使用すると、SAP システムとクライアントごとに SAP ユーザーのメール アドレスをパフォーマンス指向で検索できます。通常は、それを Active Directory アカウントに関連付けるために使用されます。

SAPUsersEmail 関数は、SAP テーブル USR21 (ユーザー名/アドレス キーの割り当て) と ADR6 (電子メール アドレス) から抽出されたデータを使用して電子メール アドレスを検索します。 メール アドレスが見つからない場合は、代わりにユーザー ID が返されます。

この動作により、DDIC などの SAP サービス アカウント (多くの場合、電子メール アドレスに関連付けられていない) が擬似 AD アカウントとしてログに記録されます。 これにより、一部の UEBA 機能も開かれ、インシデントや狩猟アクティビティの調査に役立ちます。

SAPUsersEmail 関数は、次のデータを返します。

フィールド Description
ClientID SAP クライアント ID
SystemID SAP システム ID
User SAP ユーザー ID
Email SAP ユーザーの電子メール アドレス

SAPSystems

SAPSystems 関数は、SAP - Systems ウォッチリストを使用して行われたシステムごとの構成を一元的に表示するために使用されます。

パラメーター:

Name 省略可/必須 既定値 説明
SelectedSystems 省略可能 All Systems 特定の SAP システムをフィルター処理するために使用されます
SelectedSystemRoles 省略可能 All System Roles SAP - Systems ウォッチリストで定義されているように、参照する SAP システムのロールを決定します。

SAPSystems 関数は、次のデータを返します。

フィールド 説明 データ ソース/メモ
SearchKey 検索キー SAP システム ID のインデックス付きフィールド
SystemRole SAP システムの役割 運用、UAT
SystemUsage SAP システムの主な使用 ERP、CRM
SystemID SAP システム ID

SAPAuditLogConfiguration

SAPAuditLogConfiguration 関数は、Microsoft Sentinel で有効になっている Log Analytics ワークスペースに SAP 監査ログ アラートのローカル構成を返します。 この構成は、SAP 監査ログ関連のアラートに使用されます。

SAPAuditLogConfiguration 関数は、SAP 動的監査ログ モニター構成および SAP - Systems ウォッチリストのデータを結合して、システムロールごとの作業でシステムごとの構成を提供します。

パラメーター:

Name 省略可/必須 既定値 説明
SelectedSystems 省略可能 All Systems 特定の SAP システムをフィルター処理するために使用され参照します。
SelectedSystemRoles 省略可能 All System Roles 参照する SAP システムのロールを決定します ( SAP - Systems ウォッチリストで定義されています)。
SelectedSeverities 省略可能 [High, Medium] 重要度の観点から参照するイベントを決定するために使用されます。 SAP 監査ログ メッセージ ID およびシステム ロールごとの重大度は、 SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストで定義されます。
SelectedRuleTypes 省略可能 All RuleTypes 異常の検出に関連するイベントを決定します。 SAP 監査ログ メッセージ ID およびシステム ロールごとのルールの種類は、 SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストで定義されます。

SAPAuditLogConfiguration 関数は、次のデータを返します。

フィールド 説明 データ ソース/メモ
CategoryName SAP 指定のイベント カテゴリ SAP 動的監査ログ モニターの構成 ウォッチリスト
DestinationEmail 割り当てられたチームのメール アドレス SAP 動的監査ログ モニターの構成 ウォッチリスト
DetailedDescription アラートに表示されるマークダウン形式のテキスト メッセージ SAP 動的監査ログ モニターの構成 ウォッチリスト
MessageID SAP 監査ログ メッセージ ID SAP 動的監査ログ モニターの構成 ウォッチリスト
[MessageText] サンプル メッセージ テキスト SAP 動的監査ログ モニターの構成 ウォッチリスト
RolesTagsToExclude ABAP ロール、プロファイル、またはフリー テキスト タグ SAP 動的監査ログ モニターの構成 ウォッチリスト
RuleType 異常または決定論的 SAP 動的監査ログ モニターの構成 ウォッチリスト
方針 MITRE ATTA>CK 戦術 SAP 動的監査ログ モニターの構成 ウォッチリスト
TeamsChannelID Teams チャンネル SAP 動的監査ログ モニターの構成 ウォッチリスト
SystemID SAP システム ID SAP - Systems ウォッチリスト
SystemRole SAP システムのロール SAP - Systems ウォッチリスト
SystemUsage SAP システムの主な使用 SAP - Systems ウォッチリスト
IsProd 運用システム フラグ SAP - Systems ウォッチリスト
重要度 派生重大度 システム使用量あたりの重大度
しきい値 派生しきい値 システム使用状況ごとのイベント数
BagOfDetails BagOfDetails イベント定義の詳細を示すディクショナリ

