この記事では、SAP のMicrosoft Sentinel ソリューションで使用できるセキュリティ コンテンツについて詳しくは、こちらの記事をご覧ください。
重要
この記事で説明する特記された要素はプレビュー段階です。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件が含まれています。
使用可能なセキュリティ コンテンツには、組み込みのブックと分析ルールが含まれます。 検索、検出ルール、脅威ハンティング、応答プレイブックで使用する SAP 関連 のウォッチリスト を追加することもできます。
この記事のコンテンツは、 セキュリティ チームを対象としています。
組み込みのブック
次の組み込みブックを使用して、SAP データ コネクタを介して取り込まれたデータを視覚化および監視します。 SAP ソリューションをデプロイすると、[テンプレート] タブに SAP ブック が 表示されます。
| ブック名 | 説明 | ログ |
|---|---|---|
| SAP - 監査ログ ブラウザー | 次のようなデータを表示します。 - 時間の経過に伴うユーザー サインイン、システムによって取り込まれたイベント、メッセージ クラスと ID、ABAP プログラムの実行など、一般的なシステム正常性 -システムで発生するイベントの重大度 - システムで発生する認証イベントと承認イベント |
次のログのデータを使用します。 ABAPAuditLog |
| SAP 監査コントロール | 選択したコントロール フレームワークに準拠するために SAP 環境のセキュリティ制御をチェックするのに役立ちます。ツールを使用して、次の操作を行うことができます。 - 環境内の分析ルールを特定のセキュリティ コントロールとコントロール ファミリに割り当てる - SAP ソリューションベースの分析ルールによって生成されたインシデントを監視して分類する - コンプライアンスに関するレポート |
次の表のデータを使用します。 - SecurityAlert- SecurityIncident |
詳細については、「チュートリアル: データを視覚化して監視する」および「SAP アプリケーション用Microsoft Sentinel ソリューションをデプロイする」を参照してください。
組み込みの分析ルール
このセクションでは、SAP アプリケーションのMicrosoft Sentinel ソリューションと共に提供される組み込みの分析規則の選択について説明します。 エージェントレス データ コネクタは、統合された一連のソースと連携します。 最新の更新プログラムについては、新しいルールと更新されたルールのMicrosoft Sentinel コンテンツ ハブをチェックします。
静的 SAP セキュリティ パラメーターの構成を監視する (プレビュー)
SAP システムをセキュリティで保護するために、SAP は、変更を監視する必要があるセキュリティ関連のパラメーターを特定しました。 "SAP - (プレビュー) 機密静的パラメーターが変更されました" ルールを使用すると、SAP アプリケーションのMicrosoft Sentinel ソリューションは、Microsoft Sentinelに組み込まれている SAP システム内の 52 を超える静的セキュリティ関連パラメーターを追跡します。
注:
SAP アプリケーションのMicrosoft Sentinel ソリューションが SAP セキュリティ パラメーターを正常に監視するには、ソリューションで SAP PAHI テーブルを定期的に正常に監視する必要があります。 詳細については、「 PAHI テーブルが定期的に更新されることを確認する」を参照してください。
システムのパラメーターの変更を理解するために、SAP アプリケーションのMicrosoft Sentinel ソリューションでは、1 時間ごとにシステム パラメーターに加えられた変更を記録するパラメーター履歴テーブルが使用されます。
パラメーターは SAPSystemParameters ウォッチリストにも反映されます。 このウォッチリストを使用すると、ユーザーは新しいパラメーターを追加したり、既存のパラメーターを無効にしたり、運用環境または非運用環境でのパラメーターとシステム ロールごとの値と重大度を変更したりできます。
これらのパラメーターのいずれかに変更が加えられた場合、Microsoft Sentinelは、変更がセキュリティに関連しているかどうかを確認し、値が推奨値に従って設定されているかどうかを確認します。 変更がセーフ ゾーンの外にあると疑われる場合は、Microsoft Sentinel変更の詳細を示すインシデントを作成し、変更を行ったユーザーを識別します。
このルールが監視する パラメーターの一覧 を確認します。
SAP 監査ログを監視する
SAP アプリケーションのMicrosoft Sentinel ソリューションの分析規則の多くは、SAP 監査ログ データを使用します。 分析ルールの中には、ログ内の特定のイベントを検索するものもあれば、複数のログからの兆候を関連付けて忠実度の高いアラートとインシデントを作成するものがあります。
次の分析規則を使用して、SAP システム上のすべての監査ログ イベントを監視するか、異常が検出されたときにのみアラートをトリガーします。
| ルール名 | 説明 |
|---|---|
| SAP - 動的セキュリティ監査ログ モニターの構成がありません | 既定では、SAP 監査ログ モジュールの構成に関する推奨事項を提供するために、毎日実行されます。 ルール テンプレートを使用して、ワークスペースのルールを作成およびカスタマイズします。 |
| SAP - 動的決定論的監査ログ モニター (プレビュー) | 既定では、10 分ごとに実行され、 決定論的としてマークされた SAP 監査ログ イベントに焦点を当てます。 ルール テンプレートを使用して、低い誤検知率など、ワークスペースのルールを作成およびカスタマイズします。 このルールには、決定的なアラートしきい値とユーザー除外ルールが必要です。 |
| SAP - 動的異常ベースの監査ログ モニター アラート (プレビュー) | 既定では、1 時間ごとに実行され、 AnomaliesOnly としてマークされた SAP イベントに焦点を当て、異常が検出されたときに SAP 監査ログ イベントにアラートが表示されます。 このルールは、教師なしの方法でバックグラウンド ノイズを除外するために、追加の機械学習アルゴリズムを適用します。 |
既定では、SAP 監査ログ内のほとんどのイベントの種類または SAP メッセージ ID は、異常ベースの 動的異常ベースの監査ログ モニター アラート (PREVIEW) 分析ルールに送信されますが、定義が容易なイベントの種類は、決定論的 動的決定論的監査ログ モニター (PREVIEW) 分析ルールに送信されます。 この設定は、他の関連設定と共に、任意のシステム条件に合わせてさらに構成できます。
SAP 監査ログ監視ルールは、SAP ソリューションセキュリティコンテンツのMicrosoft Sentinelの一部として提供され、SAP_Dynamic_Audit_Log_Monitor_ConfigurationとSAP_User_Configウォッチリストを使用してさらに微調整できます。
たとえば、次の表に、 SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストを使用してインシデントを生成するイベントの種類を構成し、生成されるインシデントの数を減らす方法の例をいくつか示します。
| オプション | 説明 |
|---|---|
| 重大度を設定し、不要なイベントを無効にする | 既定では、決定論的ルールと異常に基づくルールの両方で、重大度が中程度と高のイベントに対するアラートが作成されます。 重大度は、運用環境と非運用環境を個別に構成する必要があります。 たとえば、デバッグ アクティビティ イベントを実稼働システムで重大度が 高く 設定し、非運用環境システムで同じイベントを完全にオフにすることができます。 |
| SAP ロールまたは SAP プロファイルでユーザーを除外する | SAP のMicrosoft Sentinelは、直接ロールと間接ロールの割り当て、グループ、プロファイルなど、SAP ユーザーの承認プロファイルを取り込み、SIEM で SAP 言語を読み上げることができるようにします。 SAP イベントを構成して、SAP ロールとプロファイルに基づいてユーザーを除外することもできます。 ウォッチリストで、RFC イベントによる汎用テーブル アクセスの横にある [RolesTagsToExclude] 列に、RFC インターフェイス ユーザーをグループ化するロールまたはプロファイルを追加します。 この構成では、これらのロールがないユーザーに対してのみアラートがトリガーされます。 |
| SOC タグでユーザーを除外する | タグを使用して、複雑な SAP 定義に依存せずに、または SAP 承認なしでも、独自のグループ化を作成します。 この方法は、SAP ユーザー向けに独自のグループ化を作成する SOC チームに役立ちます。 たとえば、 RFC イベントによる汎用テーブル アクセス について特定のサービス アカウントにアラートを送信したくないが、これらのユーザーをグループ化する SAP ロールまたは SAP プロファイルが見つからない場合は、次のようにタグを使用します。 1. ウォッチリストの関連イベントの横に GenTableRFCReadOK タグを追加します。 2. SAP_User_Config ウォッチリストに移動し、インターフェイスユーザーに同じタグを割り当てます。 |
| イベントの種類とシステム ロールごとに頻度のしきい値を指定する | 速度制限のように動作します。 たとえば、1 時間に 12 を超えるアクティビティが実稼働システム内の同じユーザーによって観察された場合にのみアラートをトリガーするように、ユーザー マスター レコード変更 イベントを構成できます。 ユーザーが 1 時間あたり 12 個の制限 (たとえば、10 分のウィンドウで 2 つのイベント) を超えると、インシデントがトリガーされます。 |
| 決定主義または異常 | イベントの特性がわかっている場合は、決定論的な機能を使用します。 イベントを正しく構成する方法がわからない場合は、機械学習機能が開始することを決定し、必要に応じて以降の更新を行うことを許可します。 |
| SOAR 機能 | Microsoft Sentinelを使用して、SAP 監査ログ動的アラートによって作成されたインシデントをさらに調整、自動化、対応します。 詳細については、「Microsoft Sentinelの自動化: セキュリティ オーケストレーション、自動化、応答 (SOAR)」を参照してください。 |
詳細については、「SAP News の使用可能なウォッチリストとMicrosoft Sentinel - 動的 SAP セキュリティ監査ログ モニター機能を今すぐ利用できる」を参照してください。(ブログ)。
初期アクセス
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| SAP - 予期しないネットワークからのログイン | 予期しないネットワークからのサインインを識別します。 SAP - ネットワークウォッチリストでネットワークを管理します。 |
いずれかのネットワークに割り当てられない IP アドレスからバックエンド システムにサインインします。 データ ソース: SAPcon - 監査ログ |
初期アクセス |
| SAP - SPNego 攻撃 | SPNego 再生攻撃を識別します。 | データ ソース: SAPcon - 監査ログ | 影響、横移動 |
