疑わしい構成変更を検出するための監視対象 SAP セキュリティ パラメーター
この記事では、SAP 向け Microsoft Sentinel ソリューション® アプリケーションが "SAP - (プレビュー) 機密静的パラメーターが変更されました" 分析ルールの一部として監視する SAP システムのセキュリティ パラメーターについて詳しく説明します。
SAP 向け Microsoft Sentinel ソリューション® アプリケーションは、SAP のベスト プラクティスの変更に従って、このコンテンツの更新を提供します。 監視対象のパラメーターの追加、組織のニーズに応じた値の変更、SAPSystemParameters ウォッチリストでの特定のパラメーターの無効化も実行できます。
注意
SAP 向け Microsoft Sentinel ソリューション® アプリケーションで SAP セキュリティ パラメーターを正常に監視するには、定期的にソリューションで SAP PAHI テーブルを正常に監視する必要があります。 ソリューションで PAHI テーブルを正常に監視できることを確認してください。
監視対象の静的 SAP セキュリティ パラメーター
この一覧には、SAP 向け Microsoft Sentinel ソリューション® アプリケーションが SAP システムを保護するために監視する静的 SAP セキュリティ パラメーターが含まれています。 この一覧は、これらのパラメーターを構成するための推奨事項ではありません。 構成に関する考慮事項については、SAP 管理者に問い合わせてください。
| パラメーター | 説明 | セキュリティ値/考慮事項 |
|---|---|---|
| gw/accept_remote_trace_level | 中央プロセス統合 (CPI) とリモート関数呼び出し (RFC) のサブシステムがリモート トレース レベルを採用するかどうかを制御します。 このパラメーターを 1 に設定すると、CPI と RFC サブシステムはリモート トレース レベルを受け入れて採用します。 0 に設定すると、リモート トレース レベルは受け入れられず、代わりにローカル トレース レベルが使用されます。トレース レベルとは、特定のプログラムまたはプロセスのシステム ログに記録される詳細レベルを決定する設定です。 サブシステムがトレース レベルを採用すると、ローカル システムだけでなく、リモート システムからのプログラムまたはプロセスのトレース レベルを設定できます。 この設定は、リモート デバッグやトラブルシューティングが必要な状況で役立ちます。 |
パラメーターは、外部システムから受け入れられるトレース レベルを制限するように構成できます。 トレース レベルを低く設定すると、外部システムが SAP システムの内部作業に関して取得できる情報の量が減る可能性があります。 |
| login/password_change_for_SSO | シングル サインオンの状況でパスワードの変更を適用する方法を制御します。 | 高。パスワードの変更を適用すると、フィッシングやその他の方法で有効な資格情報を取得した可能性がある攻撃者によるシステムへの不正アクセスを防ぐのに役立つためです。 |
| icm/accept_remote_trace_level | インターネット通信マネージャー (ICM) が外部システムからのリモート トレース レベルの変更を受け入れるかどうかを決定します。 | 中。リモート トレース レベルの変更を許可すると、攻撃者に貴重な診断情報が提供され、システム セキュリティが侵害される可能性があるためです。 |
| rdisp/gui_auto_logout | ユーザーを自動的にログアウトするまでの SAP GUI 接続の最大アイドル時間を指定します。 | 高。非アクティブなユーザーを自動的にログアウトすると、ユーザーのワークステーションへのアクセス権を取得した可能性がある攻撃者によるシステムへの不正アクセスを防ぐのに役立つためです。 |
| rsau/enable | セキュリティ監査ログを有効にするかどうかを制御します。 | 高。セキュリティ監査ログは、セキュリティ インシデントを検出して調査するための貴重な情報を提供できるためです。 |
| login/min_password_diff | ユーザーがパスワードを変更するときに、新旧パスワードの間で異なる必要がある最小文字数を指定します。 | 高。異なる文字の最小数を要求すると、ユーザーが推測しやすい脆弱なパスワードの選択を防ぐのに役立つためです。 |
| login/min_password_digits | ユーザーのパスワードに必要な最小桁数を設定します。 | 高。パラメーターを使用すると、パスワードの複雑さが増し、推測や解読が困難になるためです。 |
| login/ticket_only_by_https | このパラメーターは、認証チケットを HTTPS 経由でのみ送信するか、HTTP 経由でも送信できるかを制御します。 | 高。チケット送信に HTTPS を使用すると転送中のデータが暗号化されて、安全性が高くなるためです。 |
| auth/rfc_authority_check | RFC に対して権限チェックを実行するかどうかを制御します。 | 高。このパラメーターを有効にすると、RFC 経由の機密データと関数への不正アクセスを防ぐのに役立つためです。 |
| gw/acl_mode | SAP ゲートウェイで使用されるアクセス制御リスト (ACL) ファイルのモードを設定します。 | 高。パラメーターがゲートウェイへのアクセスを制御し、SAP システムへの不正アクセスを防ぐのに役立つためです。 |
| gw/logging | SAP ゲートウェイのログ設定を制御します。 | 高。このパラメーターは、疑わしいアクティビティや潜在的なセキュリティ侵害の監視と検出に使用できるためです。 |
| login/fails_to_session_end | ユーザーのセッションが終了される前に許可される無効なログイン試行回数を設定します。 | 高。パラメーターは、ユーザー アカウントに対するブルート フォース攻撃を防ぐのに役立つためです。 |
| wdisp/ssl_encrypt | HTTP 要求の SSL 再暗号化のモードを設定します。 | 高。このパラメーターを使用すると、HTTP 経由で送信されるデータが暗号化されるようになり、盗聴やデータの改ざんを防ぐのに役立つためです。 |
| login/no_automatic_user_sapstar | SAP* ユーザーの自動ログインを制御します。 | 高。このパラメーターは、既定の SAP* アカウント経由の SAP システムへの不正アクセスを防ぐのに役立つためです。 |
| rsau/max_diskspace/local | 監査ログのローカル ストレージに使用できるディスク領域の最大量を定義します。 このセキュリティ パラメーターは、ディスク領域がいっぱいになるのを防ぐのに役立ち、監査ログを調査に使用できるようにします。 | このパラメーターに適切な値を設定すると、システム パフォーマンスの問題やサービス拒否攻撃ももたらす可能性がある、ローカル監査ログでのディスク領域の過剰消費を防ぐのに役立ちます。 一方、小さすぎる値を設定すると、コンプライアンスと監査に必要になることがある監査ログ データが失われる可能性があります。 |
| snc/extid_login_diag | セキュリティで保護されたネットワーク通信 (SNC) ログオン エラーの外部 ID のログ記録を有効または無効にします。 このセキュリティ パラメーターは、システムへの不正アクセスの試行を特定するのに役立ちます。 | このパラメーターを有効にすると、追加の診断情報が提供されるため、SNC 関連の問題のトラブルシューティングに役立ちます。 ただし、このパラメーターは、システムによって使用される外部セキュリティ製品に関する機密情報を公開する可能性もあります。これは、その情報が不正に入手された場合に潜在的なセキュリティ リスクになる可能性があります。 |
| login/password_change_waittime | ユーザーがパスワードを再度変更するまでに待機する必要がある日数を定義します。 このセキュリティ パラメーターは、パスワード ポリシーを適用し、ユーザーがパスワードを定期的に変更するのに役立ちます。 | このパラメーターに適切な値を設定すると、SAP システムのセキュリティを維持するのに十分な頻度でパスワードをユーザーに変更させるのに役立ちます。 同時に、短すぎる待機時間を設定すると、ユーザーがパスワードを再利用したり、覚えやすい脆弱なパスワードを選択したりする可能性が高くなるため、逆効果になる可能性があります。 |
| snc/accept_insecure_cpic | システムが CPIC プロトコルを使用する安全でない SNC 接続を受け入れるかどうかを決定します。 このセキュリティ パラメーターは、SNC 接続のセキュリティ レベルを制御します。 | このパラメーターを有効にすると、最小限のセキュリティ標準を満たさない SNC で保護された接続を受け入れるため、データのインターセプトや操作のリスクが高くなる可能性があります。 このため、このパラメーターの推奨されるセキュリティ値は、0 に設定することです。これは、最小セキュリティ要件を満たす SNC 接続のみが受け入れられることを意味します。 |
