この記事では、MICROSOFT Sentinel Solution for SAP BTP で使用できるセキュリティ コンテンツについて詳しく説明します。
使用できるセキュリティ コンテンツには、現在、組み込みのブックと分析ルールがあります。 SAP 関連のウォッチリストを追加して、検索、検出規則、脅威ハンティング、応答プレイブックで使用することもできます。
SAP BTP ブック
BTP アクティビティ ブックには、BTP アクティビティのダッシュボードの概要が表示されます。
![SAP BTP ブックの [概要] タブのスクリーンショット。](media/sap-btp-security-content/sap-btp-workbook-btp-overview.png#lightbox)
[概要] タブには、以下が表示されます。
- BTP サブアカウントの概要。アナリストが最もアクティブなアカウントと取り込まれたデータの種類を特定する場合に役立ちます。
- サブアカウント サインイン アクティビティ。SAP Business Application Studio (BAS) でのサインイン エラーに関連する可能性のあるスパイクと傾向をアナリストが特定するのに役立ちます。
- BTP アクティビティのタイムラインと BTP セキュリティ アラートの数。アナリストが 2 つの間の相関関係を調べる場合に役立ちます。
[ID 管理] タブには、ユーザーやセキュリティ ロールの変更などの ID 管理イベントのグリッドが、人間が判読できる形式で表示されます。 検索バーを使用すると、特定の変更をすばやく見つけることができます。
![SAP BTP ブックの [ID 管理] タブのスクリーンショット。](media/sap-btp-security-content/sap-btp-workbook-identity-management.png#lightbox)
詳細については、「Tutorial: データの視覚化と監視および SAP BTP 用の Microsoft Sentinel ソリューションのデプロイを参照してください。
組み込みの分析ルール
これらの分析ルールは、SAP BTP 監査ログを使用して疑わしいアクティビティを検出します。 ルールは、SAP サービスまたは製品領域別に編成されます。 詳細については、SAP BTP 上の Cloud Foundry Services によってログに記録されるセキュリティ イベント に関する SAP の公式ドキュメントを参照してください。
データ ソース: SAPBTPAuditLog_CL
SAP Cloud Integration - Integration Suite
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| BTP - クラウド統合アクセス ポリシーの改ざん | 攻撃者が機密性の高い統合成果物にアクセスしたり、セキュリティ制御を回避したりする可能性があるアクセス ポリシーの未承認の変更を検出します。 | SAP Cloud Integration でアクセス ポリシーまたはアーティファクト参照を作成、変更、または削除します。 | 防御回避、特権エスカレーション |
| BTP - クラウド統合成果物のデプロイ | データ流出、永続化、または統合環境での承認されていないコードの実行に使用される可能性がある、悪意のある可能性のある統合フローのデプロイを検出します。 | SAP Cloud Integration で統合成果物をデプロイまたはデプロイ解除します。 | 実行、永続化 |
| BTP - Cloud Integration JDBC データ ソースの変更 | バックエンド システムへの不正アクセスまたは格納されている接続文字列からの資格情報の盗難を可能にする可能性があるデータベース接続の操作を検出します。 | SAP Cloud Integration で JDBC データ ソースをデプロイまたはデプロイ解除します。 | 資格情報アクセス、横移動 |
| BTP - クラウド統合パッケージのインポートまたはトランスポート | バックドア、サプライ チェーンの侵害、または未承認のコードを統合環境に導入する可能性のある悪意のあるパッケージのインポートを検出します。 | SAP Cloud Integration で統合パッケージ/成果物をインポートまたは転送します。 | 初期アクセス、永続化 |
| BTP - クラウド統合によるセキュリティマテリアルの改ざん | 攻撃者が外部システムを侵害したり、暗号化された通信を傍受したりする可能性がある資格情報、証明書、暗号化キーへの不正アクセスを検出します。 | SAP Cloud Integration で資格情報、X.509 証明書、または PGP キーを作成、更新、または削除します。 | 資格情報アクセス、防御回避 |
SAP Cloud Identity Service - ID 認証
