Microsoft Sentinel での SAP 監査を有効にして構成する
この記事では、SAP ソリューションを完全に可視化できるように、SAP® アプリケーション用の Microsoft Sentinel ソリューションでの監査を有効にして構成する方法について説明します。
重要
SAP システムの管理は、経験のある SAP システム管理者が行うことを強くお勧めします。
この記事の手順は SAP システムのバージョンによって異なる可能性があり、単にサンプルであると考えてください。
インストールされた SAP システムの中には、監査ログが既定で有効になっていないものがあります。 SAP® アプリケーション用の Microsoft Sentinel ソリューションのパフォーマンスと有効性の評価で最良の結果を得るには、SAP システムの監査を有効にし、監査パラメーターを構成します。
デプロイのマイルストーン
次の一連の記事を通じて、SAP ソリューションのデプロイの行程について説明します。
複数のワークスペースでソリューションを操作する (プレビュー)
監査を構成する ("現在はここです")
オプションのデプロイ手順
監査が有効になっているかどうかを確認する
SAP GUI にサインインし、RSAU_CONFIG トランザクションを実行します。
[Security Audit Log - Display of Current Configuration] (セキュリティ監査ログ - 現在の構成の表示) ウィンドウで、[構成] セクション内にある [パラメーター] セクションを見つけます。 [General Parameters] (一般パラメーター) で、[Static security audit active] (静的セキュリティ監査をアクティブ化) チェック ボックスがオンになっていることを確認します。
監査を有効にする
重要
監査ポリシーは、SAP 管理者およびセキュリティ部門と緊密にコラボレーションして決定する必要があります。
SAP GUI にサインインし、RSAU_CONFIG トランザクションを実行します。
[Security Audit Log] (セキュリティ監査ログ) 画面で、[構成] ツリーの [Security Audit Log Configuration] (セキュリティ監査ログの構成) セクションで [パラメーター] を選択します。
[Static security audit active] (静的セキュリティ監査をアクティブ化) チェック ボックスがオンの場合、システム レベルの監査が有効になっています。 そうでない場合は、[Display <-> Change] (表示 <-> 変更) を選択し、[Static security audit active] (静的セキュリティ監査をアクティブ化) チェックボックスをオンにします。
既定では、クライアント IP アドレスではなく、クライアント名 (ターミナル ID) が SAP システムによってログされます。 代わりに、システムでクライアント IP アドレスによってログする場合は、[General Parameters] (一般パラメーター) セクションの [Log peer address not terminal ID] (ターミナル ID ではなくピア アドレスをログする) チェックボックスをオンにします。
[Security Audit Log Configuration] (セキュリティ監査ログの構成) - [パラメーター] セクションでいずれかの設定を変更した場合は、[保存] を選択して変更を保存します。 監査は、サーバーが再起動された後に有効になります。
重要
Windows OS で実行されている SAP アプリケーションでは、セットアップ後に監査ログが正しく読み取られない場合に備えて、SAP ノート 2360334 の推奨事項を考慮する必要があります。
[静的な構成] を右クリックし、[プロファイルの作成] を選択します。
[Profile/Filter Number] (プロファイル/フィルター番号) フィールドにプロファイルの名前を指定します。
注意
Vanilla SAP のインストールには、次の追加の手順が必要です。作成したプロファイルを右クリックし、新しいフィルターを作成します。
[Filter for recording active] (記録のフィルターをアクティブ化) チェックボックスをオンにします。
[クライアント] フィールドに「
*
」と入力します。[ユーザー] フィールドに「
*
」と入力します。[Event Selection] (イベント選択) で、[Classic event selection] (クラシック イベント選択) を選択し、一覧にあるすべてのイベントの種類を選択します。
[保存] を選択します。
[静的な構成] セクションに、新しく作成したプロファイルが表示されます。 そのプロファイルを右クリックし、[アクティブにする] を選択します。
確認ウィンドウで [はい] を選択して、新しく作成したプロファイルをアクティブにします。
Note
静的構成は、システムの再起動後にのみ有効になります。 すぐにセットアップするには、新しく作成した静的プロファイルを右クリックし、[動的構成に適用] を選択して、同じプロパティを持つ追加の動的フィルターを作成します。
次のステップ
この記事では、Microsoft Sentinel の SAP 監査を有効にして構成する方法について説明しました。