SAP® BTP 向けの Microsoft Sentinel ソリューション: セキュリティ コンテンツのリファレンス

この記事では、SAP® BTP 向けの Microsoft Sentinel ソリューションで使用できるセキュリティ コンテンツについて詳しく説明します。

重要

SAP® BTP 向け Microsoft Sentinel ソリューションは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

使用できるセキュリティ コンテンツには、現在、組み込みのブックと分析ルールがあります。 SAP 関連のウォッチリストを追加して、検索、検出規則、脅威ハンティング、応答プレイブックで使用することもできます。

ソリューションの詳細を確認してください

SAP BTP ブック

BTP アクティビティ ブックには、BTP アクティビティのダッシュボードの概要が表示されます。

SAP BTP ブックの [概要] タブのスクリーンショット。

[概要] タブには、以下が表示されます。

  • BTP サブアカウントの概要。アナリストが最もアクティブなアカウントと取り込まれたデータの種類を特定する場合に役立ちます。
  • サブアカウント サインイン アクティビティ。アナリストが、SAP Business Application Studio (BAS) でのサインイン エラーに関連する可能性のあるスパイクと傾向を特定する場合に役立ちます。
  • BTP アクティビティのタイムラインと BTP セキュリティ アラートの数。アナリストが 2 つの間の相関関係を調べる場合に役立ちます。

[ID 管理] タブには、ユーザーやセキュリティ ロールの変更などの ID 管理イベントのグリッドが、人間が判読できる形式で表示されます。 検索バーを使用すると、特定の変更をすばやく見つけることができます。

SAP BTP ブックの [ID 管理] タブのスクリーンショット。

詳細については、「Azure Monitor ブックを使用して、データを視覚化および監視する」と「SAP® BTP 向け Microsoft Sentinel ソリューションをデプロイする」を参照してください。

組み込みの分析ルール

規則名 説明 ソース アクション 方針
BTP - 複数の BAS サブアカウント間で失敗したアクセス試行 サブアカウントの事前に定義された数を超えた、Business Application Studio (BAS) のアクセス試行の失敗を識別します。
既定のしきい値: 3
BAS へのログイン試行の失敗回数が、定義されたサブアカウントのしきい値数を超えました。

データ ソース: SAPBTPAuditLog_CL
検出、偵察
BTP - BAS 開発空間で検出されたマルウェア BAS 開発者スペース内の SAP 内部マルウェア エージェントによって検出されたマルウェアのインスタンスを識別します。 BAS 開発者スペースでマルウェア ファイルをコピーまたは作成します。

データ ソース: SAPBTPAuditLog_CL
実行、永続化、リソース開発
BTP - 機密性の高い特権ロール コレクションに追加されたユーザー 監視対象の特権ロール コレクションのセットにユーザーが追加される ID 管理アクションを識別します。 次のいずれかのロール コレクションをユーザーに割り当てます。"Subaccount Service Administrator (サブアカウント サービス管理者)"、"Subaccount Administrator (サブアカウント管理者)"、"Connectivity and Destination Administrator (接続および宛先管理者)"、"Destination Administrator (宛先管理者)"、"Cloud Connector Administrator (クラウド コネクタ 管理者)”。

データ ソース: SAPBTPAuditLog_CL
横移動、特権エスカレーション
BTP - 信頼と認可の ID プロバイダー モニター サブアカウント内の ID プロバイダー設定に対する作成、読み取り、更新、削除 (CRUD) 操作を識別します。 サブアカウント内の任意の ID プロバイダー設定の変更、読み取り、更新、または削除を実行します。

データ ソース: SAPBTPAuditLog_CL
資格情報アクセス、特権エスカレーション
BTP - サブアカウントでの一括ユーザーの削除 削除されたユーザーの数が事前に定義されたしきい値を超えたユーザー アカウント削除アクティビティを識別します。
既定のしきい値: 10
定義されたしきい値を超える数のユーザー アカウントを削除します。

データ ソース: SAPBTPAuditLog_CL
影響

次のステップ

この記事では、SAP® BTP 向けの Microsoft Sentinel ソリューションで提供されるセキュリティ コンテンツについて説明しました。