SAP® アプリケーション向け Microsoft Sentinel ソリューション - SAP 監査コントロール ブック (プレビュー)
この記事では、SAP® アプリケーション向け Microsoft Sentinel ソリューションの一部として提供される SAP 監査コントロール ブックについて説明します。
重要
Microsoft Sentinel SAP 監査コントロール ブックは現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
このブックを使うと、選択したコントロール フレームワーク (SOX、NIST、または任意のカスタム フレームワーク) に準拠するために、SAP® 環境のセキュリティコントロールをチェックすることができます。
このブックには、環境内の分析ルールを特定のセキュリティ コントロールとコントロール ファミリに割り当て、SAP ソリューション ベースの分析ルールによって生成されたインシデントを監視および分類し、コンプライアンスに関するレポートを作成するためのツールが用意されています。
ブックには、コンプライアンス プログラムに対して次の機能が用意されています。
- 有効にする分析ルールに関する推奨事項を確認し、公式の事前設定された構成でそれらをインプレースで有効にします。
- 分析ルールを SOX または NIST コントロール フレームワークに関連付けるか、独自のカスタム コントロール フレームワークを適用します。
- 選択したコントロール フレームワークに従って、コントロール別に要約されたインシデントとアラートを確認します。
- 監査とレポートの目的で、さらに分析するために関連するインシデントをエクスポートします。
ブックの使用を開始する
Microsoft Sentinel ポータルの [脅威管理] メニューから [ブック] を選択します。
ブック ギャラリーで、[テンプレート] に移動し、検索バーに SAP と入力し、結果の中から [SAP Audit Controls] (SAP 監査コントロール) を選択します。
ブックをそのまま使用するには [テンプレートの表示] を選択し、ブックの編集可能なコピーを作成するには [保存] を選択します。 コピーが作成されたら、 [保存されたブックの表示] を選択します。
以下のフィールドを選択して、必要に応じてデータをフィルター処理します。
- [サブスクリプション] と [ワークスペース]。 SAP システムのコンプライアンスを監査するワークスペースを選択します。 これは、Microsoft Sentinel がデプロイされている場所とは異なるワークスペースである可能性があります。
- [Incident creation time] (インシデントの作成時期)。 [過去 4 時間] から [過去 30 日間] までの範囲、または決定したカスタム範囲を選択します。
- その他のインシデント属性 - [状態]、[重要度]、[戦術]、[所有者]。 これらのそれぞれについて、使用可能な選択肢から選択します。これは、選択した時間範囲内のインシデントに表される値に対応します。
- [システムの役割]。 SAP システムの役割。例: 実稼働。
- [System usage] (システムの用途)。 例: SAP ERP。
- [システム]。 すべての SAP システム ID、特定のシステム ID、または複数のシステム ID を選択できます。
- [Control framework] (コントロール フレームワーク)、[Control families] (コントロール ファミリ)、[Control IDs] (コントロール ID)。 対象範囲を評価するコントロール フレームワークと、ブック データをフィルター処理する特定のコントロールに従って、これらを選択します。
このブックのダッシュボードを使用すると、SecurityAlert と SecurityIncident テーブルに基づいてインシデントとアラートを集計して表示できます。既定では 30 日間のデータが保持されます。 組織のコンプライアンス要件に合わせて、これらのテーブルの保持期間を延長することを検討してください。 これらのテーブルのアイテム保持ポリシーの選択に関係なく、インシデント データ自体は、ここには表示されなくても決して削除されません。 アラート データは、テーブルのアイテム保持ポリシーに従って保持されます。
これら 2 つのテーブルの実際のアイテム保持ポリシーとして、既定の 30 日間以外を定義してもかまいません。 現在のアイテム保持ポリシーに従ってテーブル内のデータの実際の時間範囲を示す、ブックの青い網かけの背景上の通知 (上のスクリーンショットを参照) をご覧ください。
詳細については、「Log Analytics ワークスペース内のテーブルのデータ保持ポリシーを構成する」を参照してください。
ブックの概要
ブックは次の 3 つのタブに分かれています。
- 構成
- 監視
- Report
[Configure (構成)] タブ
まだ使用されていないテンプレートから分析ルールを作成する
[Templates ready to be used] (使用する準備ができているテンプレート) テーブルに、まだアクティブなルールとして実装されていない、SAP® アプリケーション向け Microsoft Sentinel ソリューションの分析ルール テンプレートが表示されます。 コンプライアンスを達成するには、これらのルールを作成することが必要な場合があります。
[Solution templates to configure] (構成するソリューション テンプレート) コントロールに、選択したコントロール フレームワークへの準拠についてここで評価できる分析ルールを持つインストール済みソリューションが表示されます。 既定では、SAP ソリューションのみが選択されていますが、このドロップダウンから他の任意またはすべてのソリューションを選択できます。
