SAP 承認を構成して省略可能な SAP 変更要求をデプロイする
この記事では、SAP エージェントを SAP システムに適切に接続できるように SAP エージェントのインストールに向けて環境を準備する方法について説明します。 準備には、必要な SAP 承認の構成に加え、必要に応じて追加の SAP 変更要求 (PR) のデプロイが含まれます。
- Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されるようになりました。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
デプロイのマイルストーン
次の一連の記事を通じて、SAP ソリューションのデプロイの行程について説明します。
複数のワークスペースでソリューションを操作する (プレビュー)
SAP 環境の準備 (現在はここです)
オプションのデプロイ手順
Microsoft Sentinel ロールを構成する
GitHub の /MSFTSEN/SENTINEL_RESPONDER ファイルからロールの承認をアップロードします。
これにより、/MSFTSEN/SENTINEL_RESPONDER ロールが作成されます。これには、SAP システムからのログの取得と攻撃中断応答アクションの実行に必要なすべての承認が含まれます。
または、取り込むログに必要な関連する承認を使用して、ロールを手動で作成します。 詳細については、「必要な ABAP 承認」を参照してください。 この手順の例では、/MSFTSEN/SENTINEL_RESPONDER 名を使用します。
次の手順では、Microsoft Sentinel で使用されるアクティブなロール プロファイルを生成します。 PFCG トランザクションを実行します。
[SAP Easy Access] 画面で、画面の左上隅にあるフィールドに「
PFCG
」と入力し、ENTER キーを押します。[ロールのメンテナンス] ウィンドウで、[ロール] フィールドにロール名
/MSFTSEN/SENTINEL_RESPONDER
を入力し、[変更] ボタン (鉛筆) を選択します。表示される [ロールの変更] ウィンドウで、[認可] タブを選択します。
[認可] タブで、[認可データの変更] を選択します。
[情報] ポップアップで、メッセージを読み、緑色のチェックマークを選択して確認します。
[ロールの変更: 認可] ウィンドウで、[生成] を選択します。
[状態] フィールドが [変更なし] から [生成済み] に変更されたことがわかります。
(画面上部の SAP ロゴの左側にある) [戻る] を選択します。
[ロールの変更] ウィンドウに戻り、[認可] タブに緑色のボックスが表示されていることを確認して、[保存] を選択します。
ユーザーの作成
SAP システムに接続するには、SAP 向け Microsoft Sentinel ソリューション® アプリケーションにユーザー アカウントが必要です。 次の手順に従って、ユーザー アカウントを作成し、前の手順で作成したロールに割り当てます。
ここで示す例では、/MSFTSEN/SENTINEL_RESPONDER というロール名を使用します。
SU01 トランザクションを実行します。
[SAP Easy Access] 画面で、画面の左上隅にあるフィールドに「
SU01
」と入力し、ENTER キーを押します。[ユーザー メンテナンス: 初期画面] 画面 で、[ユーザー] フィールドに新しいユーザーの名前を入力し、ボタン バーから [テクニカル ユーザーの作成]を選択します。
[ユーザーの管理] 画面で、[ユーザー タイプ] ドロップダウン リストから [システム] を選択します。 複雑なパスワードを作成して [新しいパスワード] フィールドと [パスワードの再入力] フィールドに入力し、[ロール] タブを選択します。
[ロール] タブの [ロールの割り当て] セクションで、ロールの完全な名前 (この例では
/MSFTSEN/SENTINEL_RESPONDER
) を入力して、Enter キーを押します。Enter キーを押した後、[ロールの割り当て] セクションの右側に [開始日の変更] などのデータが入力されていることを確認します。
[プロファイル] タブを選択して、[割り当てられた認可プロファイル] にロールのプロファイルが表示されていることを確認し、[保存] を選択します。
必要な ABAP 承認
このセクションでは、Microsoft Sentinel の SAP データ コネクタで使用される SAP ユーザー アカウントで SAP システムからログが正しく取得され、攻撃中断応答アクションが実行されるようにするために必要な ABAP 承認の一覧を示しています。
必要な承認を、目的別に以下の一覧に示します。 必要なのは、Microsoft Sentinel に取り込むログの種類と適用する攻撃中断応答アクションに対する、一覧表示された承認のみです。
ヒント
必要なすべての承認を持つロールを作成するには、/MSFTSEN/SENTINEL_RESPONDER ファイルからロールの承認を読み込みます。
または、攻撃中断応答アクションなしで、ログの取得のみを有効にするには、SAP システムに SAP NPLK900271 CR をデプロイして /MSFTSEN/SENTINEL_CONNECTOR ロールを作成するか、/MSFTSEN/SENTINEL_CONNECTOR ファイルからロールの承認を読み込みます。