| snc/accept_insecure_r3int_rfc | システムが R/3 および RFC プロトコルを使用する安全でない SNC 接続を受け入れるかどうかを決定します。 このセキュリティ パラメーターは、SNC 接続のセキュリティ レベルを制御します。 | このパラメーターを有効にすると、最小限のセキュリティ標準を満たさない SNC で保護された接続を受け入れるため、データのインターセプトや操作のリスクが高くなる可能性があります。 このため、このパラメーターの推奨されるセキュリティ値は、0 に設定することです。これは、最小セキュリティ要件を満たす SNC 接続のみが受け入れられることを意味します。 |
| snc/accept_insecure_rfc | システムが RFC プロトコルを使用する安全でない SNC 接続を受け入れるかどうかを決定します。 このセキュリティ パラメーターは、SNC 接続のセキュリティ レベルを制御します。 | このパラメーターを有効にすると、最小限のセキュリティ標準を満たさない SNC で保護された接続を受け入れるため、データのインターセプトや操作のリスクが高くなる可能性があります。 このため、このパラメーターの推奨されるセキュリティ値は、0 に設定することです。これは、最小セキュリティ要件を満たす SNC 接続のみが受け入れられることを意味します。 |
| snc/data_protection/max | SNC 接続のデータ保護の最大レベルを定義します。 このセキュリティ パラメーターは、SNC 接続に使用される暗号化のレベルを制御します。 | このパラメーターに高い値を設定すると、データ保護のレベルが上がり、データのインターセプトや操作のリスクが削減されます。 このパラメーターに推奨されるセキュリティ値は、組織の固有のセキュリティ要件とリスク管理戦略によって異なります。 |
| rspo/auth/pagelimit | ユーザーが一度に表示または削除できるスプール要求の最大数を定義します。 このセキュリティ パラメーターは、スプール システムに対するサービス拒否攻撃を防ぐのに役立ちます。 | このパラメーターは、SAP システムのセキュリティに直接影響を与えるわけではありませんが、機密性の高い認証データへの不正アクセスを防ぐのに役立ちます。 ページごとに表示されるエントリの数を制限すると、未承認の個人が機密性の高い認証情報を表示するリスクを削減できます。 |
| snc/accept_insecure_gui | システムが GUI を使用する安全でない SNC 接続を受け入れるかどうかを決定します。 このセキュリティ パラメーターは、SNC 接続のセキュリティ レベルを制御します。 | SAP GUI 経由で確立された SNC 接続のセキュリティを確保し、機密データへの不正アクセスやインターセプトのリスクを削減するため、このパラメーターの値は 0 に設定することをお勧めします。 安全でない SNC 接続を許可すると、機密情報への不正アクセスやデータのインターセプトのリスクが高まる可能性があるため、特定のニーズがあり、リスクが適切に評価されている場合にのみ行う必要があります。 |
| login/accept_sso2_ticket | ログオンの SSO2 チケットの受け入れを有効または無効にします。 このセキュリティ パラメーターは、システムへのログオンのセキュリティ レベルを制御します。 | SSO2 を有効にすると、より効率的で便利なユーザー エクスペリエンスが提供されますが、セキュリティ リスクも追加されます。 攻撃者が有効な SSO2 チケットにアクセスすると、正当なユーザーになりすまし、機密データへの不正アクセスを取得したり、悪意のあるアクションを実行したりできる可能性があります。 |
| login/multi_login_users | 同じユーザーに対して複数のログオン セッションを許可するかどうかを定義します。 このセキュリティ パラメーターは、ユーザー セッションのセキュリティ レベルを制御し、不正アクセスを防ぐのに役立ちます。 | このパラメーターを有効にすると、1 人のユーザーの同時ログイン数を制限して、SAP システムへの不正アクセスを防ぐのに役立ちます。 このパラメーターを 0 に設定すると、ユーザーごとに 1 つのログイン セッションのみが許可され、追加のログイン試行は拒否されます。 これは、ユーザーのログイン資格情報が侵害されたり、他のユーザーと共有されたりした場合の SAP システムへの不正アクセスを防ぐのに役立ちます。 |
| login/password_expiration_time | パスワードが有効な最大時間間隔を日数で指定します。 この時間が経過すると、ユーザーはパスワードの変更を求められます。 | このパラメーターを小さい値に設定すると、パスワードが頻繁に変更されるようになるため、セキュリティが向上します。 |