テーブル内の特定のルール テンプレートの行の [プロパティ] 列の [表示] リンクを選択すると、ポップアップの [詳細] ペインにテンプレートの構成全体が表示されます (このビューは読み取り専用です)。
[おすすめの構成] 列に、ルールの目的 (調査のためにインシデントを作成しようとしているか、 取り置いて、調査で証拠として使用するために他のインシデントに追加されるアラートを作成するのみか) が表示されます。
[Activate rule] (ルールのアクティブ化) (説明ペイン内) を選択して、分析ルールをテンプレートから作成します。これには、推奨される構成が既に組み込まれています。 この機能により、適切な構成を推測して手動で定義する面倒な作業が削減されます。
分析ルールのセキュリティ コントロールの割り当てを表示または変更する
[Select a rule to configure] (構成するルールの選択) テーブルに、SAP に関連するアクティブ化された分析ルールの一覧が表示されます。
各ルールによって生成されたインシデントおよびアラートの数とグラフの線が表示されます (同じ数の場合、アラートのグループ化が無効になっていることを示します)。
ルールのインシデントの作成設定が有効になっていること ([インシデント] 列) と、ルールのソースが何であるか ([ソース] 列) ([ギャラリー]、[コンテンツ ハブ]、[カスタム]) を示す列も表示されます。
そのルールの [おすすめの構成] が [As alert only] (アラートのみ) の場合は、ルールのインシデントの作成設定を無効にすることを検討する必要があります (以下を参照)。
ルールを選択すると、ルールに関する情報が掲載された詳細パネルが表示されます。
このサイド パネルの上部には、前述のように、分析ルール構成でのインシデント作成の有効化または無効化に関する推奨事項があります。
次のセクションには、使用可能な各フレームワークについて、ルールの特定に使用されたセキュリティ コントロールとコントロール ファミリが表示されます。 SOX および NIST フレームワークの場合は、関連するドロップダウンから別のコントロールまたはコントロール ファミリを選択して、コントロールの割り当てをカスタマイズできます。 カスタム フレームワークの場合は、[MyOrg] テキスト ボックスに、選択したコントロールとコントロール ファミリを入力します。 変更を加えた場合は、[変更内容を保存] を選択します。
特定の分析ルールに該当のフレームワークのセキュリティ コントロールまたはコントロール ファミリが割り当てられていない場合は、コントロールを設定するための推奨事項が表示されます。 コントロールを選択したら、[変更内容を保存] を選択します。
- 選択したルールに現在定義されている残りの詳細を表示するには、[ルール概要] を選択します。 これにより、このドキュメントで前述したのと同じ [詳細] ペインが開きます。
[監視] タブ
このタブには、ブックの上部にあるフィルターと一致する環境内のインシデントのさまざまなグループのグラフィカル表現がいくつか含まれます。
[インシデントの傾向] というラベルの付いた傾向折れ線グラフには、時間の経過に伴うインシデントの数が表示されます。 これらのインシデントは、生成されたルールによって表されるコントロール ファミリに従って、既定でグループ化されます (さまざまな色の線と網かけによって表されます)。 これらのインシデントの代替グループは、[Detail incidents by] (インシデントの詳細表示基準) ドロップダウンから選択できます。
インシデント ハイブ グラフには、2 とおりにグループ化されたインシデントの数が表示されます。 既定 (SOX フレームワークの場合) では、まず SOX コントロール ファミリ (セルの "ハニカム" 配列) で、次にシステム ID ("ハニカム" 内の各セル) で行われます。 [Drill by] (ドリル基準) と [And then by] (次の基準) セレクターを使用して、グループ化を表示するさまざまな基準を選択できます。
テキストを明確に読み取るのに十分な大きさにするにはハイブ グラフにズームインし、すべてのグループを一覧表示するには縮小します。 グラフのさまざまな部分を表示するには、全体をドラッグします。
[レポート] タブ
最後に、[レポート] タブに、ブックの上部にあるフィルターと一致する環境内のすべてのインシデントの一覧が表示されます。
インシデントは、コントロール ファミリとコントロール ID によってグループ化されます。
[インシデント URL] 列のリンクにより、そのインシデントのインシデント調査ページの新しいブラウザー ウィンドウが開きます。 このリンクは永続的であり、SecurityIncident テーブルのアイテム保持ポリシーに関係なく機能します。
ウィンドウの末尾 (外側のスクロール バー) まで下にスクロールすると、水平スクロール バーが表示されます。これを使用して、レポート内の残りの列を表示できます。
レポートの右上隅にある省略記号 (3 つのドット) を選択し、[Excel にエクスポート] を選択すると、このレポートがスプレッドシートにエクスポートされます。
次のステップ
詳細については、次を参照してください。
- SAP® アプリケーション用の Microsoft Sentinel ソリューションをデプロイする
- SAP® アプリケーション用の Microsoft Sentinel ソリューションのログ リファレンス
- SAP システムの正常性を監視する
- SAP® アプリケーション用の Microsoft Sentinel ソリューションをデプロイするための前提条件
- SAP® アプリケーション用の Microsoft Sentinel ソリューションのデプロイに関するトラブルシューティング
このブックのデモについては、Microsoft Security Community YouTube チャンネルのこの YouTube ビデオをご覧ください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示