必要に応じて、ABAP システムにインストールされているユーザー ロールとオプションの CR を削除することができます。
省略可能な CR をデプロイする
このセクションでは、追加の省略可能な CR をデプロイするための詳細なガイドを示します。 SOC エンジニアまたは実装者向けですが、SAP エキスパートである必要はありません。
CR のデプロイ プロセスに精通している経験豊富な SAP 管理者の場合は、このガイドの「SAP 環境の検証手順」セクションから適切な CP を直接取得してデプロイすることもできます。
SAP CR のデプロイは、経験豊富な SAP システム管理者が行うことを強くお勧めします。
次の表では、デプロイに使用できる省略可能な CR について説明します。
CR | 説明 |
---|---|
NPLK900271 | SAP データ コネクタが SAP システムに接続できるようにするために必要な基本承認を使用して、サンプル ロールを作成および構成します。 または、ファイルから承認を直接読み込むか、取り込むログに従ってロールを手動で定義することもできます。 詳細については、「必要な ABAP 承認」と「ロールを作成して構成する (必須)」を参照してください。 |
NPLK900201 または NPLK900202 | SAP から追加情報を取得します。 SAP バージョンに応じて、これらの CR からいずれかを選択します。 |
CR をデプロイするための前提条件
デプロイ プロセスを開始する前に、SAP システムのバージョン、システム ID (SID)、システム番号、クライアント番号、IP アドレス、管理ユーザー名、パスワードの詳細を必ずコピーしておきます。 以下の例では、次の詳細が想定されています。
- SAP システムのバージョン:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- システム番号:
00
- クライアント番号:
001
- IP アドレス:
192.168.136.4
- 管理者ユーザー:
a4hadm
。ただし、SAP システムへの SSH 接続は、root
のユーザー資格情報を使用して確立されます。
- SAP システムのバージョン:
デプロイする CR を必ず把握しておきます。
追加情報を取得するために NPLK900202 CR をデプロイする場合は、関連する SAP ノートを必ずインストールしておきます。
ファイルを設定する
SSH を使用して SAP システムにサインインします。
CR ファイルを SAP システムに転送するか、SSH プロンプトから SAP システムにファイルを直接ダウンロードします。 次のコマンドを使用します。
Download NPLK900271
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
または、これらの承認をファイルから直接読み込むこともできます。
Download NPLK900202
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
Download NPLK900201
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
各 CR は、2 つのファイルで構成されており、1 つは K、もう 1 つは R で始まります。
ファイルの所有権をユーザー
<sid>
adm とグループ sapsys に変更します。 (<sid>
をご使用の SAP システム ID に置き換えます。)chown <sid>adm:sapsys *.NPL
この例では次のようになります。
chown a4hadm:sapsys *.NPL
cofile (K で始まるファイル) を
/usr/sap/trans/cofiles
フォルダーにコピーします。-p
スイッチを指定してcp
コマンドを使用し、コピー中にアクセス許可が維持されるようにします。cp -p K*.NPL /usr/sap/trans/cofiles/
データ ファイル (R で始まるファイル) を
/usr/sap/trans/data
フォルダーにコピーします。-p
スイッチを指定してcp
コマンドを使用し、コピー中にアクセス許可が維持されるようにします。cp -p R*.NPL /usr/sap/trans/data/
CR をインポートする
SAP Logon アプリケーションを起動して、SAP GUI コンソールにサインインします。
STMS_IMPORT トランザクションを実行します。
[SAP Easy Access] 画面で、画面の左上隅にあるフィールドに「
STMS_IMPORT
」と入力し、ENTER キーを押します。表示される [キューのインポート] ウィンドウで、[詳細] > [その他] > [その他の要求] > [追加] を選択します。
表示される [インポート キューへの転送要求の追加] ポップアップで、[転送要求] フィールドを選択します。
[転送要求] ウィンドウが表示され、デプロイできる CSP の一覧が表示されます。 CR を選択し、緑色のチェックマーク ボタンを選択します。
[インポート キューへの転送要求の追加] ウィンドウに戻り、[続行] (緑色のチェックマーク) を選択するか、ENTER キーを押します。
[転送要求の追加] 確認ダイアログで、[はい] を選択します。
