この記事では、Microsoft Sentinel ソリューション for SAP BTP で使用できるセキュリティ コンテンツについて詳しくは、こちらの記事をご覧ください。
現在、使用可能なセキュリティ コンテンツには、組み込みのブックと分析ルールが含まれています。 検索、検出ルール、脅威ハンティング、応答プレイブックで使用する SAP 関連 のウォッチリスト を追加することもできます。
SAP BTP ブック
BTP アクティビティ ブックには、BTP アクティビティのダッシュボードの概要が表示されます。
![SAP BTP ブックの [概要] タブのスクリーンショット。](media/sap-btp-security-content/sap-btp-workbook-btp-overview.png#lightbox)
[ 概要 ] タブには、次の情報が表示されます。
- BTP サブアカウントの概要。アナリストが最もアクティブなアカウントと取り込まれたデータの種類を特定するのに役立ちます。
- サブアカウント サインイン アクティビティにより、アナリストは SAP Business Application Studio (BAS) のサインイン エラーに関連する可能性のあるスパイクと傾向を特定できます。
- BTP アクティビティのタイムラインと BTP セキュリティ アラートの数。アナリストが 2 つの間の相関関係を検索するのに役立ちます。
[ ID 管理 ] タブには、ユーザーやセキュリティ ロールの変更などの ID 管理イベントのグリッドが、人間が判読できる形式で表示されます。 検索バーを使用すると、特定の変更をすばやく見つけることができます。
![SAP BTP ブックの [Identity Management] タブのスクリーンショット。](media/sap-btp-security-content/sap-btp-workbook-identity-management.png#lightbox)
詳細については、「チュートリアル: データを視覚化して監視する」および「SAP BTP 用Microsoft Sentinel ソリューションをデプロイする」を参照してください。
組み込みの分析ルール
これらの分析ルールは、SAP BTP 監査ログを使用して疑わしいアクティビティを検出します。 ルールは、SAP サービスまたは製品領域によって編成されます。 詳細については、SAP BTP 上の Cloud Foundry Services によってログに記録されるセキュリティ イベント に関する SAP の公式ドキュメントを参照してください。
データ ソース: SAPBTPAuditLog_CL
SAP Cloud Integration - Integration Suite
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| BTP - クラウド統合アクセス ポリシーの改ざん | 攻撃者が機密性の高い統合成果物にアクセスしたり、セキュリティ制御を回避したりできるアクセス ポリシーの未承認の変更を検出します。 | SAP Cloud Integration でアクセス ポリシーまたは成果物参照を作成、変更、または削除します。 | 防御回避、特権エスカレーション |
| BTP - クラウド統合成果物のデプロイ | データ流出、永続化、または統合環境での未承認のコードの実行に使用できる、悪意のある可能性のある統合フローのデプロイを検出します。 | SAP Cloud Integration で統合成果物をデプロイまたはデプロイ解除します。 | 実行、永続化 |
| BTP - クラウド統合 JDBC データ ソースの変更 | バックエンド システムへの不正アクセスや、格納されている接続文字列からの資格情報の盗難を可能にする可能性があるデータベース接続の操作を検出します。 | SAP Cloud Integration で JDBC データ ソースをデプロイまたはデプロイ解除します。 | 資格情報アクセス、横移動 |
| BTP - クラウド統合パッケージのインポートまたはトランスポート | バックドア、サプライ チェーンの侵害、または未承認のコードを統合環境に導入する可能性のある悪意のあるパッケージのインポートを検出します。 | SAP Cloud Integration で統合パッケージ/成果物をインポートまたは転送します。 | 初期アクセス、永続化 |
| BTP - クラウド統合によるセキュリティマテリアルの改ざん | 攻撃者が外部システムを侵害したり、暗号化された通信を傍受したりする可能性がある資格情報、証明書、暗号化キーへの未承認のアクセスを検出します。 | SAP Cloud Integration で資格情報、X.509 証明書、または PGP キーを作成、更新、または削除します。 | 資格情報アクセス、防御回避 |
SAP Cloud Identity Service - ID 認証
