SAP® アプリケーション用の Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス
この記事では、Microsoft Sentinel Solution for SAP で使用できるセキュリティ コンテンツについて詳しく説明します。
重要
SAP® アプリケーション用の Microsoft Sentinel ソリューションは GA 段階ですが、一部の特定のコンポーネントはプレビューのままです。 この記事では、プレビュー段階にあるコンポーネントを以下の関連セクションで示します。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
使用できるセキュリティ コンテンツには、組み込みのブックと分析ルールがあります。 SAP 関連のウォッチリストを追加して、検索、検出規則、脅威ハンティング、応答プレイブックで使用することもできます。
組み込みのブック
次の組み込みのブックを使用して、SAP データ コネクタを介して取り込まれたデータを視覚化および監視します。 SAP ソリューションをデプロイすると、[マイ ブック] タブに SAP のブックが見つかります。
| ブック名 | 説明 | ログ |
|---|---|---|
| SAP - Audit Log Browser (SAP - 監査ログ ブラウザー) | 次のようなデータが表示されます。 時系列でのユーザー サインイン、システムによって取り込まれたイベント、メッセージのクラスと ID、ABAP プログラムの実行など、全般的なシステムの正常性 システムで発生するイベントの重大度 システムで発生する認証イベントと承認イベント |
次のログのデータが使用されます。 ABAPAuditLog_CL |
詳細については、チュートリアル: データの視覚化と監視に関する記事、および SAP® アプリケーション用の Microsoft Sentinel ソリューションをデプロイする方法に関する記事を参照してください。
組み込みの分析ルール
静的 SAP セキュリティ パラメーター (プレビュー) 構成の監視
SAP システムをセキュリティで保護するために、SAP では、変更を監視する必要があるセキュリティ関連のパラメーターを特定しました。 "SAP - (プレビュー) 機密静的パラメーターが変更されました" ルールを使用すると、SAP® アプリケーション用の Microsoft Sentinel ソリューションでは、Microsoft Sentinel に組み込まれている SAP システム内の 52 を超える静的セキュリティ関連パラメーターを追跡します。
Note
SAP 向け Microsoft Sentinel ソリューション® アプリケーションで SAP セキュリティ パラメーターを正常に監視するには、定期的にソリューションで SAP PAHI テーブルを正常に監視する必要があります。 ソリューションが PAHI テーブルを正常に監視できることを確認します。
システムでのパラメーターの変更を把握するために、SAP® アプリケーション用の Microsoft Sentinel ソリューションでは、1 時間ごとにシステム パラメーターに加えられた変更を記録するパラメーター履歴テーブルが使用されます。
パラメーターは、SAPSystemParameters ウォッチリストにも反映されます。 このウォッチリストを使用すると、ユーザーは新しいパラメーターの追加、既存のパラメーターの無効化、運用環境または非運用環境でのパラメーターとシステム ロールごとの値と重大度の変更を行うことができます。
これらのいずれかのパラメーターに変更が加えられた場合、Microsoft Sentinel では、変更がセキュリティに関連しているかどうか、推奨値に従って値が設定されているかどうかを確認します。 変更がセーフ ゾーンから外れていると疑われる場合、Microsoft Sentinel では変更の詳細を示すインシデントを作成し、変更を行ったユーザーを識別します。
このルールで監視されるパラメーターの一覧を確認します。
SAP 監査ログの監視
SAP 監査ログ データは、SAP® アプリケーション用の Microsoft Sentinel ソリューションの多くの分析ルールで使われています。 分析ルールの中には、ログの特定のイベントを探すものや、複数のログの指示を関連付けて忠実度の高いアラートとインシデントを生成するものがあります。
さらに、2 つの分析ルールがあります。標準の SAP 監査ログ イベント (183 種類のイベント) の全セットと、SAP 監査ログを使ってログに記録することを選択できるその他のカスタム イベントに対応するように設計されたものです。
どちらの SAP 監査ログ監視分析ルールも、同じデータ ソースと同じ構成を共有しますが、重要な点が 1 つだけ異なります。 "SAP - 動的決定論的監査ログ モニター" には決定論的なアラートしきい値とユーザー除外ルールが必要ですが、"SAP - 動的異常ベース監査ログ モニター アラート (プレビュー)" の場合、教師なしの方法でバックグラウンド ノイズを除外する追加の機械学習アルゴリズムが適用されます。 このため、既定では、SAP 監査ログのほとんどのイベントの種類 (または SAP メッセージ ID) は "異常ベースの" 分析ルールに送信され、定義が簡単なイベントの種類は決定論的分析ルールに送信されます。 この設定と他の関連する設定は、すべてのシステム条件に合わせてさらに構成することができます。
SAP - 動的決定論的監査ログ モニター