| SAP - 特権ユーザーからのダイアログ ログオン試行 | SAP システムの特権ユーザーによって、 AUM 型のダイアログ サインイン試行を識別します。 詳細については、「 SAPUsersGetPrivileged」を参照してください。 | スケジュールされた時間間隔内で同じ IP から複数のシステムまたはクライアントにサインインを試みる データ ソース: SAPcon - 監査ログ |
影響、横移動 |
| SAP - ブルート フォース攻撃 | RFC ログオンを使用して SAP システムに対するブルート フォース攻撃を識別します | RFC を使用して、スケジュールされた時間間隔内で同じ IP から複数のシステム/クライアントにサインインしようとします データ ソース: SAPcon - 監査ログ |
資格情報へのアクセス |
| SAP - IP による複数ログオン | スケジュールされた時間間隔内の同じ IP アドレスから複数のユーザーのサインインを識別します。 サブユース ケース: 永続化 |
同じ IP アドレスを使用して複数のユーザーを使用してサインインします。 データ ソース: SAPcon - 監査ログ |
初期アクセス |
| SAP - ユーザー別の複数ログオン | スケジュールされた時間間隔内の複数のターミナルから同じユーザーのサインインを識別します。 SAP バージョン 7.5 以降では、Audit SAL メソッドでのみ使用できます。 |
異なる IP アドレスを使用して、同じユーザーを使用してサインインします。 データ ソース: SAPcon - 監査ログ |
攻撃前、資格情報アクセス、初期アクセス、コレクション サブユース ケース: 永続化 |
| SAP - 情報 - ライフサイクル - SAP Notes がシステムに実装されました | システム内の SAP Note 実装を識別します。 | SNOTE/TCI を使用して SAP Note を実装します。 データ ソース: SAPcon - 変更要求 |
- |
| SAP - (プレビュー) AS JAVA - 機密性の高い特権ユーザーサインイン | 予期しないネットワークからのサインインを識別します。 SAP - Privileged Users ウォッチリストで特権ユーザーを管理します。 |
特権ユーザーを使用してバックエンド システムにサインインします。 データ ソース: SAPJAVAFilesLog |
初期アクセス |
| SAP - (プレビュー) AS JAVA - 予期しないネットワークからの Sign-In | 予期しないネットワークからのサインインを識別します。 SAP - Networks ウォッチリストで特権ユーザーを管理します。 |
SAP - ネットワーク ウォッチリストのいずれかのネットワークに割り当てられない IP アドレスからバックエンド システムにサインインする データ ソース: SAPJAVAFilesLog |
初期アクセス、防御回避 |
データ流出
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| SAP - 承認されていないサーバーの FTP | 認証されていないサーバーの FTP 接続を識別します。 | FTP_CONNECT関数モジュールを使用するなどして、新しい FTP 接続を作成します。 データ ソース: SAPcon - 監査ログ |
検出、初期アクセス、コマンドと制御 |
| SAP - 安全でない FTP サーバーの構成 | FTP 許可リストが空の場合やプレースホルダーが含まれている場合など、安全でない FTP サーバー構成を識別します。 |
SAPFTP_SERVERS_V メンテナンス ビューを使用して、SAPFTP_SERVERS テーブルにプレースホルダーを含む値を保持しないでください。 (SM30) データ ソース: SAPcon - 監査ログ |
初期アクセス、コマンド、制御 |
| SAP - 複数のFilesダウンロード | 特定の時間範囲内のユーザーの複数のファイルダウンロードを識別します。 | Excel、リストなどの SAPGui を使用して、複数のファイルをダウンロードします。 データ ソース: SAPcon - 監査ログ |
コレクション、流出、資格情報アクセス |
| SAP - 複数のスプール実行 | 特定の時間範囲内のユーザーの複数のスプールを識別します。 | ユーザーが任意の種類の複数のスプール ジョブを作成して実行します。 (SP01) データ ソース: SAPcon - スプール ログ、SAPcon - 監査ログ |
コレクション、流出、資格情報アクセス |
| SAP - 複数のスプール出力実行 | 特定の時間範囲内のユーザーの複数のスプールを識別します。 | ユーザーが任意の種類の複数のスプール ジョブを作成して実行します。 (SP01) データ ソース: SAPcon - スプール出力ログ、SAPcon - 監査ログ |
コレクション、流出、資格情報アクセス |
| SAP - RFC ログオンによる機密テーブル直接アクセス | RFC サインインによる汎用テーブル アクセスを識別します。 SAP - 機密テーブルウォッチリストでテーブルを管理します。 運用システムにのみ関連します。 |
SE11/SE16/SE16N を使用してテーブルの内容を開きます。 データ ソース: SAPcon - 監査ログ |
コレクション、流出、資格情報アクセス |
| SAP - スプール引き継ぎ | 他のユーザーによって作成されたスプール要求を印刷するユーザーを識別します。 | 1 人のユーザーを使用してスプール要求を作成し、別のユーザーを使用して出力します。 データ ソース: SAPcon - スプール ログ、SAPcon - スプール出力ログ、SAPcon - 監査ログ |
コレクション、流出、コマンド、制御 |
| SAP - 動的 RFC 宛先 | 動的宛先を使用して RFC の実行を識別します。 サブユース ケース: SAP セキュリティ メカニズムをバイパスする試行 |
動的宛先 (cl_dynamic_destination) を使用する ABAP レポートを実行します。 たとえば、DEMO_RFC_DYNAMIC_DEST。 データ ソース: SAPcon - 監査ログ |
コレクション、流出 |
| SAP - 機密性の高いテーブルのダイアログ ログオンによる直接アクセス | ダイアログ サインインを使用して汎用テーブル アクセスを識別します。 |
SE11
/
SE16
/
SE16Nを使用してテーブルの内容を開きます。 データ ソース: SAPcon - 監査ログ |
検出 |
| SAP - 悪意のある IP アドレスからダウンロードされた (プレビュー) ファイル | 悪意があると知られる IP アドレスを使用して、SAP システムからのファイルのダウンロードを識別します。 悪意のある IP アドレスは、 脅威インテリジェンス サービスから取得されます。 | 悪意のある IP からファイルをダウンロードします。 データ ソース: SAP セキュリティ監査ログ、脅威インテリジェンス |
流出 |
| SAP - トランスポートを使用して運用システムからエクスポートされた (プレビュー) データ | トランスポートを使用して運用システムからのデータ エクスポートを識別します。 トランスポートは開発システムで使用され、プル要求に似ています。 このアラート ルールは、任意のテーブルからのデータを含むトランスポートが運用システムから解放されると、重大度が中程度のインシデントをトリガーします。 このルールは、エクスポートに機密テーブルからのデータが含まれる場合に、重大度の高いインシデントを作成します。 | 運用システムからトランスポートを解放します。 データ ソース: SAP CR ログ、 SAP - 機密テーブル |
流出 |
| SAP - (プレビュー) USB ドライブに保存された機密データ | ファイルを使用した SAP データのエクスポートを識別します。 この規則では、機密性の高いトランザクションの実行、機密性の高いプログラム、または機密テーブルへの直接アクセスに近接して、最近マウントされた USB ドライブに保存されたデータがチェックされます。 | ファイルを介して SAP データをエクスポートし、USB ドライブに保存します。 データ ソース: SAP セキュリティ監査ログ、DeviceFileEvents (Microsoft Defender for Endpoint)、SAP - 機密テーブル、SAP - 機密トランザクション、SAP - 機密プログラム |
流出 |
| SAP - (プレビュー) 潜在的に機密性の高いデータの印刷 | 機密性の高い可能性があるデータの要求または実際の印刷を識別します。 ユーザーが機密トランザクション、機密プログラムの実行、または機密テーブルへの直接アクセスの一部としてデータを取得した場合、データは機密と見なされます。 | 機密データの印刷または印刷要求。 データ ソース: SAP セキュリティ監査ログ、SAP スプール ログ、 SAP - 機密テーブル、 SAP - 機密プログラム |
流出 |
| SAP - (プレビュー) エクスポートされる可能性のある機密性の高い大量のデータ | 機密性の高いトランザクションの実行、機密性の高いプログラム、または機密テーブルへの直接アクセスに近接したファイルを介して、大量のデータのエクスポートを識別します。 | ファイルを介して大量のデータをエクスポートします。 データ ソース: SAP セキュリティ監査ログ、 SAP - 機密テーブル、 SAP - 機密トランザクション、 SAP - 機密プログラム |
流出 |
永続 性
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| SAP - ICF サービスのアクティブ化または非アクティブ化 | ICF サービスのアクティブ化または非アクティブ化を識別します。 | SICF を使用してサービスをアクティブ化します。 データ ソース: SAPcon - テーブル データ ログ |
コマンドと制御、横移動、永続化 |
| SAP - 関数モジュールのテスト | 汎用モジュールのテストを識別します。 |
SE37
/
SE80を使用して汎用モジュールをテストします。 データ ソース: SAPcon - 監査ログ |
コレクション、防御回避、横移動 |
| SAP - (プレビュー) HANA DB - ユーザー 管理 アクション | ユーザー管理アクションを識別します。 | データベース ユーザーを作成、更新、または削除します。 データ ソース: Linux エージェント - Syslog* |
特権エスカレーション |
| SAP - 新しい ICF サービス ハンドラー | ICF ハンドラーの作成を識別します。 | SICF を使用して新しいハンドラーをサービスに割り当てます。 データ ソース: SAPcon - 監査ログ |
コマンドと制御、横移動、永続化 |
| SAP - 新しい ICF サービス | ICF サービスの作成を識別します。 | SICF を使用してサービスを作成します。 データ ソース: SAPcon - テーブル データ ログ |
コマンドと制御、横移動、永続化 |
| SAP - 旧式または安全でない汎用モジュールの実行 | 古いまたは安全でない ABAP 汎用モジュールの実行を識別します。 SAP - 古い汎用モジュールウォッチリストで古い関数を更新します。 バックエンドの EUFUNC テーブルのテーブル ログの変更をアクティブ化してください。 (SE13)運用システムにのみ関連します。 |
