SAP の自動攻撃中断 (プレビュー)

Microsoft Defender XDR を使用すると、何百万もの個々のシグナルが関連付けられて、環境内のアクティブなランサムウェア キャンペーンやその他の高度な攻撃が高い信頼性で識別されます。 攻撃が行われている間、Defender XDR では、攻撃者が使用している侵害された資産を自動的に封じ込めることで、自動攻撃中断を通じて攻撃が中断します。 自動攻撃中断により、早期に横移動が制限されるとともに、関連するコストから生産性の低下に至るまで、攻撃の影響全体が軽減されます。 同時に、セキュリティ オペレーション チームでは、資産の調査、修復、オンラインへの復帰を完全に制御することができます。

Microsoft Sentinel に新しい SAP システムを追加すると、既定の構成に、統合セキュリティ オペレーション プラットフォームの攻撃中断機能が含まれます。 この記事では、SAP システムで Microsoft Defender ポータルでの SAP の自動攻撃中断をサポートする準備ができていることを確認する方法について説明します。

SAP の攻撃の中断のビデオ デモについては、次のビデオを視聴してください。

この記事の内容は、セキュリティインフラストラクチャSAP BASIS チームを対象としています。

SAP および統合セキュリティ オペレーション プラットフォームの攻撃中断

SAP の攻撃中断を構成するには、データ コネクタ エージェントのバージョンを更新し、関連するロールが Azure と SAP システムで確実に適用されるようにします。 ただし、自動攻撃中断自体は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームにのみ表示されます。

詳細については、「Microsoft Defender XDR での自動攻撃の中断」を参照してください。

エージェントの最小バージョンと必要なロール

SAP の自動攻撃中断には、次が必要です。

  • データ コネクタ エージェントのバージョン 90847355 以降。
  • データ コネクタ エージェント VM の ID は、Microsoft Sentinel Business Applications エージェント オペレーターおよび閲覧者の Azure ロールに割り当てる必要があります。
  • /MSFTSEN/SENTINEL_RESPONDER SAP ロールが、SAP システムに適用されており、Microsoft Sentinel の SAP データ コネクタ エージェントによって使用されている SAP ユーザー アカウントに割り当てられている必要があります。

SAP の攻撃中断を使用するには、新しいエージェントをデプロイするか、現在オンエージェントを最新バージョンに更新します。 必要に応じて、忘れずに Microsoft Sentinel Business Applications エージェント オペレーター閲覧者 の Azure ロールおよび /MSFTSEN/SENTINEL_RESPONDER SAP ロールを割り当てます。

詳細については、以下を参照してください:

詳細については、「Microsoft Defender ポータルの Microsoft Sentinel (プレビュー)」を参照してください。