ユーザー数、イベントしきい値に関して決定論的な定義を持つ SAP 監査ログ イベントの種類の全セットをカバーすることを目的としている動的分析ルール。
SAP - 動的異常ベース監査ログ モニター アラート (プレビュー)
正常なシステム動作を学習し、SAP 監査ログで観察され、異常と見なされたアクティビティに対して警告するように設計されている動的分析ルール。 このルールは、ユーザー数、ネットワーク属性、しきい値に関する定義が困難な SAP 監査ログ イベントの種類に適用します。
詳細情報:
- SAP_Dynamic_Audit_Log_Monitor_Configuration and SAP_User_Config ウォッチリストを使用してルールを構成する
- ルールを構成する方法の詳細 (完全な手順)
次の表に、Microsoft Sentinel ソリューションのマーケットプレースからデプロイされる、SAP® アプリケーション用の Microsoft Sentinel ソリューションに含まれている組み込みの分析ルールの一覧を示します。
初期アクセス
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| SAP - 予期しないネットワークからのログイン | 予期しないネットワークからのサインインを特定します。 SAP - ネットワーク ウォッチリストでネットワークを管理します。 |
ネットワークのいずれにも割り当てられていない IP アドレスからバックエンド システムにサインインします。 データ ソース: SAPcon - 監査ログ |
初期アクセス |
| SAP - SPNego 攻撃 | SPNego 再生攻撃を特定します。 | データ ソース: SAPcon - 監査ログ | 影響、横移動 |
| SAP - 特権ユーザーからのダイアログ ログオン試行 | SAP システムの特権ユーザーによる、AUM タイプのダイアログ サインイン試行を識別します。 詳細については、「SAPUsersGetPrivileged」を参照してください。 | スケジュールされた期間中における同じ IP から複数のシステムまたはクライアントへのサインインを試行します。 データ ソース: SAPcon - 監査ログ |
影響、横移動 |
| SAP - ブルート フォース攻撃 | RFC ログオンを使用して SAP システムに対するブルート フォース攻撃を識別します | RFC を使用し、スケジュールされた期間中における同じ IP から複数のシステムまたはクライアントへのログインを試行します データ ソース: SAPcon - 監査ログ |
資格情報アクセス |
| SAP - 同じ IP からの複数のログオン | スケジュールされた期間中における同じ IP アドレスからの複数のユーザーのサインインを特定します。 サブユース ケース: 永続性 |
同じ IP アドレスで複数のユーザーを使用してサインインします。 データ ソース: SAPcon - 監査ログ |
初期アクセス |
| SAP - ユーザーによる複数のログオン | スケジュールされた期間中における複数のターミナルからの同じユーザーのサインインを特定します。 監査 SAL 方式でのみ使用できます (SAP バージョン 7.5 以降)。 |
同じユーザーを使用して、異なる IP アドレスによってサインインします。 データ ソース: SAPcon - 監査ログ |
攻撃前、資格情報アクセス、初期アクセス、コレクション サブユース ケース: 永続性 |
| SAP - 情報 - ライフサイクル - SAP ノートがシステムに実装された | システムでの SAP ノートの実装を特定します。 | SNOTE または TCI を使用して SAP ノートを実装します。 データ ソース: SAPcon - 変更要求 |
- |
データ窃盗
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| SAP - 認可されていないサーバーの FTP | 承認されていないサーバーの FTP 接続を特定します。 | FTP_CONNECT 関数モジュールを使用するなどして、新しい FTP 接続を作成します。 データ ソース: SAPcon - 監査ログ |
探索、初期アクセス、コマンドと制御 |
| SAP - 安全でない FTP サーバー構成 | FTP 許可リストが空であるかプレースホルダーが含まれる場合など、安全でない FTP サーバー構成を特定します。 | SAPFTP_SERVERS_V メンテナンス ビューを使用して、SAPFTP_SERVERS テーブルにプレースホルダーを含む値を管理しないでください。 (SM30)データ ソース: SAPcon - 監査ログ |
初期アクセス、コマンドと制御 |
| SAP - 複数のファイルのダウンロード | 特定の時間範囲内における 1 ユーザーによる複数ファイルのダウンロードを特定します。 | Excel 用 SAPGui、リストなどを使用して複数のファイルをダウンロードします。 データ ソース: SAPcon - 監査ログ |
コレクション、データ流出、資格情報アクセス |
| SAP - 複数のスプールの実行 | 特定の時間範囲内における 1 ユーザーによる複数のスプールを特定します。 | 1 ユーザーにより、いずれかの種類の複数のスプール ジョブを作成して実行します。 (SP01) データ ソース: SAPcon - スプール ログ、SAPcon - 監査ログ |
コレクション、データ流出、資格情報アクセス |