SE37 を使用して、古いまたは安全でない関数モジュールを直接実行します。 データ ソース: SAPcon - テーブル データ ログ |
検出、コマンド、制御 |
| SAP - 古いプログラムまたは安全でないプログラムの実行 | 古い ABAP プログラムまたは安全でない ABAP プログラムの実行を識別します。 SAP - 古いプログラムウォッチリストで 古いプログラムを 更新します。 運用システムにのみ関連します。 |
SE38/SA38/SE80 を使用するか、バックグラウンド ジョブを使用してプログラムを直接実行します。 データ ソース: SAPcon - 監査ログ |
検出、コマンド、制御 |
| SAP - 複数のパスワード変更 | ユーザー別に複数のパスワード変更を識別します。 | Change user password データ ソース: SAPcon - 監査ログ |
資格情報へのアクセス |
| SAP - (プレビュー) AS JAVA - ユーザーが新しいユーザーを作成して使用する | SAP AS Java 環境内の管理者によるユーザーの作成または操作を識別します。 | 作成または操作したユーザーを使用してバックエンド システムにサインインします。 データ ソース: SAPJAVAFilesLog |
永続性 |
SAP セキュリティ メカニズムをバイパスしようとする
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| SAP - クライアント構成の変更 | クライアント ロールや変更記録モードなどのクライアント構成の変更を識別します。 |
SCC4 トランザクション コードを使用して、クライアント構成の変更を実行します。 データ ソース: SAPcon - 監査ログ |
防御回避、流出、永続化 |
| SAP - デバッグ アクティビティ中にデータが変更されました | デバッグ アクティビティ中のランタイム データの変更を識別します。 サブユース ケース: 永続化 |
1. デバッグのアクティブ化 ("/h")。 2. 変更するフィールドを選択し、その値を更新します。 データ ソース: SAPcon - 監査ログ |
実行、横移動 |
| SAP - セキュリティ監査ログの非アクティブ化 | セキュリティ監査ログの非アクティブ化を識別します。 |
SM19/RSAU_CONFIGを使用してセキュリティ監査ログを無効にします。 データ ソース: SAPcon - 監査ログ |
流出、防御回避、永続化 |
| SAP - 機密 ABAP プログラムの実行 | 機密性の高い ABAP プログラムの直接実行を識別します。 SAP - 機密 ABAP プログラムウォッチリストで ABAP プログラムを更新します。 |
SE38
/
SA38
/
SE80を使用してプログラムを直接実行します。 データ ソース: SAPcon - 監査ログ |
流出、横移動、実行 |
| SAP - 機密トランザクション コードの実行 | 機密性の高いトランザクション コードの実行を識別します。 SAP - 機密トランザクション コードウォッチリストでトランザクション コードを管理します。 |
機密性の高いトランザクション コードを実行します。 データ ソース: SAPcon - 監査ログ |
検出、実行 |
| SAP - 機密性の高い汎用モジュールの実行 | 機密 ABAP 汎用モジュールの実行を識別します。 サブユース ケース: 永続化 運用システムにのみ関連します。 SAP - 機密関数モジュールウォッチリストで機密性の高い関数を維持し、EUFUNC テーブルのバックエンドでテーブル ログの変更をアクティブにしてください。 (SE13) |
SE37 を使用して機密性の高い関数モジュールを直接実行します。 データ ソース: SAPcon - テーブル データ ログ |
検出、コマンド、制御 |
| SAP - (プレビュー) HANA DB - 監査証跡ポリシーの変更 | HANA DB 監査証跡ポリシーの変更を識別します。 | セキュリティ定義で既存の監査ポリシーを作成または更新します。 データ ソース: Linux エージェント - Syslog |
横移動、防御回避、永続化 |
| SAP - (プレビュー) HANA DB - 監査証跡の非アクティブ化 | HANA DB 監査ログの非アクティブ化を識別します。 | HANA DB セキュリティ定義で監査ログを非アクティブ化します。 データ ソース: Linux エージェント - Syslog |
永続化、横移動、防御回避 |
| SAP - 機密性の高い汎用モジュールの未承認のリモート実行 | 最近変更された承認を無視しながら、アクティビティをユーザーの承認プロファイルと比較することで、機密性の高い VM の未承認の実行を検出します。 SAP - 機密機能モジュールウォッチリストで汎用モジュールを更新します。 |
RFC を使用して汎用モジュールを実行します。 データ ソース: SAPcon - 監査ログ |
実行、横移動、検出 |
| SAP - システム構成の変更 | システム構成の変更を識別します。 |
SE06 トランザクション コードを使用して、システム変更オプションまたはソフトウェア コンポーネントの変更を調整します。データ ソース: SAPcon - 監査ログ |
流出、防御回避、永続化 |
| SAP - デバッグ アクティビティ | デバッグ関連のすべてのアクティビティを識別します。 サブユース ケース: 永続化 |
システムでデバッグ ("/h") をアクティブ化し、アクティブなプロセスをデバッグし、ソース コードにブレークポイントを追加します。 データ ソース: SAPcon - 監査ログ |
検出 |
| SAP - セキュリティ監査ログ構成の変更 | セキュリティ監査ログの構成の変更を識別します | フィルター、状態、記録モードなど、 SM19/RSAU_CONFIGを使用してセキュリティ監査ログの構成を変更します。 データ ソース: SAPcon - 監査ログ |
永続化、流出、防御回避 |
| SAP - トランザクションのロック解除 | トランザクションのロック解除を識別します。 |
SM01
/
SM01_DEV
/
SM01_CUSを使用してトランザクション コードのロックを解除します。 データ ソース: SAPcon - 監査ログ |
永続化、実行 |
| SAP - 動的 ABAP プログラム | 動的 ABAP プログラミングの実行を識別します。 たとえば、ABAP コードが動的に作成、変更、または削除された場合などです。 SAP - ABAP 生成のトランザクション ウォッチリストで、除外されたトランザクションコードを更新します。 |
INSERT REPORT などの ABAP プログラム生成コマンドを使用する ABAP レポートを作成し、レポートを実行します。 データ ソース: SAPcon - 監査ログ |
検出、コマンドと制御、影響 |
疑わしい特権操作
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| SAP - 機密性の高い特権ユーザーの変更 | 機密性の高い特権ユーザーの変更を識別します。 SAP - Privileged Users ウォッチリストで特権ユーザーを管理します。 |
SU01を使用してユーザーの詳細/承認を変更します。 データ ソース: SAPcon - 監査ログ |
特権のエスカレーション、資格情報へのアクセス |
| SAP - (プレビュー) HANA DB -Assign 管理 Authorizations | 管理者特権またはロールの割り当てを識別します。 | 任意の管理者ロールまたは特権を持つユーザーを割り当てます。 データ ソース: Linux エージェント - Syslog |
特権エスカレーション |
| SAP - ログインしている機密性の高い特権ユーザー | 機密性の高い特権ユーザーのダイアログ サインインを識別します。 SAP - Privileged Users ウォッチリストで特権ユーザーを管理します。 |
SAP*または別の特権ユーザーを使用してバックエンド システムにサインインします。 データ ソース: SAPcon - 監査ログ |
初期アクセス、資格情報アクセス |
| SAP - 機密性の高い特権ユーザーが他のユーザーに変更を加える | 他のユーザーの機密性の高い特権ユーザーの変更を識別します。 | SU01 を使用してユーザーの詳細/承認を変更します。 データ ソース: SAPcon - 監査ログ |
特権のエスカレーション、資格情報へのアクセス |
| SAP - 機密性の高いユーザーのパスワードの変更とログイン | 特権ユーザーのパスワード変更を識別します。 | 特権ユーザーのパスワードを変更し、システムにサインインします。 SAP - Privileged Users ウォッチリストで特権ユーザーを管理します。 データ ソース: SAPcon - 監査ログ |
影響、コマンドと制御、特権のエスカレーション |
| SAP - ユーザー新しいユーザーを作成して使用する | 他のユーザーを作成して使用しているユーザーを識別します。 サブユース ケース: 永続化 |
SU01 を使用してユーザーを作成し、新しく作成したユーザーと同じ IP アドレスを使用してサインインします。 データ ソース: SAPcon - 監査ログ |
検出、攻撃前、初期アクセス |
| SAP - ユーザーのロック解除と他のユーザーの使用 | ロックが解除され、他のユーザーによって使用されているユーザーを識別します。 サブユース ケース: 永続化 |
SU01 を使用してユーザーのロックを解除し、ロック解除されたユーザーと同じ IP アドレスを使用してサインインします。 データ ソース: SAPcon - 監査ログ、SAPcon - ドキュメント ログの変更 |
検出、攻撃前、初期アクセス、横移動 |
| SAP - 機密プロファイルの割り当て | 機密性の高いプロファイルのユーザーへの新しい割り当てを識別します。 SAP - 機密プロファイルウォッチリストで 機密性の高いプロファイルを 管理します。 |
SU01を使用してプロファイルをユーザーに割り当てます。 データ ソース: SAPcon - ドキュメント ログの変更 |
特権エスカレーション |
| SAP - 機密ロールの割り当て | ユーザーに対する機密性の高いロールの新しい割り当てを識別します。 SAP - 機密ロールウォッチリストで 機密性の高いロールを 維持します。 |
SU01
/
PFCGを使用してユーザーにロールを割り当てます。 データ ソース: SAPcon - ドキュメント ログ、監査ログの変更 |
特権エスカレーション |
| SAP - (プレビュー) 重要な承認の割り当て - 新しい承認値 | 新しいユーザーへの重要な承認オブジェクト値の割り当てを識別します。 SAP - クリティカル権限オブジェクトウォッチリストで 重要な権限オブジェクトを 更新します。 |
PFCGを使用して、新しい承認オブジェクトを割り当てるか、ロール内の既存の承認オブジェクトを更新します。 データ ソース: SAPcon - ドキュメント ログの変更 |
特権エスカレーション |
| SAP - 重要な権限の割り当て - 新しいユーザー割り当て | 新しいユーザーへの重要な承認オブジェクト値の割り当てを識別します。 SAP - クリティカル権限オブジェクトウォッチリストで 重要な権限オブジェクトを 更新します。 |
SU01
/
PFCGを使用して、重要な承認値を保持するロールに新しいユーザーを割り当てます。 データ ソース: SAPcon - ドキュメント ログの変更 |
特権エスカレーション |
