この記事では、SAP システム全体のユーザー監査アクティビティを監視および追跡するために使用される SAP - セキュリティ監査ログと初期アクセス ブックについて説明します。 ブックを使用して、ユーザー監査アクティビティの鳥瞰図を取得し、SAP システムのセキュリティを強化し、疑わしいアクションをすばやく可視化します。 必要に応じて、疑わしいイベントにドリルダウンします。
ブックは、SAP システムの継続的な監視に使用するか、セキュリティ インシデントまたはその他の疑わしいアクティビティの後のシステムを確認するために使用します。
例:
この記事のコンテンツは、 セキュリティ チームを対象としています。
前提条件
SAP - セキュリティ監査ログと初期アクセス ブックの使用を開始する前に、次のものが必要です。
インストールされた SAP 用のMicrosoft Sentinel ソリューションと、データ コネクタが構成されています。 詳細については、「SAP アプリケーションのMicrosoft Sentinel ソリューションをデプロイする」を参照してください。
Microsoft Sentinelが有効になっている Log Analytics ワークスペースにインストールされている SAP - セキュリティ監査ログと初期アクセス ブック。 詳細については、「Microsoft Sentinelのブックを使用してデータを視覚化および監視する」を参照してください。
重要
SAP - セキュリティ監査ログと初期アクセス ブックは、SAP アプリケーションのMicrosoft Sentinel ソリューションがインストールされたワークスペースによってホストされます。 既定では、SAP データと SOC データの両方が、ブックをホストするワークスペース上にあると見なされます。
SOC データがブックをホストしているワークスペースとは異なるワークスペース上にある場合は、そのワークスペースのサブスクリプションを必ず含め、監査ワークスペースとアクティビティ ワークスペースから SOC ワークスペースAzure選択します。
Microsoft Sentinel ワークスペース内の少なくとも 1 つのインシデント。
SecurityIncidentテーブルに少なくとも 1 つのエントリを使用できます。 これは SAP インシデントである必要はありません。また、別の分析ルールがない場合は、基本的な分析ルールを使用してデモ インシデントを生成できます。Microsoft Entra データが別の Log Analytics ワークスペースにある場合は、ブックの上部にある関連するサブスクリプションとワークスペースを [Azure監査とアクティビティ] で選択してください。
特定のログだけでなく、監査ログ からのすべての メッセージに対して監査を構成することをお勧めします。 インジェストコストの違いは一般的に最小限であり、データはMicrosoft Sentinel検出や侵害後の調査やハンティングに役立ちます。 詳細については、「 SAP 監査の構成」を参照してください。
サポートされているフィルター
SAP - セキュリティ監査ログと初期アクセス ブックでは、必要なデータに焦点を当てるのに役立つ次のフィルターがサポートされています。
- 時間範囲。 4 時間から 90 日。
- システム ロール。 SAP システムロール (開発など)。
- システムの使用状況。 たとえば、SAP GTS です。
- SAP システム。 すべてのシステム、特定のシステム、または複数のシステムを選択できます。
SAP システムウォッチリストで構成されていないシステムを選択すると、ブックにエラーが表示され、問題のあるシステムが指定されます。 この場合は、これらのシステムを正しく含むように ウォッチリストを構成 します。
ログオン分析レポート データ
SAP - セキュリティ監査ログと初期アクセス ブックの [ログオン分析レポート] タブには、異常なデータ、Microsoft Entra データなど、サインインエラーに関するデータが表示されます。
データは、 SAP システム ウォッチリストに基づいています。
[ ログオン分析レポート ] タブには、次の領域があります。
ログオン分析
[ログオン分析] 領域には、ユーザー のサインインに関する情報が表示されます。例えば:
次の表では、 ログオン分析 領域の各メトリックについて説明します。
| 分野 | 説明 |
|---|---|
| システムごとの一意のユーザー ログオン | 各 SAP システムの一意のサインインの数と、各システムで選択した時間のサインイン傾向を示すグラフが表示されます。 たとえば、012 システムには過去 14 日間に 1.4 K の一意のログオン試行があり、この 14 日間では、比較的増加しているサインイン傾向がグラフに表示されます。 |
| ログオンの種類の傾向 | 種類に応じたサインインの数の傾向を示します (例: ダイアログによるログイン)。 グラフの上にマウス ポインターを合わせると、異なる日付のログオン数が表示されます。 |