| SAP - 複数のスプール出力の実行 | 特定の時間範囲内における 1 ユーザーによる複数のスプールを特定します。 | 1 ユーザーにより、いずれかの種類の複数のスプール ジョブを作成して実行します。 (SP01) データ ソース: SAPcon - スプール出力ログ、SAPcon - 監査ログ |
コレクション、データ流出、資格情報アクセス |
| SAP - 機密性のあるテーブルへの RFC ログオンによる直接アクセス | RFC サインインによる汎用テーブル アクセスを特定します。 SAP - 機密性の高いテーブル ウォッチリストでテーブルを管理します。 注: 運用システムの場合のみに関連します。 |
SE11、SE16、または SE16N を使用してテーブルの内容を開きます。 データ ソース: SAPcon - 監査ログ |
コレクション、データ流出、資格情報アクセス |
| SAP - スプールの引き継ぎ | 他のユーザーによって作成されたスプール要求を出力するユーザーを特定します。 | あるユーザーを使用してスプール要求を作成してから、別のユーザーを使用してそれを出力します。 データ ソース: SAPcon - スプール ログ、SAPcon - スプール出力ログ、SAPcon - 監査ログ |
コレクション、データ流出、コマンドと制御 |
| SAP - 動的 RFC 転送先 | 動的な転送先を使用する RFC の実行を特定します。 サブユース ケース: SAP のセキュリティ メカニズムを回避する試み |
動的な転送先 (cl_dynamic_destination) を使用する ABAP レポートを実行します。 たとえば、DEMO_RFC_DYNAMIC_DEST です。 データ ソース: SAPcon - 監査ログ |
コレクション、データ流出 |
| SAP - ダイアログ ログオンによる機密性の高いテーブルへの直接アクセス | ダイアログ サインインを使用した汎用テーブル アクセスを特定します。 | SE11/SE16/SE16N を使用してテーブルの内容を開きます。 データ ソース: SAPcon - 監査ログ |
探索 |
| SAP - (プレビュー) 悪意のある IP アドレスからダウンロードされたファイル | 悪意のあることがわかっている IP アドレスを使用した、SAP システムからのファイルのダウンロードを識別します。 悪意のある IP アドレスは、脅威インテリジェンス サービスから取得されます。 | 悪意のある IP からファイルをダウンロードします。 データ ソース: SAP セキュリティ監査ログ、脅威インテリジェンス |
窃盗 |
| SAP - (プレビュー) トランスポートを使用して実稼働システムからエクスポートされたデータ | トランスポートを使用した、実稼働システムからのデータ エクスポートを識別します。 トランスポートは開発システムで使用され、pull request と似ています。 このアラート ルールでは、任意のテーブルからのデータを含むトランスポートが運用システムからリリースされたときに、重大度が中のインシデントがトリガーされます。 このルールでは、エクスポートに機密性の高いテーブルからのデータが含まれている場合に、重大度が高のインシデントが作成されます。 | 実稼働システムからトランスポートをリリースします。 データ ソース: SAP CR ログ、SAP - 機密テーブル |
窃盗 |
| SAP - (プレビュー) USB ドライブに保存された機密データ | ファイルを使用した SAP データのエクスポートを識別します。 このルールでは、機密性の高いトランザクションの実行、機密性の高いプログラム、または機密性の高いテーブルへの直接アクセスに近いところで、最近マウントされた USB ドライブに保存されたデータがチェックされます。 | ファイルを介して SAP データをエクスポートし、USB ドライブに保存します。 データ ソース: SAP セキュリティ監査ログ、DeviceFileEvents (Microsoft Defender for Endpoint)、SAP - 機密テーブル、SAP - 機密トランザクション、SAP - 機密プログラム |
窃盗 |
| SAP - (プレビュー) 機密の可能性のあるデータの印刷 | 機密性の高いデータの要求または実際の印刷を識別します。 ユーザーが機密性の高いトランザクションの一部としてデータを取得したり、機密性の高いプログラムを実行したり、機密性の高いテーブルに直接アクセスしたりする場合、データは機密と見なされます。 | 機密性の高いデータの印刷または印刷要求。 データ ソース: SAP セキュリティ監査ログ、SAP スプール ログ、SAP - 機密テーブル、SAP - 機密プログラム |
窃盗 |
| SAP - (プレビュー) 機密の可能性がある大量のデータがエクスポートされる | 機密性の高いトランザクションの実行、機密性の高いプログラム、または機密性の高いテーブルへの直接アクセスに近いところでファイルを使用した、大量のデータのエクスポートを識別します。 | ファイルを使用して大量のデータをエクスポートします。 データ ソース: SAP セキュリティ監査ログ、SAP - 機密テーブル、SAP - 機密トランザクション, SAP - 機密プログラム |
窃盗 |
永続性
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| SAP - ICF サービスのアクティブ化または非アクティブ化 | ICF サービスのアクティブ化または非アクティブ化を特定します。 | SICF を使用してサービスをアクティブ化します。 データ ソース: SAPcon - テーブル データ ログ |
コマンドと制御、横移動、永続化 |