| SAP - 機密性の高いロールの変更 | 機密性の高いロールの変更を識別します。 SAP - 機密ロールウォッチリストで 機密性の高いロールを 維持します。 |
PFCG を使用してロールを変更します。 データ ソース: SAPcon - ドキュメント ログの変更、SAPcon – 監査ログ |
影響、特権のエスカレーション、永続化 |
SAP 監査ログを監視する
SAP アプリケーションのMicrosoft Sentinel ソリューションの分析規則の多くは、SAP 監査ログ データを使用します。 分析ルールの中には、ログ内の特定のイベントを検索するものもあれば、複数のログからの兆候を関連付けて忠実度の高いアラートとインシデントを作成するものがあります。
次の分析規則を使用して、SAP システム上のすべての監査ログ イベントを監視するか、異常が検出されたときにのみアラートをトリガーします。
| ルール名 | 説明 |
|---|---|
| SAP - 動的セキュリティ監査ログ モニターの構成がありません | 既定では、SAP 監査ログ モジュールの構成に関する推奨事項を提供するために、毎日実行されます。 ルール テンプレートを使用して、ワークスペースのルールを作成およびカスタマイズします。 |
| SAP - 動的決定論的監査ログ モニター (プレビュー) | 既定では、10 分ごとに実行され、 決定論的としてマークされた SAP 監査ログ イベントに焦点を当てます。 ルール テンプレートを使用して、低い誤検知率など、ワークスペースのルールを作成およびカスタマイズします。 このルールには、決定的なアラートしきい値とユーザー除外ルールが必要です。 |
| SAP - 動的異常ベースの監査ログ モニター アラート (プレビュー) | 既定では、1 時間ごとに実行され、 AnomaliesOnly としてマークされた SAP イベントに焦点を当て、異常が検出されたときに SAP 監査ログ イベントにアラートが表示されます。 このルールは、教師なしの方法でバックグラウンド ノイズを除外するために、追加の機械学習アルゴリズムを適用します。 |
既定では、SAP 監査ログ内のほとんどのイベントの種類または SAP メッセージ ID は、異常ベースの 動的異常ベースの監査ログ モニター アラート (PREVIEW) 分析ルールに送信されますが、定義が容易なイベントの種類は、決定論的 動的決定論的監査ログ モニター (PREVIEW) 分析ルールに送信されます。 この設定は、他の関連設定と共に、任意のシステム条件に合わせてさらに構成できます。
SAP 監査ログ監視ルールは、SAP ソリューションセキュリティコンテンツのMicrosoft Sentinelの一部として提供され、SAP_Dynamic_Audit_Log_Monitor_ConfigurationとSAP_User_Configウォッチリストを使用してさらに微調整できます。
たとえば、次の表に、 SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストを使用してインシデントを生成するイベントの種類を構成し、生成されるインシデントの数を減らす方法の例をいくつか示します。
| オプション | 説明 |
|---|---|
| 重大度を設定し、不要なイベントを無効にする | 既定では、決定論的ルールと異常に基づくルールの両方で、重大度が中程度と高のイベントに対するアラートが作成されます。 重大度は、運用環境と非運用環境を個別に構成する必要があります。 たとえば、デバッグ アクティビティ イベントを実稼働システムで重大度が 高く 設定し、非運用環境システムで同じイベントを完全にオフにすることができます。 |
| SAP ロールまたは SAP プロファイルでユーザーを除外する | SAP のMicrosoft Sentinelは、直接ロールと間接ロールの割り当て、グループ、プロファイルなど、SAP ユーザーの承認プロファイルを取り込み、SIEM で SAP 言語を読み上げることができるようにします。 SAP イベントを構成して、SAP ロールとプロファイルに基づいてユーザーを除外することもできます。 ウォッチリストで、RFC イベントによる汎用テーブル アクセスの横にある [RolesTagsToExclude] 列に、RFC インターフェイス ユーザーをグループ化するロールまたはプロファイルを追加します。 この構成では、これらのロールがないユーザーに対してのみアラートがトリガーされます。 |
| SOC タグでユーザーを除外する | タグを使用して、複雑な SAP 定義に依存せずに、または SAP 承認なしでも、独自のグループ化を作成します。 この方法は、SAP ユーザー向けに独自のグループ化を作成する SOC チームに役立ちます。 たとえば、 RFC イベントによる汎用テーブル アクセス について特定のサービス アカウントにアラートを送信したくないが、これらのユーザーをグループ化する SAP ロールまたは SAP プロファイルが見つからない場合は、次のようにタグを使用します。 1. ウォッチリストの関連イベントの横に GenTableRFCReadOK タグを追加します。 2. SAP_User_Config ウォッチリストに移動し、インターフェイスユーザーに同じタグを割り当てます。 |
| イベントの種類とシステム ロールごとに頻度のしきい値を指定する | 速度制限のように動作します。 たとえば、1 時間に 12 を超えるアクティビティが実稼働システム内の同じユーザーによって観察された場合にのみアラートをトリガーするように、ユーザー マスター レコード変更 イベントを構成できます。 ユーザーが 1 時間あたり 12 個の制限 (たとえば、10 分のウィンドウで 2 つのイベント) を超えると、インシデントがトリガーされます。 |
| 決定主義または異常 | イベントの特性がわかっている場合は、決定論的な機能を使用します。 イベントを正しく構成する方法がわからない場合は、機械学習機能が開始することを決定し、必要に応じて以降の更新を行うことを許可します。 |
| SOAR 機能 | Microsoft Sentinelを使用して、SAP 監査ログ動的アラートによって作成されたインシデントをさらに調整、自動化、対応します。 詳細については、「Microsoft Sentinelの自動化: セキュリティ オーケストレーション、自動化、応答 (SOAR)」を参照してください。 |
詳細については、「SAP News の使用可能なウォッチリストとMicrosoft Sentinel - 動的 SAP セキュリティ監査ログ モニター機能を今すぐ利用できる」を参照してください。(ブログ)。
初期アクセス
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| SAP - 予期しないネットワークからのログイン | 予期しないネットワークからのサインインを識別します。 SAP - ネットワークウォッチリストでネットワークを管理します。 |
いずれかのネットワークに割り当てられない IP アドレスからバックエンド システムにサインインします。 データ ソース: SAPcon - 監査ログ |
初期アクセス |
| SAP - SPNego 攻撃 | SPNego 再生攻撃を識別します。 | データ ソース: SAPcon - 監査ログ | 影響、横移動 |
| SAP - 特権ユーザーからのダイアログ ログオン試行 | SAP システムの特権ユーザーによって、 AUM 型のダイアログ サインイン試行を識別します。 詳細については、「 SAPUsersGetPrivileged」を参照してください。 | スケジュールされた時間間隔内で同じ IP から複数のシステムまたはクライアントにサインインを試みる データ ソース: SAPcon - 監査ログ |
影響、横移動 |
| SAP - ブルート フォース攻撃 | RFC ログオンを使用して SAP システムに対するブルート フォース攻撃を識別します | RFC を使用して、スケジュールされた時間間隔内で同じ IP から複数のシステム/クライアントにサインインしようとします データ ソース: SAPcon - 監査ログ |
資格情報へのアクセス |
| SAP - IP による複数ログオン | スケジュールされた時間間隔内の同じ IP アドレスから複数のユーザーのサインインを識別します。 サブユース ケース: 永続化 |
同じ IP アドレスを使用して複数のユーザーを使用してサインインします。 データ ソース: SAPcon - 監査ログ |
初期アクセス |
| SAP - ユーザー別の複数ログオン | スケジュールされた時間間隔内の複数のターミナルから同じユーザーのサインインを識別します。 SAP バージョン 7.5 以降では、Audit SAL メソッドでのみ使用できます。 |
異なる IP アドレスを使用して、同じユーザーを使用してサインインします。 データ ソース: SAPcon - 監査ログ |
攻撃前、資格情報アクセス、初期アクセス、コレクション サブユース ケース: 永続化 |
データ流出
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| SAP - 承認されていないサーバーの FTP | 認証されていないサーバーの FTP 接続を識別します。 | FTP_CONNECT関数モジュールを使用するなどして、新しい FTP 接続を作成します。 データ ソース: SAPcon - 監査ログ |
検出、初期アクセス、コマンドと制御 |
| SAP - 安全でない FTP サーバーの構成 | FTP 許可リストが空の場合やプレースホルダーが含まれている場合など、安全でない FTP サーバー構成を識別します。 |
SAPFTP_SERVERS_V メンテナンス ビューを使用して、SAPFTP_SERVERS テーブルにプレースホルダーを含む値を保持しないでください。 (SM30) データ ソース: SAPcon - 監査ログ |
初期アクセス、コマンド、制御 |
| SAP - 複数のFilesダウンロード | 特定の時間範囲内のユーザーの複数のファイルダウンロードを識別します。 | Excel、リストなどの SAPGui を使用して、複数のファイルをダウンロードします。 データ ソース: SAPcon - 監査ログ |
コレクション、流出、資格情報アクセス |
| SAP - RFC ログオンによる機密テーブル直接アクセス | RFC サインインによる汎用テーブル アクセスを識別します。 SAP - 機密テーブルウォッチリストでテーブルを管理します。 運用システムにのみ関連します。 |
SE11/SE16/SE16N を使用してテーブルの内容を開きます。 データ ソース: SAPcon - 監査ログ |
コレクション、流出、資格情報アクセス |
| SAP - 動的 RFC 宛先 | 動的宛先を使用して RFC の実行を識別します。 サブユース ケース: SAP セキュリティ メカニズムをバイパスする試行 |
動的宛先 (cl_dynamic_destination) を使用する ABAP レポートを実行します。 たとえば、DEMO_RFC_DYNAMIC_DEST。 データ ソース: SAPcon - 監査ログ |
コレクション、流出 |
| SAP - 機密性の高いテーブルのダイアログ ログオンによる直接アクセス | ダイアログ サインインを使用して汎用テーブル アクセスを識別します。 |
SE11
/
SE16
/
SE16Nを使用してテーブルの内容を開きます。 データ ソース: SAPcon - 監査ログ |
検出 |
