SAP® アプリケーション用の Microsoft Sentinel ソリューションをデプロイするための前提条件
この記事では、SAP® アプリケーション用の Microsoft Sentinel ソリューションのデプロイに必要な前提条件の一覧を示します。
デプロイのマイルストーン
次の一連の記事を通じて、SAP ソリューションのデプロイの行程について説明します。
デプロイの前提条件 (現在はここです)
複数のワークスペースでソリューションを操作する (プレビュー)
オプションのデプロイ手順
前提条件の表
SAP® アプリケーション用の Microsoft Sentinel ソリューションを正しくデプロイするには、次の前提条件を満たす必要があります。
Azure の前提条件
| 前提条件 | 説明 |
|---|---|
| Microsoft Sentinel へのアクセス | Microsoft Sentinel の "ワークスペース ID" と "プライマリ キー" を書き留めます。 これらの詳細は、Microsoft Sentinel で確認できます。ナビゲーション メニューから、[設定]>[ワークスペース設定]>[エージェント管理] の順に選択します。 デプロイ プロセス中に使用できるように、"ワークスペース ID" と "プライマリ キー" をコピーし、どこかに貼り付けておきます。 |
| [省略可能]Azure リソースを作成するアクセス許可 | 少なくとも、Microsoft Sentinel コンテンツ ハブからソリューションをデプロイするために必要なアクセス許可が必要です。 詳細については、「Microsoft Sentinel コンテンツ ハブ カタログ」を参照してください。 |
| [省略可能]Azure キー コンテナーを作成するか、または既存のものにアクセスするためのアクセス許可 | お勧めするデプロイ シナリオは、Azure Key Vault を使用して、SAP システムへの接続に必要なシークレットを格納することです。 詳しくは、Azure Key Vault のドキュメントをご覧ください。 |
システムの前提条件
| 前提条件 | 説明 |
|---|---|
| システム アーキテクチャ | SAP ソリューションのデータ コネクタ コンポーネントは Docker コンテナーとしてデプロイされます。各 SAP クライアントには独自のコンテナー インスタンスが必要です。 コンテナーのホストは物理マシン、仮想マシンのどちらでもかまいません。また、オンプレミス、任意のクラウド内のどちらにも配置できます。 コンテナーをホストする VM は、Microsoft Sentinel ワークスペースと同じ Azure サブスクリプションや、同じ Azure AD テナント内に配置する必要は "ありません"。 |
| 仮想マシンのサイズ設定に関する推奨事項 | 最小仕様 (ラボ環境の場合など): Standard_B2s VM (以下を含む): - 2 コア - 4 GB RAM 標準コネクタ (既定): Standard_D2as_v5 VM または Standard_D2_v5 VM (以下を含む): - 2 コア - 8 GB RAM 複数コネクタ: Standard_D4as_v5 または Standard_D4_v5 VM (以下を含む): - 4 コア - 16 GB RAM |
| 管理者特権 | コンテナーのホスト コンピューターに対する管理者特権 (ルート) が必要です。 |
| サポートされている Linux バージョン | SAP データ コネクタ エージェントは、次の Linux ディストリビューションでテストされています。 - Ubuntu 18.04 以降 - SLES バージョン 15 以降 - RHEL バージョン 7.7 以降 別のオペレーティング システムがある場合は、kickstart スクリプトを使用する代わりに、コンテナーを手動でデプロイして構成する必要がある場合があります。 |
| ネットワーク接続 | 以下に対するアクセス権がコンテナーのホストにあることを確認します。 - Microsoft Sentinel - Azure Key Vault (Azure Key Vault を使用してシークレットを格納するデプロイ シナリオの場合) - SAP システム。次の TCP ポートを介してアクセス。32xx、5xx13、33xx、48xx (SNC 使用の場合)。ここで xx は SAP インスタンス番号。 |
| ソフトウェア ユーティリティ | SAP データ コネクタ デプロイ スクリプトを使用して、コンテナーのホスト VM に次の必須ソフトウェアをインストールします (使用する Linux ディストリビューションによっては、この一覧が多少異なる場合があります)。 - Unzip - NetCat - Docker - jq - curl |
SAP 前提条件
| 前提条件 | 説明 |
|---|---|
