SAP アプリケーションのMicrosoft Sentinel ソリューション: デプロイの概要

SAP 用のMicrosoft Sentinel エージェントレス データ コネクタでは、SAP Cloud Connector と SAP Integration Suite を使用して SAP システムに接続し、そこからログをプルします(次の図を参照)。

SAP Cloud Connector を使用すると、エージェントレス データ コネクタは、既存のセットアップと確立された統合プロセスから利益を得られます。 つまり、SAP Cloud Connector を実行しているユーザーは既にそのプロセスを経ているため、ネットワークの課題に再び取り組む必要はありません。

エージェントレス データ コネクタは、 SAP NetWeaver ベースのシステムと互換性があります。 その中でも SAP S/4HANA Cloud、Private Edition (RISE with SAP)、SAP S/4HANA オンプレミス、SAP ERP Central Component (ECC)、SAP Business Warehouse (BW)など、検出、ブック、プレイブックなど、既存のセキュリティ コンテンツの継続的な機能を確保します。

エージェントレス データ コネクタは、セキュリティ監査ログ、変更ドキュメント ログ、ユーザー ロールや承認などのユーザー マスター データなどの重要なセキュリティ ログを取り込みます。

たとえば、次の図は、SAP Business Technology Platform など、運用システムと非運用システムの間で分割されたマルチ SID SAP ランドスケープを示しています。 このイメージ内のすべてのシステムは、SAP ソリューションのMicrosoft Sentinelにオンボードされます。

エージェントは SAP システムに接続して、そこからログやその他のデータをプルし、それらのログを Microsoft Sentinel ワークスペースに送信します。 これを行うには、この目的のために特別に作成されたユーザーとロールを使用して、エージェントが SAP システムに対して認証を行う必要があります。

Microsoft Sentinelでは、SAP 認証シークレットの構成など、エージェント構成情報を格納するためのいくつかのオプションがサポートされています。 どのオプションが決定されるかは、VM をデプロイする場所と、使用する SAP 認証メカニズムによって異なります。 サポートされているオプションは次のとおりです。優先順に一覧表示されます。

• Azureシステム割り当てマネージド ID を介してアクセスされるAzure Key Vault
• Microsoft Entra ID登録済みアプリケーション サービス プリンシパルを介してアクセスされるAzure Key Vault
• プレーンテキスト 構成ファイル

また、SAP のセキュア ネットワーク通信 (SNC) 証明書と X.509 証明書を使用して認証することもできます。 SNC を使用すると、より高いレベルの認証セキュリティが提供されますが、すべてのシナリオでは実用的ではない可能性があります。

SAP アプリケーション用のMicrosoft Sentinel ソリューションをデプロイするには、いくつかの手順が必要であり、セキュリティチームと SAP BASIS チーム間でのコラボレーションが必要です。 次の図は、SAP アプリケーション用のMicrosoft Sentinel ソリューションをデプロイする手順を示しています。関連するチームが示されています。

デプロイを計画するときは、両方のチームを関与させ、作業が割り当てられ、デプロイがスムーズに移動できるようにすることをお勧めします。

デプロイ手順は次のとおりです。

1. SAP エージェントレス データ コネクタをデプロイするための前提条件を確認します。

2. コンテンツ ハブから SAP アプリケーション ソリューションをデプロイします。 この手順は、Azure portalのセキュリティ チームによって処理されます。

3. SAP 承認の構成、SAP 監査の構成など、Microsoft Sentinel ソリューション用に SAP システムを構成します。 これらの手順は SAP BASIS チームが行うことをお勧めします。このドキュメントには SAP ドキュメントへの参照が含まれています。 この手順の手順の一部は、ソリューションをインストールする前に SAP BASIS チームが行うことができます。

4. エージェントレス データ コネクタを使用して SAP システムを SAP Cloud Connector に接続します。 この手順は、SAP BASIS チームから提供された情報を使用して、Azure portalのセキュリティ チームによって処理されます。

5. SAP 検出と脅威保護を有効にします。 この手順は、Azure portalのセキュリティ チームによって処理されます。

SAP アプリケーション用のMicrosoft Sentinel ソリューションをデプロイするには、いくつかの手順が必要であり、セキュリティ、インフラストラクチャ、SAP BASIS チームなど、複数のチーム間でのコラボレーションが必要です。 次の図は、SAP アプリケーション用のMicrosoft Sentinel ソリューションをデプロイする手順を示しています。関連するチームが示されています。

デプロイを計画するときは、すべての関連チームを関与させ、作業が割り当てられ、デプロイがスムーズに移動できるようにすることをお勧めします。

デプロイ手順は次のとおりです。

1. SAP アプリケーション用のMicrosoft Sentinel ソリューションをデプロイするための前提条件を確認します。 一部の前提条件では、インフラストラクチャまたは SAP BASIS チームとの調整が必要です。

2. 次の手順は、別々のチームが関与し、相互に依存しないため、並列で実行できます。

   1. コンテンツ ハブから SAP アプリケーション用のMicrosoft Sentinel ソリューションをデプロイします。 お使いの環境に適したソリューションをインストールしてください。 この手順は、Azure portalのセキュリティ チームによって処理されます。

   2. SAP 承認の構成、SAP 監査の構成など、Microsoft Sentinel ソリューション用に SAP システムを構成します。 これらの手順は SAP BASIS チームが行うことをお勧めします。このドキュメントには SAP ドキュメントへの参照が含まれています。 一部の手順は、セキュリティ チームによっても実行されます。

3. コンテナー化されたデータ コネクタ エージェントをデプロイして、SAP システムを接続します。 この手順では、セキュリティ、インフラストラクチャ、SAP BASIS チーム間の調整が必要です。

4. SAP 検出と脅威保護を有効にします。 この手順は、Azure portalのセキュリティ チームによって処理されます。

その他のオプションは次のとおりです。

• SAP HANA 監査ログを収集する
• SAP データ コネクタ エージェントを手動でデプロイする

SAP データ収集を停止する

データ コネクタ エージェントを使用していて、sap データの収集からMicrosoft Sentinelを停止する必要がある場合は、ログ インジェストを停止し、コネクタを無効にします。 次に、追加のユーザー ロールと、SAP システムにインストールされているオプションの CLI を削除します。

詳細については、「 SAP データ収集の停止」を参照してください。