| SAP - 悪意のある IP アドレスからダウンロードされた (プレビュー) ファイル | 悪意があると知られる IP アドレスを使用して、SAP システムからのファイルのダウンロードを識別します。 悪意のある IP アドレスは、 脅威インテリジェンス サービスから取得されます。 | 悪意のある IP からファイルをダウンロードします。 データ ソース: SAP セキュリティ監査ログ、脅威インテリジェンス |
流出 |
| SAP - (プレビュー) USB ドライブに保存された機密データ | ファイルを使用した SAP データのエクスポートを識別します。 この規則では、機密性の高いトランザクションの実行、機密性の高いプログラム、または機密テーブルへの直接アクセスに近接して、最近マウントされた USB ドライブに保存されたデータがチェックされます。 | ファイルを介して SAP データをエクスポートし、USB ドライブに保存します。 データ ソース: SAP セキュリティ監査ログ、DeviceFileEvents (Microsoft Defender for Endpoint)、SAP - 機密テーブル、SAP - 機密トランザクション、SAP - 機密プログラム |
流出 |
| SAP - (プレビュー) エクスポートされる可能性のある機密性の高い大量のデータ | 機密性の高いトランザクションの実行、機密性の高いプログラム、または機密テーブルへの直接アクセスに近接したファイルを介して、大量のデータのエクスポートを識別します。 | ファイルを介して大量のデータをエクスポートします。 データ ソース: SAP セキュリティ監査ログ、 SAP - 機密テーブル、 SAP - 機密トランザクション、 SAP - 機密プログラム |
流出 |
永続 性
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| SAP - 関数モジュールのテスト | 汎用モジュールのテストを識別します。 |
SE37
/
SE80を使用して汎用モジュールをテストします。 データ ソース: SAPcon - 監査ログ |
コレクション、防御回避、横移動 |
| SAP - (プレビュー) HANA DB - ユーザー 管理 アクション | ユーザー管理アクションを識別します。 | データベース ユーザーを作成、更新、または削除します。 データ ソース: Linux エージェント - Syslog* |
特権エスカレーション |
| SAP - 旧式または安全でない汎用モジュールの実行 | 古いまたは安全でない ABAP 汎用モジュールの実行を識別します。 SAP - 古い汎用モジュールウォッチリストで古い関数を更新します。 バックエンドの EUFUNC テーブルのテーブル ログの変更をアクティブ化してください。 (SE13)運用システムにのみ関連します。 |
SE37 を使用して、古いまたは安全でない関数モジュールを直接実行します。 データ ソース: SAPcon - テーブル データ ログ |
検出、コマンド、制御 |
| SAP - 古いプログラムまたは安全でないプログラムの実行 | 古い ABAP プログラムまたは安全でない ABAP プログラムの実行を識別します。 SAP - 古いプログラムウォッチリストで 古いプログラムを 更新します。 運用システムにのみ関連します。 |
SE38/SA38/SE80 を使用するか、バックグラウンド ジョブを使用してプログラムを直接実行します。 データ ソース: SAPcon - 監査ログ |
検出、コマンド、制御 |
| SAP - 複数のパスワード変更 | ユーザー別に複数のパスワード変更を識別します。 | Change user password データ ソース: SAPcon - 監査ログ |
資格情報へのアクセス |
SAP セキュリティ メカニズムをバイパスしようとする
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| SAP - クライアント構成の変更 | クライアント ロールや変更記録モードなどのクライアント構成の変更を識別します。 |
SCC4 トランザクション コードを使用して、クライアント構成の変更を実行します。 データ ソース: SAPcon - 監査ログ |
防御回避、流出、永続化 |
| SAP - デバッグ アクティビティ中にデータが変更されました | デバッグ アクティビティ中のランタイム データの変更を識別します。 サブユース ケース: 永続化 |
1. デバッグのアクティブ化 ("/h")。 2. 変更するフィールドを選択し、その値を更新します。 データ ソース: SAPcon - 監査ログ |
実行、横移動 |
| SAP - セキュリティ監査ログの非アクティブ化 | セキュリティ監査ログの非アクティブ化を識別します。 |
SM19/RSAU_CONFIGを使用してセキュリティ監査ログを無効にします。 データ ソース: SAPcon - 監査ログ |
流出、防御回避、永続化 |
| SAP - 機密 ABAP プログラムの実行 | 機密性の高い ABAP プログラムの直接実行を識別します。 SAP - 機密 ABAP プログラムウォッチリストで ABAP プログラムを更新します。 |
SE38
/
SA38
/
SE80を使用してプログラムを直接実行します。 データ ソース: SAPcon - 監査ログ |
流出、横移動、実行 |
| SAP - 機密トランザクション コードの実行 | 機密性の高いトランザクション コードの実行を識別します。 SAP - 機密トランザクション コードウォッチリストでトランザクション コードを管理します。 |
機密性の高いトランザクション コードを実行します。 データ ソース: SAPcon - 監査ログ |
検出、実行 |
| SAP - 機密性の高い汎用モジュールの実行 | 機密 ABAP 汎用モジュールの実行を識別します。 サブユース ケース: 永続化 運用システムにのみ関連します。 SAP - 機密関数モジュールウォッチリストで機密性の高い関数を維持し、EUFUNC テーブルのバックエンドでテーブル ログの変更をアクティブにしてください。 (SE13) |
SE37 を使用して機密性の高い関数モジュールを直接実行します。 データ ソース: SAPcon - テーブル データ ログ |
検出、コマンド、制御 |
| SAP - (プレビュー) HANA DB - 監査証跡ポリシーの変更 | HANA DB 監査証跡ポリシーの変更を識別します。 | セキュリティ定義で既存の監査ポリシーを作成または更新します。 データ ソース: Linux エージェント - Syslog |
横移動、防御回避、永続化 |
| SAP - (プレビュー) HANA DB - 監査証跡の非アクティブ化 | HANA DB 監査ログの非アクティブ化を識別します。 | HANA DB セキュリティ定義で監査ログを非アクティブ化します。 データ ソース: Linux エージェント - Syslog |
永続化、横移動、防御回避 |
| SAP - 機密性の高い汎用モジュールの未承認のリモート実行 | 最近変更された承認を無視しながら、アクティビティをユーザーの承認プロファイルと比較することで、機密性の高い VM の未承認の実行を検出します。 SAP - 機密機能モジュールウォッチリストで汎用モジュールを更新します。 |
RFC を使用して汎用モジュールを実行します。 データ ソース: SAPcon - 監査ログ |
実行、横移動、検出 |
| SAP - システム構成の変更 | システム構成の変更を識別します。 |
SE06 トランザクション コードを使用して、システム変更オプションまたはソフトウェア コンポーネントの変更を調整します。データ ソース: SAPcon - 監査ログ |
流出、防御回避、永続化 |
| SAP - デバッグ アクティビティ | デバッグ関連のすべてのアクティビティを識別します。 サブユース ケース: 永続化 |
システムでデバッグ ("/h") をアクティブ化し、アクティブなプロセスをデバッグし、ソース コードにブレークポイントを追加します。 データ ソース: SAPcon - 監査ログ |
検出 |
| SAP - セキュリティ監査ログ構成の変更 | セキュリティ監査ログの構成の変更を識別します | フィルター、状態、記録モードなど、 SM19/RSAU_CONFIGを使用してセキュリティ監査ログの構成を変更します。 データ ソース: SAPcon - 監査ログ |
永続化、流出、防御回避 |
| SAP - トランザクションのロック解除 | トランザクションのロック解除を識別します。 |
SM01
/
SM01_DEV
/
SM01_CUSを使用してトランザクション コードのロックを解除します。 データ ソース: SAPcon - 監査ログ |
永続化、実行 |
| SAP - 動的 ABAP プログラム | 動的 ABAP プログラミングの実行を識別します。 たとえば、ABAP コードが動的に作成、変更、または削除された場合などです。 SAP - ABAP 生成のトランザクション ウォッチリストで、除外されたトランザクションコードを更新します。 |
INSERT REPORT などの ABAP プログラム生成コマンドを使用する ABAP レポートを作成し、レポートを実行します。 データ ソース: SAPcon - 監査ログ |
検出、コマンドと制御、影響 |
疑わしい特権操作
| ルール名 | 説明 | ソース アクション | 戦術 |
|---|---|---|---|
| SAP - 機密性の高い特権ユーザーの変更 | 機密性の高い特権ユーザーの変更を識別します。 SAP - Privileged Users ウォッチリストで特権ユーザーを管理します。 |
SU01を使用してユーザーの詳細/承認を変更します。 データ ソース: SAPcon - 監査ログ |
特権のエスカレーション、資格情報へのアクセス |
| SAP - (プレビュー) HANA DB -Assign 管理 Authorizations | 管理者特権またはロールの割り当てを識別します。 | 任意の管理者ロールまたは特権を持つユーザーを割り当てます。 データ ソース: Linux エージェント - Syslog |
特権エスカレーション |
| SAP - ログインしている機密性の高い特権ユーザー | 機密性の高い特権ユーザーのダイアログ サインインを識別します。 SAP - Privileged Users ウォッチリストで特権ユーザーを管理します。 |
SAP*または別の特権ユーザーを使用してバックエンド システムにサインインします。 データ ソース: SAPcon - 監査ログ |
初期アクセス、資格情報アクセス |
| SAP - 機密性の高い特権ユーザーが他のユーザーに変更を加える | 他のユーザーの機密性の高い特権ユーザーの変更を識別します。 | SU01 を使用してユーザーの詳細/承認を変更します。 データ ソース: SAPcon - 監査ログ |
特権のエスカレーション、資格情報へのアクセス |
| SAP - 機密性の高いユーザーのパスワードの変更とログイン | 特権ユーザーのパスワード変更を識別します。 | 特権ユーザーのパスワードを変更し、システムにサインインします。 SAP - Privileged Users ウォッチリストで特権ユーザーを管理します。 データ ソース: SAPcon - 監査ログ |
影響、コマンドと制御、特権のエスカレーション |
| SAP - ユーザー新しいユーザーを作成して使用する | 他のユーザーを作成して使用しているユーザーを識別します。 サブユース ケース: 永続化 |
SU01 を使用してユーザーを作成し、新しく作成したユーザーと同じ IP アドレスを使用してサインインします。 データ ソース: SAPcon - 監査ログ |
