SAP システムの正常性とロールを監視する
SAP ソリューションをデプロイした後、SAP システムの適切な機能とパフォーマンスを確保し、システムの正常性、接続、パフォーマンスを追跡する必要があります。 この記事では、Microsoft Sentinel 内からこの監視機能を実行できるようにする次の機能の使用方法について説明します。
- SAP データ コネクタ ページを使用する。 Microsoft Sentinel for SAP コネクタの [システム正常性] 領域を確認して、接続されている SAP システムの正常性に関する情報を入手します。
- [Data collection health check](データ収集の正常性チェック) アラート ルールを使用する。 SAP エージェントのデータ収集の正常性に関する事前アラートを取得します。
重要
SAP システムの正常性の監視は現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
SAP データ コネクタを使用する
Microsoft Sentinel ポータルで [データ コネクタ] を選択します。
検索バーに「Microsoft Sentinel for SAP」と入力します。
Microsoft Sentinel for SAP コネクタを選択し、[Open connector]\(コネクタを開く\) ページを選択します。
SAP システムの 構成 > とコレクター エージェント 領域への割り当てで、SAP システムの正常性に関する詳細を表示します。 次に例を示します。
詳細については、「SAP データ コネクタ エージェントをホストするコンテナーのデプロイと構成」を参照してください。
システムの正常性状態と詳細
次の表では、[Configure an SAP system and assign it to a collector agent](SAP システムを構成してコレクター エージェントに割り当てる) 領域のさまざまなフィールドについて説明します。
フィールド | 説明 | 値 | Notes |
---|---|---|---|
SID | 接続されている SAP システム ID (SID) の名前。 | ||
システム ロール | システムの生産性が高いかどうかを示します。 データ コネクタ エージェントは、SAP T000 テーブルを読み取って値を取得します。 この値は課金にも影響します。 ロールを変更するには、SAP 管理者が SAP システムの構成を変更する必要があります。 | • [Production](運用)。 システムは、SAP 管理者によって運用システムとして定義されます。 • [Unknown (Production)](不明 (運用))。 Microsoft Sentinel がシステムの状態を取得できません。 Microsoft Sentinel は、この種類のシステムを、セキュリティと課金の両方の目的で運用システムと見なします。 • [Non production](非運用)。 開発中、テスト中、カスタマイズ中などのロールを示します。 • [Agent update available](エージェントの更新プログラムを入手可能)。 新しい SAP コネクタ バージョンがあることを示すために、正常性状態に加えて表示されます。 この場合は、コネクタを更新することをお勧めします。 |
システム ロールが [Production (unknown)](運用 (不明)) の場合、SAP システムで Microsoft Sentinel のロール定義とアクセス許可を確認し、Microsoft Sentinel による T000 テーブルの内容の読み取りを、そのシステムが許可していることを確認します。 次に、最新バージョンに SAP コネクタを更新することを検討します。 |
エージェント名 | インストールされているデータ コネクタ エージェントの一意の ID。 | ||
健康 | SID が正常かどうかを示します。 正常性の問題をトラブルシューティングするには、コンテナーの実行ログを確認し、その他のトラブルシューティング手順を確認します。 | • [システムは正常] (緑アイコン): Microsoft Sentinel がシステムからログとハートビートの両方を識別したことを示します。 • [System Connected – unauthorized to collect role, production assumed](システム接続 – 運用環境の想定でロールを収集する権限がない) (黄色アイコン): Microsoft Sentinel には、システムが運用システムであるかどうかを定義するための十分な権限がありません。 この場合、Microsoft Sentinel はシステムを運用システムとして定義します。 Microsoft Sentinel がシステムの状態を受信できるようにするには、[メモ] 列を確認します。 • [Connected with errors](エラー状態で接続) (黄色アイコン): システム ロールをフェッチするときに Microsoft Sentinel でエラーが検出されました。 この場合、Microsoft Sentinel は、システムが運用システムかどうかに関するデータを受信しています。 • [System not connected](システムが未接続): Microsoft Sentinel は SAP システムに接続できず、システム ロールをフェッチできません。 この場合、Microsoft Sentinel は、システムが運用システムかどうかに関するデータを受信しています。 その他の状態 ([System unreachable for over 1 day](1 日以上システムに到達できない) など) は、接続の状態を示します。 |
システムの正常性状態が [System Connected – unauthorized to collect role, production assumed](システム接続 – 運用環境の想定でロールを収集する権限がない) の場合、SAP システムで Microsoft Sentinel のロール定義と権限を確認し、Microsoft Sentinel による T000 表の内容の読み取りを、そのシステムが許可していることを確認します。 次に、最新バージョンに SAP コネクタを更新することを検討します。 |
アラート ルール テンプレートを使用する
Microsoft Sentinel for SAP ソリューションには、SAP エージェントのデータ収集の正常性を分析できるように設計されたアラート ルール テンプレートが含まれています。 分析ルールを有効にするには:
- Microsoft Sentinel ポータルで、[分析] を選択します。
- [規則のテンプレート] で、[SAP - Data collection health check](SAP - データ収集の正常性チェック) アラート ルールを見つけます。
分析ルールにより:
- エージェントから送信されたシグナルが評価されます。
- テレメトリ データが評価されます。
- ログの継続とその他のシステム接続の問題に関するアラート (見つかった場合) が評価されます。
- ログ インジェスト履歴が学習され、時間と共により適切に機能するようになります。
ルールでは、さまざまな季節性パターンを検出するために、少なくとも 7 日間の履歴を読み込む必要があります。 週単位のアクティビティ プロファイルを検出できるようにするために、アラート ルールの [Look back](ルックバック) パラメーターの値を 14 日間に設定することをお勧めします。
ルールをアクティブにすると、学習された履歴に従って、ワークスペースで観察された最近のテレメトリとログ ボリュームが評価されます。 その後、ルールによって、潜在的な問題に関するアラートが生成され、問題の範囲に応じて重大度が動的に割り当てられます。
このスクリーンショットは、[SAP - Data collection health check](SAP - データ収集の正常性チェック) アラート ルールによって生成されたアラートの例を示しています。
次のステップ
- SAP 向け Microsoft Sentinel ソリューションについて、ご確認ください。
- SAP 向け Microsoft Sentinel ソリューションをデプロイする方法についてご確認ください
- Microsoft Sentinel の他の領域での監査と稼働状況の監視についてご確認ください。