SAP 用 Microsoft Sentinel インシデント対応プレイブック

  • [アーティクル]

この記事では、MICROSOFT Sentinel のセキュリティ オーケストレーション、自動化、応答 (SOAR) 機能を SAP と組み合わせて利用する方法についてご説明します。 この記事では、 SAP® アプリケーション用の Microsoft Sentinel ソリューションに含まれる専用のプレイブックについてご説明します。 これらのプレイブックを使用して SAP システム内の疑わしいユーザー アクティビティに自動的に対応し、Microsoft Entra ID 内だけでなく SAP RISE、SAP ERP、SAP Business Technology Platform (BTP) 内の是正措置を自動化できます。

Microsoft Sentinel SAP ソリューションを使用すると、組織は SAP 環境を保護することができます。 Sentinel SAP ソリューションの完全で詳細な概要については、次の記事をご覧ください:

これらのプレイブックをソリューションに加えることで、セキュリティ イベントのリアルタイム監視と分析だけでなく、SAP インシデント対応ワークフローの自動化により、セキュリティ運用の効率と効果性を向上させることができます。

SAP® アプリケーション用の Microsoft Sentinel ソリューションには、次のプレイブックが含まれています:

  • SAP インシデント対応 - Teams からユーザーをロックする - 基本
  • SAP インシデント対応 - Teams からユーザーをロックする - 高度
  • SAP インシデント対応 - 非アクティブ化後に監査ログを再度有効にする

ユース ケース

組織の SAP 環境を守る必要があります。 SAP® 向け Microsoft Sentinel ソリューション アプリケーションを実装しました。 ソリューションの分析ルール "SAP - 機密トランザクション コードの実行" を有効にし、監視したい特定のトランザクション コードを含むように、ソリューションの "機密トランザクション" ウォッチリストをカスタマイズしている可能性があります。 インシデントにより、SAP システムの 1 つで疑わしいアクティビティが警告されます。 ユーザーは、これらの機密性の高いトランザクションのいずれかを実行しようとしています。 このインシデントを調査して対応する必要があります。

トリアージ フェーズでは、このユーザーに対してアクションを実行し、SAP ERP、BTPシステム、または Microsoft Entra ID からユーザーを除外します。

1 つのシステムからユーザーを ロック アウト する

オーケストレーションと自動化をこのプロセスに導入する例として、承認されていないユーザーによる機密トランザクションの実行が検出されるたびに、「Teams からユーザーをロックする - 基本」を起動する自動化ルールを構築しましょう。 このプレイブックでは、Teams のアダプティブ カード機能を使用して、一方的にユーザーをブロックする前に承認を求めます。

このプレイブックの構成の詳細については、 こちらの SAP ブログ投稿をご覧ください。

複数のシステムからユーザーをロック アウトする

Teams からユーザーをロックする - 高度」プレイブックも同じ目的を達成しますが、より複雑なシナリオを想定して設計されており、各々が独自の SAP SID を持つ複数の SAP システムで単一のプレイブックを使用することができます。 このプレイブックは、オプショナルな動的パラメータ InterfaceAttributesSAP - Systems ウォッチリスト(SAP® アプリケーション用の Microsoft Sentinel ソリューションに含まれる)と Azure Key Vault を使用して、これらすべてのシステムへの接続とその資格情報をシームレスに管理します。 さらに、このプレイブックでは、SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストの TeamsChannelIDDestinationEmail パラメータを利用して、Outlookの操作可能なメッセージを活用し、承認プロセスに関与する当事者と通信するだけでなく、これを Teams と同期させることもできます。

このプレイブックの構成の詳細、特にウォッチリストで動的パラメーターを使用してすべての SAP システムへの接続を管理する方法については、 こちらの SAP ブログ投稿をご覧ください。

監査ログの非アクティブ化を防止する

SAP 環境のセキュリティ カバレッジが包括的かつ中断されないようにするという使命から、セキュリティ情報のソースの 1 つである SAP 監査ログが非アクティブ化されることについて心配されているのはないでしょうか。 SAP - セキュリティ監査ログ分析ルールの非アクティブ化に基づいて自動化ルールを構築する必要があります。これにより、監査ログが一度非アクティブ化された場合でも、再有効化監査ログ プレイブックが呼び出され、監査ログが非アクティブ化される事態を防ぐことができます。 このプレイブックでは Teams も使用されますが、セキュリティ担当者への通知は事後的に行われます。これは、犯罪の重大度とその軽減策の緊急性を考慮し、承認なしで即時にアクションを実行するためです。 このプレイブックでも Azure Key Vault を使って資格情報を管理しているため、プレイブックの構成は前述のものと似ています。 このプレイブックとその構成の詳細については、 こちらの SAP ブログ投稿をご覧ください。

標準プレイブックと従量課金プレイブック

Azure Logic Apps の従量課金プランに基づいてプレイブックを使用している場合、Microsoft Sentinel では、これらのプレイブックのインスタンスをテンプレートから直接作成できます。 仮想ネットワーク (VNET) インジェクションのサポートに固有の要件がある場合は、ここで説明するAzure API 管理を従量課金ロジック アプリと組み合わせて使用するか、標準プラン ロジック アプリを使用する必要があります。

さまざまな種類のプレイブックの完全な説明をご覧ください。 また、各ロジック アプリを選択する際の影響については、「SAP システムへの SOAP リクエストに対する通信経路の作成」という見出しの下の表にあるこちらのSAPブログ投稿をご覧ください。

標準ロジック アプリをデプロイするプロセスは、一般に従量課金ロジック アプリの場合よりも複雑ですが、Microsoft Sentinel GitHub リポジトリからすばやくデプロイできる一連のショートカットを利用できるようにしました。 そこに記載されている手順に従ってプレイブックをデプロイします。

GitHub で現在利用可能な標準プレイブック:

使用可能になったプレイブックについては、GitHub リポジトリの SAP プレイブック フォルダー のタブを保持します。 始めるのに役立つ短い入門ビデオ (外部リンク) もあります。

次のステップ

この記事では、SAP® アプリケーション向けの Microsoft Sentinel ソリューションで提供されるプレイブックについて学習しました。