検出、攻撃前、初期アクセス |
| SAP - ユーザーのロック解除と他のユーザーの使用 | ロックが解除され、他のユーザーによって使用されているユーザーを識別します。 サブユース ケース: 永続化 |
SU01 を使用してユーザーのロックを解除し、ロック解除されたユーザーと同じ IP アドレスを使用してサインインします。 データ ソース: SAPcon - 監査ログ、SAPcon - ドキュメント ログの変更 |
検出、攻撃前、初期アクセス、横移動 |
| SAP - 機密プロファイルの割り当て | 機密性の高いプロファイルのユーザーへの新しい割り当てを識別します。 SAP - 機密プロファイルウォッチリストで 機密性の高いプロファイルを 管理します。 |
SU01を使用してプロファイルをユーザーに割り当てます。 データ ソース: SAPcon - ドキュメント ログの変更 |
特権エスカレーション |
| SAP - 機密ロールの割り当て | ユーザーに対する機密性の高いロールの新しい割り当てを識別します。 SAP - 機密ロールウォッチリストで 機密性の高いロールを 維持します。 |
SU01
/
PFCGを使用してユーザーにロールを割り当てます。 データ ソース: SAPcon - ドキュメント ログ、監査ログの変更 |
特権エスカレーション |
| SAP - (プレビュー) 重要な承認の割り当て - 新しい承認値 | 新しいユーザーへの重要な承認オブジェクト値の割り当てを識別します。 SAP - クリティカル権限オブジェクトウォッチリストで 重要な権限オブジェクトを 更新します。 |
PFCGを使用して、新しい承認オブジェクトを割り当てるか、ロール内の既存の承認オブジェクトを更新します。 データ ソース: SAPcon - ドキュメント ログの変更 |
特権エスカレーション |
| SAP - 重要な権限の割り当て - 新しいユーザー割り当て | 新しいユーザーへの重要な承認オブジェクト値の割り当てを識別します。 SAP - クリティカル権限オブジェクトウォッチリストで 重要な権限オブジェクトを 更新します。 |
SU01
/
PFCGを使用して、重要な承認値を保持するロールに新しいユーザーを割り当てます。 データ ソース: SAPcon - ドキュメント ログの変更 |
特権エスカレーション |
| SAP - 機密性の高いロールの変更 | 機密性の高いロールの変更を識別します。 SAP - 機密ロールウォッチリストで 機密性の高いロールを 維持します。 |
PFCG を使用してロールを変更します。 データ ソース: SAPcon - ドキュメント ログの変更、SAPcon – 監査ログ |
影響、特権のエスカレーション、永続化 |
利用可能なウォッチリスト
次の表に、SAP アプリケーションのMicrosoft Sentinel ソリューションで使用できるウォッチリストと、各ウォッチリストのフィールドを示します。
これらのウォッチリストは、SAP アプリケーションのMicrosoft Sentinel ソリューションの構成を提供します。 SAP ウォッチリストは、Microsoft Sentinel GitHub リポジトリで使用できます。
| ウォッチリスト名 | 説明とフィールド |
|---|---|
| SAP - 重要な権限 | 割り当てを管理する必要がある重要な承認オブジェクト。 - AuthorizationObject: S_DEVELOP、 S_TCODE、またはなどの SAP 承認オブジェクト Table TOBJ - AuthorizationField: OBJTYP や などの SAP 承認フィールド TCD - AuthorizationValue: SAP 承認フィールドの値 ( など) DEBUG - ActivityField : SAP アクティビティ フィールド。 ほとんどの場合、この値は ACTVT。
[Activity]\(アクティビティ\) を持たない [Authorizations]\(承認\) オブジェクトの場合、または [アクティビティ] フィールドのみが含まれる場合は、NOT_IN_USEが入力されます。 - アクティビティ: 権限オブジェクトに従った SAP アクティビティ。たとえば、 01: 作成、 02: 変更、 03: 表示など。 - 説明: 意味のある重要な承認オブジェクトの説明。 |
| SAP - 除外されたネットワーク | Web ディスパッチャー、ターミナル サーバーなどを無視するなど、除外されたネットワークの内部メンテナンス。 - ネットワーク: 111.68.128.0/17などのネットワーク IP アドレスまたは範囲。 - 説明: 意味のあるネットワークの説明。 |
| SAP 除外ユーザー | システムにサインインしており、無視する必要があるシステム ユーザー。 たとえば、同じユーザーによる複数のサインインに対するアラートなどです。 - ユーザー: SAP ユーザー - 説明: わかりやすいユーザーの説明。 |
| SAP - ネットワーク | 承認されていないログインを識別するための内部ネットワークとメンテナンス ネットワーク。 - ネットワーク: ネットワーク IP アドレスまたは範囲 (例: 111.68.128.0/17 - 説明: 意味のあるネットワークの説明。 |
| SAP - 特権ユーザー | 追加の制限を受けている特権ユーザー。 - ユーザー: ABAP ユーザー ( DDIC や SAP - 説明: わかりやすいユーザーの説明。 |
| SAP - 機密 ABAP プログラム | 実行を管理する必要がある機密 ABAP プログラム (レポート)。 - ABAPProgram: ABAP プログラムまたはレポート (例: RSPFLDOC - 説明: わかりやすいプログラムの説明。 |
| SAP - 機密性の高い汎用モジュール | 承認されていないログインを識別するための内部ネットワークとメンテナンス ネットワーク。 - FunctionModule: ABAP 汎用モジュール ( など) RSAU_CLEAR_AUDIT_LOG - 説明: わかりやすいモジュールの説明。 |
| SAP - 機密プロファイル | 機密性の高いプロファイル。割り当てを管理する必要があります。 - プロファイル: SAP 承認プロファイル ( SAP_ALL や SAP_NEW - 説明: わかりやすいプロファイルの説明。 |
| SAP - 機密テーブル | 機密性の高いテーブル。アクセスを管理する必要があります。 - テーブル: や などの ABAP ディクショナリ テーブル - 説明: 意味のあるテーブルの説明。 |
| SAP - 機密ロール | 機密性の高いロール。割り当てを管理する必要があります。 - ロール: SAP 承認ロール (例: SAP_BC_BASIS_ADMIN - 説明: 意味のあるロールの説明。 |
| SAP - 機密トランザクション | 実行を管理する必要がある機密性の高いトランザクション。 - TransactionCode: SAP トランザクション コード (例: RZ11 - 説明: わかりやすいコードの説明。 |
| SAP - システム | ロール、使用法、および構成に従って、SAP システムの状況について説明します。 - SystemID: SAP システム ID (SYSID) - SystemRole: SAP システム ロール。次のいずれかの値: Sandbox、 Development、 Quality Assurance、 Training、 Production - SystemUsage: SAP システムの使用状況。次のいずれかの値: ERP、 BW、 Solman、 Gateway、 Enterprise Portal - InterfaceAttributes: プレイブックで使用するためのオプションの動的パラメーター。 |
| SAPSystemParameters |
疑わしい構成の変更を監視するためのパラメーター。 このウォッチリストには推奨値 (SAP のベスト プラクティスに従って) が事前に入力されており、ウォッチリストを拡張して、より多くのパラメーターを含めることができます。 パラメーターのアラートを受信しない場合は、 EnableAlerts を false に設定します。- ParameterName: パラメーターの名前。 - コメント: SAP 標準パラメーターの説明。 - EnableAlerts: このパラメーターのアラートを有効にするかどうかを定義します。 値は true され、 falseされます。- オプション: アラートをトリガーするケースを定義します:パラメーター値が大きいか等しい ( GE)、小さいか等しい (LE)、または等しい (EQ)たとえば、 login/fails_to_user_lock SAP パラメーターが LE (以下) に設定され、5の値が設定されている場合、この特定のパラメーターへの変更Microsoft Sentinel検出されると、新しく報告された値と期待される値が比較されます。 新しい値が4されている場合、Microsoft Sentinelはアラートをトリガーしません。 新しい値が6されている場合、Microsoft Sentinelはアラートをトリガーします。- ProductionSeverity: 運用システムのインシデント重大度。 - ProductionValues: 運用システムで許可される値。 - NonProdSeverity: 非運用システムのインシデント重大度。 - NonProdValues: 非運用システムで許可される値。 |
| SAP - 除外されたユーザー | ログインし、無視する必要があるシステム ユーザー (ユーザーによる複数ログオンの場合など)。 - ユーザー: SAP ユーザー - 説明: わかりやすいユーザーの説明 |
| SAP - 除外されたネットワーク | Web ディスパッチャー、ターミナル サーバーなどを無視するために、内部の除外されたネットワークを維持します。 - ネットワーク: ネットワーク IP アドレスまたは範囲 (例: 111.68.128.0/17 - 説明: 意味のあるネットワークの説明 |
| SAP - 廃止された汎用モジュール | 廃止された関数モジュール。その実行を管理する必要があります。 - FunctionModule: ABAP 汎用モジュール (TH_SAPRELなど) - 説明: 意味のある関数モジュールの説明 |
| SAP - 古いプログラム | 実行を管理する必要がある廃止された ABAP プログラム (レポート)。 - ABAPProgram:ABAP プログラム (TH_ RSPFLDOC など) - 説明: 意味のある ABAP プログラムの説明 |
| SAP - ABAP 世代のトランザクション | 実行を管理する必要がある ABAP 世代のトランザクション。 - TransactionCode: SE11 などのトランザクション コード。 - 説明: 意味のあるトランザクション コードの説明 |