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| BTP - Cloud Identity Service アプリケーション構成モニター | 攻撃者が不正な SSO 構成を使用して永続的なバックドア アクセスを確立できる可能性があるフェデレーション アプリケーション (SAML/OIDC) の作成または変更を検出します。 | SAP Cloud Identity Service で SSO ドメイン/サービス プロバイダー構成を作成、更新、または削除します。 | 資格情報アクセス、特権エスカレーション |
| BTP - Cloud Identity Service での一括ユーザーの削除 | 破壊的な攻撃、未承認のアクティビティの隠密化、正当なユーザーに対するサービス拒否を示す可能性のある大規模なユーザー アカウントの削除を検出します。 既定のしきい値: 10 |
SAP Cloud Identity Service で定義されたしきい値を超えるユーザー アカウントの数を削除します。 | 影響 |
| BTP - 特権管理者リストに追加されたユーザー | 攻撃者がバックドア アカウントを作成したり、認証制御を変更したりできる強力な ID 管理アクセス許可を割り当て、特権エスカレーションを検出します。 | SAP Cloud Identity Service のユーザーに特権管理者のアクセス許可を付与します。 | 横移動、特権エスカレーション |
SAP Business Application Studio (BAS)
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| BTP - 複数の BAS サブアカウント間でのアクセス試行に失敗しました | 複数のサブアカウントにまたがる開発環境を対象とする偵察アクティビティまたは資格情報スプレー攻撃を検出し、広範な侵害に備える可能性を示します。 既定のしきい値: 3 |
サブアカウントの定義済みのしきい値数を超えて、サインイン試行が失敗して BAS を実行します。 | 検出、偵察 |
| BTP - BAS 開発空間で検出されたマルウェア | ソフトウェアサプライ チェーンの侵害、アプリケーションへのバックドアの挿入、開発環境での永続化の確立に使用できる、開発ワークスペース内の悪意のあるコードを検出します。 | BAS 開発者スペースにマルウェア ファイルをコピーまたは作成します。 | 実行、永続化、リソース開発 |
SAP Build Work Zone
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| BTP - ワーク ゾーンの未承認のアクセスとロールの改ざんを構築する | 制限付きポータル リソースへのアクセス試行またはアクセス制御の一括削除を検出します。これは、攻撃者が未承認のアクティビティの後にセキュリティ境界を削除したり、追跡をカバーしたりする可能性があることを示します。 | SAP Build Work Zone で未承認の OData サービス アクセスまたはロール/ユーザーの一括削除を検出します。 | 初期アクセス、永続化、防御回避 |
SAP BTP プラットフォームとサブアカウント
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| BTP - 監査ログ サービスが使用できない | セキュリティ監視を無効にするか、悪意のあるアクティビティを非表示にすることで、攻撃者が検出せずに操作しようとしていることを示す可能性のある監査ログの改ざんの可能性を検出します。 | サブアカウントは、構成されたしきい値 (既定値: 60 分) を超える監査ログを報告できません。 | 防御回避 |
| BTP - サブアカウントでの一括ユーザーの削除 | 破壊的な攻撃、妨害の試み、またはユーザー アクセスを削除してビジネス操作を中断する作業を示す可能性がある大規模なユーザー削除を検出します。 既定のしきい値: 10 |
定義されたしきい値を超えるユーザー アカウントの数を削除します。 | 影響 |
| BTP - 信頼と承認の ID プロバイダー モニター | 攻撃者が代替認証パスを確立したり、セキュリティ制御をバイパスしたり、ID プロバイダーの操作を通じて未承認のアクセスを取得したりできるフェデレーションと認証の設定の変更を検出します。 | サブアカウント内の ID プロバイダー設定を変更、読み取り、更新、または削除します。 | 資格情報アクセス、特権エスカレーション |
| BTP - 機密性の高い特権ロール コレクションに追加されたユーザー | サブアカウント、接続、およびセキュリティ構成を完全に制御できる強力な管理ロールを割り当て、特権エスカレーションの試行を検出します。 | 次のいずれかのロール コレクションをユーザーに割り当てます。 - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator |
横移動、特権エスカレーション |
次の手順
この記事では、Microsoft Sentinel ソリューション for SAP BTP で提供されるセキュリティ コンテンツについて説明しました。