詳細については、「使用可能なウォッチリスト」を参照してください。

SAPAuditLogAnomalies

SAPAuditLogAnomalies 関数は、Microsoft Sentinel の基になる Kusto データベースの組み込みの機械学習機能を使用して、SAP 監査ログで観察された異常なイベントを検出するのに役立ちます。

SAPAuditLogAnomalies 関数は、SAP - (試験段階) 動的異常ベースの監査ログ モニター アラート分析ルール用に開発されました。 元の設計は最近の異常に関するアラートですが、過去の異常を強調するのにも役立ちます。 詳細については、「 サンプルの使用」を参照してください。

SAPAuditLogAnomalies 関数は、さまざまな入力パラメーターによって定義された履歴のスライスを次のレベルで学習します。

  • User
  • ネットワーク属性
  • System
  • 季節性
  • アクティビティ レベル

次に、 SAPAuditLogAnomalies 関数は、学習した内容に従って最後の DetectingTime 期間内に発生したイベントを判断し、SAP 監査ログ構成ウォッチリストから取得したしきい値とその他の構成可能な除外基準を適用します。

ユーザー アクティビティのスライディング ウィンドウが異常と見なされると、2 番目のクエリは、決定をサポートする証拠としてユーザー アクティビティ全体を返します。

パラメーター:

Name 省略可/必須 既定値 説明
LearningTime 省略可能 14 日 モデル学習に使用される期間を決定します。
DetectingTime 省略可能 1 時間 異常を検出するために確認する期間を決定します。 DetectingTime = 0hを使用してこの関数を呼び出すと、LearningTime期間全体の異常が強調表示されます。
SelectedSystems 省略可能 All Systems 特定の SAP システムをフィルター処理するために使用され参照します。
SelectedSystemRoles 省略可能 All System Roles SAP - Systems ウォッチリストで定義されているように、参照する SAP システムのロールを決定します。
SelectedSeverities 省略可能 [High, Medium] 重要度の観点から参照するイベントを決定するために使用されます。 SAP 監査ログ メッセージ ID およびシステム ロールごとの重大度は、 SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストで定義されます。
SelectedPrefixMask 省略可能 24 学習と検出に使用されるサブネット マスク レベルを決定するために使用されます。
SelectedRuleTypes 省略可能 AnomaliesOnly 異常の検出に関連するイベントを決定します。 SAP 監査ログ メッセージ ID およびシステム ロールごとのルールの種類は、 SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストで定義されます。

SAPAuditLogAnomalies 関数は、次のデータを返します。

フィールド 説明
SAPAuditLog からの複数のフィールド SAP 監査ログのキー フィールド
SAPAuditLogConfiguration からの複数のフィールド Microsoft Sentinel for SAP 監査ログ構成のキー フィールド
DiscoveredOn 異常が観察された丸められた時間
EventCount 返された行ごとにカウントされるイベントの数
AnomalCount 関連するスライディング ウィンドウ内で観察されたイベントの数
MinTime 観察された最初のイベントの時刻
MaxTime 最後に観察されたイベントの時刻
スコア 異常モデルによって生成される異常スコア

レコメンデーション:

機械学習ソリューションと同様に、 SAPAuditLogAnomalies 関数は時間と共に優れたパフォーマンスを発揮し、時間が経つにつれて必要に応じて調整できます。

