SAP アプリケーション向け Microsoft Sentinel ソリューション: デプロイの概要

SAP アプリケーション向け Microsoft Sentinel ソリューションを使用して、Microsoft Sentinel で SAP システムを監視し、SAP アプリケーションのビジネス ロジックとアプリケーション層全体で高度な脅威を検出します。

この記事では、SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイについて説明します。

重要

記載されている機能は、現在プレビュー段階です。 エージェントレス データ コネクタは 、制限付きプレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

ソリューション コンポーネント

SAP アプリケーション向けの Microsoft Sentinel ソリューションには、SAP システムからログを収集して Microsoft Sentinel ワークスペースに送信するデータ コネクタと、組織の SAP 環境に関する分析情報を取得し、セキュリティの脅威を検出して対応するのに役立つすぐに使用できるセキュリティ コンテンツが含まれています。

データ コネクタ

SAP アプリケーション用の Microsoft Sentinel ソリューションでは、エージェントレス データ コネクタとコンテナー化されたデータ コネクタ エージェントの両方がサポートされます。 どちらのエージェントも、オンボードされているすべての SAP SID のアプリケーション ログを SAP システム ランドスケープ全体から収集し、それらのログを Microsoft Sentinel の Log Analytics ワークスペースに送信します。

詳細については、次のいずれかのタブを選択してください。

エージェントレス データ コネクタ (制限付きプレビュー)

次の図に示すように、SAP 用 Microsoft Sentinel エージェントレス データ コネクタでは、SAP Cloud Connector と SAP Integration Suite を使用して SAP システムに接続し、そこからログをプルします。

SAP Cloud Connector を使用すると、エージェントレス データ コネクタは、既存のセットアップと確立された統合プロセスから利益を得られます。 つまり、SAP Cloud Connector を実行しているユーザーが既にそのプロセスを完了しているため、ネットワークに関する問題に再度取り組む必要はありません。

エージェントレス データ コネクタは、SAP S/4HANA Cloud、Private Edition RISE with SAP、SAP S/4HANA on-premises、SAP ERP Central Component (ECC) と互換性があり、検出、ブック、プレイブックなど、既存のセキュリティ コンテンツの継続的な機能を保証します。

エージェントレス データ コネクタは、セキュリティ監査ログ、変更ドキュメント ログ、ユーザー ロールや承認などのユーザー マスター データなどの重要なセキュリティ ログを取り込みます。

コンテナー化されたデータ コネクタ エージェント

たとえば、次の図は、運用環境システムと SAP Business Technology Platform を含む非運用環境システムに分割されたマルチ SID SAP ランドスケープを示しています。 この画像内のすべてのシステムは、SAP ソリューション用の Microsoft Sentinel にオンボードされています。

エージェントは、SAP システムに接続してそこからログとその他のデータをプルし、次にそれらのログを Microsoft Sentinel ワークスペースに送信します。 これを行うには、エージェントは、この目的のために特別に作成されたユーザーとロールを使用して、SAP システムに対して認証する必要があります。

Microsoft Sentinel では、SAP 認証シークレットの構成など、エージェント構成情報を保存するためのいくつかのオプションがサポートされています。 どのオプションを使用するかは、VM をデプロイする場所と、使用する SAP 認証メカニズムによって異なる可能性があります。 サポートされているオプションは次のとおりです。優先順に示されています。

• Azure Key Vault (Azure システム割り当てマネージド ID を使用してアクセス)
• Azure Key Vault (Microsoft Entra ID 登録済みアプリケーション サービス プリンシパルを使用してアクセス)
• プレーンテキストの構成ファイル

SAP の Secure Network Communication (SNC) および X.509 証明書を使用して認証することもできます。 SNC を使用すると認証セキュリティのレベルは向上しますが、必ずしもすべてのシナリオで実用的であるとは限りません。

セキュリティ コンテンツ

SAP アプリケーション向け Microsoft Sentinel ソリューションには、組織の SAP 環境に関する分析情報を取得し、セキュリティの脅威を検出して対応するのに役立つ次の種類のセキュリティ コンテンツが含まれています。

• 脅威検出のための分析ルールとウォッチリスト。
• データ アクセスを簡単にするための関数。
• 対話型のデータの可視化を作成するためのブック。
• 組み込みソリューションのパラメーターをカスタマイズするためのウォッチリスト。
• 脅威への対応を自動化するために使用できるプレイブック。

詳細については、「SAP アプリケーション用の Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。

デプロイ フローとペルソナ

SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイするには、いくつかの手順が必要であり、エージェントレス データ コネクタとデータ コネクタ エージェントのどちらを使用しているかによって異なり、複数のチーム間でのコラボレーションが必要です。 詳細については、次のいずれかのタブを選択してください。

エージェントレス データ コネクタ (制限付きプレビュー)

SAP アプリケーション向けの Microsoft Sentinel ソリューションをデプロイするには、いくつかの手順が必要であり、セキュリティおよび SAP BASIS チーム間でのコラボレーションが必要です。 次の図は、SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする手順と、関係するチームを示しています。

作業が割り当てられ、デプロイを円滑に進めることができるように、デプロイを計画する際には、関係する両方のチームを参加させることをお勧めします。

デプロイの手順は次のとおりです。

1. SAP エージェントレス データ コネクタをデプロイするための前提条件を確認します。

2. コンテンツ ハブから SAP アプリケーション ソリューションをデプロイします。 この手順は、セキュリティ チームによって Azure portal で処理されます。

3. Microsoft Sentinel ソリューション用に SAP システムを構成します。たとえば、SAP 承認の構成、SAP 監査の構成などがあります。 これらの手順は SAP BASIS チームが行うことをお勧めします。Microsoft のドキュメントには SAP ドキュメントへの参照が含まれています。 この手順の一部の手順は、ソリューションをインストールする前に SAP BASIS チームが実行できます。

4. エージェントレス データ コネクタである SAP Cloud Connector を使用して、SAP システムを接続します。 この手順は、SAP BASIS チームから提供された情報を使用して、Azure portal のセキュリティ チームによって処理されます。

5. SAP の検出と脅威に対する保護を有効にします。 この手順は、セキュリティ チームによって Azure portal で処理されます。

コンテナー化されたデータ コネクタ エージェント

SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイには、いくつかの手順が必要であり、セキュリティ、インフラストラクチャ、SAP BASIS チームなど、複数のチーム間でのコラボレーションが必要です。 次の図は、SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする手順と、関係するチームを示しています。

作業が割り当てられ、デプロイを円滑に進めることができるように、デプロイを計画する際には、関係するすべてのチームを関与させることをお勧めします。

デプロイの手順は次のとおりです。

1. SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイするための前提条件を確認します。 一部の前提条件は、インフラストラクチャまたは SAP BASIS チームと調整する必要があります。

2. 次の手順は、別々のチームが関与し、相互に依存していないため、並行して実行できます。

   1. コンテンツ ハブから SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイします。 環境に適したソリューションがインストールされていることを確認します。 この手順は、セキュリティ チームによって Azure portal で処理されます。

   2. Microsoft Sentinel ソリューション用に SAP システムを構成します。たとえば、SAP 承認の構成、SAP 監査の構成などがあります。 これらの手順は SAP BASIS チームが行うことをお勧めします。Microsoft のドキュメントには SAP ドキュメントへの参照が含まれています。 一部の手順は、セキュリティ チームによっても実行されます。

3. コンテナー化されたデータ コネクタ エージェントを配置して SAP システムを接続します。 この手順は、セキュリティ、インフラストラクチャ、SAP BASIS の各チーム間での調整が必要です。

4. SAP の検出と脅威に対する保護を有効にします。 この手順は、セキュリティ チームによって Azure portal で処理されます。

その他のオプションとしては、次のものがあります。

• SAP HANA の監査ログを収集する
• SAP データ コネクタ エージェントを手動でデプロイする

SAP データの収集を停止する

データ コネクタ エージェントを使用していて、Microsoft Sentinel による SAP データの収集を停止する必要がある場合は、ログ インジェストを停止し、コネクタを無効にします。 次に、SAP システムにインストールされている余分なユーザー ロールとオプションの CR を削除します。

詳細については、「SAP データの収集を停止する」を参照してください。

関連するコンテンツ

詳細については、以下を参照してください:

• Microsoft Sentinel コンテンツとソリューションについて。
• SAP システムの正常性とロールを監視する
• Microsoft Sentinel の SAP データ コネクタ エージェントを更新する

次のステップ

前提条件を確認して、SAP アプリケーション向け Microsoft Sentinel ソリューションのデプロイを開始します。

前提条件