| 一意のユーザーによるログオン エラーと成功 - 傾向 | 選択した期間内のサインインの成功と失敗の傾向を示します。 グラフの上にマウス ポインターを合わせると、さまざまな日付のサインインの成功と失敗の量が表示されます。 |
ログオンエラー - 異常検出
[ 異常検出 - ノイズの多い失敗したログイン試行を除外する ] の領域には、SAP システムとユーザーのログイン エラー データが表示されます。 フラグが設定されたデータのみを表示するには、右側の [失敗したログオン] の横にある [異常のみ] を選択します。
詳細については、「 SAP 監査ログの監視」を参照してください。
例:
![異常なデータでフィルター処理できる SAP 監査ブックの [ログオン エラー] 領域のセクションのスクリーンショット。](media/sap-audit-log-workbook/logon-failures.png#lightbox)
次の表では、[ 異常検出 ] 領域の各メトリックについて説明します。
| 分野 | 説明 |
|---|---|
| ログオンエラー率>ログオン エラーの異常>一意のユーザーが SAP システムごとにログオンに失敗しました | 各 SAP システムの一意の失敗したサインインの数を示します。 |
| SAP と Active Directory の組み合わせの方が優れています |
[異常なログイン エラー] テーブルには、Microsoft SentinelデータとMicrosoft Entra データの組み合わせが表示され、リスクに応じてユーザーが一覧表示され、最もリスクの高いユーザーが上位に表示されます。 各ユーザーについて、次の表が表示されます。 - サインイン試行の失敗のタイムライン - 異常な試行が発生した時点を示すタイムライン - 異常の種類 - ユーザーのメール アドレス - Microsoft Entra リスク インジケーター - Microsoft Sentinelのインシデントとアラートの数 ユーザーの行を選択して、関連するアラートとインシデントの一覧を表示します。 Microsoft Entra リスク イベントは、ユーザーの監査とサインインのリスクAzureの下に一覧表示されます。 |
| システムごとのログオン エラー率 | 選択した SAP システムを、選択した期間のエラー数と種類別にグループ化して表示します。 システムの色は、失敗した試行の数を示します。いくつかの疑わしいサインイン試行の場合は緑、それ以上は赤です。 システムを選択すると、失敗したサインインの一覧が表示され、エラーの詳細が表示されます。 |
次のスクリーンショットでは、[ 異常なログイン エラー ] テーブルで最初の行が選択されたときに表示されるデータをメモします。 特定のアラートとインシデント URL は、ユーザーテーブルの インシデント/アラートの概要に 表示されます。
![[異常なログイン エラー] テーブルで行が選択されている場合に表示されるデータのスクリーンショット。](media/sap-audit-log-workbook/anomalous-logon-failures-table.png#lightbox)
次のスクリーンショットでは、ユーザーの監査とサインインのリスクAzureテーブルに、このユーザーに関連するサインイン リスクのデータが表示されています。
![[異常なログイン エラー] テーブルで行が選択されている場合に表示される監査とサインイン のリスク データのスクリーンショット。](media/sap-audit-log-workbook/azure-audit-signin-risks.png#lightbox)
次のスクリーンショットでは、[テスト] グループの下の 84e システムが選択されているシステム領域ごとのログイン エラー率に注意してください。 右側の システム領域の [失敗したログオン ] には、このシステムのエラー イベントが表示されます。
ログオンエラー - 傾向
[ ログオンエラーの傾向 ] 領域には、失敗したサインインの傾向と数が、さまざまな種類のデータ別にグループ化されて表示されます。 例:
![SAP 監査ブックの [ログオン エラーの傾向] 領域のスクリーンショット。](media/sap-audit-log-workbook/logon-failure-trends.png#lightbox)
次の表では、[ ログオン エラーの傾向 ] 領域の各メトリックについて説明します。
| 分野 | 説明 |
|---|---|
| 原因によるログイン エラー | サインイン データが正しくないなど、失敗の原因に応じたサインイン エラーの数の傾向を示します。 |
| 種類別のログイン エラー | サインインがバックグラウンド ジョブをトリガーした場合や、サインインが HTTP 経由であった場合など、種類に応じたサインイン エラーの数の傾向を示します。 |
| メソッド別のログイン エラー | SNC やサインイン チケットなど、方法に従ってサインインエラーの数の傾向を示します。 |
[監査ログ アラート レポート] タブ
[監査ログ アラート] タブには、SAP アプリケーションのMicrosoft Sentinel ソリューションが監視する SAP 監査ログ イベントに関するデータが表示されます。 データは、 SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストに基づいています。