使用可能な多くの入力パラメーターを使用して、学習したデータベースのサイズを 1 億レコード以下に制限することをお勧めします。

サンプルの用途は次のとおりです

  • SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストで AnomaliesOnly としてマークされているイベントの種類について、実稼働システムで過去 1 時間以内に発生した重大度の高いイベントの異常を検索するには、次のコマンドを実行します。

    SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
    SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
    
  • BIP システムで過去 14 日間のすべての異常を検索するには、次のコマンドを実行します。

    SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
    

詳細については、「 SAP 監査ログを監視するための組み込みの SAP 分析ルール および Microsoft Sentinel for SAP ソリューションを使用した SAP 監査ログでの Anomaly 検出 (ブログ) を参照してください。

SAPAuditLogConfigRecommend

SAPAuditLogConfigRecommend は、SAP - 動的異常ベースの監査ログ モニター アラート (プレビュー) 分析ルールの構成に関する推奨事項を提供するように設計されたヘルパー関数です。

詳細については、「 SAP 監査ログの監視」を参照してください。

SAPUsersGetVIP

SAP アプリケーション用の Microsoft Sentinel ソリューション では、ユーザーの一元的なタグ付けと明示的な除外の概念を使用します。これは、最小限の労力で誤検知を減らすのに役立ちます。

SAPUsersGetVIP 関数を使用して、SAP ユーザー ロール、SAP ユーザー関数、またはそれらのユーザーを表すタグを指定して、ユーザーをアラートのトリガーから除外します。 詳細については、「Microsoft Sentinel での擬陽性の処理」を参照してください。

SAPUsersGetVIP 関数の入力として指定されたタグは、SAP_User_Config ウォッチリストにリストされているタグを持つすべてのユーザーを除外します。 同じ機能がワイルドカードを使用するように拡張されているため、同じ名前付け構文を持つユーザーのグループに 1 つのタグを割り当てることができます。

  1. SAP_User_Config ウォッチリストのユーザーに次のようにタグ付けします。

    • さまざまなシナリオに対応するために必要に応じて、 SAP_User_Config ウォッチリストの各ユーザーに複数のタグを追加します。 各アラート ルールには、関連する独自のタグ (存在する場合) があり、必要に応じてカスタム タグを追加できます。

    • 特定の名前付け構文テンプレートを持つユーザーを含めるには、ワイルドカードとしてアスタリスク (*) を使用します。

  2. 分析ルールに SAPUsersGetVIP 関数を追加して、アラートから除外するように定義したユーザーの一覧を要求します。 関数呼び出しで、除外するタグ、SAP ロール、および SAP プロファイルを含む配列を追加します。

たとえば、分析ルールで次の KQL クエリを使用して、SAP_User_Configウォッチリストの RunObsoleteProgOK タグで構成されたユーザー、またはサンプル SAP_BASIS_ADMIN_ROLE ロールまたはサンプル SAP_ADMIN_PROFILE プロファイルを持つユーザーを除外します。

このサンプル関数呼び出しをコピーするときは、 SAP_BASIS_ADMIN_ROLE ロールと SAP_ADMIN_PROFILE プロファイルを、必要に応じて独自の SAP ロールまたはプロファイルに置き換えます。

次に例を示します。

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

SAPUsersGetVIP 関数は、一般的に、Deterministic および Anomalous Audit Log Monitor アラートで使用されます。 タグを SAP 監査ログ メッセージ ID に関連付けるか、組織のニーズに合ったカスタムルールにルール テンプレートを拡張します。

ヒント

SAP_User_Configウォッチリストに含める SAP ユーザー、ロール、プロファイルについては、SAP システム管理者に問い合わせてください。

パラメーター:

Name 省略可/必須 既定値 説明
SearchForTags 省略可能 dynamic('All Tags') SearchForTagsAll Tags と等しい場合、すべてのユーザーがタグと共に返されます。

それ以外の場合は、 SearchForTags で指定されたタグ、SAP ロール、または SAP プロファイルを持つユーザーのみが返されます。 TagsIntersect は見つかったタグを示し、 IntersectionSize は見つかったタグの数を保持します。
SpecialFocusTags 省略可能 Do not return any in-focus users SpecialFocusTagsで指定されたタグを持つすべてのユーザーを返し、specialFocusTagged = trueでマークします。