| SAP - テストされた関数モジュール | 関数モジュールのテストを特定します。 | SE37 / SE80 を使用して関数モジュールをテストします。 データ ソース: SAPcon - 監査ログ |
コレクション、防御回避、横移動 |
| SAP - (プレビュー) HANA DB - ユーザー管理者アクション | ユーザー管理アクションを特定します。 | データベース ユーザーを作成、更新、または削除します。 データ ソース: Linux エージェント - Syslog* |
Privilege Escalation (特権昇格) |
| SAP - 新しい ICF サービス ハンドラー | ICF ハンドラーの作成を特定します。 | SICF を使用して、新しいハンドラーをサービスに割り当てます。 データ ソース: SAPcon - 監査ログ |
コマンドと制御、横移動、永続化 |
| SAP - 新しい ICF サービス | ICF サービスの作成を特定します。 | SICF を使用してサービスを作成します。 データ ソース: SAPcon - テーブル データ ログ |
コマンドと制御、横移動、永続化 |
| SAP - 古いまたは安全でない関数モジュールの実行 | 古いまたは安全でない ABAP 関数モジュールの実行を特定します。 SAP - 古い関数モジュール ウォッチリストで古い関数を管理します。 バックエンドでの EUFUNC テーブルのテーブル ログの変更を確実にアクティブ化します。 (SE13)注: 運用システムの場合のみに関連します。 |
SE37 を使用して、古い、または安全でない関数モジュールを直接実行します。 データ ソース: SAPcon - テーブル データ ログ |
探索、コマンドと制御 |
| SAP - 古い/安全でないプログラムの実行 | 古いまたは安全でない ABAP プログラムの実行を特定します。 SAP - 古いプログラム ウォッチリストで古いプログラムを管理します。 注: 運用システムの場合のみに関連します。 |
SE38、SA38、または SE80 を使用するかバックグラウンド ジョブを使用して、プログラムを直接実行します。 データ ソース: SAPcon - 監査ログ |
探索、コマンドと制御 |
| SAP - ユーザーによる複数のパスワード変更 | ユーザーによる複数のパスワード変更を特定します。 | ユーザー パスワードの変更 データ ソース: SAPcon - 監査ログ |
資格情報アクセス |
SAP のセキュリティ メカニズムを回避する試み
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| SAP - クライアント構成の変更 | クライアント ロールや変更記録モードなど、クライアント構成の変更を特定します。 | SCC4 トランザクション コードを使用してクライアント構成の変更を行います。 データ ソース: SAPcon - 監査ログ |
防御回避、データ流出、永続化 |
| SAP - デバッグ アクティビティ中にデータが変更された | デバッグ アクティビティ中のランタイム データの変更を特定します。 サブユース ケース: 永続性 |
1. デバッグをアクティブ化します ("/h")。 2. 変更するフィールドを選択し、その値を更新します。 データ ソース: SAPcon - 監査ログ |
実行、横移動 |
| SAP - セキュリティ監査ログの非アクティブ化 | セキュリティ監査ログの非アクティブ化を特定します。 | SM19/RSAU_CONFIG を使用してセキュリティ監査ログを無効にします。 データ ソース: SAPcon - 監査ログ |
データ流出、防御回避、永続化 |
| SAP - 機密性の高い ABAP プログラムの実行 | 機密性の高い ABAP プログラムの直接実行を特定します。 SAP - 機密性の高い ABAP プログラム ウォッチリストで ABAP プログラムを管理します。 |
SE38/SA38/SE80 を使用してプログラムを直接実行します。 データ ソース: SAPcon - 監査ログ |
データ流出、横移動、実行 |
| SAP - 機密性の高いトランザクション コードの実行 | 機密性の高いトランザクション コードの実行を特定します。 SAP - 機密性の高いトランザクション コード ウォッチリストでトランザクション コードを管理します。 |
機密性の高いトランザクション コードを実行します。 データ ソース: SAPcon - 監査ログ |
探索、実行 |
| SAP - 機密性の高い機能モジュールの実行 | 機密性の高い ABAP 関数モジュールの実行を特定します。 サブユース ケース: 永続性 注: 運用システムの場合のみに関連します。 SAP - 機密性の高い関数モジュール ウォッチリストで機密性の高い関数を管理し、EUFUNC テーブルのバックエンドでのテーブル ログの変更を確実にアクティブ化します。 (SE13) |
機密性の高い関数モジュールを、SE37 を使用して直接実行します。 データ ソース: SAPcon - テーブル データ ログ |
探索、コマンドと制御 |
| SAP - (プレビュー) HANA DB - 監査証跡ポリシーの変更 | HANA DB 監査証跡ポリシーの変更を特定します。 | セキュリティ定義の既存の監査ポリシーを作成または更新します。 データ ソース: Linux エージェント - Syslog |
横移動、防御回避、永続化 |
| SAP - (プレビュー) HANA DB - 監査証跡の非アクティブ化 | HANA DB 監査ログの非アクティブ化を特定します。 | HANA DB セキュリティ定義で監査ログを非アクティブにします。 データ ソース: Linux エージェント - Syslog |
