Microsoft Sentinel で SAP HANA 監査ログを収集する

この記事では、SAP HANA データベースから監査ログを収集する方法について説明します。

この記事の内容は、 セキュリティ、 インフラストラクチャ、 SAP BASIS チームを対象としています。

重要

Microsoft Sentinel SAP HANAサポートは、現在プレビュー段階です。 Azure プレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される追加の法的条件が含まれています。

注

この記事は、データ コネクタ エージェントにのみ関連し、 SAP エージェントレス データ コネクタ (プレビュー) には関係ありません。

前提条件

SAP HANA ログは Syslog 経由で送信されます。 Syslog ファイルを収集するように Azure Monitor エージェントが構成されていることを確認します。 詳細については、「 Azure Monitor エージェントを使用して Syslog メッセージと CEF メッセージを Microsoft Sentinel に取り込む」を参照してください。

SAP HANA の監査ログを収集する

1. SAP Launchpad サポート サイトからアクセスできる SAP Note 0002624117 で説明されているように、SAP HANA 監査ログ 証跡が Syslog を使用するように構成されていることを確認します。 詳細については、次を参照してください。

   • SAP HANA 監査証跡 - ベスト プラクティス
   • 監査に関する推奨事項
   • 既定の監査ポリシーによって監査されるアクション

2. オペレーティング システムの Syslog ファイルに、関連する HANA データベース イベントがないか確認します。

3. HANA データベース オペレーティング システムに sudo 特権を持つユーザーとしてサインインします。

4. 使用しているマシンにエージェントをインストールし、マシンが接続されていることを確認します。 詳細については、「 Azure Monitor エージェントのインストールと管理」を参照してください。

5. Syslog データを収集するようにエージェントを構成します。 詳細については、「 Azure Monitor エージェントを使用した Syslog イベントの収集」を参照してください。

   ヒント

   HANA データベース イベントが保存されるファシリティは、ディストリビューションごとに変わる可能性があるため、すべてのファシリティを追加することをお勧めします。 それらを Syslog ログと照合し、関係のないものを削除します。

構成の確認

Microsoft Sentinel と SAP HANA データベースの両方で次の手順を使用して、システムが想定どおりに構成されていることを確認します。

Microsoft Sentinel

Microsoft Sentinel の [ログ] ページで、取り込まれたログに HANA データベース イベントが表示されていることを確認します。 たとえば、以下のクエリを実行します。

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

上の例で使用されている次の項目の詳細については、Kusto ドキュメントを参照してください。

• let ステートメント
• datatable 演算子
• where 演算子
• project 演算子
• union 演算子
• column_ifexists() 関数

KQL の詳細については、 Kusto クエリ言語 (KQL) の概要に関するページを参照してください。

その他のリソース:

• KQL クイック リファレンス
• Kusto クエリ言語学習リソース

SAP HANA

SAP HANA データベースで、構成されている監査ポリシーを確認します。 必要な SQL ステートメントの詳細については、 SAP Note 3016478を参照してください。

Microsoft Sentinel で SAP HANA の分析ルールを追加する

次の組み込みの分析ルールを使用して、関連する SAP HANA アクティビティに対するアラートのトリガーが Microsoft Sentinel で開始されるようにします。

• SAP - (プレビュー) HANA DB -Assign 管理者承認
• SAP - (プレビュー) HANA DB - 監査証跡ポリシーの変更
• SAP - (プレビュー) HANA DB - 監査証跡の非アクティブ化
• SAP - (プレビュー) HANA DB -User 管理アクション

詳細については、「 SAP アプリケーションの Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。

関連するコンテンツ

SAP 向け Microsoft Sentinel ソリューション アプリケーションの詳細については、以下を参照してください。

• SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイする
• SAP BTP 用の Microsoft Sentinel ソリューションをデプロイする