SAP システム全体のユーザー監査アクティビティを監視および追跡する
この記事では、SAP システム全体のユーザー監査アクティビティの 監視と追跡に使用される SAP - セキュリティ監査ログと初期アクセス ブックについて説明します。 ブックを使用して、ユーザー監査アクティビティの全体像を把握し、SAP システムのセキュリティを強化し、疑わしいアクションをすばやく可視化します。 必要に応じて、疑わしいイベントにドリルダウンします。
ブックは、SAP システムの継続的な監視、またはセキュリティ インシデントまたはその他の疑わしいアクティビティの後のシステムを確認するために使用します。
次に例を示します。
この記事の内容は、セキュリティ チームを対象としています。
前提条件
SAP - セキュリティ監査ログと初期アクセス ブックの使用を開始する前に、次のものが必要です。
インストールされている SAP アプリケーション ソリューション用の Microsoft Sentinel ソリューションと、データ コネクタ エージェントがデプロイされています。 詳細については、「SAP アプリケーション用の Microsoft Sentinel ソリューションのデプロイ」を参照してください。
Microsoft Sentinel で有効になっている Log Analytics ワークスペースにインストールされている SAP - セキュリティ監査ログと初期アクセス ブック。 詳細については、「Microsoft Sentinel でブックを使用してデータを視覚化および監視する」を参照してください。
重要
SAP - セキュリティ監査ログと初期アクセス ブックは、SAP アプリケーション用の Microsoft Sentinel ソリューションがインストールされたワークスペースによってホストされます。 既定では、SAP データと SOC データの両方が、ブックをホストするワークスペース上にあると見なされます。
SOC データがブックをホストしているワークスペースとは異なるワークスペース上にある場合は、必ずそのワークスペースのサブスクリプションを含め、Azure 監査とアクティビティ ワークスペースから SOC ワークスペースを選択してください。
Microsoft Sentinel ワークスペース内の少なくとも 1 つのインシデント。テーブルには少なくとも 1 つのエントリを
SecurityIncident使用できます。 これは SAP インシデントである必要はありません。また、別の分析ルールがない場合は、基本的な分析ルールを使用してデモ インシデントを生成できます。Microsoft Entra データが別の Log Analytics ワークスペースにある場合は、ブックの上部にある Azure の監査とアクティビティで、関連するサブスクリプションとワークスペースを選択してください。
サポートされているフィルター
SAP - セキュリティ監査ログと初期アクセス ブックでは、必要なデータに焦点を当てるのに役立つ次のフィルターがサポートされています。
- [時間の範囲]。 4 時間から 90 日。
- System Roles。 SAP システム ロール (例: 開発)。
- System Usage。 たとえば、SAP GTS です。
- SAP systems。 すべてのシステムを選択することも、特定のシステムを選択することも、複数のシステムを選択することもできます。
SAP システムウォッチリストで構成されていないシステムを選択すると、ブックにエラーが表示され、問題のあるシステムが指定されます。 この場合は、これらのシステムを正しく含むようにウォッチリストを構成してください。
ログオン分析レポート データ
SAP - セキュリティ監査ログと初期アクセス ブックの [ログオン分析レポート] タブには、異常なデータ、Microsoft Entra データなど、サインインエラーに関するデータが表示されます。
データは、SAP システムウォッチリストに基づいています。
[ ログオン分析レポート ] タブには、次の領域があります。
ログオン分析
ログオン分析領域には、ユーザーのサインインに関する情報が表示されます。例えば:
![SAP 監査ブックの [Logon Analysis] 領域のスクリーンショット。](media/sap-audit-log-workbook/logon-analysis.png#lightbox)
次の表では、ログオン分析領域の各メトリックについて説明します。
| 領域 | 説明 |
|---|---|
| Unique user logons per system | 各 SAP システムの一意のサインインの数と、各システムで選択した時間のサインイン傾向を示すグラフが表示されます。 たとえば、012 システムには過去 14 日間に 1,400 回の一意のログオン試行があり、この 14 日間、サインイン傾向が比較的上昇していることがグラフに示されています。 |
| Logon types trend | ダイアログからのログインなど、種類に応じたサインイン数の傾向を示します。 グラフの上にカーソルを合わせると、異なる日付のログオン数が表示されます。 |
| Logon failures Vs. success by unique users - trend | 選択した期間での成功したサインインと失敗したサインインの傾向を示します。 グラフの上にマウス ポインターを置くと、さまざまな日付に対する成功したサインインと失敗したサインインの量が表示されます。 |
Logon failures - anomaly detection
