SAP アプリケーション向け Microsoft Sentinel ソリューション

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

SAP システムは、機密情報を処理するため、固有のセキュリティ上の課題をもたらし、攻撃者にとっては主要なターゲットであり、従来はセキュリティ運用チームに対して可視性がほとんど提供されません。

SAP システムが侵害されると、ファイルが盗まれたり、データが露出したり、サプライ チェーンが中断されたりする可能性があります。 攻撃者がシステムに侵入すると、流出やその他の不適切な行為を検出するための制御はほとんどありません。 効果的な脅威検出を行うには、SAP アクティビティを組織全体の他のデータと関連付ける必要があります。

このギャップを埋めるために、Microsoft Sentinel には、SAP アプリケーション向けの Microsoft Sentinel ソリューションが用意されています。これらのソリューションは、Microsoft Sentinel のすべてのレベルのコンポーネントを使用して、SAP 環境内の脅威に対するエンドツーエンドの検出、分析、調査を行います。

SIEM と SOAR の機能とサンプル アーキテクチャ

SAP アプリケーション向け Microsoft Sentinel ソリューションは、SAP システムのすべてのレイヤー (ビジネス ロジック、アプリケーション、データベース、OS) で、脅威を継続的に監視します。 これにより次の操作を行うことができます。

• セキュリティ情報イベント管理 (SIEM): SAP の監視を組織全体の他のシグナルと関連付けます。 既製とカスタムの検出機能を使って、機密トランザクションや、特権エスカレーション、承認されていない変更、不正アクセスといった他のビジネス リスクを監視します。

• セキュリティ オーケストレーション自動対応 (SOAR): SAP システムと連携してアクティブなセキュリティ脅威を阻止する自動応答プロセスを構築します。

たとえば、次の図は、SAP アプリケーション向け Microsoft Sentinel ソリューションがデプロイされているサンプル環境を示したものです。 このサンプル アーキテクチャでは、マルチ SID SAP ランドスケープが使われ、生産システムと非生産システムが分けられています。 この図のすべてのシステムが、SAP ソリューション用の Microsoft Sentinel にオンボードされます。

Microsoft Sentinel には、次の SAP 環境構成用のソリューションも用意されています。

• (限定プレビュー) Microsoft Sentinel SAP エージェントレス ソリューションを使用すると、簡単にデプロイできるエージェントレス データ コネクタを使用して、SAP 監査ログのみの脅威の監視および検出を行うことができます。
• SAP BTP 向け Microsoft Sentinel ソリューションを使用すると、SAP Business Technology Platform (BTP) の脅威の監視と検出を行うことができます。

脅威検出の対象範囲

SAP アプリケーション向け Microsoft Sentinel ソリューションでは、次のような脅威検出がサポートされています。

• 疑わしい特権操作: 特権ユーザーの作成や、緊急用ユーザーの使用など
• SAP セキュリティ メカニズムをバイパスする試み: 監査ログの無効化や、機密関数モジュールの実行など
• バックドアの作成 (永続化): 新しいインターネット接続インターフェイス (ICF) の作成や、リモート関数呼び出しによる機密テーブルへの直接アクセスなど
• データ流出: 複数のファイルのダウンロードや、スプールの引き継ぎなど
• 初期アクセス: ブルート フォースや、同じ IP からの複数のサインインなど

詳しくは、「組み込みの分析ルール」をご覧ください。

調査のサポート

Microsoft Sentinel や Microsoft Defender での他のインシデントと同様に、SAP のインシデントを調査します。 詳細については、以下を参照してください:

• Microsoft Sentinel でのインシデントの確認と調査
• Microsoft Defender XDR で調査して対応する

[認定](#certification-phase)

Microsoft Sentinel の SAP アプリケーション ソリューションは、SAP S/4HANA Cloud, Private Edition RISE with SAP、SAP S/4 オンプレミスで認定されています。

• 統合シナリオには、S/4-BC-XAL 1.0/S/4 外部アラートと監視 1.0 (S/4 向け) が含まれます。
• 認定には、任意のクラウドとオンプレミスで実行されている S/4 と SAP Rise S/4 HANA Cloud Private Edition が含まれます。
• お客様の資産全体をカバーできるハイブリッド デプロイをサポートしています。

詳しくは、SAP 認定ソリューション ディレクトリで認定を確認してください。

ソリューションの価格

Microsoft Sentinel の SAP アプリケーション ソリューションは無料でインストールできますが、このソリューションを運用システムでアクティブにして使用すると、時間単位で追加料金が発生します。

• 時間単位の追加料金は、接続されたアクティブな運用システムにのみ適用されます。 非アクティブなシステムには料金はかかりません。 アクセス許可の問題などのため、Microsoft Sentinel でシステムの状態がわからない場合は、運用システムとしてカウントされます。
• Microsoft Sentinel では、SAP システムの構成を調べることで、運用システムを識別します。

Microsoft Sentinel のインジェスト コストは変わる場合があり、取り込まれた SAP ログの量によって影響を受けます。 詳細については、以下を参照してください:

• コストを計画し、Microsoft Sentinel の価格と課金を理解する
• Microsoft Sentinel のコストを削減する
• Microsoft Sentinel のコストを管理および監視する
• SAP アプリケーション向け Microsoft Sentinel ソリューション。

関連するコンテンツ

詳細については、以下を参照してください:

• SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする
• SAP の検出と脅威に対する保護を有効にする
• SAP アプリケーション向け Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス