SAP 承認を構成して省略可能な SAP 変更要求をデプロイする

  • [アーティクル]

この記事では、SAP エージェントを SAP システムに適切に接続できるように SAP エージェントのインストールに向けて環境を準備する方法について説明します。 準備には、必要な SAP 承認の構成に加え、必要に応じて追加の SAP 変更要求 (PR) のデプロイが含まれます。

  • Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

デプロイのマイルストーン

次の一連の記事を通じて、SAP ソリューションのデプロイの行程について説明します。

  1. デプロイの概要

  2. デプロイの前提条件

  3. 複数のワークスペースでソリューションを操作する (プレビュー)

  4. SAP 環境の準備 (現在はここです)

  5. 監査の構成

  6. コンテンツ ハブからソリューション コンテンツをデプロイする

  7. データ コネクタ エージェントをデプロイする

  8. SAP 向け Microsoft Sentinel ソリューション® アプリケーションを構成する

  9. オプションのデプロイ手順

Microsoft Sentinel ロールを構成する

  1. GitHub の /MSFTSEN/SENTINEL_RESPONDER ファイルからロールの承認をアップロードします。

    これにより、/MSFTSEN/SENTINEL_RESPONDER ロールが作成されます。これには、SAP システムからのログの取得と攻撃中断応答アクションの実行に必要なすべての承認が含まれます。

    または、取り込むログに必要な関連する承認を使用して、ロールを手動で作成します。 詳細については、「必要な ABAP 承認」を参照してください。 この手順の例では、/MSFTSEN/SENTINEL_RESPONDER 名を使用します。

  2. 次の手順では、Microsoft Sentinel で使用されるアクティブなロール プロファイルを生成します。 PFCG トランザクションを実行します。

    [SAP Easy Access] 画面で、画面の左上隅にあるフィールドに「PFCG」と入力し、ENTER キーを押します。

  3. [ロールのメンテナンス] ウィンドウで、[ロール] フィールドにロール名 /MSFTSEN/SENTINEL_RESPONDER を入力し、[変更] ボタン (鉛筆) を選択します。

  4. 表示される [ロールの変更] ウィンドウで、[認可] タブを選択します。

  5. [認可] タブで、[認可データの変更] を選択します。

  6. [情報] ポップアップで、メッセージを読み、緑色のチェックマークを選択して確認します。

  7. [ロールの変更: 認可] ウィンドウで、[生成] を選択します。

    [状態] フィールドが [変更なし] から [生成済み] に変更されたことがわかります。

  8. (画面上部の SAP ロゴの左側にある) [戻る] を選択します。

  9. [ロールの変更] ウィンドウに戻り、[認可] タブに緑色のボックスが表示されていることを確認して、[保存] を選択します。

ユーザーの作成

SAP システムに接続するには、SAP 向け Microsoft Sentinel ソリューション® アプリケーションにユーザー アカウントが必要です。 次の手順に従って、ユーザー アカウントを作成し、前の手順で作成したロールに割り当てます。

ここで示す例では、/MSFTSEN/SENTINEL_RESPONDER というロール名を使用します。

  1. SU01 トランザクションを実行します。

    [SAP Easy Access] 画面で、画面の左上隅にあるフィールドに「SU01」と入力し、ENTER キーを押します。

  2. [ユーザー メンテナンス: 初期画面] 画面 で、[ユーザー] フィールドに新しいユーザーの名前を入力し、ボタン バーから [テクニカル ユーザーの作成]を選択します。

  3. [ユーザーの管理] 画面で、[ユーザー タイプ] ドロップダウン リストから [システム] を選択します。 複雑なパスワードを作成して [新しいパスワード] フィールドと [パスワードの再入力] フィールドに入力し、[ロール] タブを選択します。

  4. [ロール] タブの [ロールの割り当て] セクションで、ロールの完全な名前 (この例では /MSFTSEN/SENTINEL_RESPONDER) を入力して、Enter キーを押します。

    Enter キーを押した後、[ロールの割り当て] セクションの右側に [開始日の変更] などのデータが入力されていることを確認します。

  5. [プロファイル] タブを選択して、[割り当てられた認可プロファイル] にロールのプロファイルが表示されていることを確認し、[保存] を選択します。

必要な ABAP 承認

このセクションでは、Microsoft Sentinel の SAP データ コネクタで使用される SAP ユーザー アカウントで SAP システムからログが正しく取得され、攻撃中断応答アクションが実行されるようにするために必要な ABAP 承認の一覧を示しています。

必要な承認を、目的別に以下の一覧に示します。 必要なのは、Microsoft Sentinel に取り込むログの種類と適用する攻撃中断応答アクションに対する、一覧表示された承認のみです。

ヒント

必要なすべての承認を持つロールを作成するには、/MSFTSEN/SENTINEL_RESPONDER ファイルからロールの承認を読み込みます。

または、攻撃中断応答アクションなしで、ログの取得のみを有効にするには、SAP システムに SAP NPLK900271 CR をデプロイして /MSFTSEN/SENTINEL_CONNECTOR ロールを作成するか、/MSFTSEN/SENTINEL_CONNECTOR ファイルからロールの承認を読み込みます。

認可オブジェクト フィールド
すべてのログ
S_RFC RFC_TYPE 関数モジュール
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT 実行
S_TCODE TCD SM51
S_TABU_NAM ACTVT 表示
S_TABU_NAM TABLE T000
省略可能 - Sentinel ソリューション CR が実装されている場合のみ
S_RFC RFC_NAME /MSFTSEN/*
ABAP アプリケーション ログ
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT 表示
ABAP ドキュメント変更ログ
S_TABU_NAM TABLE CDHDR
S_TABU_NAM TABLE CDPOS
ABAP CR ログ
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABLE E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT 表示
ABAP DB テーブル データ ログ
S_TABU_NAM TABLE DBTABLOG
S_TABU_NAM TABLE SACF_ALERT
S_TABU_NAM TABLE SOUD
S_TABU_NAM TABLE USR41
S_TABU_NAM TABLE TMSQAFILTER
ABAP ジョブ ログ
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
ABAP スプール ログ
S_TABU_NAM TABLE TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (トランザクション SP01 の使用 (すべてのシステム))
ABAP ワークフロー ログ
S_TABU_NAM TABLE SWWLOGHIST
S_TABU_NAM TABLE SWWWIHEAD
ABAP セキュリティ監査ログ
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (基準監査表示認証。)
S_SAL SAL_ACTVT SHOW_LOG (ファイルベースのログを評価する)
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT 表示
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT ロック
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XAL
ユーザー データ
S_TABU_NAM TABLE ADCP
S_TABU_NAM TABLE ADR6
S_TABU_NAM TABLE AGR_1251
S_TABU_NAM TABLE AGR_AGRS
S_TABU_NAM TABLE AGR_DEFINE
S_TABU_NAM TABLE AGR_FLAGS
S_TABU_NAM TABLE AGR_PROF
S_TABU_NAM TABLE AGR_TCODES
S_TABU_NAM TABLE AGR_USERS
S_TABU_NAM TABLE DEVACCESS
S_TABU_NAM TABLE USER_ADDR
S_TABU_NAM TABLE USGRP_USER
S_TABU_NAM TABLE USR01
S_TABU_NAM TABLE USR02
S_TABU_NAM TABLE USR05
S_TABU_NAM TABLE USR21
S_TABU_NAM TABLE USRSTAMP
S_TABU_NAM TABLE UST04
構成履歴
S_TABU_NAM TABLE PAHI
SNC データ
S_TABU_NAM TABLE SNCSYSACL
S_TABU_NAM TABLE USRACL
攻撃中断応答アクション
S_RFC RFC_TYPE 関数モジュール
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
名前とは対照的に、この関数を使用してもユーザーは削除されませんが、アクティブなユーザー セッションは終了します。
S_USER_GRP CLASS *
S_USER_GRP CLASS は、ダイアログ ユーザーを表す組織内の関連クラスに置き換えることをお勧めします。
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

必要に応じて、ABAP システムにインストールされているユーザー ロールとオプションの CR を削除することができます。

省略可能な CR をデプロイする

このセクションでは、追加の省略可能な CR をデプロイするための詳細なガイドを示します。 SOC エンジニアまたは実装者向けですが、SAP エキスパートである必要はありません。

CR のデプロイ プロセスに精通している経験豊富な SAP 管理者の場合は、このガイドの「SAP 環境の検証手順」セクションから適切な CP を直接取得してデプロイすることもできます。

SAP CR のデプロイは、経験豊富な SAP システム管理者が行うことを強くお勧めします。

次の表では、デプロイに使用できる省略可能な CR について説明します。

CR 説明
NPLK900271 SAP データ コネクタが SAP システムに接続できるようにするために必要な基本承認を使用して、サンプル ロールを作成および構成します。 または、ファイルから承認を直接読み込むか、取り込むログに従ってロールを手動で定義することもできます。

詳細については、「必要な ABAP 承認」と「ロールを作成して構成する (必須)」を参照してください。
NPLK900201 または NPLK900202 SAP から追加情報を取得します。 SAP バージョンに応じて、これらの CR からいずれかを選択します。

CR をデプロイするための前提条件

  1. デプロイ プロセスを開始する前に、SAP システムのバージョンシステム ID (SID)システム番号クライアント番号IP アドレス管理ユーザー名パスワードの詳細を必ずコピーしておきます。 以下の例では、次の詳細が想定されています。

    • SAP システムのバージョン:SAP ABAP Platform 1909 Developer edition
    • SID:A4H
    • システム番号:00
    • クライアント番号:001
    • IP アドレス:192.168.136.4
    • 管理者ユーザー:a4hadm。ただし、SAP システムへの SSH 接続は、root のユーザー資格情報を使用して確立されます。

  2. デプロイする CR を必ず把握しておきます。

  3. 追加情報を取得するために NPLK900202 CR をデプロイする場合は、関連する SAP ノートを必ずインストールしておきます。

ファイルを設定する

  1. SSH を使用して SAP システムにサインインします。

  2. CR ファイルを SAP システムに転送するか、SSH プロンプトから SAP システムにファイルを直接ダウンロードします。 次のコマンドを使用します。

    • Download NPLK900271

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL

      または、これらの承認をファイルから直接読み込むこともできます。

    • Download NPLK900202

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL

    • Download NPLK900201

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL

    各 CR は、2 つのファイルで構成されており、1 つは K、もう 1 つは R で始まります。

  3. ファイルの所有権をユーザー <sid>adm とグループ sapsys に変更します。 (<sid> をご使用の SAP システム ID に置き換えます。)

    chown <sid>adm:sapsys *.NPL

    この例では次のようになります。

    chown a4hadm:sapsys *.NPL

  4. cofile (K で始まるファイル) を /usr/sap/trans/cofiles フォルダーにコピーします。 -p スイッチを指定して cp コマンドを使用し、コピー中にアクセス許可が維持されるようにします。

    cp -p K*.NPL /usr/sap/trans/cofiles/

  5. データ ファイル (R で始まるファイル) を /usr/sap/trans/data フォルダーにコピーします。 -p スイッチを指定して cp コマンドを使用し、コピー中にアクセス許可が維持されるようにします。

    cp -p R*.NPL /usr/sap/trans/data/

CR をインポートする

  1. SAP Logon アプリケーションを起動して、SAP GUI コンソールにサインインします。

  2. STMS_IMPORT トランザクションを実行します。

    [SAP Easy Access] 画面で、画面の左上隅にあるフィールドに「STMS_IMPORT」と入力し、ENTER キーを押します。

    STMS インポート トランザクションの実行中のスクリーンショット。

  3. 表示される [キューのインポート] ウィンドウで、[詳細] > [その他] > [その他の要求] > [追加] を選択します。

    インポート キュー追加のスクリーンショット。

  4. 表示される [インポート キューへの転送要求の追加] ポップアップで、[転送要求] フィールドを選択します。

  5. [転送要求] ウィンドウが表示され、デプロイできる CSP の一覧が表示されます。 CR を選択し、緑色のチェックマーク ボタンを選択します。

  6. [インポート キューへの転送要求の追加] ウィンドウに戻り、[続行] (緑色のチェックマーク) を選択するか、ENTER キーを押します。

  7. [転送要求の追加] 確認ダイアログで、[はい] を選択します。

  8. 他の CR もさらにデプロイする予定の場合は、残りの CR に対して前の 5 つのステップの手順を繰り返します。

  9. [インポート キュー] ウィンドウで、関連する転送要求を選択し、その後 F9 キーを押すか、[Select/Deselect Request] (要求の選択/選択解除) アイコンを選択します。

  10. デプロイに追加する残りの転送要求がある場合は、ステップ 9 を繰り返します。

  11. [Import Requests] (要求のインポート) アイコンを選択します。

    すべての要求のインポートのスクリーンショット。

  12. [インポートの開始] ウィンドウで、[ターゲット クライアント] フィールドを選択します。

  13. [入力ヘルプ..] ダイアログが表示されます。 CR をデプロイするクライアントの番号 (この例では 001) を選択し、緑色のチェックマークを選択して確認します。

  14. [インポートの開始] ウィンドウに戻り、[オプション] タブを選択して、[無効なコンポーネント バージョンを無視] チェック ボックスをオンにし、緑色のチェック マークをオンにして確認します。