[Anomaly detection - filtering out noisy failed login attempts] 下の領域には、SAP システムとユーザーのログイン失敗データが表示されます。 フラグが設定されたデータのみを表示するには、右側の [失敗したログオン] の横にある [Anomalous のみ] を選択します。
詳細については、SAP 監査ログの監視を参照してください。
次に例を示します。
![異常なデータでフィルター処理できる SAP 監査ブックの [Logon failures] 領域のセクションのスクリーンショット。](media/sap-audit-log-workbook/logon-failures.png#lightbox)
次の表では、異常検出領域の各メトリックについて説明します。
| 領域 | 説明 |
|---|---|
| [Logon failure rate]>[Logon failure anomalies]>[Unique User failed logons per SAP system] | SAP システムごとの一意の失敗したサインイン数を示します。 |
| SAP and Active Directory are better together | 異常なログインエラーの表には、Microsoft Sentinel と Microsoft Entra データの組み合わせが示され、リスクに応じてユーザーが一覧表示され、最もリスクの高いユーザーが上位に表示されます。 各ユーザーについて、次の表を示します。 - 失敗したサインイン試行のタイムライン - 異常な失敗した試行が発生した時点を示すタイムライン - 異常の種類 - ユーザーのメール アドレス - Microsoft Entra リスク インジケーター - Microsoft Sentinel のインシデントとアラートの数 ユーザーの行を選択して、関連するアラートとインシデントの一覧を表示します。 Microsoft Entra リスク イベントは、ユーザーの Azure 監査およびサインイン リスクの下に一覧表示されます。 |
| Logon failure rate per system | 選択した SAP システムを、種類別にグループ化し、選択した期間の障害数と共に表示します。 システムの色は、失敗した試行の数を示します。いくつかの疑わしいサインイン試行の場合は緑、それ以上は赤色です。 システムを選択すると、失敗したサインインの一覧と、エラーの詳細が表示されます。 |
次のスクリーンショットでは、[Anomalous login failures]\(異常なログインエラー\) テーブルで最初の 行が選択されたときに表示されるデータを メモします。 特定のアラートとインシデント URL は、[Incidents/alerts overview for user] テーブルに表示されます。
![[Anomalous login failures] で行が選択されたときに表示されるデータのスクリーンショット。](media/sap-audit-log-workbook/anomalous-logon-failures-table.png#lightbox)
次のスクリーンショットでは、ユーザーの Azure 監査リスクとサインイン リスクテーブルに、このユーザー に関連するサインイン リスクのデータが表示されています。
![[Anomalous login failures] テーブルで行が選択されたときに表示される監査およびサインイン リスク データのスクリーンショット。](media/sap-audit-log-workbook/azure-audit-signin-risks.png#lightbox)
次のスクリーンショットでは、[テスト] グループの下の 84e システムが選択されているシステム領域ごとのログイン失敗率に注意してください。 右側の [Failed logons for system] 領域には、このシステムのエラー イベントが表示されます。
![SAP 監査ブックの [Login failure rate per system] 領域のスクリーンショット。](media/sap-audit-log-workbook/logon-failure-rate.png#lightbox)
Logon failures - trends
[Logon failures trends] 領域には、失敗したサインインの傾向と数が、さまざまな種類のデータ別にグループ化されて表示されます。 次に例を示します。
![SAP 監査ブックの [Logon failures trends] 領域のスクリーンショット。](media/sap-audit-log-workbook/logon-failure-trends.png#lightbox)
次の表では、[ログオンエラーの傾向] 領域の各メトリックについて説明します。
| 領域 | 説明 |
|---|---|
| Login failure by cause | 正しくないサインイン データなど、失敗の原因に応じたサインイン エラーの数の傾向を示します。 |
| Login failure by type | サインインがバックグラウンド ジョブをトリガーしたか、サインインが HTTP 経由であったかなど、種類に応じてサインインエラーの数の傾向を示します。 |
| Login failure by method | SNC やサインイン チケットなど、方法に従ったサインイン エラーの数の傾向を示します。 |
[Audit log alerts report] タブ