他の CR もさらにデプロイする予定の場合は、残りの CR に対して前の 5 つのステップの手順を繰り返します。
[インポート キュー] ウィンドウで、関連する転送要求を選択し、その後 F9 キーを押すか、[Select/Deselect Request] (要求の選択/選択解除) アイコンを選択します。
デプロイに追加する残りの転送要求がある場合は、ステップ 9 を繰り返します。
[Import Requests] (要求のインポート) アイコンを選択します。
[インポートの開始] ウィンドウで、[ターゲット クライアント] フィールドを選択します。
[入力ヘルプ..] ダイアログが表示されます。 CR をデプロイするクライアントの番号 (この例では
001
) を選択し、緑色のチェックマークを選択して確認します。[インポートの開始] ウィンドウに戻り、[オプション] タブを選択して、[無効なコンポーネント バージョンを無視] チェック ボックスをオンにし、緑色のチェック マークをオンにして確認します。
[インポートの開始] 確認ダイアログで、[はい] を選択してインポートを確認します。
[インポート キュー] ウィンドウに戻り、[更新] を選択して、インポート操作が完了し、インポート キューが空と表示されるまで待ちます。
インポートの状態を確認するには、[インポート キュー] ウィンドウで [詳細] > [移動] > [インポート履歴] を選択します。
NPLK900202 CR をデプロイした場合は、[警告] が表示されます。 そのエントリを選択して、表示される警告の種類が "テーブル <tablename> がアクティブ化されました" であることを確認します。
次のスクリーンショットの CR とバージョンは、インストールされている CR バージョンに応じて変わる可能性があります。
PAHI テーブル (システム、データベース、および SAP パラメーターの履歴) が定期的に更新されていることを確認します
SAP PAHI テーブルには、SAP システム、データベース、および SAP パラメーターの履歴に関するデータが含まれています。 場合によっては、SAP® 向け Microsoft Sentinel ソリューションのアプリケーションで、構成が不足しているか、または正しくないために、SAP PAHI テーブルを定期的に監視できない場合があります (この問題の詳細については、SAP ノートを参照してください)。 PAHI テーブルを更新し、それを頻繁に監視することは重要です。それにより、SAP® 向け Microsoft Sentinel ソリューションのアプリケーションは、1 日を通していつでも発生する可能性のある疑わしいアクションに対してアラートを生成できます。
セキュリティ パラメーターに対する疑わしい構成変更を、SAP® アプリケーション向け Microsoft Sentinel ソリューションで監視する方法について説明します。
注意
最適な結果を得るには、マシンの systemconfig.ini ファイルの [ABAP Table Selector]
セクションで、PAHI_FULL
と PAHI_INCREMENTAL
の両方のパラメーターを有効にします。
PAHI テーブルが定期的に更新されていることを確認するには、次の手順を実行します。
SAP_COLLECTOR_FOR_PERFMONITOR
ジョブが、RSCOLL00 プログラムに基づいて、000 クライアントの DDIC ユーザーによって 1 時間ごとにスケジュールおよび実行されているかどうかを確認します。RSHOSTPH
、RSSTATPH
、およびRSDB_PAR
のレポート名が TCOLL テーブルに保持されているかどうかを確認します。RSHOSTPH
レポート: オペレーティング システムのカーネル パラメーターを読み取り、このデータを PAHI テーブルに格納します。RSSTATPH
レポート: SAP プロファイル パラメーターを読み取り、このデータを PAHI テーブルに格納します。RSDB_PAR
レポート: データベース パラメーターを読み取り、PAHI テーブルに格納します。
ジョブが存在し、正しく構成されている場合は、それ以上の手順は必要ありません。
ジョブが存在しない場合:
000 クライアントで SAP システムにサインインします。
SM36 トランザクションを実行します。
[ジョブ名] に「SAP_COLLECTOR_FOR_PERFMONITOR」と入力します。
[ステップ] を選択し、次の情報を入力します。
- [ユーザー] に「DDIC」と入力します。
- [ABAP プログラム名] に「RSCOLL00」と入力します。
構成を保存します。
F3 キーを選んで前の画面に戻ります。
[開始条件] を選択して、開始条件を定義します。
[即時] を選択し、[定期的なジョブ] チェック ボックスをオンにします。
[期間の値] を選択し、[毎時] を選択します。
ダイアログ内の [保存] を選択してから、下部にある [保存] を選択します。
ジョブをリリースするには、上部にある [保存] を選択します。
次のステップ
これで、データ コネクタ エージェントのデプロイに向けて、SAP 環境の準備が完全に整いました。 ロールとプロファイルのプロビジョニング、ユーザー アカウントの作成、関連するロール プロファイルの割り当て、環境への必要に応じた CR のデプロイが行われます。
これで、Microsoft Sentinel の SAP 監査を有効にして構成する準備が整いました。