この記事では、SAP データ コネクタに接続するために SAP 環境を準備する方法について説明します。 コンテナー化されたデータ コネクタ エージェントを使用しているかどうかによって、準備することが異なります。 ページの上部にある、環境に一致するオプションを選択します。
この記事は、SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする 2 つ目の手順の一部です。
重要
SAP 用データ コネクタ エージェントは 非推奨 となり、 2026 年 9 月 30 日までに完全に無効になります。 エージェントレス データ コネクタに移行することをお勧めします。 エージェントレス アプローチの詳細については、 ブログ記事を参照してください。
通常、この記事の手順は SAP BASIS チームが実行します。
この記事は、SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイする 2 つ目の手順の一部です。 Microsoft Sentinel で実行される手順では、最初にソリューションをインストールする必要があります。ただし、SAP 環境内の他の準備は並行して実行できます。
この記事の手順の多くは、通常、 SAP BASIS チームによって実行されます。 一部の手順には セキュリティ チームも含まれます。
前提条件
- 作業を開始する前に、SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイするための前提条件を必ず確認してください。
- エージェントレス データ コネクタを使用している場合は、Microsoft Sentinel でいくつかの手順が実行され、最初にソリューションを インストールする必要があります。
Microsoft Sentinel ロールを構成する
SAP データ コネクタが SAP システムに接続できるようにするには、この目的専用の SAP システム ロールを作成する必要があります。
このロールを作成するには、NPLK900271 SAP 変更要求 (CR): K900271.NPL | R900271.NPL をデプロイすることをお勧めします。
他の CR をデプロイする場合と同様に、必要に応じてこれらの CR を SAP システムにデプロイします。 SAP CR のデプロイは、経験豊富な SAP システム管理者が行うことを強くお勧めします。 詳細については、SAP のドキュメントを参照してください。
または、MSFTSEN_SENTINEL_CONNECTOR ファイルからロールの認可を読み込みます。これには、データ コネクタが動作するためのすべての基本的なアクセス許可が含まれています。
経験豊富な SAP 管理者なら、ロールを手動で作成して、適切なアクセス許可を割り当てるかもしれません。 このような場合は、取り込むログに必要な関連する認可を使用して、ロールを手動で作成します。 詳細については、「必要な ABAP 承認」を参照してください。 このドキュメントの例では、/MSFTSEN/SENTINEL_RESPONDER という名前を使用しています。
ロールを構成するときは、次のことをお勧めします。
- PFCG トランザクションを実行して、Microsoft Sentinel のアクティブなロール プロファイルを生成します。
- ロール名として
/MSFTSEN/SENTINEL_RESPONDERを使用します。
MSFTSEN_SENTINEL_READER テンプレートを使用してロールを作成します。これには、データ コネクタが動作するためのすべての基本的なアクセス許可が含まれています。
詳細については、ロールの作成に関する SAP ドキュメントを参照してください。
ユーザーを作成する
SAP システムに接続するには、SAP アプリケーション向け Microsoft Sentinel ソリューションにユーザー アカウントが必要です。 ユーザーを作成する場合:
- システム ユーザーを作成してください。
- 前の手順で作成した /MSFTSEN/SENTINEL_RESPONDER ロールをユーザーに割り当てます。
- システム ユーザーを作成してください。
- 前の手順で作成した MSFTSEN_SENTINEL_READER ロールをユーザーに割り当てます。
詳細については、SAP のドキュメントを参照してください。
SAP 監査を構成する
SAP システムの一部のインストールでは、監査ログが既定で有効になっていない場合があります。 SAP アプリケーション向け Microsoft Sentinel ソリューションのパフォーマンスと有効性の評価で最良の結果を得るには、SAP システムの監査を有効にし、監査パラメーターを構成します。 SAP HANA DB ログを取り込む場合は、SAP HANA DB の監査も有効にします。
特定のログだけでなく、監査ログの "すべての" メッセージの監査を構成することをお勧めします。 通常、インジェスト コストの違いは最小限であり、データは Microsoft Sentinel の検出や侵害後の調査やハンティングに役立ちます。