SAPUsersGetVIP 関数は、次の出力を返します。

ソース フィールド 説明 メモ
SAP_User_Configウォッチリスト SearchKey 検索キー
SAP_User_Configウォッチリスト SAPUser SAP ユーザー OSS、DDIC
SAP_User_Configウォッチリスト Tags ユーザーに割り当てられたタグの文字列 RunObsoleteProgOK
SAP_User_Configウォッチリスト ユーザーの Microsoft Entra オブジェクト ID Microsoft Entra オブジェクト ID
SAP_User_Configウォッチリスト ユーザー ID Azure Directory ユーザー識別子
SAP_User_Configウォッチリスト ユーザーのオンプレミス SID
SAP_User_Configウォッチリスト ユーザー プリンシパル名
SAP_User_Configウォッチリスト TagsList ユーザーに割り当てられたタグのリスト ChangeUserMasterDataOK;RunObsoleteProgOK
ロジック TagsIntersect 一致したタグのセット SearchForTags ["ChangeUserMasterDataOK"、"RunObsoleteProgOK"]
ロジック SpecialFocusTagged 特別なフォーカス表示 True, False
ロジック IntersectionSize 交差するタグの数

SAPUsersHeader

SAPUsersHeader 関数は、SAP ユーザーの概要を表示するように設計されています。 SAP ユーザー マスター データ テーブルと SAP 監査ログの最近のアクティビティの両方から抽出されたデータを使用して、電子メールアドレスと IP アドレスを収集します。 その後、最後の既知のメールアドレスと IP アドレスと、プライマリ メールアドレスと IP アドレスが返されます。

パラメーター:

Name 省略可/必須 既定値 説明
SelectedSystems 省略可能 All Systems 特定の SAP システムをフィルター処理して確認するために使用されます。
SelectedSystemRoles 省略可能 All System Roles SAP - Systems ウォッチリストで定義されているように、参照する SAP システムのロールを決定します。
SelectedUsers 省略可能 All Users ユーザーのリストを入力できます。
SelectedUser 省略可能 All Users 1 人のユーザーのみを受け入れます。

次に例を示します。

SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"

ヒント

パフォーマンスに関する考慮事項として、数日間の監査アクティビティのみが考慮されます。 ユーザー アクティビティの完全な履歴については、 SAPAuditLog 関数に対してカスタム KQL クエリを実行します。

SAPUsersHeader 関数は、次の出力を返します。

ソース フィールド 説明 Notes
User SAP ユーザー
SAP テーブル ADR6 と USR21 Email ユーザーのマスター データから取得 OSS、DDIC
SAP テーブル USR02 UserType ユーザーに割り当てられたタグの文字列 RunObsoleteProgOK
SAP テーブル USR02 タイム ゾーン Microsoft Entra オブジェクト ID
SAP テーブル USR02 LockedStatus Azure Directory ユーザー識別子
SAP 監査ログ LastSeen タイムスタンプ ユーザーに対して最後に観察された監査イベント
SAP 監査ログ LastSeenDaysAgo 以降の経過日数 LastSeen
SAP 監査ログ PrimaryIP 最もよく使用される IP アドレス ChangeUserMasterDataOK;RunObsoleteProgOK
SAP 監査ログ LastKnownIP 最近使用した IP アドレス ["ChangeUserMasterDataOK"、"RunObsoleteProgOK"]
SAP 監査ログ PrimaryEmail 最も頻繁に使用されるメール アドレス True, False
SAP 監査ログ KnownIPs 既知の IP アドレスの一覧 最も頻繁に最初に並べ替えられる
SAP 監査ログ KnownEmails 既知のメール アドレスの一覧 最も頻繁に最初に並べ替えられる
Client SAP クライアント ID
SystemID SAP システム ID
SystemRole SAP システムの役割 運用、UAT
SystemUsage SAP システムの主な使用 ERP、CRM

詳細については、以下を参照してください: