SAP アプリケーション用の Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス
この記事では、Microsoft Sentinel Solution for SAP で使用できるセキュリティ コンテンツについて詳しく説明します。
重要
SAP アプリケーション用の Microsoft Sentinel ソリューションは GA 段階ですが、一部の特定のコンポーネントはプレビューのままになります。 この記事では、プレビュー段階にあるコンポーネントを以下の関連セクションで示します。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
使用できるセキュリティ コンテンツには、組み込みのブックと分析ルールがあります。 SAP 関連のウォッチリストを追加して、検索、検出規則、脅威ハンティング、応答プレイブックで使用することもできます。
この記事の内容は、セキュリティ チームを対象としています。
組み込みのブック
次の組み込みのブックを使用して、SAP データ コネクタを介して取り込まれたデータを視覚化および監視します。 SAP ソリューションをデプロイすると、[テンプレート] タブで SAP ブックを見つけることができます。
| ブック名 | 説明 | ログ |
|---|---|---|
| SAP - Audit Log Browser (SAP - 監査ログ ブラウザー) | 次のようなデータが表示されます。 - 時間の経過に伴うユーザー サインイン、システムによって取り込まれたイベント、メッセージ クラスと ID、ABAP プログラムの実行など、一般的なシステム正常性 -システムで発生するイベントの重大度 - システムで発生している認証イベントと承認イベント |
次のログのデータが使用されます。 ABAPAuditLog_CL |
| SAP 監査コントロール | 次の操作を行うツールを使用して、選択したコントロール フレームワークに準拠している SAP 環境のセキュリティ コントロールを確認するのに役立ちます。 - 環境内の分析規則を特定のセキュリティ制御と制御ファミリに割り当てる - SAP ソリューション ベースの分析ルールによって生成されたインシデントを監視および分類する - コンプライアンスに関するレポート |
次の表のデータを使用します。 - SecurityAlert- SecurityIncident |
詳細については、「チュートリアル: データの視覚化と監視」および SAP アプリケーション用の Microsoft Sentinel ソリューションのデプロイに関するチュートリアルを参照してください。
組み込みの分析ルール
このセクションでは、SAP アプリケーション用の Microsoft Sentinel ソリューションと共に提供される組み込みの分析規則 の選択について説明します。 最新の更新プログラムについては、Microsoft Sentinel コンテンツ ハブで新しいルールと更新されたルールを確認してください。
静的 SAP セキュリティ パラメーターの構成を監視する (プレビュー)
SAP システムをセキュリティで保護するために、SAP では、変更を監視する必要があるセキュリティ関連のパラメーターを特定しました。 "SAP - (プレビュー) 機密静的パラメーターが変更されました" ルールでは、SAP アプリケーション用の Microsoft Sentinel ソリューションは、Microsoft Sentinel に組み込まれている SAP システム内の 52 を超える静的セキュリティ関連パラメーターを追跡します。
Note
SAP アプリケーション用の Microsoft Sentinel ソリューションで SAP セキュリティ パラメーターを正常に監視するには、ソリューションで SAP PAHI テーブルを定期的に正常に監視する必要があります。 詳細については、「PAHI テーブルが定期的に更新されることを確認する」を参照してください。
システムのパラメーターの変更を理解するために、SAP アプリケーション用の Microsoft Sentinel ソリューションでは、1 時間ごとにシステム パラメーターに加えられた変更を記録するパラメーター履歴テーブルが使用されます。
パラメーターは、SAPSystemParameters ウォッチリストにも反映されます。 このウォッチリストを使用すると、ユーザーは新しいパラメーターの追加、既存のパラメーターの無効化、運用環境または非運用環境でのパラメーターとシステム ロールごとの値と重大度の変更を行うことができます。
これらのいずれかのパラメーターに変更が加えられた場合、Microsoft Sentinel では、変更がセキュリティに関連しているかどうか、推奨値に従って値が設定されているかどうかを確認します。 変更がセーフ ゾーンから外れていると疑われる場合、Microsoft Sentinel では変更の詳細を示すインシデントを作成し、変更を行ったユーザーを識別します。
このルールで監視されるパラメーターの一覧を確認します。
SAP 監査ログを監視する
SAP アプリケーション用の Microsoft Sentinel ソリューションの分析規則の多くは、SAP 監査ログ データを使用します。 分析ルールの中には、ログ内の特定のイベントを検索するものもあれば、複数のログからの表示を関連付けて忠実度の高いアラートやインシデントを作成するものがあります。
次の分析ルールを使用して、SAP システム上のすべての監査ログ イベントを監視するか、異常が検出された場合にのみアラートをトリガーします。
| 規則名 | 説明 |
|---|---|
| SAP - 動的セキュリティ監査ログ モニターの構成がありません | 既定では、SAP 監査ログ モジュールの構成に関する推奨事項を提供するために毎日実行されます。 ルール テンプレートを使用して、ワークスペースのルールを作成およびカスタマイズします。 |
| SAP - 動的決定論的監査ログ モニター (プレビュー) | 既定では、10 分ごとに実行され、決定論的としてマークされた SAP 監査ログ イベントに焦点が当てられます。 ルール テンプレートを使用して、低い誤検知率など、ワークスペースのルールを作成およびカスタマイズします。 このルールには、決定論的アラートのしきい値とユーザー除外ルールが必要です。 |
| SAP - 動的異常ベースの監査ログ モニター アラート (プレビュー) | 既定では、1 時間ごとに実行され、AnomaliesOnly として マークされた SAP イベントに焦点を当て、異常が検出されたときに SAP 監査ログ イベントにアラートを送信します。 この規則では、追加の機械学習アルゴリズムを適用して、教師なし方法でバックグラウンド ノイズを除外します。 |
既定では、SAP 監査ログのほとんどのイベントの種類または SAP メッセージ ID は、異常ベースの動的異常ベース の監査ログ モニター アラート (プレビュー) 分析ルールに送信されますが、イベントの種類の定義が容易な場合は、決定論的動的決定論的 監査ログ モニター (プレビュー) 分析ルールに送信されます。 この設定と他の関連する設定は、すべてのシステム条件に合わせてさらに構成することができます。
SAP 監査ログ監視ルールは、Microsoft Sentinel for SAP ソリューションのセキュリティ コンテンツの一部として提供され、SAP_Dynamic_Audit_Log_Monitor_ConfigurationとSAP_User_Configウォッチリストを使用してさらに微調整できます。
たとえば、次の表に、SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストを使用してインシデントを生成するイベントの種類を構成し、生成されるインシデントの数を減らす方法の例をいくつか示します。
| オプション | 説明 |
|---|---|
| 重大度を設定し、不要なイベントを無効にする | 既定では、決定論的ルールと異常に基づくルールの両方で、重大度が中および高でマークされたイベントのアラートが作成されます。 運用環境と非運用環境で重大度を個別に構成する場合があります。 たとえば、実稼働システムでデバッグ アクティビティ イベントを重大度が高く設定し、非運用システムで同じイベントを完全にオフにすることができます。 |
| SAP ロールまたは SAP プロファイルによってユーザーを除外する | Microsoft Sentinel for SAP では、直接ロールと間接ロールの割り当て、グループ、プロファイルなど、SAP ユーザーの承認プロファイルが取り込まれるので、SIEM で SAP 言語を話すことができます。 SAP イベントを構成して、SAP ロールとプロファイルに基づいてユーザーを除外することができます。 ウォッチリストで、RFC による汎用テーブル アクセス イベントの横にある RolesTagsToExclude 列に、RFC インターフェイス ユーザーをグループ化するロールまたはプロファイルを追加します。 この構成では、これらのロールが不足しているユーザーに対してのみアラートがトリガーされます。 |
| SOC タグでユーザーを除外する | タグを使用して、複雑な SAP 定義に依存せず、または SAP 承認なしでも、独自のグループ化を作成します。 この方法は、SAP ユーザー用に独自のグループ化を作成する SOC チームに役立ちます。 たとえば、特定のサービス アカウントに RFC イベントによる汎用テーブル アクセスのアラートを送信したくないが、これらのユーザーをグループ化する SAP ロールまたは SAP プロファイルが見つからない場合は、次のようにタグを使用します。 1. ウォッチリストの 関連イベントの横に GenTableRFCReadOK タグを追加します。 2. SAP_User_Configウォッチリストに移動し、インターフェイスユーザに同じタグを割り当てます。 |
| イベントの種類とシステム ロールごとに頻度のしきい値を指定する | 速度制限のように機能します。 たとえば、実稼働システムの同じユーザーが 1 時間に 12 を超えるアクティビティが観察された場合にのみアラートをトリガーするように、ユーザー マスター レコード変更イベントを構成できます。 ユーザーが 1 時間あたり 12 個の制限 (たとえば、10 分の期間で 2 つのイベント) を超えると、インシデントがトリガーされます。 |
| 決定主義または異常 | イベントの特性がわかっている場合は、決定論的機能を使用します。 イベントを正しく構成する方法がわからない場合は、機械学習機能で開始を決定し、必要に応じて以降の更新を行います。 |
| SOAR 機能 | Microsoft Sentinel を使用して、SAP 監査ログの動的アラートによって作成されたインシデントをさらに調整、自動化、対応します。 詳細については、「Microsoft Sentinel でのオートメーション: セキュリティ オーケストレーション、オートメーション、応答 (SOAR)」を参照してください。 |
詳細については、「 使用可能なウォッチリスト と Microsoft Sentinel for SAP News - Dynamic SAP Security Audit Log Monitor 機能を今すぐ使用できる」を参照してください。(ブログ)。
初期アクセス
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| SAP - 予期しないネットワークからのログイン | 予期しないネットワークからのサインインを特定します。 SAP - ネットワーク ウォッチリストでネットワークを管理します。 |
いずれかのネットワークに割り当てられていない IP アドレスからバックエンド システムにサインインします。 データ ソース: SAPcon - 監査ログ |
初期アクセス |
| SAP - SPNego 攻撃 | SPNego 再生攻撃を特定します。 | データ ソース: SAPcon - 監査ログ | 影響、横移動 |
| SAP - 特権ユーザーからのダイアログ ログオン試行 | SAP システムの特権ユーザーによる、AUM タイプのダイアログ サインイン試行を識別します。 詳細については、「SAPUsersGetPrivileged」を参照してください。 | スケジュールされた期間中における同じ IP から複数のシステムまたはクライアントへのサインインを試行します。 データ ソース: SAPcon - 監査ログ |
影響、横移動 |
| SAP - ブルート フォース攻撃 | RFC ログオンを使用して SAP システムに対するブルート フォース攻撃を識別します | RFC を使用して、スケジュールされた時間間隔内で同じ IP から複数のシステム/クライアントにサインインを試みます データ ソース: SAPcon - 監査ログ |
資格情報アクセス |
| SAP - 同じ IP からの複数のログオン | スケジュールされた期間中における同じ IP アドレスからの複数のユーザーのサインインを特定します。 サブユース ケース: 永続性 |
同じ IP アドレスで複数のユーザーを使用してサインインします。 データ ソース: SAPcon - 監査ログ |
初期アクセス |
| SAP - ユーザーによる複数のログオン | スケジュールされた期間中における複数のターミナルからの同じユーザーのサインインを特定します。 監査 SAL 方式でのみ使用できます (SAP バージョン 7.5 以降)。 |
同じユーザーを使用して、異なる IP アドレスによってサインインします。 データ ソース: SAPcon - 監査ログ |
攻撃前、資格情報アクセス、初期アクセス、コレクション サブユース ケース: 永続性 |
| SAP - 情報 - ライフサイクル - SAP ノートがシステムに実装された | システムでの SAP ノートの実装を特定します。 | SNOTE または TCI を使用して SAP ノートを実装します。 データ ソース: SAPcon - 変更要求 |
- |
| SAP - (プレビュー) AS JAVA - 機密性の高い特権ユーザーがサインイン | 予期しないネットワークからのサインインを特定します。 SAP - 特権ユーザー ウォッチリストで特権ユーザーを管理します。 |
特権ユーザーを使用してバックエンド システムにサインインします。 データ ソース: SAPJAVAFilesLog |
初期アクセス |
| SAP - (プレビュー) AS JAVA - 予期しないネットワークからのサインイン | 予期しないネットワークからのサインインを識別します。 SAP - Networks ウォッチリストで特権ユーザーを管理します。 |
SAP - Networks ウォッチリストのいずれかのネットワークに割り当てられていない IP アドレスからバックエンド システムにサインインする データ ソース: SAPJAVAFilesLog |
初期アクセス、防御回避 |
データ窃盗
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| SAP - 認可されていないサーバーの FTP | 認証されていないサーバーの FTP 接続を識別します。 | FTP_CONNECT 関数モジュールを使用するなどして、新しい FTP 接続を作成します。 データ ソース: SAPcon - 監査ログ |
探索、初期アクセス、コマンドと制御 |
| SAP - 安全でない FTP サーバー構成 | FTP 許可リストが空であるかプレースホルダーが含まれる場合など、安全でない FTP サーバー構成を特定します。 | メンテナンス ビューを使用して、テーブルにプレースホルダーを含む値をSAPFTP_SERVERSSAPFTP_SERVERS_V維持または維持しないでください。 (SM30) データ ソース: SAPcon - 監査ログ |
初期アクセス、コマンドと制御 |
| SAP - 複数のファイルのダウンロード | 特定の時間範囲内における 1 ユーザーによる複数ファイルのダウンロードを特定します。 | Excel 用 SAPGui、リストなどを使用して複数のファイルをダウンロードします。 データ ソース: SAPcon - 監査ログ |
コレクション、データ流出、資格情報アクセス |
| SAP - 複数のスプールの実行 | 特定の時間範囲内における 1 ユーザーによる複数のスプールを特定します。 | 1 ユーザーにより、いずれかの種類の複数のスプール ジョブを作成して実行します。 (SP01) データ ソース: SAPcon - スプール ログ、SAPcon - 監査ログ |
コレクション、データ流出、資格情報アクセス |
| SAP - 複数のスプール出力の実行 | 特定の時間範囲内における 1 ユーザーによる複数のスプールを特定します。 | 1 ユーザーにより、いずれかの種類の複数のスプール ジョブを作成して実行します。 (SP01) データ ソース: SAPcon - スプール出力ログ、SAPcon - 監査ログ |
コレクション、データ流出、資格情報アクセス |
| SAP - 機密性のあるテーブルへの RFC ログオンによる直接アクセス | RFC サインインによる汎用テーブル アクセスを特定します。 SAP - 機密性の高いテーブル ウォッチリストでテーブルを管理します。 運用システムにのみ関連します。 |
SE11、SE16、または SE16N を使用してテーブルの内容を開きます。 データ ソース: SAPcon - 監査ログ |
コレクション、データ流出、資格情報アクセス |
| SAP - スプールの引き継ぎ | 他のユーザーによって作成されたスプール要求を出力するユーザーを特定します。 | あるユーザーを使用してスプール要求を作成してから、別のユーザーを使用してそれを出力します。 データ ソース: SAPcon - スプール ログ、SAPcon - スプール出力ログ、SAPcon - 監査ログ |
コレクション、データ流出、コマンドと制御 |
| SAP - 動的 RFC 転送先 | 動的な転送先を使用する RFC の実行を特定します。 サブユース ケース: SAP のセキュリティ メカニズムを回避する試み |
動的な転送先 (cl_dynamic_destination) を使用する ABAP レポートを実行します。 たとえば、DEMO_RFC_DYNAMIC_DEST です。 データ ソース: SAPcon - 監査ログ |
コレクション、データ流出 |
| SAP - ダイアログ ログオンによる機密性の高いテーブルへの直接アクセス | ダイアログ サインインを使用した汎用テーブル アクセスを特定します。 | SE11/SE16/SE16N を使用してテーブルの内容を開きます。 データ ソース: SAPcon - 監査ログ |
探索 |
| SAP - (プレビュー) 悪意のある IP アドレスからダウンロードされたファイル | 悪意のあることがわかっている IP アドレスを使用した、SAP システムからのファイルのダウンロードを識別します。 悪意のある IP アドレスは、脅威インテリジェンス サービスから取得されます。 | 悪意のある IP からファイルをダウンロードします。 データ ソース: SAP セキュリティ監査ログ、脅威インテリジェンス |
窃盗 |
| SAP - (プレビュー) トランスポートを使用して実稼働システムからエクスポートされたデータ | トランスポートを使用した、実稼働システムからのデータ エクスポートを識別します。 トランスポートは開発システムで使用され、pull request と似ています。 このアラート ルールでは、任意のテーブルからのデータを含むトランスポートが運用システムからリリースされたときに、重大度が中のインシデントがトリガーされます。 このルールでは、エクスポートに機密性の高いテーブルからのデータが含まれている場合に、重大度が高のインシデントが作成されます。 | 実稼働システムからトランスポートをリリースします。 データ ソース: SAP CR ログ、SAP - 機密テーブル |
窃盗 |
| SAP - (プレビュー) USB ドライブに保存された機密データ | ファイルを使用した SAP データのエクスポートを識別します。 このルールでは、機密性の高いトランザクションの実行、機密性の高いプログラム、または機密性の高いテーブルへの直接アクセスに近いところで、最近マウントされた USB ドライブに保存されたデータがチェックされます。 | ファイルを介して SAP データをエクスポートし、USB ドライブに保存します。 データ ソース: SAP セキュリティ監査ログ、DeviceFileEvents (Microsoft Defender for Endpoint)、SAP - 機密テーブル、SAP - 機密トランザクション、SAP - 機密プログラム |
窃盗 |
| SAP - (プレビュー) 機密の可能性のあるデータの印刷 | 機密性の高いデータの要求または実際の印刷を識別します。 ユーザーが機密性の高いトランザクションの一部としてデータを取得したり、機密性の高いプログラムを実行したり、機密性の高いテーブルに直接アクセスしたりする場合、データは機密と見なされます。 | 機密性の高いデータの印刷または印刷要求。 データ ソース: SAP セキュリティ監査ログ、SAP スプール ログ、SAP - 機密テーブル、SAP - 機密プログラム |
窃盗 |
| SAP - (プレビュー) 機密の可能性がある大量のデータがエクスポートされる | 機密性の高いトランザクションの実行、機密性の高いプログラム、または機密性の高いテーブルへの直接アクセスに近いところでファイルを使用した、大量のデータのエクスポートを識別します。 | ファイルを使用して大量のデータをエクスポートします。 データ ソース: SAP セキュリティ監査ログ、SAP - 機密テーブル、SAP - 機密トランザクション, SAP - 機密プログラム |
窃盗 |
永続性
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| SAP - ICF サービスのアクティブ化または非アクティブ化 | ICF サービスのアクティブ化または非アクティブ化を特定します。 | SICF を使用してサービスをアクティブ化します。 データ ソース: SAPcon - テーブル データ ログ |
コマンドと制御、横移動、永続化 |
| SAP - テストされた関数モジュール | 関数モジュールのテストを特定します。 | SE37 / SE80 を使用して関数モジュールをテストします。 データ ソース: SAPcon - 監査ログ |
コレクション、防御回避、横移動 |
| SAP - (プレビュー) HANA DB - ユーザー管理者アクション | ユーザー管理アクションを特定します。 | データベース ユーザーを作成、更新、または削除します。 データ ソース: Linux エージェント - Syslog* |
Privilege Escalation (特権昇格) |
| SAP - 新しい ICF サービス ハンドラー | ICF ハンドラーの作成を特定します。 | SICF を使用して、新しいハンドラーをサービスに割り当てます。 データ ソース: SAPcon - 監査ログ |
コマンドと制御、横移動、永続化 |
| SAP - 新しい ICF サービス | ICF サービスの作成を特定します。 | SICF を使用してサービスを作成します。 データ ソース: SAPcon - テーブル データ ログ |
コマンドと制御、横移動、永続化 |
| SAP - 古いまたは安全でない関数モジュールの実行 | 古いまたは安全でない ABAP 関数モジュールの実行を特定します。 SAP - 古い関数モジュール ウォッチリストで古い関数を管理します。 バックエンドでの EUFUNC テーブルのテーブル ログの変更を確実にアクティブ化します。 (SE13)運用システムにのみ関連します。 |
SE37 を使用して、古い、または安全でない関数モジュールを直接実行します。 データ ソース: SAPcon - テーブル データ ログ |
探索、コマンドと制御 |
| SAP - 古い/安全でないプログラムの実行 | 古いまたは安全でない ABAP プログラムの実行を特定します。 SAP - 古いプログラム ウォッチリストで古いプログラムを管理します。 運用システムにのみ関連します。 |
SE38、SA38、または SE80 を使用するかバックグラウンド ジョブを使用して、プログラムを直接実行します。 データ ソース: SAPcon - 監査ログ |
探索、コマンドと制御 |
| SAP - ユーザーによる複数のパスワード変更 | ユーザーによる複数のパスワード変更を特定します。 | ユーザー パスワードの変更 データ ソース: SAPcon - 監査ログ |
資格情報アクセス |
| SAP - (プレビュー) AS JAVA - ユーザーが新しいユーザーを作成して使用する | SAP AS Java 環境内の管理者によるユーザーの作成または操作を識別します。 | 作成または操作したユーザーを使用してバックエンド システムにサインインします。 データ ソース: SAPJAVAFilesLog |
永続化 |
SAP のセキュリティ メカニズムを回避する試み
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| SAP - クライアント構成の変更 | クライアント ロールや変更記録モードなど、クライアント構成の変更を特定します。 | SCC4 トランザクション コードを使用してクライアント構成の変更を行います。 データ ソース: SAPcon - 監査ログ |
防御回避、データ流出、永続化 |
| SAP - デバッグ アクティビティ中にデータが変更された | デバッグ アクティビティ中のランタイム データの変更を特定します。 サブユース ケース: 永続性 |
1. デバッグをアクティブ化します ("/h")。 2. 変更するフィールドを選択し、その値を更新します。 データ ソース: SAPcon - 監査ログ |
実行、横移動 |
| SAP - セキュリティ監査ログの非アクティブ化 | セキュリティ監査ログの非アクティブ化を特定します。 | SM19/RSAU_CONFIG を使用してセキュリティ監査ログを無効にします。 データ ソース: SAPcon - 監査ログ |
データ流出、防御回避、永続化 |
| SAP - 機密性の高い ABAP プログラムの実行 | 機密性の高い ABAP プログラムの直接実行を特定します。 SAP - 機密性の高い ABAP プログラム ウォッチリストで ABAP プログラムを管理します。 |
SE38/SA38/SE80 を使用してプログラムを直接実行します。 データ ソース: SAPcon - 監査ログ |
データ流出、横移動、実行 |
| SAP - 機密性の高いトランザクション コードの実行 | 機密性の高いトランザクション コードの実行を特定します。 SAP - 機密性の高いトランザクション コード ウォッチリストでトランザクション コードを管理します。 |
機密性の高いトランザクション コードを実行します。 データ ソース: SAPcon - 監査ログ |
探索、実行 |
| SAP - 機密性の高い機能モジュールの実行 | 機密性の高い ABAP 関数モジュールの実行を特定します。 サブユース ケース: 永続性 運用システムにのみ関連します。 SAP - 機密性の高い関数モジュール ウォッチリストで機密性の高い関数を管理し、EUFUNC テーブルのバックエンドでのテーブル ログの変更を確実にアクティブ化します。 (SE13) |
機密性の高い関数モジュールを、SE37 を使用して直接実行します。 データ ソース: SAPcon - テーブル データ ログ |
探索、コマンドと制御 |
| SAP - (プレビュー) HANA DB - 監査証跡ポリシーの変更 | HANA DB 監査証跡ポリシーの変更を特定します。 | セキュリティ定義の既存の監査ポリシーを作成または更新します。 データ ソース: Linux エージェント - Syslog |
横移動、防御回避、永続化 |
| SAP - (プレビュー) HANA DB - 監査証跡の非アクティブ化 | HANA DB 監査ログの非アクティブ化を特定します。 | HANA DB セキュリティ定義で監査ログを非アクティブにします。 データ ソース: Linux エージェント - Syslog |
永続化、横移動、防御回避 |
| SAP - 機密性の高い関数モジュールの不正なリモート実行 | 最近変更された認可を無視しながら、アクティビティとユーザーの認可プロファイルを比較することで、機密性の高い VM の不正な実行を検出します。 SAP - 機密性の高い関数モジュール ウォッチリストで関数モジュールを管理します。 |
RFC を使用して関数モジュールを実行します。 データ ソース: SAPcon - 監査ログ |
探索、横移動、検出 |
| SAP - システム構成の変更 | システム構成の変更を特定します。 | SE06 トランザクション コードを使用して、システム変更オプションまたはソフトウェア コンポーネントの変更を調整します。データ ソース: SAPcon - 監査ログ |
データ流出、防御回避、永続化 |
| SAP - アクティビティのデバッグ | すべてのデバッグ関連アクティビティを特定します。 サブユース ケース: 永続性 |
システムでのデバッグのアクティブ化 ("/h")、アクティブ プロセスのデバッグ、ソース コードへのブレークポイントの追加などを行います。 データ ソース: SAPcon - 監査ログ |
探索 |
| SAP - セキュリティ監査ログの構成の変更 | セキュリティ監査ログの構成の変更を特定します | SM19/RSAU_CONFIG を使用して、フィルター、状態、記録モードなどのセキュリティ監査ログの構成を変更します。 データ ソース: SAPcon - 監査ログ |
永続化、データ流出、防御回避 |
| SAP - トランザクションのロック解除 | トランザクションのロック解除を特定します。 | SM01/SM01_DEV/SM01_CUS を使用してトランザクション コードをロック解除します。 データ ソース: SAPcon - 監査ログ |
永続化、実行 |
| SAP - 動的 ABAP プログラム | 動的な ABAP プログラミングの実行を特定します。 たとえば、ABAP コードが動的に作成、変更、または削除された場合です。 SAP - ABAP 生成のトランザクション ウォッチリストで、除外されたトランザクション コードを管理します。 |
ABAP プログラム生成コマンド (INSERT REPORT など) を使用する ABAP レポートを作成してから、そのレポートを実行します。 データ ソース: SAPcon - 監査ログ |
探索、コマンドと制御、影響 |
疑わしい特権操作
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| SAP - 機密性の高い特権ユーザーの変更 | 機密性の高い特権ユーザーの変更を特定します。 SAP - 特権ユーザー ウォッチリストで特権ユーザーを管理します。 |
SU01 を使用して、ユーザーの詳細/認可を変更します。 データ ソース: SAPcon - 監査ログ |
特権エスカレーション、資格情報アクセス |
| SAP - (プレビュー) HANA DB - 管理者認可の割り当て | 管理者特権またはロールの割り当てを特定します。 | ユーザーに管理者ロールまたは特権を割り当てます。 データ ソース: Linux エージェント - Syslog |
Privilege Escalation (特権昇格) |
| SAP - ログインした機密性の高い特権ユーザー | 機密性の高い特権ユーザーのダイアログ サインインを特定します。 SAP - 特権ユーザー ウォッチリストで特権ユーザーを管理します。 |
SAP* または別の特権ユーザーを使用してバックエンド システムにサインインします。 データ ソース: SAPcon - 監査ログ |
初期アクセス、資格情報アクセス |
| SAP - 機密性の高い特権ユーザーが他のユーザーに変更を行っている | 機密性の高い特権ユーザーによる他のユーザーへの変更を特定します。 | SU01 を使用して、ユーザーの詳細/認可を変更します。 データ ソース: SAPcon - 監査ログ |
特権エスカレーション、資格情報アクセス |
| SAP - 機密性の高いユーザーのパスワード変更とログイン | 特権ユーザーのパスワード変更を特定します。 | 特権ユーザーのパスワードを変更し、システムにサインインします。 SAP - 特権ユーザー ウォッチリストで特権ユーザーを管理します。 データ ソース: SAPcon - 監査ログ |
影響、コマンドと制御、特権エスカレーション |
| SAP - ユーザーが新しいユーザーを作成して使用する | 他のユーザーを作成して使用しているユーザーを特定します。 サブユース ケース: 永続性 |
SU01 を使用してユーザーを作成し、その新しく作成したユーザーと同じ IP アドレスを使用してサインインします。 データ ソース: SAPcon - 監査ログ |
検出、攻撃前、初期アクセス |
| SAP - ユーザーが他のユーザーをロック解除して使用する | 他のユーザーによってロック解除され使用されているユーザーを特定します。 サブユース ケース: 永続性 |
SU01 を使用してユーザーをロック解除し、そのロック解除されたユーザーおよび同じ IP アドレスを使用してサインインします。 データ ソース: SAPcon - 監査ログ、SAPcon - ドキュメント変更ログ |
検出、攻撃前、初期アクセス、横移動 |
| SAP - 機密性の高いプロファイルの割り当て | ユーザーに対する機密性の高いプロファイルの新たな割り当てを特定します。 SAP - 機密性の高いプロファイル ウォッチリストで、機密性の高いプロファイルを管理します。 |
SU01 を使用してユーザーにプロファイルを割り当てます。 データ ソース: SAPcon - ドキュメント変更ログ |
Privilege Escalation (特権昇格) |
| SAP - 機密性の高いロールの割り当て | ユーザーに対する機密性の高いロールの新たな割り当てを特定します。 SAP - 機密性の高いロール ウォッチリストで機密性の高いロールを管理します。 |
SU01 / PFCG を使用してユーザーにロールを割り当てます。 データ ソース: SAPcon - ドキュメント変更ログ、監査ログ |
Privilege Escalation (特権昇格) |
| SAP - (プレビュー) クリティカル認可の割り当て - 新しい認可値 | 新しいユーザーに対するクリティカル認可オブジェクト値の割り当てを特定します。 SAP - クリティカル認可オブジェクト ウォッチリストでクリティカル認可オブジェクトを管理します。 |
PFCG を使用して、新しい認可オブジェクトを割り当てるか、ロール内の既存のものを更新します。 データ ソース: SAPcon - ドキュメント変更ログ |
Privilege Escalation (特権昇格) |
| SAP - クリティカル認可の割り当て - 新しいユーザー割り当て | 新しいユーザーに対するクリティカル認可オブジェクト値の割り当てを特定します。 SAP - クリティカル認可オブジェクト ウォッチリストでクリティカル認可オブジェクトを管理します。 |
SU01/PFCG を使用して、クリティカル認可値を保持するロールに新しいユーザーを割り当てます。 データ ソース: SAPcon - ドキュメント変更ログ |
Privilege Escalation (特権昇格) |
| SAP - 機密性の高いロールの変更 | 機密性の高いロールの変更を特定します。 SAP - 機密性の高いロール ウォッチリストで機密性の高いロールを管理します。 |
PFCG を使用してロールを変更します。 データ ソース: SAPcon - ドキュメント変更ログ、SAPcon - 監査ログ |
影響、特権エスカレーション、永続化 |
使用可能なウォッチリスト
次の表に、 SAP アプリケーション用の Microsoft Sentinel ソリューションで使用できるウォッチリスト と、各ウォッチリストのフィールドを示します。
これらのウォッチリストは、SAP アプリケーション用の Microsoft Sentinel ソリューションの構成を提供します。 SAP ウォッチリストは Microsoft Sentinel GitHub リポジトリで入手できます。
| ウォッチリスト名 | 説明とフィールド |
|---|---|
| SAP - クリティカル認可オブジェクト | 割り当てを制御する必要があるクリティカル認可オブジェクト。 - AuthorizationObject: S_DEVELOP、S_TCODE、Table TOBJ などの SAP 認可オブジェクト - AuthorizationField: OBJTYPや TCD などの SAP 認可フィールド - AuthorizationValue: DEBUG などの SAP 認可フィールド値 - ActivityField:: SAP アクティビティ フィールド。 ほとんどの場合、この値は ACTVT. Activity のない、または Activity フィールドのみがある認可オブジェクトの場合、NOT_IN_USE が埋め込まれます。 - Activity: 認可オブジェクトに従った SAP アクティビティ。 01: 作成、02: 変更、03: 表示など。 - Description: クリティカル認可オブジェクトのわかりやすい説明。 |
| SAP - 除外されたネットワーク | 除外されたネットワークの内部メンテナンス (たとえば、Web ディスパッチャー、ターミナル サーバーなどを無視する場合)。 -Network: ネットワーク IP アドレスまたは範囲 ( 111.68.128.0/17 など)。 -Description: ネットワークに関するわかりやすい説明。 |
| SAP 除外されたユーザー | システムにサインインしていて、無視する必要があるシステム ユーザー。 たとえば、同じユーザーによる複数のサインインに関するアラートです。 - User: SAP ユーザー -Description: ユーザーに関するわかりやすい説明。 |
| SAP - ネットワーク | 未承認のログインを識別するための内部およびメンテナンス ネットワーク。 - Network: ネットワーク IP アドレスまたは範囲 ( 111.68.128.0/17 など) - Description: ネットワークに関するわかりやすい説明。 |
| SAP - 特権ユーザー | 追加制限の対象となる特権ユーザー。 - User: ABAP ユーザー ( DDIC や SAP など) - Description: ユーザーに関するわかりやすい説明。 |
| SAP - 機密性の高い ABAP プログラム | 実行を制御する必要がある機密性の高い ABAP プログラム (レポート)。 - ABAPProgram: ABAP プログラムまたはレポート ( RSPFLDOC など) - Description: プログラムに関するわかりやすい説明。 |
| SAP - 機密性の高い関数モジュール | 未承認のログインを識別するための内部およびメンテナンス ネットワーク。 - FunctionModule: ABAP 関数モジュール ( RSAU_CLEAR_AUDIT_LOG など) - Description: モジュールに関するわかりやすい説明。 |
| SAP - 機密性の高いプロファイル | 割り当てを制御する必要がある機密性の高いプロファイル。 - Profile: SAP 認可プロファイル ( SAP_ALL や SAP_NEW など) - Description: プロファイルに関するわかりやすい説明。 |
| SAP - 機密性の高いテーブル | アクセスを制御する必要がある機密性の高いテーブル。 - Table: ABAP 辞書テーブル ( USR02 や PA008 など) - Description: テーブルに関するわかりやすい説明。 |
| SAP - 機密性の高いロール | 割り当てを制御する必要がある機密性の高いロール。 - Role: SAP 認可ロール ( SAP_BC_BASIS_ADMIN など) - Description: ロールに関するわかりやすい説明。 |
| SAP - 機密性の高いトランザクション | 実行を制御する必要がある機密性の高いトランザクション。 - TransactionCode: SAP トランザクション コード ( RZ11 など) - Description: コードに関するわかりやすい説明。 |
| SAP - システム | ロール、使用法、構成に応じた、SAP システムのランドスケープについて記述します。 - SystemID: SAP システム ID (SYSID) - SystemRole: SAP システム ロール。 Sandbox、Development、Quality Assurance、Training、Production のいずれかの値 - SystemUsage: SAP システムの使用法。 ERP、BW、Solman、Gateway、Enterprise Portal のいずれかの値 - InterfaceAttributes: プレイブックで使用するためのオプションの動的パラメーター。 |
| SAPSystemParameters | 疑わしい構成変更を監視するパラメーター。 このウォッチリストには、(SAP のベスト プラクティスに従って) 推奨値が事前に入力されており、ウォッチリストを拡張してさらにパラメーターを含めることができます。 パラメーターのアラートを受信しない場合は、EnableAlerts を false に設定します。- ParameterName: パラメーターの名前。 - Comment: SAP 標準パラメーターの説明。 - EnableAlerts: このパラメーターのアラートを有効にするかどうかを定義します。 値は true と false です。- オプション: アラートをトリガーするケースを定義します。パラメーター値が大きいか等しい ( GE)、小さいか等しい ()、または等しい (LEEQ) 場合たとえば、 login/fails_to_user_lock SAP パラメーターが LE (以下) に設定され、値が 5 の場合、Microsoft Sentinel がこの特定のパラメーターへの変更を検出すると、新しく報告された値と期待される値が比較されます。 新しい値が 4 の場合、Microsoft Sentinel はアラートをトリガーしません。 新しい値が 6 の場合、Microsoft Sentinel はアラートをトリガーします。- ProductionSeverity: 運用システムのインシデントの重大度。 - ProductionValues: 運用システムで許可される値。 - NonProdSeverity: 非運用システムのインシデントの重大度。 - NonProdValues: 非運用システムで許可される値。 |
| SAP - 除外されたユーザー | ログインしていて、無視する必要があるシステム ユーザー (ユーザーによる複数のログオンのアラートの場合など)。 - User: SAP ユーザー - Description: ユーザーに関するわかりやすい説明 |
| SAP - 除外されたネットワーク | Web ディスパッチャー、ターミナル サーバーなどを無視するために、内部の除外されたネットワークを管理します。 - Network: ネットワーク IP アドレスまたは範囲 ( 111.68.128.0/17 など) - Description: ネットワークに関するわかりやすい説明 |
| SAP - 古い関数モジュール | 実行を制御する必要がある古い関数モジュール。 - FunctionModule: ABAP 関数モジュール (TH_SAPREL など) - Description: 関数モジュールに関するわかりやすい説明 |
| SAP - 古いプログラム | 実行を制御する必要がある古い ABAP プログラム (レポート)。 - ABAPProgram:ABAP プログラム (TH_ RSPFLDOC など) - Description: ABAP プログラムに関するわかりやすい説明 |
| SAP - ABAP 生成のトランザクション | 実行を制御する必要がある ABAP 生成のトランザクション。 - TransactionCode: SE11 などのトランザクション コード。 - Description: トランザクション コードに関するわかりやすい説明 |
| SAP - FTP サーバー | 未承認の接続を識別するための FTP サーバー。 - クライアント: 100 など。 - FTP_Server_Name: FTP サーバー名 ( http://contoso.com/ など) -FTP_Server_Port: FTP サーバー ポート (22 など)。 - Description FTP サーバーに関するわかりやすい説明 |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | システム ロール (運用、非運用) ごとに、各メッセージ ID に必要に応じて重大度レベルを割り当てることで、SAP 監査ログ アラートを構成します。 このウォッチリストでは、使用可能なすべての SAP 標準監査ログ メッセージ ID について詳しく説明します。 ウォッチリストを拡張して、SAP NetWeaver システムで ABAP 拡張機能を使用して独自に作成できる追加のメッセージ ID を含めることができます。 また、このウォッチリストを使うと、各イベントの種類を処理する指定のチームを構成することや、SAP ロール、SAP プロファイル、または SAP_User_Config ウォッチリストのタグを使ってユーザーを除外することもできます。 このウォッチリストは、SAP 監査ログを監視するための組み込みの SAP 分析ルールを構成するために使用されるコア コンポーネントの 1 つです。 詳細については、SAP 監査ログの監視を参照してください。 - MessageID: SAP メッセージ ID、または AUD (ユーザー マスター レコードの変更) や AUB (認可の変更) などのイベントの種類。 - DetailedDescription: インシデント ペインに表示される Markdown 対応の説明。 - ProductionSeverity: 運用システム High、Medium 用に作成されるインシデントの目的の重大度。 Disabled に設定できます。 - NonProdSeverity: 非運用システム HighMediumに対して作成されるインシデントの必要な重大度。 Disabled に設定できます。 - ProductionThreshold: 運用システム 60 で疑わしいと見なされる "1 時間あたり" のイベント数。 - NonProdThreshold 非運用システム 10に対して疑わしいと見なされるイベントの "1 時間あたりの" 数。 - RolesTagsToExclude: このフィールドは、SAP ロール名、SAP プロファイル名、または SAP_User_Config ウォッチリストのタグを受け取ります。 これらは、関連付けられたユーザーを特定のイベントの種類から除外するために使われます。 この一覧の最後にあるロール タグのオプションを参照してください。 - RuleType: SAP - 動的決定論的監査ログ モニター ルールに送信するイベントの種類、または AnomaliesOnly SAP - 動的異常ベースの監査ログ モニター アラート (プレビュー) ルールでこのイベントを対象にする場合に使用Deterministicします。 詳細については、SAP 監査ログの監視を参照してください。 - TeamsChannelID: プレイブックで使用するためのオプションの動的パラメーター。 - DestinationEmail: プレイブックで使用するためのオプションの動的パラメーター。 RolesTagsToExclude フィールドの場合: - SAP ロールまたは SAP プロファイルを一覧表示すると、同じ SAP システムのこれらのイベントタイプから、一覧表示されているロールまたはプロファイルを持つすべてのユーザーが除外されます。 たとえば、RFC 関連のイベントの種類に BASIC_BO_USERS ABAP ロールを定義すると、Business Objects ユーザーが大量の RFC 呼び出しを行ったときにインシデントをトリガーしません。- イベントの種類のタグ付けは SAP ロールまたはプロファイルの指定と似ていますが、ワークスペースにタグを作成できるため、SOC チームは SAP BASIS チームに依存せずにアクティビティによってユーザーを除外できます。 たとえば、監査メッセージ ID の AUB (認可の変更) と AUD (ユーザー マスター レコードの変更) には、 MassiveAuthChanges タグが割り当てられています。 このタグが割り当てられているユーザーは、これらのアクティビティのチェックから除外されます。 ワークスペース関数 SAPAuditLogConfigRecommend を実行すると、ユーザーに割り当てる推奨タグの一覧が生成されます。たとえば、Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist などです。 |
| SAP_User_Config | 特定のコンテキストでユーザーを除外してアラートを微調整できます。また、SAP 監査ログを監視するための組み込みの SAP 分析ルールの構成にも使用されます。 詳細については、SAP 監査ログの監視を参照してください。 - SAPUser: SAP ユーザー - Tags: タグは、特定のアクティビティに対してユーザーを識別するために使われます。 たとえば、ユーザー SENTINEL_SRV にタグ ["GenericTablebyRFCOK"] を追加すると、この特定のユーザーに対して RFC 関連のインシデントが作成されなくなります 他の Active Directory ユーザー識別子 - AD ユーザー識別子 - ユーザーのオンプレミス Sid - ユーザー プリンシパル名 |
利用可能なプレイブック
SAP アプリケーション用の Microsoft Sentinel ソリューションによって提供されるプレイブックは、SAP インシデント対応ワークロードを自動化し、セキュリティ運用の効率と有効性を向上させるのに役立ちます。
このセクションでは、 SAP アプリケーション用の Microsoft Sentinel ソリューションと共に提供される組み込みの分析プレイブック について説明します。
| プレイブック名 | パラメーター | 接続 |
|---|---|---|
| SAP インシデント対応 - Teams からユーザーをロックする - 基本 | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP インシデント対応 - Teams からユーザーをロックする - 高度 | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Monitor ログ - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
| SAP インシデント対応 - 非アクティブ化後に監査ログを再度有効にする | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure Monitor ログ - Microsoft Teams |
次のセクションでは、ユーザーがこれらの機密性の高いトランザクションの 1 つを実行しようとしている SAP システムのいずれかで疑わしいアクティビティを警告したシナリオで、提供されたプレイブックごとにサンプルのユース ケースについて説明します。
インシデントトリアージ フェーズでは、このユーザーに対してアクションを実行し、SAP ERP または BTP システムから、または Microsoft Entra ID から除外します。
詳細については、「Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する」を参照してください 。
一般に、標準ロジック アプリをデプロイするプロセスは、従量課金ロジック アプリの場合よりも複雑です。 Microsoft Sentinel GitHub リポジトリからすばやくデプロイできるように、一連のショートカットを作成しました。 詳細については、「ステップ バイ ステップ インストール ガイド」を参照してください。
ヒント
GitHub リポジトリの SAP プレイブック フォルダー で、使用可能になったプレイブックをさらに確認してください。 始めるのに役立つ短い入門ビデオ (外部リンク) もあります。
1 つのシステムからユーザーを ロック アウト する
承認されていないユーザーによる機密性の高いトランザクションの実行が検出されるたびに、Teams - Basic プレイブックからロック ユーザーを呼び出す自動化ルールを構築します。 このプレイブックでは、Teams のアダプティブ カード機能を使用して、一方的にユーザーをブロックする前に承認を求めます。
詳細については、「重要な SAP セキュリティ シグナルに関する Microsoft Sentinel を使用したゼロからヒーローのセキュリティ カバレッジまで 」を参照 してください。SOAR と読み上げられます。パート 1 (SAP ブログの投稿)。
Teams のロック ユーザー - Basic プレイブックは Standard プレイブックであり、Standard プレイブックは通常、従量課金プレイブックよりも展開が複雑です。
Microsoft Sentinel GitHub リポジトリからすばやくデプロイできるように、一連のショートカットを作成しました。 詳細については、「 ステップ バイ ステップ インストール ガイド 」および 「サポートされているロジック アプリの種類」を参照してください。
複数のシステムからユーザーをロック アウトする
「Teams からユーザーをロックする - 高度」プレイブックも同じ目的を達成しますが、より複雑なシナリオを想定して設計されており、各々が独自の SAP SID を持つ複数の SAP システムで単一のプレイブックを使用することができます。
Teams - Advanced プレイブックのロック ユーザーは、SAP - Systems ウォッチリストと Azure Key Vault の InterfaceAttributes オプションの動的パラメーターを使用して、これらのシステムへの接続とその資格情報をシームレスに管理します。
Teams からユーザーをロックする - 高度なプレイブックを使用すると、Outlook のアクション可能なメッセージを Teams と共に使用して、承認プロセスの関係者と通信し、SAP_Dynamic_Audit_Log_Monitor_Configurationウォッチリストの TeamsChannelID パラメーターと DestinationEmail パラメーターを使用することもできます。
詳細については、重要な SAP セキュリティ シグナルに関する Microsoft Sentinel を使用したゼロからヒーローのセキュリティ カバレッジへの移行 – パート 2 (SAP ブログ記事) を参照してください。
監査ログの非アクティブ化を防止する
また、セキュリティ データ ソースの 1 つである SAP 監査ログが非アクティブ化されることを心配する場合もあります。 SAP - セキュリティ監査ログ分析ルールの非アクティブ化に基づいて自動化ルールを作成し、非アクティブ化されたプレイブックで再有効化可能な監査ログを呼び出して、SAP 監査ログが非アクティブ化されないようにすることをお勧めします。
SAP - セキュリティ監査ログの非アクティブ化プレイブックでは、Teams も使用され、事後にセキュリティ担当者に通知されます。 犯罪の重大度とその軽減策の緊急性は、承認を必要とせず、直ちに対処できることを示しています。
SAP - セキュリティ監査ログの非アクティブ化プレイブックでは資格情報の管理にも Azure Key Vault が使用されるため、プレイブックの構成は Teams - Advanced プレイブックのロック ユーザーの構成と似ています。 詳細については、重要な SAP セキュリティ シグナルに関する Microsoft Sentinel を使用したゼロからヒーローのセキュリティ カバレッジへの移行 – パート 3 (SAP ブログ記事) を参照してください。
関連するコンテンツ
詳細については、SAP アプリケーション用の Microsoft Sentinel ソリューションのデプロイを参照してください。