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| BTP - Cloud Identity Service アプリケーション構成モニター | 攻撃者が不正な SSO 構成を介して永続的なバックドア アクセスを確立できる可能性があるフェデレーション アプリケーション (SAML/OIDC) の作成または変更を検出します。 | SAP Cloud Identity Service で SSO ドメイン/サービス プロバイダー構成を作成、更新、または削除します。 | 資格情報アクセス、特権エスカレーション |
| BTP - Cloud Identity Service での一括ユーザーの削除 | 破壊的な攻撃、承認されていないアクティビティの隠匿の試行、または正当なユーザーに対するサービス拒否を示す可能性のある大規模なユーザー アカウントの削除を検出します。 既定のしきい値: 10 |
SAP Cloud Identity Service で定義されたしきい値を超えるユーザー アカウントの数を削除します。 | 影響 |
| BTP - 特権管理者リストに追加されたユーザー | 攻撃者がバックドア アカウントを作成したり、認証制御を変更したりできる強力な ID 管理アクセス許可を割り当て、特権エスカレーションを検出します。 | SAP Cloud Identity Service のユーザーに特権管理者のアクセス許可を付与します。 | 横移動、特権エスカレーション |
SAP Business Application Studio (BAS)
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| BTP - 複数の BAS サブアカウント間で失敗したアクセス試行 | 複数のサブアカウントにわたる開発環境を対象とする偵察アクティビティまたは資格情報スプレー攻撃を検出し、より広範な侵害に備える可能性を示します。 既定のしきい値: 3 |
サブアカウントの定義済みのしきい値数を超える BAS へのサインイン試行が失敗しました。 | 検出、偵察 |
| BTP - BAS 開発空間で検出されたマルウェア | ソフトウェア サプライ チェーンの侵害、アプリケーションへのバックドアの挿入、開発環境での永続化の確立に使用できる、開発ワークスペース内の悪意のあるコードを検出します。 | BAS 開発者スペースでマルウェア ファイルをコピーまたは作成します。 | 実行、永続化、リソース開発 |
SAP ビルド作業ゾーン
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| BTP - ワーク ゾーンの未承認のアクセスとロールの改ざんを構築する | 制限付きポータル リソースへのアクセスの試行、または不正なアクティビティの後に攻撃者がセキュリティ境界を削除したり、トラックをカバーしたりする可能性があるアクセス制御の一括削除を検出します。 | SAP Build Work Zone で未承認の OData サービス アクセスまたはロール/ユーザーの一括削除を検出します。 | 初期アクセス、永続化、防御回避 |
SAP BTP プラットフォームとサブアカウント
| 規則名 | 説明 | ソース アクション | 方針 |
|---|---|---|---|
| BTP - 監査ログ サービスを使用できない | セキュリティ監視を無効にするか、悪意のあるアクティビティを非表示にすることで、攻撃者が検出なしで操作しようとしていることを示す可能性のある監査ログの改ざんの可能性を検出します。 | サブアカウントは、構成されたしきい値 (既定値: 60 分) を超える監査ログを報告できません。 | 防御回避 |
| BTP - サブアカウントでの一括ユーザーの削除 | ユーザー アクセスを削除することで、破壊的な攻撃、妨害の試行、または業務を中断する作業を示す可能性がある大規模なユーザーの削除を検出します。 既定のしきい値: 10 |
定義されたしきい値を超える数のユーザー アカウントを削除します。 | 影響 |
| BTP - 信頼と認可の ID プロバイダー モニター | 攻撃者が代替認証パスを確立したり、セキュリティ制御をバイパスしたり、ID プロバイダーの操作を通じて未承認のアクセスを取得したりする可能性があるフェデレーションと認証の設定に対する変更を検出します。 | サブアカウント内の任意の ID プロバイダー設定の変更、読み取り、更新、または削除を実行します。 | 資格情報アクセス、特権エスカレーション |
| BTP - 機密性の高い特権ロール コレクションに追加されたユーザー | サブアカウント、接続、およびセキュリティ構成を完全に制御できる強力な管理ロールを割り当て、特権エスカレーションの試行を検出します。 | 次のいずれかのロール コレクションをユーザーに割り当てます。 - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator |
横移動、特権エスカレーション |
次のステップ
この記事では、Microsoft Sentinel Solution for SAP BTP で提供されるセキュリティ コンテンツについて説明しました。