SAP アプリケーション向け Microsoft Sentinel ソリューション: デプロイの概要

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

SAP アプリケーション向け Microsoft Sentinel ソリューションを使用して、Microsoft Sentinel で SAP システムを監視し、SAP アプリケーションのビジネス ロジックとアプリケーション層全体で高度な脅威を検出します。

この記事では、SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイについて説明します。

ソリューション コンポーネント

SAP アプリケーション向けの Microsoft Sentinel ソリューションには、SAP システムからログを収集して Microsoft Sentinel ワークスペースに送信するデータ コネクタと、組織の SAP 環境に関する分析情報を取得し、セキュリティの脅威を検出して対応するのに役立つすぐに使用できるセキュリティ コンテンツが含まれています。

データ コネクタ

SAP 向け Microsoft Sentinel データ コネクタは、Linux 仮想マシン、物理サーバー、または Kubernetes クラスターにコンテナーとしてインストールされるエージェントです。 このエージェントは、オンボードされているすべての SAP SID のアプリケーション ログを SAP システム ランドスケープ全体から収集し、それらのログを Microsoft Sentinel の Log Analytics ワークスペースに送信します。

たとえば、次の図は、運用環境システムと SAP Business Technology Platform を含む非運用環境システムに分割されたマルチ SID SAP ランドスケープを示しています。 この画像内のすべてのシステムは、SAP ソリューション用の Microsoft Sentinel にオンボードされています。

マルチ SID SAP ランドスケープと Microsoft Sentinel を示す図。

エージェントは、SAP システムに接続してそこからログとその他のデータをプルし、次にそれらのログを Microsoft Sentinel ワークスペースに送信します。 これを行うには、エージェントは、この目的のために特別に作成されたユーザーとロールを使用して、SAP システムに対して認証する必要があります。

Microsoft Sentinel では、SAP 認証シークレットの構成など、エージェント構成情報を保存するためのいくつかのオプションがサポートされています。 どのオプションを使用するかは、VM をデプロイする場所と、使用する SAP 認証メカニズムによって異なる可能性があります。 サポートされているオプションは次のとおりです。優先順に示されています。

  • Azure Key Vault (Azure システム割り当てマネージド ID を使用してアクセス)
  • Azure Key Vault (Microsoft Entra ID 登録済みアプリケーション サービス プリンシパルを使用してアクセス)
  • プレーンテキストの構成ファイル

SAP の Secure Network Communication (SNC) および X.509 証明書を使用して認証することもできます。 SNC を使用すると認証セキュリティのレベルは向上しますが、必ずしもすべてのシナリオで実用的であるとは限りません。

セキュリティ コンテンツ

SAP アプリケーション向け Microsoft Sentinel ソリューションには、組織の SAP 環境に関する分析情報を取得し、セキュリティの脅威を検出して対応するのに役立つ次の種類のセキュリティ コンテンツが含まれています。

  • 脅威検出のための分析ルールウォッチリスト
  • データ アクセスを簡単にするための関数
  • 対話型のデータの可視化を作成するためのブック
  • 組み込みソリューションのパラメーターをカスタマイズするためのウォッチリスト
  • 脅威への対応を自動化するために使用できるプレイブック

詳細については、「SAP アプリケーション用の Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。

デプロイ フローとペルソナ

SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイには、いくつかの手順が必要であり、セキュリティインフラストラクチャSAP BASIS チームなど、複数のチーム間でのコラボレーションが必要です。 次の図は、SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする手順と、関係するチームを示しています。

SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイ フローの完全な手順を示す図。

作業が割り当てられ、デプロイを円滑に進めることができるように、デプロイを計画する際には、関係するすべてのチームを関与させることをお勧めします。

デプロイの手順は次のとおりです

  1. SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイするための前提条件を確認します。 一部の前提条件は、インフラストラクチャまたは SAP BASIS チームと調整する必要があります。

  2. 次の手順は、別々のチームが関与し、相互に依存していないため、並行して実行できます。

    1. コンテンツ ハブから SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイします。 この手順は、セキュリティ チームによって Azure portal で処理されます。

    2. Microsoft Sentinel ソリューション用に SAP システムを構成します。たとえば、SAP 承認の構成、SAP 監査の構成などがあります。 これらの手順は SAP BASIS チームが行うことをお勧めします。Microsoft のドキュメントには SAP ドキュメントへの参照が含まれています。

  3. データ コネクタ エージェント コンテナーをデプロイして SAP システムを接続します。 この手順は、セキュリティ、インフラストラクチャ、SAP BASIS の各チーム間での調整が必要です。

  4. SAP の検出と脅威に対する保護を有効にします。 この手順は、セキュリティ チームによって Azure portal で処理されます。

その他のオプションとしては、次のものがあります。

SAP データ コネクタ エージェントの構成ファイル

このデプロイ手順により、SAP データ コネクタ エージェントの構成の詳細を含む systemconfig.json ファイルが生成されます。 このファイルは、VM 上の /sapcon-app/sapcon/config/system ディレクトリ内にあります。 このファイルを使用して、SAP データ コネクタ エージェントの構成を更新できます。

2023 年 6 月より前にリリースされたデプロイ スクリプトの以前のバージョンでは、代わりに systemconfig.ini ファイルが生成されます。 詳細については、以下を参照してください:

SAP データの収集を停止する

Microsoft Sentinel による SAP データの収集を停止する必要がある場合、ログ インジェストを停止し、コネクタを無効にします。 次に、SAP システムにインストールされている余分なユーザー ロールとオプションの CR を削除します。

詳細については、「SAP データの収集を停止する」を参照してください。

関連するコンテンツ

詳細については、以下を参照してください:

次のステップ

前提条件を確認して、SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイを開始します。

前提条件