永続化、横移動、防御回避 |
| SAP - 機密性の高い関数モジュールの不正なリモート実行 | 最近変更された認可を無視しながら、アクティビティとユーザーの認可プロファイルを比較することで、機密性の高い VM の不正な実行を検出します。 SAP - 機密性の高い関数モジュール ウォッチリストで関数モジュールを管理します。 |
RFC を使用して関数モジュールを実行します。 データ ソース: SAPcon - 監査ログ |
探索、横移動、検出 |
| SAP - システム構成の変更 | システム構成の変更を特定します。 | SE06 トランザクション コードを使用して、システム変更オプションまたはソフトウェア コンポーネントの変更を調整します。データ ソース: SAPcon - 監査ログ |
データ流出、防御回避、永続化 |
| SAP - アクティビティのデバッグ | すべてのデバッグ関連アクティビティを特定します。 サブユース ケース: 永続性 |
システムでのデバッグのアクティブ化 ("/h")、アクティブ プロセスのデバッグ、ソース コードへのブレークポイントの追加などを行います。 データ ソース: SAPcon - 監査ログ |
探索 |
| SAP - セキュリティ監査ログの構成の変更 | セキュリティ監査ログの構成の変更を特定します | SM19/RSAU_CONFIG を使用して、フィルター、状態、記録モードなどのセキュリティ監査ログの構成を変更します。 データ ソース: SAPcon - 監査ログ |
永続化、データ流出、防御回避 |
| SAP - トランザクションのロック解除 | トランザクションのロック解除を特定します。 | SM01/SM01_DEV/SM01_CUS を使用してトランザクション コードをロック解除します。 データ ソース: SAPcon - 監査ログ |
永続化、実行 |
| SAP - 動的 ABAP プログラム | 動的な ABAP プログラミングの実行を特定します。 たとえば、ABAP コードが動的に作成、変更、または削除された場合です。 SAP - ABAP 生成のトランザクション ウォッチリストで、除外されたトランザクション コードを管理します。 |
ABAP プログラム生成コマンド (INSERT REPORT など) を使用する ABAP レポートを作成してから、そのレポートを実行します。 データ ソース: SAPcon - 監査ログ |
探索、コマンドと制御、影響 |
疑わしい特権操作
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| SAP - 機密性の高い特権ユーザーの変更 | 機密性の高い特権ユーザーの変更を特定します。 SAP - 特権ユーザー ウォッチリストで特権ユーザーを管理します。 |
SU01 を使用して、ユーザーの詳細/認可を変更します。 データ ソース: SAPcon - 監査ログ |
特権エスカレーション、資格情報アクセス |
| SAP - (プレビュー) HANA DB - 管理者認可の割り当て | 管理者特権またはロールの割り当てを特定します。 | ユーザーに管理者ロールまたは特権を割り当てます。 データ ソース: Linux エージェント - Syslog |
Privilege Escalation (特権昇格) |
| SAP - ログインした機密性の高い特権ユーザー | 機密性の高い特権ユーザーのダイアログ サインインを特定します。 SAP - 特権ユーザー ウォッチリストで特権ユーザーを管理します。 |
SAP* または別の特権ユーザーを使用してバックエンド システムにサインインします。 データ ソース: SAPcon - 監査ログ |
初期アクセス、資格情報アクセス |
| SAP - 機密性の高い特権ユーザーが他のユーザーに変更を行っている | 機密性の高い特権ユーザーによる他のユーザーへの変更を特定します。 | SU01 を使用して、ユーザーの詳細/認可を変更します。 データ ソース: SAPcon - 監査ログ |
特権エスカレーション、資格情報アクセス |
| SAP - 機密性の高いユーザーのパスワード変更とログイン | 特権ユーザーのパスワード変更を特定します。 | 特権ユーザーのパスワードを変更し、システムにサインインします。 SAP - 特権ユーザー ウォッチリストで特権ユーザーを管理します。 データ ソース: SAPcon - 監査ログ |
影響、コマンドと制御、特権エスカレーション |
| SAP - ユーザーが新しいユーザーを作成して使用する | 他のユーザーを作成して使用しているユーザーを特定します。 サブユース ケース: 永続性 |
SU01 を使用してユーザーを作成し、その新しく作成したユーザーと同じ IP アドレスを使用してサインインします。 データ ソース: SAPcon - 監査ログ |
探索、攻撃前、初期アクセス |
| SAP - ユーザーが他のユーザーをロック解除して使用する | 他のユーザーによってロック解除され使用されているユーザーを特定します。 サブユース ケース: 永続性 |
SU01 を使用してユーザーをロック解除し、そのロック解除されたユーザーおよび同じ IP アドレスを使用してサインインします。 データ ソース: SAPcon - 監査ログ、SAPcon - ドキュメント変更ログ |
探索、攻撃前、初期アクセス、横移動 |
| SAP - 機密性の高いプロファイルの割り当て | ユーザーに対する機密性の高いプロファイルの新たな割り当てを特定します。 SAP - 機密性の高いプロファイル ウォッチリストで、機密性の高いプロファイルを管理します。 |