エージェントレス データ コネクタを使用した完全な監視範囲については、監視対象の SAP システムのすべてのクライアント ID (クライアント 000 と 066 を含む) で監視を有効にすることをお勧めします。
詳細については、SAP コミュニティと「Microsoft Sentinel で SAP HANA 監査ログを収集する」を参照してください。
安全な接続に SNC を使用するようにシステムを構成する
SAP データ コネクタ エージェントの既定では、リモート関数呼び出し (RFC) 接続と認証用のユーザー名とパスワードを使用して SAP サーバーに接続します。
ただし、場合によっては、暗号化されたチャネルで接続を確立したり、認証にクライアント証明書を使用したりする必要があります。 このような場合は、このセクションで説明するように、SAP のスマート ネットワーク コミュニケーション (SNC) を使用してデータ接続をセキュリティで保護します。
運用環境では、SAP 管理者に相談して、SNC を構成するための展開プランを作成することを強くお勧めします。 詳細については、SAP のドキュメントを参照してください。
SNC を構成する場合:
- エンタープライズ証明機関からクライアント証明書が発行された場合は、発行元の CA 証明書とルート CA 証明書を、データ コネクタ エージェントを作成する予定のシステムに転送します。
- データ コネクタ エージェントを使用している場合は、SAP データ コネクタ エージェント コンテナーを構成するときに、必ず関連する値も入力し、関連する手順を使用してください。 エージェントレス データ コネクタを使用している場合、SNC 構成は SAP Cloud Connector で行われます。
SNC の詳細については、「RFC 統合における SAP SNC の概要 - SAP のブログ」を参照してください。
追加のデータ取得についてサポートを構成する (推奨)
この手順は省略可能ですが、SAP データ コネクタが SAP システムから次のコンテンツ情報を取得できるようにすることをお勧めします。
- DB テーブルとスプール出力のログ
- クライアント IP アドレス情報をセキュリティ監査ログから
SAP のバージョンに従って、Microsoft Sentinel GitHub リポジトリから関連する CR をデプロイします。
SAP BASIS のバージョン 推奨される CR 750 以降 NPLK900202: K900202.NPL、R900202.NPL
この CR を次の SAP バージョンのいずれかにデプロイする場合は、2641084 - セキュリティ監査ログのデータに対する標準化された読み取りアクセス権もデプロイします。
- 750 SP04 から SP12
- 751 SP00 から SP06
- 752 SP00 から SP02740 NPLK900201: K900201.NPL、R900201.NPL 他の CR をデプロイする場合と同様に、必要に応じてこれらの CR を SAP システムにデプロイします。 SAP CR のデプロイは、経験豊富な SAP システム管理者が行うことを強くお勧めします。 詳細については、SAP のドキュメントを参照してください。
詳細については、SAP コミュニティと SAP ドキュメントを参照してください。
クライアント IP アドレス情報を Microsoft Sentinel に送信する際に SAP BASIS バージョン 7.31-7.5 SP12 をサポートするには、SAP テーブル USR41 のログ記録をアクティブにします。 詳細については、SAP のドキュメントを参照してください。
PAHI テーブルが定期的に更新されていることを確認する
SAP PAHI テーブルには、SAP システム、データベース、SAP パラメーターの履歴に関するデータが含まれています。 場合によっては、構成に不足や問題があるため、SAP アプリケーション向け Microsoft Sentinel ソリューションで SAP PAHI テーブルを定期的に監視できないことがあります。 PAHI テーブルを更新し、それを頻繁に監視することが重要です。こうすることで、SAP アプリケーション向け Microsoft Sentinel ソリューションは、1 日を通していつでも発生する可能性のある疑わしいアクションに対してアラートを生成できます。 詳細については、次を参照してください。
PAHI テーブルが定期的に更新される場合、SAP_COLLECTOR_FOR_PERFMONITOR ジョブがスケジュールされ、1 時間ごとに実行されます。
SAP_COLLECTOR_FOR_PERFMONITOR ジョブが存在しない場合は、必要に応じて構成してください。
詳細については、「Database Collector in Background Processing」(バックグラウンド処理におけるデータベース コレクター) と「Configuring the Data Collector」(データ コレクターの構成) を参照してください。
SAP BTP 設定を構成する
SAP BTP サブアカウントで、次のサービスのエンタイトルメントを追加します。