| SAP - FTP サーバー | 未承認の接続を識別するための FTP サーバー。 - クライアント: 100 など。 - FTP_Server_Name: FTP サーバー名 ( など) http://contoso.com/ - FTP_Server_Port:FTP サーバー ポート (22 など)。 - 説明わかりやすい FTP サーバーの説明 |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | システム ロール (運用、非運用) ごとに、各メッセージ ID に必要に応じて重大度レベルを割り当てることで、SAP 監査ログ アラートを構成します。 このウォッチリストでは、使用可能なすべての SAP 標準監査ログ メッセージ ID の詳細が表示されます。 ウォッチリストを拡張して、SAP NetWeaver システムで ABAP 拡張機能を使用して独自に作成できる追加のメッセージ ID を含めることができます。 このウォッチリストでは、各イベントタイプを処理するように指定されたチームを構成し、SAP ロール、SAP プロファイル、またはタグ別のユーザーを SAP_User_Config ウォッチリストから除外することもできます。 このウォッチリストは、 SAP 監査ログを監視するための組み込みの SAP 分析ルールを構成するために使用されるコア コンポーネントの 1 つです。 詳細については、「 SAP 監査ログの監視」を参照してください。 - MessageID: SAP メッセージ ID、またはイベントの種類 ( AUD (ユーザー マスター レコードの変更)、または AUB (承認の変更) など。 - DetailedDescription: インシデント ウィンドウに表示されるマークダウンが有効な説明。 - ProductionSeverity: 運用システム High、 Mediumに対して作成するインシデントに必要な重大度。
Disabledとして設定できます。 - NonProdSeverity: 非運用システム High、 Mediumに対して作成するインシデントに対して必要な重大度。
Disabledとして設定できます。 - ProductionThreshold 実稼働システムの疑わしいと見なされるイベントの "時間あたりの" 数 60。 - NonProdThreshold 非運用システムの疑わしいと見なされるイベントの "時間あたりの" 数 10。 - RolesTagsToExclude: このフィールドは、SAP_User_Configウォッチリストから SAP ロール名、SAP プロファイル名、またはタグを受け入れます。 これらは、関連付けられているユーザーを特定のイベントの種類から除外するために使用されます。 この一覧の最後にあるロール タグのオプションを参照してください。 - RuleType: SAP - 動的決定論的監査ログ モニター ルールに送信するイベントの種類に Deterministicを使用するか、SAP - 動的異常ベースの監査ログ モニター アラート (PREVIEW) 規則でこのイベントをカバーするには、AnomaliesOnlyを使用します。 詳細については、「 SAP 監査ログの監視」を参照してください。 - TeamsChannelID: プレイブックで使用するためのオプションの動的パラメーター。 - DestinationEmail: プレイブックで使用するためのオプションの動的パラメーター。 RolesTagsToExclude フィールドの場合: - SAP ロールまたは SAP プロファイルを一覧表示すると、一覧表示されたロールまたはプロファイルを持つユーザーは、同じ SAP システムのこれらのイベントタイプから除外されます。 たとえば、RFC 関連のイベントタイプに BASIC_BO_USERS ABAP ロールを定義した場合、ビジネスオブジェクトユーザーは大量の RFC 呼び出しを行うときにインシデントをトリガーしません。- イベントの種類のタグ付けは、SAP ロールまたはプロファイルの指定と似ていますが、ワークスペースにタグを作成できるため、SOC チームは SAP BASIS チームに依存せずにアクティビティ別にユーザーを除外できます。 たとえば、監査メッセージ ID AUB (権限変更) と AUD (ユーザーマスタレコードの変更) には、 MassiveAuthChanges タグが割り当てられます。 このタグが割り当てられたユーザーは、これらのアクティビティのチェックから除外されます。 ワークスペース SAPAuditLogConfigRecommend 関数を実行すると、ユーザーに割り当てる推奨タグの一覧 ( Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlistなど) が生成されます。 |
| SAP_User_Config | 特定のコンテキストでユーザーを除外してアラートを微調整できます。また、 SAP 監査ログを監視するための組み込みの SAP 分析ルールの構成にも使用されます。 詳細については、「 SAP 監査ログの監視」を参照してください。 - SAPUser: SAP ユーザー - タグ: タグは、特定のアクティビティに対してユーザーを識別するために使用されます。 たとえば、タグ ["GenericTablebyRFCOK"] をユーザー SENTINEL_SRVに追加すると、RFC 関連のインシデントがこの特定のユーザーに対して作成されなくなります その他の Active Directory ユーザー識別子 - AD ユーザー識別子 - ユーザーオンプレミス Sid - ユーザー プリンシパル名 |
| ウォッチリスト名 | 説明とフィールド |
|---|---|
| SAP - 重要な権限 | 割り当てを管理する必要がある重要な承認オブジェクト。 - AuthorizationObject: S_DEVELOP、 S_TCODE、またはなどの SAP 承認オブジェクト Table TOBJ - AuthorizationField: OBJTYP や などの SAP 承認フィールド TCD - AuthorizationValue: SAP 承認フィールドの値 ( など) DEBUG - ActivityField : SAP アクティビティ フィールド。 ほとんどの場合、この値は ACTVT。
[Activity]\(アクティビティ\) を持たない [Authorizations]\(承認\) オブジェクトの場合、または [アクティビティ] フィールドのみが含まれる場合は、NOT_IN_USEが入力されます。 - アクティビティ: 権限オブジェクトに従った SAP アクティビティ。たとえば、 01: 作成、 02: 変更、 03: 表示など。 - 説明: 意味のある重要な承認オブジェクトの説明。 |
| SAP - 除外されたネットワーク | Web ディスパッチャー、ターミナル サーバーなどを無視するなど、除外されたネットワークの内部メンテナンス。 - ネットワーク: 111.68.128.0/17などのネットワーク IP アドレスまたは範囲。 - 説明: 意味のあるネットワークの説明。 |
| SAP 除外ユーザー | システムにサインインしており、無視する必要があるシステム ユーザー。 たとえば、同じユーザーによる複数のサインインに対するアラートなどです。 - ユーザー: SAP ユーザー - 説明: わかりやすいユーザーの説明。 |
| SAP - ネットワーク | 承認されていないログインを識別するための内部ネットワークとメンテナンス ネットワーク。 - ネットワーク: ネットワーク IP アドレスまたは範囲 (例: 111.68.128.0/17 - 説明: 意味のあるネットワークの説明。 |
| SAP - 特権ユーザー | 追加の制限を受けている特権ユーザー。 - ユーザー: ABAP ユーザー ( DDIC や SAP - 説明: わかりやすいユーザーの説明。 |
| SAP - 機密 ABAP プログラム | 実行を管理する必要がある機密 ABAP プログラム (レポート)。 - ABAPProgram: ABAP プログラムまたはレポート (例: RSPFLDOC - 説明: わかりやすいプログラムの説明。 |
| SAP - 機密性の高い汎用モジュール | 承認されていないログインを識別するための内部ネットワークとメンテナンス ネットワーク。 - FunctionModule: ABAP 汎用モジュール ( など) RSAU_CLEAR_AUDIT_LOG - 説明: わかりやすいモジュールの説明。 |
| SAP - 機密プロファイル | 機密性の高いプロファイル。割り当てを管理する必要があります。 - プロファイル: SAP 承認プロファイル ( SAP_ALL や SAP_NEW - 説明: わかりやすいプロファイルの説明。 |
| SAP - 機密テーブル | 機密性の高いテーブル。アクセスを管理する必要があります。 - テーブル: や などの ABAP ディクショナリ テーブル - 説明: 意味のあるテーブルの説明。 |
| SAP - 機密ロール | 機密性の高いロール。割り当てを管理する必要があります。 - ロール: SAP 承認ロール (例: SAP_BC_BASIS_ADMIN - 説明: 意味のあるロールの説明。 |
| SAP - 機密トランザクション | 実行を管理する必要がある機密性の高いトランザクション。 - TransactionCode: SAP トランザクション コード (例: RZ11 - 説明: わかりやすいコードの説明。 |
| SAP - システム | ロール、使用法、および構成に従って、SAP システムの状況について説明します。 - SystemID: SAP システム ID (SYSID) - SystemRole: SAP システム ロール。次のいずれかの値: Sandbox、 Development、 Quality Assurance、 Training、 Production - SystemUsage: SAP システムの使用状況。次のいずれかの値: ERP、 BW、 Solman、 Gateway、 Enterprise Portal - InterfaceAttributes: プレイブックで使用するためのオプションの動的パラメーター。 |
| SAP - 除外されたユーザー | ログインし、無視する必要があるシステム ユーザー (ユーザーによる複数ログオンの場合など)。 - ユーザー: SAP ユーザー - 説明: わかりやすいユーザーの説明 |
| SAP - 除外されたネットワーク | Web ディスパッチャー、ターミナル サーバーなどを無視するために、内部の除外されたネットワークを維持します。 - ネットワーク: ネットワーク IP アドレスまたは範囲 (例: 111.68.128.0/17 - 説明: 意味のあるネットワークの説明 |
| SAP - 廃止された汎用モジュール | 廃止された関数モジュール。その実行を管理する必要があります。 - FunctionModule: ABAP 汎用モジュール (TH_SAPRELなど) - 説明: 意味のある関数モジュールの説明 |
| SAP - 古いプログラム | 実行を管理する必要がある廃止された ABAP プログラム (レポート)。 - ABAPProgram:ABAP プログラム (TH_ RSPFLDOC など) - 説明: 意味のある ABAP プログラムの説明 |
| SAP - ABAP 世代のトランザクション | 実行を管理する必要がある ABAP 世代のトランザクション。 - TransactionCode: SE11 などのトランザクション コード。 - 説明: 意味のあるトランザクション コードの説明 |