SU01 を使用してユーザーにプロファイルを割り当てます。 データ ソース: SAPcon - ドキュメント変更ログ |
Privilege Escalation (特権昇格) |
| SAP - 機密性の高いロールの割り当て | ユーザーに対する機密性の高いロールの新たな割り当てを特定します。 SAP - 機密性の高いロール ウォッチリストで機密性の高いロールを管理します。 |
SU01 / PFCG を使用してユーザーにロールを割り当てます。 データ ソース: SAPcon - ドキュメント変更ログ、監査ログ |
Privilege Escalation (特権昇格) |
| SAP - (プレビュー) クリティカル認可の割り当て - 新しい認可値 | 新しいユーザーに対するクリティカル認可オブジェクト値の割り当てを特定します。 SAP - クリティカル認可オブジェクト ウォッチリストでクリティカル認可オブジェクトを管理します。 |
PFCG を使用して、新しい認可オブジェクトを割り当てるか、ロール内の既存のものを更新します。 データ ソース: SAPcon - ドキュメント変更ログ |
Privilege Escalation (特権昇格) |
| SAP - クリティカル認可の割り当て - 新しいユーザー割り当て | 新しいユーザーに対するクリティカル認可オブジェクト値の割り当てを特定します。 SAP - クリティカル認可オブジェクト ウォッチリストでクリティカル認可オブジェクトを管理します。 |
SU01/PFCG を使用して、クリティカル認可値を保持するロールに新しいユーザーを割り当てます。 データ ソース: SAPcon - ドキュメント変更ログ |
Privilege Escalation (特権昇格) |
| SAP - 機密性の高いロールの変更 | 機密性の高いロールの変更を特定します。 SAP - 機密性の高いロール ウォッチリストで機密性の高いロールを管理します。 |
PFCG を使用してロールを変更します。 データ ソース: SAPcon - ドキュメント変更ログ、SAPcon - 監査ログ |
影響、特権エスカレーション、永続化 |
使用可能なウォッチリスト
次の表に、SAP® アプリケーション用の Microsoft Sentinel ソリューションで使用できるウォッチリストと、各ウォッチリストのフィールドを一覧で示します。
これらのウォッチリストにより、SAP® アプリケーション用の Microsoft Sentinel ソリューションの構成が提供されます。 SAP ウォッチリストは Microsoft Sentinel GitHub リポジトリで入手できます。
| ウォッチリスト名 | 説明とフィールド |
|---|---|
| SAP - クリティカル認可オブジェクト | 割り当てを制御する必要があるクリティカル認可オブジェクト。 - AuthorizationObject: S_DEVELOP、S_TCODE、Table TOBJ などの SAP 認可オブジェクト - AuthorizationField: OBJTYPや TCD などの SAP 認可フィールド - AuthorizationValue: DEBUG などの SAP 認可フィールド値 - ActivityField:: SAP アクティビティ フィールド。 ほとんどの場合、この値は ACTVT になります。 Activity のない、または Activity フィールドのみがある認可オブジェクトの場合、NOT_IN_USE が埋め込まれます。 - Activity: 認可オブジェクトに従った SAP アクティビティ。 01: 作成、02: 変更、03: 表示など。 - Description: クリティカル認可オブジェクトのわかりやすい説明。 |
| SAP - 除外されたネットワーク | 除外されたネットワークの内部メンテナンス (たとえば、Web ディスパッチャー、ターミナル サーバーなどを無視する場合)。 -Network: ネットワーク IP アドレスまたは範囲 ( 111.68.128.0/17 など)。 -Description: ネットワークに関するわかりやすい説明。 |
| SAP 除外されたユーザー | システムにサインインしていて、無視する必要があるシステム ユーザー。 たとえば、同じユーザーによる複数のサインインに関するアラートです。 - User: SAP ユーザー -Description: ユーザーに関するわかりやすい説明。 |
| SAP - ネットワーク | 未承認のログインを識別するための内部およびメンテナンス ネットワーク。 - Network: ネットワーク IP アドレスまたは範囲 ( 111.68.128.0/17 など) - Description: ネットワークに関するわかりやすい説明。 |
| SAP - 特権ユーザー | 追加制限の対象となる特権ユーザー。 - User: ABAP ユーザー ( DDIC や SAP など) - Description: ユーザーに関するわかりやすい説明。 |
| SAP - 機密性の高い ABAP プログラム | 実行を制御する必要がある機密性の高い ABAP プログラム (レポート)。 - ABAPProgram: ABAP プログラムまたはレポート ( RSPFLDOC など) - Description: プログラムに関するわかりやすい説明。 |
| SAP - 機密性の高い関数モジュール | 未承認のログインを識別するための内部およびメンテナンス ネットワーク。 - FunctionModule: ABAP 関数モジュール ( RSAU_CLEAR_AUDIT_LOG など) - Description: モジュールに関するわかりやすい説明。 |
