MICROSOFT Sentinel Solution for SAP BTP: セキュリティ コンテンツ リファレンス

この記事では、MICROSOFT Sentinel Solution for SAP BTP で使用できるセキュリティ コンテンツについて詳しく説明します。

使用できるセキュリティ コンテンツには、現在、組み込みのブックと分析ルールがあります。 SAP 関連のウォッチリストを追加して、検索、検出規則、脅威ハンティング、応答プレイブックで使用することもできます。

ソリューションの詳細を確認してください。

SAP BTP ブック

BTP アクティビティ ブックには、BTP アクティビティのダッシュボードの概要が表示されます。

[概要] タブには、以下が表示されます。

• BTP サブアカウントの概要。アナリストが最もアクティブなアカウントと取り込まれたデータの種類を特定する場合に役立ちます。
• サブアカウント サインイン アクティビティ。SAP Business Application Studio (BAS) でのサインイン エラーに関連する可能性のあるスパイクと傾向をアナリストが特定するのに役立ちます。
• BTP アクティビティのタイムラインと BTP セキュリティ アラートの数。アナリストが 2 つの間の相関関係を調べる場合に役立ちます。

[ID 管理] タブには、ユーザーやセキュリティ ロールの変更などの ID 管理イベントのグリッドが、人間が判読できる形式で表示されます。 検索バーを使用すると、特定の変更をすばやく見つけることができます。

詳細については、「Tutorial: データの視覚化と監視および SAP BTP 用の Microsoft Sentinel ソリューションのデプロイを参照してください。

組み込みの分析ルール

規則名	説明	ソース アクション	方針
BTP - 複数の BAS サブアカウント間で失敗したアクセス試行	サブアカウントの事前に定義された数を超えた、Business Application Studio (BAS) のアクセス試行の失敗を識別します。 既定のしきい値: 3	サブアカウントの定義済みのしきい値数を超える BAS へのサインイン試行が失敗しました。 データ ソース: SAPBTPAuditLog_CL	検出、偵察
BTP - BAS 開発空間で検出されたマルウェア	BAS 開発者スペース内の SAP 内部マルウェア エージェントによって検出されたマルウェアのインスタンスを識別します。	BAS 開発者スペースでマルウェア ファイルをコピーまたは作成します。 データ ソース: SAPBTPAuditLog_CL	実行、永続化、リソース開発
BTP - 機密性の高い特権ロール コレクションに追加されたユーザー	監視対象の特権ロール コレクションのセットにユーザーが追加される ID 管理アクションを識別します。	次のいずれかのロール コレクションをユーザーに割り当てます。 - Subaccount Service Administrator - Subaccount Administrator - Connectivity and Destination Administrator - Destination Administrator - Cloud Connector Administrator データ ソース: SAPBTPAuditLog_CL	横移動、特権エスカレーション
BTP - 信頼と認可の ID プロバイダー モニター	サブアカウント内の ID プロバイダー設定に対する作成、読み取り、更新、削除 (CRUD) 操作を識別します。	サブアカウント内の任意の ID プロバイダー設定の変更、読み取り、更新、または削除を実行します。 データ ソース: SAPBTPAuditLog_CL	資格情報アクセス、特権エスカレーション
BTP - サブアカウントでの一括ユーザーの削除	削除されたユーザーの数が事前に定義されたしきい値を超えたユーザー アカウント削除アクティビティを識別します。 既定のしきい値: 10	定義されたしきい値を超える数のユーザー アカウントを削除します。 データ ソース: SAPBTPAuditLog_CL	影響

次のステップ

この記事では、Microsoft Sentinel Solution for SAP BTP で提供されるセキュリティ コンテンツについて説明しました。

• SAP BTP 用の Microsoft Sentinel ソリューションをデプロイする
• SAP BTP 用 Microsoft Sentinel ソリューションの概要