[ 監査ログ アラート] タブには、 SAP アプリケーション用の Microsoft Sentinel ソリューションが監視する SAP 監査ログ イベントに関するデータが表示されます。 データは、SAP_Dynamic_Audit_Log_Monitor_Configurationウォッチリストに基づいています。
[ 監査ログ アラート] タブには、 各 SAP システムとユーザーの重大度と監査の傾向が表示されます。 このタブのすべての領域には、異常検出によってのみフラグが設定されたデータが表示されます。 すべてのイベントについて、右側の [Failed logons] の横にある [All] を選択します。
詳細については、SAP 監査ログの監視を参照してください。
次に例を示します。
![SAP 監査ブックの [Audit Log Alerts] 領域のスクリーンショット。](media/sap-audit-log-workbook/audit-log-alerts.png#lightbox)
次の表では、[監査ログ アラート] タブの 各メトリックについて 説明します。
| 領域 | 説明 |
|---|---|
| システム ID ごとのアラートの重大度の傾向 | システムの一覧を表示し、システムごとの重大度が中および高のイベントの傾向をグラフで示します。 たとえば、012 システムには、期間全体で多くの重大度の高いイベントと、中間の重大度イベントがいくつかあり、中間の重大度イベントが急増しています。 |
| Audit trend per user | Microsoft Sentinel と Microsoft Entra データの組み合わせを示し、リスクに応じてユーザーを一覧表示し、最もリスクの高いユーザーを上位に表示します。 各ユーザーについて、ブックには次のデータが表示されます。 - 重大度が高および中のイベントのタイムライン - ユーザーのメール アドレス - Microsoft Entra リスク インジケーター - Microsoft Sentinel のインシデントとアラートの数 ユーザーの [インシデント/アラートの概要] で、そのユーザー のアラートとインシデントの一覧を表示する行を選択します。 ユーザーの Azure 監査とサインイン リスクの下で Microsoft Entra リスク イベントを表示します。 |
| Risk score per system | セル図形内の各システムを視覚的に表し、各システムのリスク スコアと、システムを種類別にグループ化する方法を示します。 システムの色は、システムのリスク スコアを示します。低リスク スコアの場合は緑、リスク スコアが高い場合は赤です。 システムを選択して、システムごとの SAP イベントの一覧を表示します。 |
| MITRE ATT&CK の戦術によるイベント | 初期アクセスや防御回避など、MITRE ATT&CK 戦術別にグループ化された SAP イベントの一覧を表示します。 グラフの上にカーソルを合わせると、さまざまな日付のサインインの数が表示されます。 |
| Events by category | RFC の開始やログオンなど、カテゴリ別にグループ化された SAP イベントの傾向の一覧を表示します。 グラフの上にマウス ポインターを置くと、さまざまな日付のサインイン番号が表示されます。 |
| Events by authorization group | USER や SUPER など、SAP 承認グループ別にグループ化された SAP イベントの傾向の一覧を表示します。 グラフの上にカーソルを合わせると、さまざまな日付のサインインの数が表示されます。 |
| Events by user type | ダイアログやシステムなど、SAP ユーザータイプ別にグループ化された SAP イベントの傾向の一覧を表示します。 グラフの上にカーソルを合わせると、さまざまな日付のサインインの数が表示されます。 |
次のスクリーンショットでは、[ユーザーごとの監査傾向] テーブルで最初の行が選択されたときに表示されるデータをメモします。 特定のアラートとインシデント URL は、[Incidents/alerts overview for user] テーブルに表示されます。
![[Audit trends per user] テーブルで行が選択されたときに表示されるデータのスクリーンショット。](media/sap-audit-log-workbook/audit-trend-per-user.png#lightbox)
次のスクリーンショットでは、UAT グループの下の cb7 システムが選択されているシステム領域ごとのリスク スコアに注意してください。 システム視覚化の下の [SAP events for system] 領域には、このシステムの SAP イベントが表示されます。
![SAP 監査ブックの [Risk score per system] 領域のスクリーンショット。](media/sap-audit-log-workbook/risk-score-per-system.png#lightbox)
次のスクリーンショットでは、さまざまな種類のデータによってグループ化されたイベントとイベントの傾向を示す領域 (MITRE ATT&CK 戦術、SAP 承認グループ、ユーザーの種類) をメモします。
関連するコンテンツ
詳細については、コンテンツ ハブから SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイし、SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイする: セキュリティ コンテンツ リファレンスを参照してください。