SAP インジェスト プロファイルを選択する
この記事では、SAP ソリューションのプロファイルを選択する方法について説明します。 予算要件を満たしながらセキュリティ カバレッジを最大化するインジェスト プロファイルを選択することをお勧めします。
SAP はビジネス アプリケーションであり、ビジネス プロセスは季節的な傾向があるため、時間の経過と共にログの全体的な量を予測することは困難な場合があります。 この問題に対処するため、すべてのログを 2 週間保持し、観察されたアクティビティから学習することをお勧めします。 この学習は、ビジネス アクティビティのピーク時、または大規模なランドスケープ変換中に後で変更できます。
この後のセクションでは、SAP ログ インジェストの一般的な顧客構成プロファイルを示します。
既定のプロファイル (推奨)
このプロファイルには、次の完全なカバレッジが含まれています。
- ビルトイン分析
- ユーザーと特権情報を含む SAP ユーザー認可マスター データ テーブル
- SAP ランドスケープの変更とアクティビティを追跡する機能。 このプロファイルでは、違反後の調査と拡張ハンティング機能を可能にするログ情報が提供されます。
systemconfig.ini file
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = True
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
検出に重点を置いたプロファイル
このプロファイルには、ほとんどの分析ルールの適切な実行のために必要な SAP ランドスケープのコア セキュリティ ログが含まれています。 侵害後の調査とハンティング機能は限定されています。
systemconfig.ini file
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
最小プロファイル
SAP セキュリティ監査ログは、SAP ランドスケープのアクティビティを分析するために SAP® アプリケーション用の Microsoft Sentinel ソリューションが使用する、データの最も重要なソースです。 このログを有効にすることは、セキュリティカバレッジを提供するための最小限の要件です。
systemconfig.ini file
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False
次のステップ
SAP® 向け Microsoft Sentinel ソリューション アプリケーションについて詳しくは、以下を参照してください。
- SAP® 向け Microsoft Sentinel ソリューション アプリケーションをデプロイする
- SAP® 向け Microsoft Sentinel ソリューション アプリケーションをデプロイするための前提条件
- SAP Change Request (CR) をデプロイして認可を構成する
- コンテンツ ハブからソリューション コンテンツをデプロイする
- SAP データ コネクタ エージェントをホストしてるコンテナーをデプロイして構成する
- SNC を使用して Microsoft Sentinel for SAP データ コネクタをデプロイする
- SAP 監査を有効にして構成する
- SAP システムの正常性を監視する
- SAP HANA の監査ログを収集する
トラブルシューティング:
参照ファイル:
- SAP® 向け Microsoft Sentinel ソリューション アプリケーションのデータ リファレンス
- SAP® アプリケーション用の Microsoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス
- 更新スクリプト リファレンス
- Systemconfig.ini ファイル リファレンス
詳細については、Microsoft Sentinel ソリューションに関する記事を参照してください。