- SAP Integration Suite
- SAP プロセス統合ランタイム
- Cloud Foundry ランタイム
注
この記事では、Cloud Foundry 環境での SAP Cloud Integration のみを考慮します。 Neo 環境では、Cloud Foundry サービス キーではなく、SAP の最新のドキュメントと OAuth2 構成を確認します。
Cloud Foundry Runtime のインスタンスを作成し、Cloud Foundry スペースの作成も行います。
SAP Integration Suite のインスタンスを作成します。
SAP BTP サブアカウント ユーザー アカウントにSAP BTP Integration_Provisioner ロールを割り当てます。
SAP Integration Suite で、Cloud Integration 機能を追加します。
次のプロセス統合ロールをユーザー アカウントに割り当てます。
- PI_Administrator
- PI_Integration_Developer
- PI_Business_Expert
これらのロールは、Cloud Integration 機能をアクティブ化した後にのみ使用できます。
(API ではなく) サービス プラン統合フローを使用して、サブアカウントに SAP Process Integration Runtime のインスタンスを作成します。
SAP Process Integration Runtime のサービス キーを作成し、JSON コンテンツを安全な場所に保存します。 SAP Process Integration Runtime のサービス キーを作成する前に、Cloud Integration 機能をアクティブ化する必要があります。
詳細については、SAP のドキュメントを参照してください。
Microsoft Sentinel と SAP システムでコネクタを構成する
この手順には、Microsoft Sentinel と SAP システムの両方の手順があり、SAP 管理者との調整が必要です。
Microsoft Sentinel で、[ Configuration > Data connectors]\(データ コネクタの構成 \) ページに移動し 、Microsoft Sentinel for SAP - エージェントレス データ コネクタを見つけます。
[ 構成 ] セクションで、[ 初期コネクタの構成 - 次の手順を 1 回実行する: ] セクションの指示に従って展開し、従います。 これらの手順には、SecuritySOC エンジニアと SAP 管理者の両方が必要です。
Azure リソースの自動デプロイをトリガーする (SOC エンジニア)。 Azure リソースをデプロイした後、手順 2 と 3 の値が自動的に設定されない場合は、手順 1 を閉じて再展開して、手順 2 と 3 の値を更新します。
SAP Integration (SAP Admin) に OAuth2 クライアント資格情報成果物をデプロイします。
データ コネクタ UI に表示される Log Analytics ワークスペース キーを含む workspaceKey という名前の SECURE Parameter 成果物を SAP Integration (SAP Admin) にデプロイします。
SAP エージェントレス データ コネクタ パッケージを SAP Integration Suite (SAP Admin) にデプロイします。
- 統合パッケージをダウンロードし、SAP Integration Suite にアップロードします。 詳細については、SAP のドキュメントを参照してください。
- パッケージを開き、[ 成果物 ] タブに移動します。次に、 データ コレクター の構成を選択します。 詳細については、SAP のドキュメントを参照してください。
- LogIngestionURL と DCRImmutableID を使用して統合フローを構成します。
- ランタイム サービスとして SAP Cloud Integration を使用して iflow をデプロイします。
前提条件チェッカーを実行する
前提条件チェッカー iflow はパッケージに含まれています。 Microsoft Sentinel からの統合を試みる前に、SAP システムがシステムの前提条件を満たしていることを確認するために、次の手順に進む前に、この iflow を 手動で 実行することをお勧めします。
ツールを実行するには:
統合パッケージを開き、[成果物] タブに移動し、 前提条件チェッカー iflow >Configure を選択します。
リモート関数呼び出し (RFC) のターゲット宛先名を、確認する SAP システムに設定します。 たとえば、「
A4H-100-Sentinel-RFC」のように入力します。SAP システムの場合と同様に、iflow をデプロイします。
任意の REST クライアントから iflow をトリガーします。 たとえば、次のサンプル PowerShell スクリプトを使用して、環境のサンプル プレースホルダー値を変更します。
$cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes) $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret")) $headers = @{ "Authorization" = "Basic $credentials" "Content-Type" = "application/json" } $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" ` -Method Post ` -Headers $headers $token = ($authResponse.Content | ConvertFrom-Json).access_token $path = "/http/checkSAP" $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))" $headers = @{ "Authorization" = "Bearer $token" "Content-Type" = "application/json" } $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers Write-Host $response.RawContent
Microsoft Sentinel に接続する前に、前提条件チェッカーが警告なしで正常に実行されていること(ステータスコードが 200 であること)を確認してください。
結果がある場合は、応答の詳細で修復手順に関するガイダンスを参照してください。 従来の SAP システムでは、多くの場合、追加の SAP ノートが必要です。 さらに、一般的な問題と解決策については、 トラブルシューティングのセクション を参照してください。
[構成] 領域をさらに下にスクロールし、「監視対象 SAP システムの追加 - 監視対象の SAP システムごとに以下の手順を実行する: 監視する各 SAP システムの領域」の手順を展開して従います。
手順 2 SAP システムを Microsoft Sentinel または SOC エンジニアに接続する際、引き続き SAP システムを Microsoft Sentinel に接続します。
SAP Cloud Connector の設定を構成する
SAP Cloud Connector をインストールします。 詳細については、SAP のドキュメントを参照してください。
クラウド コネクタ インターフェイスでサインインし、関連する資格情報を使用してサブアカウントを追加します。 詳細については、SAP のドキュメントを参照してください。
クラウド コネクタのサブアカウントで、バックエンド システムに新しいシステム マッピングを追加して、ABAP システムを RFC プロトコルにマップします。
負荷分散オプションを定義し、バックエンド ABAP サーバーの詳細を入力します。 この手順では、デプロイ プロセスの後半で使用するために、仮想ホストの名前を安全な場所にコピーします。
次の各関数名のシステム マッピングに新しいリソースを追加します。
RSAU_API_GET_LOG_DATA、SAP セキュリティ監査ログ データのフェッチ用
BAPI_USER_GET_DETAIL、SAP ユーザーの詳細の取得用
RFC_READ_TABLE、必要なテーブルからのデータの読み取り用
SIAG_ROLE_GET_AUTHを使用して、セキュリティロールの権限を取得します。
/OSP/SYSTEM_TIMEZONE、SAP システムのタイムゾーンの詳細を取得する
注
指定された ロール は、最小限の特権アクセス用に構成されます。 これにより、RFC_READ_TABLEなどの汎用モジュールが必要に応じてのみ使用されるようになります。 SAP Cloud Connector と SAP ロールの制御を超えて関数モジュールのアクセスを制御するための 、RFC アクセス と SAP Unified Connectivity (UCON) 設定に関する SAP のベスト プラクティスを検討してください。
前に作成した仮想ホストを指す新しい宛先を SAP BTP に追加します。 次の詳細を使用して、新しい宛先を設定します。
名前: Microsoft Sentinel との接続に使用する名前を入力します
種類
RFCプロキシの種類:
On-Premiseユーザー: Microsoft Sentinel 用に先ほど作成した ABAP ユーザー アカウントを入力します
認可の種類:
CONFIGURED USERその他のプロパティ:
jco.client.ashost = <virtual host name>jco.client.client = <client e.g. 001>jco.client.sysnr = <system number = 00>jco.client.lang = EN
場所: 複数の Cloud Connector を同一の BTP サブアカウントに接続する場合にのみ必要です。 詳細については、SAP のドキュメントを参照してください。