[ 監査ログ アラート ] タブには、各 SAP システムとユーザーの重大度と監査の傾向が表示されます。 このタブのすべての領域には、異常検出によってフラグが設定されたデータのみが表示されます。 すべてのイベントで、右側の [失敗したログオン] の横にある [すべて] を選択します。
詳細については、「 SAP 監査ログの監視」を参照してください。
例:
![SAP 監査ブックの [監査ログ アラート] 領域のスクリーンショット。](media/sap-audit-log-workbook/audit-log-alerts.png#lightbox)
次の表では、[ 監査ログ アラート ] タブの各メトリックについて説明します。
| 分野 | 説明 |
|---|---|
| システム ID ごとのアラート重大度の傾向 | システムの一覧を表示し、システムごとの 重大度が中 および 高 のイベントの傾向をグラフで示します。 たとえば、 012 システムでは、期間全体で 重大度が高い イベントが多く、 重大度が中程度 のイベントがいくつかあり、期間の途中でより多くの 中程度 の重大度イベントを示すスパイクが発生しました。 |
| ユーザーごとの監査傾向 | Microsoft SentinelデータとMicrosoft Entraデータの組み合わせを表示し、リスクに応じてユーザーを一覧表示し、最もリスクの高いユーザーを上位に表示します。 各ユーザーについて、ブックには次のデータが表示されます。 - 重大度が高および中のイベントのタイムライン - ユーザーのメール アドレス - Microsoft Entra リスク インジケーター - Microsoft Sentinelのインシデントとアラートの数 [ Incidents/alerts overview for user]\(インシデント/アラートの概要\) で、そのユーザーのアラートとインシデントの一覧を表示する行を選択します。 ユーザー Microsoft Entra監査とサインインのリスクAzure下のリスク イベントを表示します。 |
| システムごとのリスク スコア | セル図形内の各システムを視覚的に表し、各システムのリスク スコアとシステムの種類別のグループ化を示します。 システムの色は、システムのリスク スコアを示します。低リスク スコアの場合は緑、リスク スコアが高い場合は赤です。 システムを選択すると、システムごとの SAP イベントの一覧が表示されます。 |
| MITRE ATT によるイベント&CK 戦術 |
初期アクセスや防御回避など、MITRE ATT&CK 戦術によってグループ化された SAP イベントの一覧を表示します。 グラフの上にマウス ポインターを合わせると、さまざまな日付のサインイン数が表示されます。 |
| カテゴリ別のイベント |
RFC の開始やログオンなど、カテゴリ別にグループ化された SAP イベントの傾向の一覧を表示します。 グラフの上にマウス ポインターを合わせると、さまざまな日付のサインイン番号が表示されます。 |
| 承認グループ別のイベント |
USER や SUPER など、SAP 承認グループによってグループ化された SAP イベントの傾向の一覧を表示します。 グラフの上にマウス ポインターを合わせると、さまざまな日付のサインイン数が表示されます。 |
| ユーザーの種類別のイベント |
ダイアログやシステムなど、SAP ユーザーの種類別にグループ化された SAP イベントの傾向の一覧を表示します。 グラフの上にマウス ポインターを合わせると、さまざまな日付のサインイン数が表示されます。 |
次のスクリーンショットでは、[ ユーザーごとの傾向の監査] テーブルで最初の行が選択されたときに表示されるデータをメモします。 特定のアラートとインシデント URL は、ユーザーテーブルの インシデント/アラートの概要に 表示されます。
![[ユーザーごとの傾向の監査] テーブルで行が選択されている場合に表示されるデータのスクリーンショット。](media/sap-audit-log-workbook/audit-trend-per-user.png#lightbox)
次のスクリーンショットでは、UAT グループの下の cb7 システムが選択されているシステム領域ごとのリスク スコアに注意してください。 システム視覚化の下の システム領域の SAP イベント には、このシステムの SAP イベントが表示されます。
次のスクリーンショットでは、MITRE ATT&CK 戦術、SAP 承認グループ、ユーザーの種類など、さまざまな種類のデータによってグループ化されたイベントとイベントの傾向を含む領域をメモします。
関連コンテンツ
詳細については、「コンテンツ ハブから SAP アプリケーション用のMicrosoft Sentinel ソリューションをデプロイする」および「SAP アプリケーションのMicrosoft Sentinel ソリューション: セキュリティ コンテンツ リファレンス」を参照してください。