| login/password_max_idle_initial | ユーザーがアクティビティを実行せずにログオンしたままにできる最大時間間隔を分単位で指定します。 この時間が経過すると、ユーザーは自動的にログオフされます。 | このパラメーターの値を小さく設定すると、アイドル状態のセッションが長期間開いたままにならないようになるため、セキュリティが向上する可能性があります。 |
| login/password_history_size | ユーザーが再利用できない以前のパスワードの数を指定します。 | このパラメーターは、ユーザーが同じパスワードを繰り返し使用するのを防ぐため、セキュリティが向上する可能性があります。 |
| snc/data_protection/use | SNC データ保護の使用を有効にします。 有効にすると、SNC は SAP システム間で送信されるすべてのデータを暗号化し、セキュリティで保護するようにします。 | |
| rsau/max_diskspace/per_day | 1 日に監査ログに使用できるディスク領域の最大量を MB 単位で指定します。 このパラメーターの値を小さく設定すると、監査ログがディスク領域を消費しすぎず、効果的に管理できるようになります。 | |
| snc/enable | SAP システム間の通信に対して SNC を有効にします。 | 有効にすると、SNC はシステム間で送信されるデータを暗号化して、追加のセキュリティ層を提供します。 |
| auth/no_check_in_some_cases | 特定のケースで認証チェックを無効にします。 | このパラメーターはパフォーマンスを向上させることがありますが、ユーザーがアクセス許可を持っていない可能性があるアクションを実行できるようにするため、セキュリティ上のリスクをもたらす可能性もあります。 |
| auth/object_disabling_active | 指定した期間非アクティブなユーザー アカウントに対して、特定の認可オブジェクトを無効にします。 | 不要なアクセス許可を持つ非アクティブなアカウントの数が削減されて、セキュリティの向上に役立ちます。 |
| login/disable_multi_gui_login | ユーザーが複数の GUI セッションに同時にログインするのを防止します。 | このパラメーターは、ユーザーが一度に 1 つのセッションにのみログインするようになるため、セキュリティの向上に役立ちます。 |
| login/min_password_lng | パスワードに使用できる最小長を指定します。 | このパラメーターの値を大きく設定すると、パスワードが簡単に推測されないようなるため、セキュリティが向上します。 |
| rfc/reject_expired_passwd | ユーザーのパスワードの有効期限が切れたときに、RFC の実行を防止します。 | パスワード ポリシーを適用し、SAP システムへの不正アクセスを防ぐときには、このパラメーターの有効化が役立ちます。 このパラメーターを 1 に設定すると、ユーザーのパスワードの有効期限が切れている場合に RFC 接続が拒否され、ユーザーが接続するために、パスワードの変更を求められます。 このため、有効なパスワードを持つ認可済みのユーザーのみがシステムにアクセスできるようになります。 |
| rsau/max_diskspace/per_file | SAP システム監査で作成できる監査ファイルの最大サイズを設定します。 値を小さく設定すると、監査ファイルが過剰に増加するのを防ぐのに役立つため、十分なディスク領域を確保するのに役立ちます。 | 適切な値を設定すると、監査ファイルのサイズを管理し、ストレージの問題を回避するのに役立ちます。 |
| login/min_password_letters | ユーザーのパスワードに含める必要がある最小文字数を指定します。 値を大きく設定すると、パスワードの強度とセキュリティの向上に役立ちます。 | 適切な値を設定すると、パスワード ポリシーを適用し、パスワード のセキュリティを向上させるのに役立ちます。 |
| rsau/selection_slots | 監査ファイルに使用できる選択スロットの数を設定します。 値を大きく設定すると、古い監査ファイルの上書きを回避するのに役立ちます。 | セキュリティ侵害の場合に役立つ可能性がある監査ファイルが長期間保持されるようにするのに役立ちます。 |