| SAP - FTP サーバー | 未承認の接続を識別するための FTP サーバー。 - クライアント: 100 など。 - FTP_Server_Name: FTP サーバー名 ( など) http://contoso.com/ - FTP_Server_Port:FTP サーバー ポート (22 など)。 - 説明わかりやすい FTP サーバーの説明 |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | システム ロール (運用、非運用) ごとに、各メッセージ ID に必要に応じて重大度レベルを割り当てることで、SAP 監査ログ アラートを構成します。 このウォッチリストでは、使用可能なすべての SAP 標準監査ログ メッセージ ID の詳細が表示されます。 ウォッチリストを拡張して、SAP NetWeaver システムで ABAP 拡張機能を使用して独自に作成できる追加のメッセージ ID を含めることができます。 このウォッチリストでは、各イベントタイプを処理するように指定されたチームを構成し、SAP ロール、SAP プロファイル、またはタグ別のユーザーを SAP_User_Config ウォッチリストから除外することもできます。 このウォッチリストは、 SAP 監査ログを監視するための組み込みの SAP 分析ルールを構成するために使用されるコア コンポーネントの 1 つです。 詳細については、「 SAP 監査ログの監視」を参照してください。 - MessageID: SAP メッセージ ID、またはイベントの種類 ( AUD (ユーザー マスター レコードの変更)、または AUB (承認の変更) など。 - DetailedDescription: インシデント ウィンドウに表示されるマークダウンが有効な説明。 - ProductionSeverity: 運用システム High、 Mediumに対して作成するインシデントに必要な重大度。
Disabledとして設定できます。 - NonProdSeverity: 非運用システム High、 Mediumに対して作成するインシデントに対して必要な重大度。
Disabledとして設定できます。 - ProductionThreshold 実稼働システムの疑わしいと見なされるイベントの "時間あたりの" 数 60。 - NonProdThreshold 非運用システムの疑わしいと見なされるイベントの "時間あたりの" 数 10。 - RolesTagsToExclude: このフィールドは、SAP_User_Configウォッチリストから SAP ロール名、SAP プロファイル名、またはタグを受け入れます。 これらは、関連付けられているユーザーを特定のイベントの種類から除外するために使用されます。 この一覧の最後にあるロール タグのオプションを参照してください。 - RuleType: SAP - 動的決定論的監査ログ モニター ルールに送信するイベントの種類に Deterministicを使用するか、SAP - 動的異常ベースの監査ログ モニター アラート (PREVIEW) 規則でこのイベントをカバーするには、AnomaliesOnlyを使用します。 詳細については、「 SAP 監査ログの監視」を参照してください。 - TeamsChannelID: プレイブックで使用するためのオプションの動的パラメーター。 - DestinationEmail: プレイブックで使用するためのオプションの動的パラメーター。 RolesTagsToExclude フィールドの場合: - SAP ロールまたは SAP プロファイルを一覧表示すると、一覧表示されたロールまたはプロファイルを持つユーザーは、同じ SAP システムのこれらのイベントタイプから除外されます。 たとえば、RFC 関連のイベントタイプに BASIC_BO_USERS ABAP ロールを定義した場合、ビジネスオブジェクトユーザーは大量の RFC 呼び出しを行うときにインシデントをトリガーしません。- イベントの種類のタグ付けは、SAP ロールまたはプロファイルの指定と似ていますが、ワークスペースにタグを作成できるため、SOC チームは SAP BASIS チームに依存せずにアクティビティ別にユーザーを除外できます。 たとえば、監査メッセージ ID AUB (権限変更) と AUD (ユーザーマスタレコードの変更) には、 MassiveAuthChanges タグが割り当てられます。 このタグが割り当てられたユーザーは、これらのアクティビティのチェックから除外されます。 ワークスペース SAPAuditLogConfigRecommend 関数を実行すると、ユーザーに割り当てる推奨タグの一覧 ( Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlistなど) が生成されます。 |
| SAP_User_Config | 特定のコンテキストでユーザーを除外してアラートを微調整できます。また、 SAP 監査ログを監視するための組み込みの SAP 分析ルールの構成にも使用されます。 詳細については、「 SAP 監査ログの監視」を参照してください。 - SAPUser: SAP ユーザー - タグ: タグは、特定のアクティビティに対してユーザーを識別するために使用されます。 たとえば、タグ ["GenericTablebyRFCOK"] をユーザー SENTINEL_SRVに追加すると、RFC 関連のインシデントがこの特定のユーザーに対して作成されなくなります その他の Active Directory ユーザー識別子 - AD ユーザー識別子 - ユーザーオンプレミス Sid - ユーザー プリンシパル名 |
利用可能なプレイブック
Microsoft Sentinelソリューションによって提供されるプレイブックは、SAP インシデント対応ワークロードの自動化に役立ち、セキュリティ運用の効率と有効性を向上させます。
このセクションでは、SAP アプリケーションのMicrosoft Sentinel ソリューションと共に提供される組み込みの分析プレイブックについて説明します。
| プレイブック名 | パラメーター | 接続 |
|---|---|---|
| SAP インシデント対応 - Teams からユーザーをロックする - 基本 | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP インシデント対応 - Teams からユーザーをロックする - 詳細設定 | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - ログの監視Azure - Outlook をOffice 365する - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
| SAP インシデント対応 - 非アクティブ化後に監査ログを再び有効にする | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - ログの監視Azure - Microsoft Teams |
次のセクションでは、提供されているプレイブックごとに、ユーザーがこれらの機密性の高いトランザクションの 1 つを実行しようとしている SAP システムのいずれかで不審なアクティビティを警告したシナリオのサンプルユース ケースについて説明します。
インシデントトリアージフェーズでは、このユーザーに対してアクションを実行し、SAP ERP または BTP システムから、またはMicrosoft Entra IDから取り出します。
詳細については、「Microsoft Sentinelのプレイブックを使用して脅威対応を自動化する」を参照してください。
Standardロジック アプリをデプロイするプロセスは、一般に従量課金ロジック アプリよりも複雑です。 Microsoft Sentinel GitHub リポジトリからすばやくデプロイできるように、一連のショートカットを作成しました。 詳細については、「 ステップ バイ ステップ インストール ガイド」を参照してください。
ヒント
GitHub リポジトリの SAP プレイブック フォルダー を見て、プレイブックが利用可能になったときにさらに多くのプレイブックを確認します。 始めるのに役立つ 短い入門ビデオ(外部リンク) もあります。
1 つのシステムからユーザーをロックアウトする
承認されていないユーザーによる機密性の高いトランザクション実行が検出されるたびに、Teams - Basic プレイブックからロック ユーザーを呼び出す自動化ルールを構築します。 このプレイブックでは、Teams のアダプティブ カード機能を使用して、ユーザーを一方的にブロックする前に承認を要求します。
詳細については、「重要な SAP セキュリティシグナルのMicrosoft Sentinelを使用したゼロからヒーローのセキュリティ カバレッジまで - SOAR と読み上げられる予定です。パート 1 (SAP ブログ投稿)。
Teams のロック ユーザー - 基本プレイブックはStandardプレイブックであり、Standardプレイブックは一般に従量課金プレイブックよりも展開が複雑です。
Microsoft Sentinel GitHub リポジトリからすばやくデプロイできるように、一連のショートカットを作成しました。 詳細については、「 ステップ バイ ステップ インストール ガイド 」と「 サポートされているロジック アプリの種類」を参照してください。
複数のシステムからユーザーをロックアウトする
Teams からユーザーをロックする - 高度なプレイブックは同じ目的を達成しますが、より複雑なシナリオ向けに設計されており、それぞれ独自の SAP SID を持つ複数の SAP システムで 1 つのプレイブックを使用できます。
Teams からユーザーをロックする - 高度なプレイブックは、SAP - Systems ウォッチリストとAzure Key Vaultの InterfaceAttributes オプションの動的パラメーターを使用して、これらのすべてのシステムへの接続とその資格情報をシームレスに管理します。
Teams からユーザーをロックする - 高度なプレイブックでは、Outlook のアクション可能なメッセージを Teams と共に使用し、SAP_Dynamic_Audit_Log_Monitor_Configurationウォッチリストの TeamsChannelID パラメーターと DestinationEmail パラメーターを使用して、承認プロセスの関係者と通信することもできます。
詳細については、「重要な SAP セキュリティ シグナルのMicrosoft Sentinelを使用したゼロからヒーローのセキュリティ カバレッジへの移行 – パート 2 (SAP ブログ記事)」を参照してください。
監査ログの非アクティブ化を防止する
また、セキュリティ データ ソースの 1 つである SAP 監査ログが非アクティブ化されることも懸念される場合があります。 SAP - セキュリティ監査ログ分析ルールの非アクティブ化に基づいて自動化ルールを作成し、非アクティブ化されたプレイブックで再有効な監査ログを呼び出して、SAP 監査ログが非アクティブ化されないようにすることをお勧めします。
SAP - セキュリティ監査ログの非アクティブ化プレイブックでは、Teams も使用され、事実の後にセキュリティ担当者に通知されます。 犯罪の重大度とその軽減策の緊急性は、承認を必要とせず、即時アクションを実行できることを示します。
SAP - セキュリティ監査ログの非アクティブ化プレイブックでは、資格情報の管理にもAzure Key Vaultが使用されるため、プレイブックの構成は Teams - Advanced プレイブックのロック ユーザーの構成と似ています。 詳細については、「重要な SAP セキュリティ シグナルのMicrosoft Sentinelを使用したゼロからヒーローのセキュリティ カバレッジへの移行 – パート 3 (SAP ブログ投稿)」を参照してください。
関連コンテンツ
詳細については、「SAP アプリケーションのMicrosoft Sentinel ソリューションのデプロイ」を参照してください。