    [インポートの開始] ウィンドウのスクリーンショット。

  15. [インポートの開始] 確認ダイアログで、[はい] を選択してインポートを確認します。

  16. [インポート キュー] ウィンドウに戻り、[更新] を選択して、インポート操作が完了し、インポート キューが空と表示されるまで待ちます。

  17. インポートの状態を確認するには、[インポート キュー] ウィンドウで [詳細] > [移動] > [インポート履歴] を選択します。

    インポート履歴のスクリーンショット。

  18. NPLK900202 CR をデプロイした場合は、[警告] が表示されます。 そのエントリを選択して、表示される警告の種類が "テーブル <tablename> がアクティブ化されました" であることを確認します。

    次のスクリーンショットの CR とバージョンは、インストールされている CR バージョンに応じて変わる可能性があります。

    インポート状態表示のスクリーンショット。

    インポートの警告メッセージ表示のスクリーンショット。

PAHI テーブル (システム、データベース、および SAP パラメーターの履歴) が定期的に更新されていることを確認します

SAP PAHI テーブルには、SAP システム、データベース、および SAP パラメーターの履歴に関するデータが含まれています。 場合によっては、SAP® 向け Microsoft Sentinel ソリューションのアプリケーションで、構成が不足しているか、または正しくないために、SAP PAHI テーブルを定期的に監視できない場合があります (この問題の詳細については、SAP ノートを参照してください)。 PAHI テーブルを更新し、それを頻繁に監視することは重要です。それにより、SAP® 向け Microsoft Sentinel ソリューションのアプリケーションは、1 日を通していつでも発生する可能性のある疑わしいアクションに対してアラートを生成できます。

セキュリティ パラメーターに対する疑わしい構成変更を、SAP® アプリケーション向け Microsoft Sentinel ソリューションで監視する方法について説明します。

注意

最適な結果を得るには、マシンの systemconfig.ini ファイルの [ABAP Table Selector] セクションで、PAHI_FULLPAHI_INCREMENTAL の両方のパラメーターを有効にします。

PAHI テーブルが定期的に更新されていることを確認するには、次の手順を実行します

  1. SAP_COLLECTOR_FOR_PERFMONITOR ジョブが、RSCOLL00 プログラムに基づいて、000 クライアントの DDIC ユーザーによって 1 時間ごとにスケジュールおよび実行されているかどうかを確認します。
  2. RSHOSTPHRSSTATPH、および RSDB_PAR のレポート名が TCOLL テーブルに保持されているかどうかを確認します。
    • RSHOSTPH レポート: オペレーティング システムのカーネル パラメーターを読み取り、このデータを PAHI テーブルに格納します。
    • RSSTATPH レポート: SAP プロファイル パラメーターを読み取り、このデータを PAHI テーブルに格納します。
    • RSDB_PAR レポート: データベース パラメーターを読み取り、PAHI テーブルに格納します。

ジョブが存在し、正しく構成されている場合は、それ以上の手順は必要ありません。

ジョブが存在しない場合:

  1. 000 クライアントで SAP システムにサインインします。

  2. SM36 トランザクションを実行します。

  3. [ジョブ名] に「SAP_COLLECTOR_FOR_PERFMONITOR」と入力します。

    SAP PAHI テーブルの監視に使用されるジョブの追加のスクリーンショット。

  4. [ステップ] を選択し、次の情報を入力します。

    • [ユーザー] に「DDIC」と入力します。
    • [ABAP プログラム名] に「RSCOLL00」と入力します。

  5. 構成を保存します。

    SAP PAHI テーブルの監視に使用されるジョブのユーザーの定義のスクリーンショット。

  6. F3 キーを選んで前の画面に戻ります。

  7. [開始条件] を選択して、開始条件を定義します。

  8. [即時] を選択し、[定期的なジョブ] チェック ボックスをオンにします。

    SAP PAHI テーブルの監視に使用されるジョブを定期的として定義するスクリーンショット。

  9. [期間の値] を選択し、[毎時] を選択します。

  10. ダイアログ内の [保存] を選択してから、下部にある [保存] を選択します。

    SAP PAHI テーブルの監視に使用されるジョブを毎時として定義するスクリーンショット。

  11. ジョブをリリースするには、上部にある [保存] を選択します。

    SAP PAHI テーブルの監視に使用されるジョブを毎時としてリリースするスクリーンショット。

次のステップ

これで、データ コネクタ エージェントのデプロイに向けて、SAP 環境の準備が完全に整いました。 ロールとプロファイルのプロビジョニング、ユーザー アカウントの作成、関連するロール プロファイルの割り当て、環境への必要に応じた CR のデプロイが行われます。

これで、Microsoft Sentinel の SAP 監査を有効にして構成する準備が整いました。

Microsoft Sentinel での SAP 監査を有効にして構成する