| SAP - 機密性の高いプロファイル | 割り当てを制御する必要がある機密性の高いプロファイル。 - Profile: SAP 認可プロファイル ( SAP_ALL や SAP_NEW など) - Description: プロファイルに関するわかりやすい説明。 |
| SAP - 機密性の高いテーブル | アクセスを制御する必要がある機密性の高いテーブル。 - Table: ABAP 辞書テーブル ( USR02 や PA008 など) - Description: テーブルに関するわかりやすい説明。 |
| SAP - 機密性の高いロール | 割り当てを制御する必要がある機密性の高いロール。 - Role: SAP 認可ロール ( SAP_BC_BASIS_ADMIN など) - Description: ロールに関するわかりやすい説明。 |
| SAP - 機密性の高いトランザクション | 実行を制御する必要がある機密性の高いトランザクション。 - TransactionCode: SAP トランザクション コード ( RZ11 など) - Description: コードに関するわかりやすい説明。 |
| SAP - システム | ロールと使用法に応じた、SAP システムのランドスケープについて記述します。 - SystemID: SAP システム ID (SYSID) - SystemRole: SAP システム ロール。 Sandbox、Development、Quality Assurance、Training、Production のいずれかの値 - SystemUsage: SAP システムの使用法。 ERP、BW、Solman、Gateway、Enterprise Portal のいずれかの値 |
| SAPSystemParameters | 疑わしい構成変更を監視するパラメーター。 このウォッチリストには、(SAP のベスト プラクティスに従って) 推奨値が事前に入力されており、ウォッチリストを拡張してさらにパラメーターを含めることができます。 パラメーターのアラートを受信しない場合は、EnableAlerts を false に設定します。- ParameterName: パラメーターの名前。 - Comment: SAP 標準パラメーターの説明。 - EnableAlerts: このパラメーターのアラートを有効にするかどうかを定義します。 値は true と false です。- Option: パラメーター値が以上か ( GE)、以下か (LE)、等しいか (EQ) の中からアラートをトリガーするケースを定義します。たとえば、 login/fails_to_user_lock SAP パラメーターが LE (以下) に設定され、値が 5 の場合、Microsoft Sentinel がこの特定のパラメーターへの変更を検出すると、新しく報告された値と期待される値が比較されます。 新しい値が 4 の場合、Microsoft Sentinel はアラートをトリガーしません。 新しい値が 6 の場合、Microsoft Sentinel はアラートをトリガーします。- ProductionSeverity: 運用システムのインシデントの重大度。 - ProductionValues: 運用システムで許可される値。 - NonProdSeverity: 非運用システムのインシデントの重大度。 - ProductionValues: 非運用システムで許可される値。 |
| SAP - 除外されたユーザー | ログインしていて、無視する必要があるシステム ユーザー (ユーザーによる複数のログオンのアラートの場合など)。 - User: SAP ユーザー - Description: ユーザーに関するわかりやすい説明 |
| SAP - 除外されたネットワーク | Web ディスパッチャー、ターミナル サーバーなどを無視するために、内部の除外されたネットワークを管理します。 - Network: ネットワーク IP アドレスまたは範囲 ( 111.68.128.0/17 など) - Description: ネットワークに関するわかりやすい説明 |
| SAP - 古い関数モジュール | 実行を制御する必要がある古い関数モジュール。 - FunctionModule: ABAP 関数モジュール (TH_SAPREL など) - Description: 関数モジュールに関するわかりやすい説明 |
| SAP - 古いプログラム | 実行を制御する必要がある古い ABAP プログラム (レポート)。 - ABAPProgram:ABAP プログラム (TH_ RSPFLDOC など) - Description: ABAP プログラムに関するわかりやすい説明 |
| SAP - ABAP 生成のトランザクション | 実行を制御する必要がある ABAP 生成のトランザクション。 - TransactionCode: トランザクション コード (SE11 など)。 - Description: トランザクション コードに関するわかりやすい説明 |
| SAP - FTP サーバー | 未承認の接続を識別するための FTP サーバー。 - Client: 100 など。 - FTP_Server_Name: FTP サーバー名 ( http://contoso.com/ など) -FTP_Server_Port: FTP サーバー ポート (22 など)。 - Description FTP サーバーに関するわかりやすい説明 |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | 必要に応じて、システム ロール (運用、非運用) ごとに各メッセージ ID に重大度レベルを割り当てて、SAP 監査ログ アラートを構成します。 このウォッチリストでは、使用可能なすべての SAP 標準監査ログ メッセージ ID について詳しく説明します。 ウォッチリストは、SAP NetWeaver システム上で ABAP 拡張機能を使って独自に作成した追加のメッセージ ID を含むように拡張することができます。 また、このウォッチリストを使うと、各イベントの種類を処理する指定のチームを構成することや、SAP ロール、SAP プロファイル、または SAP_User_Config ウォッチリストのタグを使ってユーザーを除外することもできます。 このウォッチリストは、SAP 監査ログを監視するための組み込みの SAP 分析ルールの構成に使われるコア コンポーネントの 1 つです。 - MessageID: SAP メッセージ ID、または AUD (ユーザー マスター レコードの変更) や AUB (認可の変更) などのイベントの種類。 - DetailedDescription: インシデント ペインに表示される Markdown 対応の説明。 - ProductionSeverity: 運用システム High、Medium 用に作成されるインシデントの目的の重大度。 Disabled に設定できます。 - NonProdSeverity: 非運用システム High、Medium 用に作成されるインシデントの目的の重大度。 Disabled に設定できます。 - ProductionThreshold: 運用システム 60 で疑わしいと見なされる "1 時間あたり" のイベント数。 - NonProdThreshold: 非運用システム 10 で疑わしいと見なされる "1 時間あたり" のイベント数。 - RolesTagsToExclude: このフィールドは、SAP ロール名、SAP プロファイル名、または SAP_User_Config ウォッチリストのタグを受け取ります。 これらは、関連付けられたユーザーを特定のイベントの種類から除外するために使われます。 この一覧の最後にあるロール タグのオプションを参照してください。 - RuleType: SAP - 動的決定論的監査ログ モニターに送信されるイベントの種類には Deterministic を、SAP - 動的異常ベース監査ログ モニター アラート (プレビュー) の対象となるイベントには AnomaliesOnly を使います。RolesTagsToExclude フィールドの場合: - SAP ロールまたは SAP プロファイルを一覧表示すると、同じ SAP システムのこれらのイベントタイプから、一覧表示されているロールまたはプロファイルを持つすべてのユーザーが除外されます。 たとえば、RFC 関連のイベントの種類に BASIC_BO_USERS ABAP ロールを定義すると、Business Objects ユーザーが大量の RFC 呼び出しを行ったときにインシデントをトリガーしません。- イベントの種類のタグ付けは SAP ロールまたはプロファイルの指定と似ていますが、タグはワークスペースに作成できるため、SOC チームは SAP チームに依存せずにアクティビティによってユーザーを除外できます。 たとえば、監査メッセージ ID の AUB (認可の変更) と AUD (ユーザー マスター レコードの変更) には、 MassiveAuthChanges タグが割り当てられています。 このタグが割り当てられているユーザーは、これらのアクティビティのチェックから除外されます。 ワークスペース関数 SAPAuditLogConfigRecommend を実行すると、ユーザーに割り当てる推奨タグの一覧が生成されます。たとえば、Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist などです。 |
| SAP_User_Config | 特定のコンテキストでユーザーを除外または包含することでアラートを微調整できます。また、SAP 監査ログを監視するための組み込みの SAP 分析ルールの構成にも使われます。 - SAPUser: SAP ユーザー - Tags: タグは、特定のアクティビティに対してユーザーを識別するために使われます。 たとえば、ユーザー SENTINEL_SRV にタグ ["GenericTablebyRFCOK"] を追加すると、この特定のユーザーに対して RFC 関連のインシデントが作成されなくなります 他の Active Directory ユーザー識別子 - AD ユーザー識別子 - ユーザーのオンプレミス Sid - ユーザー プリンシパル名 |
次のステップ
詳細については、次を参照してください。
- SAP® アプリケーション用の Microsoft Sentinel ソリューションをデプロイする
- SAP® アプリケーション用の Microsoft Sentinel ソリューションのログ リファレンス
- SNC を使用して SAP® アプリケーション用の Microsoft Sentinel ソリューションのデータ コネクタをデプロイする
- 構成ファイル リファレンス
- SAP® アプリケーション用の Microsoft Sentinel ソリューションをデプロイするための前提条件
- SAP® アプリケーション用の Microsoft Sentinel ソリューションのデプロイに関するトラブルシューティング