| gw/sim_mode | このパラメーターは、ゲートウェイのシミュレーション モードを設定します。 有効にすると、ゲートウェイはターゲット システムとの通信のみをシミュレートし、実際の通信は行われません。 | このパラメーターを有効にすると、テスト目的に役立つ場合があり、ターゲット システムに意図しない変更が加えられるのを防ぐのに役立ちます。 |
| login/fails_to_user_lock | この回数を超えるとユーザー アカウントがロックされる、失敗したログイン試行の回数を設定します。 値を小さくすると、ブルート フォース攻撃を防ぐのに役立ちます。 | システムへの不正アクセスを防ぎ、ユーザー アカウントが侵害されないように保護するのに役立ちます。 |
| login/password_compliance_to_current_policy | システムの現在のパスワード ポリシーを、新しいパスワードのコンプライアンスとして適用します。 この機能を有効にするには、その値を 1 に設定する必要があります。 |
高。 このパラメーターを有効にすると、パスワードを変更するときにユーザーが現在のパスワード ポリシーに準拠していることを確認するのに役立つため、SAP システムへの不正アクセスのリスクが削減されます。 このパラメーターを 1 に設定すると、ユーザーはパスワードを変更するときに、現在のパスワード ポリシーに準拠するように求められます。 |
| rfc/ext_debugging | 外部 RFC 呼び出しに対して RFC デバッグ モードを有効にします。 この機能を無効にするには、その値を 0 に設定する必要があります。 |
|
| gw/monitor | ゲートウェイ接続の監視を有効にします。 この機能を有効にするには、その値を 1 に設定する必要があります。 |
|
| login/create_sso2_ticket | ユーザーに対して SSO2 チケットの作成を有効にします。 この機能を有効にするには、その値を 1 に設定する必要があります。 |
|
| login/failed_user_auto_unlock | ログイン試行の失敗後の、ユーザー アカウントの自動ロック解除を有効にします。 この機能を有効にするには、その値を 1 に設定する必要があります。 |
|
| login/min_password_uppercase | 新しいパスワードに必要な大文字の最小数を設定します。 その値は正の整数に設定する必要があります。 | |
| login/min_password_specials | 新しいパスワードに必要な特殊文字の最小数を設定します。 その値は正の整数に設定する必要があります。 | |
| snc/extid_login_rfc | 外部 RFC 呼び出しに対する SNC の使用を有効にします。 この機能を有効にするには、その値を 1 に設定する必要があります。 |
|
| login/min_password_lowercase | 新しいパスワードに必要な小文字の最小数を設定します。 その値は正の整数に設定する必要があります。 | |
| login/password_downwards_compatibility | 古いシステムとの下位互換性のために、古いハッシュ アルゴリズムを使用してパスワードを設定できるようにします。 この機能を無効にするには、その値を 0 に設定する必要があります。 |
|
| snc/data_protection/min | SNC で保護された接続に使用する必要があるデータ保護の最小レベルを設定します。 その値は正の整数に設定する必要があります。 | このパラメーターに適切な値を設定すると、SNC で保護された接続が最小限のレベルのデータ保護を提供します。 この設定は、機密情報が攻撃者によってインターセプトまたは操作されるのを防ぐのに役立ちます。 このパラメーターの値は、SAP システムのセキュリティ要件と、SNC で保護された接続経由で送信されるデータの機密度に基づいて設定する必要があります。 |
次のステップ
詳細については、次を参照してください。
- SAP® アプリケーション用の Microsoft Sentinel ソリューションをデプロイする
- SAP ソリューションのセキュリティ コンテンツ
- SAP® アプリケーション用の Microsoft Sentinel ソリューションのログ リファレンス
- SAP システムの正常性を監視する
- SNC を使用して SAP® アプリケーション用の Microsoft Sentinel ソリューションのデータ コネクタをデプロイする
- 構成ファイル リファレンス
- SAP® アプリケーション用の Microsoft Sentinel ソリューションをデプロイするための前提条件
- SAP® アプリケーション用の Microsoft Sentinel ソリューションのデプロイに関するトラブルシューティング