| サポートされている SAP バージョン | SAP データ コネクタ エージェントでは SAP NetWeaver システムがサポートされます。これは、SAP_BASISバージョン 731 以降でテストされました。 このチュートリアルの一部の手順では、以前のバージョン (SAP_BASIS バージョン 740) で作業している場合の代替手順を示しています。 |
| 必要なソフトウェア | SAP NetWeaver RFC SDK 7.50 (こちらからダウンロード) SAP ソフトウェアのダウンロード ページにアクセスするために、SAP ユーザー アカウントも持っていることを確認します。 |
| SAP システムの詳細 | このチュートリアルで使用するために、次の SAP システムの詳細をメモしておきます。 - SAP システムの IP アドレスと FQDN ホスト名 - SAP システム番号 ( 00 など)- SAP NetWeaver システムの SAP システム ID ( NPL など)- SAP クライアント ID ( 001 など) |
| SAP NetWeaver インスタンスへのアクセス | SAP データ コネクタ エージェントでは、次のいずれかのメカニズムを使用して SAP システムに対する認証を行います。 - SAP ABAP ユーザー/パスワード - X.509 証明書を持つユーザー (このオプションには追加の構成手順が必要) |
SAP 環境の検証手順
注意
CR をデプロイし、必要なロールを割り当てる詳細な手順については、SAP CR のデプロイと承認の構成に関するガイドを参照してください。 デプロイする必要のある CR を判別し、以下の表のリンクから関連する CR を取得して、ステップ バイ ステップ ガイドに進みます。
ロールを作成して構成する (必須)
SAP データ コネクタが SAP システムに接続できるようにするには、ロールを作成する必要があります。 CR NPLK900271 をデプロイするか、MSFTSEN_SENTINEL_CONNECTOR_ROLE_V0.0.27.SAP ファイルからロールの承認を読み込んでロールを作成します。
Note
または、変更要求 NPLK900268 をデプロイするか、MSFTSEN_SENTINEL_AGENT_BASIC_ROLE_V0.0.1.SAP ファイルからロール承認を読み込むことで、最小限のアクセス許可を持つロールを作成できます。 この変更要求または承認ファイルは、/MSFTSEN/SENTINEL_AGENT_BASIC ロールを作成します。 このロールには、データ コネクタの動作に最低限必要なアクセス許可があります。 このロールをデプロイする場合は、頻繁に更新する必要があるかもしれないため注意してください。
経験のある SAP 管理者は、手動でロールを作成して適切なアクセス許可を割り当てることを選択できます。 この場合、CR NPLK900271 をデプロイする必要はありませんが、代わりに、エキスパート: SAP CR のデプロイと、必要な ABAP 承認のデプロイに関する記事に記載されている推奨事項を参照してロールを作成する必要があります。
| SAP Basis のバージョン | サンプル CR |
|---|---|
| 任意のバージョン | NPLK900271: K900271.NPL、R900271.NPL |
SAP から追加情報を取得する (省略可能)
Microsoft Sentinel の GitHub リポジトリから追加の CR をデプロイして、SAP データ コネクタが SAP システムから特定の情報を取得できるようにします。
- SAP BASIS 7.5 SP12 以降: セキュリティ監査ログからのクライアント IP アドレス情報
- 任意の SAP BASIS バージョン: DB テーブル ログ、スプール出力ログ
| SAP Basis のバージョン | 推奨される CR | メモ |
|---|---|---|
| - 750 以降 | NPLK900202: K900202.NPL、R900202.NPL | 関連する SAP ノートをデプロイします。 |
| - 740 | NPLK900201: K900201.NPL、R900201.NPL |
SAP ノートをデプロイする (省略可能)
NPLK900202 オプション CR で追加情報を取得する場合は、バージョンに従って次の SAP ノートが SAP システムにデプロイされていることを確認してください。
| SAP Basis のバージョン | メモ |
|---|---|
| - 750 SP04 から SP12 - 751 SP00 から SP06 - 752 SP00 から SP02 |
2641084 - セキュリティ監査ログのデータへの標準化された読み取りアクセス* |
次のステップ
すべての前提条件が満たされていることを確認したら、次の手順に進み、必要な CR を SAP システムにデプロイし、承認を構成します。