Solution Microsoft Sentinel pour les applications SAP : vue d’ensemble du déploiement

La Solution Microsoft Sentinel pour les applications SAP vous permet de surveiller vos systèmes SAP avec Microsoft Sentinel et de détecter les menaces sophistiquées au niveau des couches de logique métier et d’application de vos applications SAP.

Cet article présente le déploiement de la Solution Microsoft Sentinel pour les applications SAP.

Composants de la solution

La Solution Microsoft Sentinel pour les applications SAP comprend un connecteur de données qui collecte les journaux à partir de vos systèmes SAP et les envoie à votre espace de travail Microsoft Sentinel. Elle comprend également un contenu de sécurité prêt à l’emploi qui vous aide à mieux comprendre l’environnement SAP de votre organisation, à détecter les menaces de sécurité et à y répondre.

Connecteur de données

La solution Microsoft Sentinel pour les applications SAP prend en charge à la fois un connecteur de données sans agent et un agent de connecteur de données conteneurisé. Les deux agents collectent les journaux d’application pour tous vos identificateurs de sécurité (SID) SAP intégrés dans l’ensemble de l’environnement système SAP, puis envoient ces journaux à votre espace de travail Log Analytics dans Microsoft Sentinel.

Important

L’agent de connecteur de données pour SAP est en cours d’obsolétude et sera définitivement désactivé d’ici le 30 septembre 2026. Nous vous recommandons de migrer vers le connecteur de données sans agent. Découvrez-en plus sur l’approche sans agent dans notre article de blog.

Sélectionnez l’un des onglets suivants pour en savoir plus :

Connecteur de données sans agent

Le connecteur de données sans agent Microsoft Sentinel pour SAP utilise le SAP Cloud Connector et SAP Integration Suite pour se connecter à votre système SAP et en extraire des journaux, comme illustré dans l’image suivante :

En utilisant SAP Cloud Connector, le connecteur de données sans agent bénéficie des configurations existantes et des processus d’intégration établis. Cela signifie que vous n’avez pas à vous attaquer à nouveau aux problèmes de réseau, car les personnes utilisant votre SAP Cloud Connector ont déjà suivi ce processus.

Le connecteur de données sans agent est compatible avec les systèmes SAP NetWeaver. Parmi eux, SAP S/4HANA Cloud, Private Edition (RISE with SAP), SAP S/4HANA local, SAP ERP Central Component (ECC), SAP Business Warehouse (BW), et bien plus encore, garantissant une fonctionnalité continue du contenu de sécurité existant, notamment les détections, les classeurs et les playbooks.

Le connecteur de données sans agent ingère les journaux de sécurité critiques, tels que le journal d’audit de sécurité, les journaux de documentation et les données de référence utilisateur, y compris les rôles d’utilisateur et les autorisations.

Agent de connecteur de données conteneurisé (déconseillé)

Par exemple, l’image suivante illustre un environnement SAP à plusieurs SID avec une division entre les systèmes de production et les systèmes hors production, notamment SAP Business Technology Platform. Tous les systèmes de cette image sont intégrés dans la Solution Microsoft Sentinel pour SAP.

L’agent se connecte à votre système SAP pour extraire les journaux et d’autres données, puis envoie ces journaux à votre espace de travail Microsoft Sentinel. Pour ce faire, l’agent doit s’authentifier auprès de votre système SAP en utilisant un utilisateur et un rôle créés spécifiquement à cet effet.

Microsoft Sentinel prend en charge quelques options pour stocker les informations de configuration de votre agent, notamment la configuration de vos secrets d’authentification SAP. Le choix de l’option peut dépendre de l’endroit où vous déployez votre machine virtuelle et du mécanisme d’authentification SAP que vous utilisez. Les options prises en charge sont les suivantes, listées par ordre de préférence :

• Un coffre Azure Key Vault accessible via une identité managée affectée par le système Azure
• Un coffre Azure Key Vault accessible via un principal de service d’application inscrite Microsoft Entra ID
• Un fichier de configuration en texte clair

Vous pouvez également vous authentifier à l’aide de certificats X.509 et SNC (Secure Network Communication) de SAP. Bien que l’utilisation de SNC offre un niveau de sécurité d’authentification supérieur, il peut ne pas convenir à tous les scénarios.

Contenu de sécurité

Les solutions Microsoft Sentinel pour les applications SAP incluent les types de contenu de sécurité suivants pour vous aider à obtenir des insights sur l’environnement SAP de votre organisation, à détecter les menaces de sécurité et à y répondre :

• Règles d’analyse et listes de suivi pour détecter les menaces.
• Fonctions pour accéder facilement aux données.
• Classeurs pour créer une visualisation interactive des données.
• Listes de suivi pour personnaliser les paramètres de solution intégrés.
• Playbooks que vous pouvez utiliser pour automatiser les réponses aux menaces.

Pour plus d’informations, consultez les applications Solution Microsoft Sentinel pour SAP : référence relative au contenu de sécurité.

Flux de déploiement et personnages

Le déploiement des solutions Microsoft Sentinel pour les applications SAP implique plusieurs étapes et nécessite une collaboration entre plusieurs équipes, en fonction de l’utilisation du connecteur de données sans agent ou d’un agent de connecteur de données. Sélectionnez l’un des onglets suivants pour en savoir plus :

Connecteur de données sans agent

Le déploiement des solutions Microsoft Sentinel pour les applications SAP implique plusieurs étapes et nécessite une collaboration entre les équipes en charge de la sécurité et de SAP BASIS. L’image suivante montre les étapes de déploiement des solutions Microsoft Sentinel pour les applications SAP avec les équipes concernées :

Nous vous recommandons d’impliquer les deux équipes lors de la planification de votre déploiement pour répartir les efforts et garantir le bon déroulement du déploiement.

Le déploiement inclut les étapes suivantes :

1. Passez en revue les conditions préalables pour le déploiement du connecteur de données sans agent SAP.

2. Déployez la solution d’applications SAP à partir du hub de contenu. Cette étape est gérée par l’équipe de sécurité dans le Portail Azure.

3. Configurer votre système SAP pour la solution Microsoft Sentinel, ce qui comprend la configuration des autorisations SAP, la configuration de l’audit SAP, etc. Nous recommandons que ces étapes soient effectuées par votre équipe SAP BASIS (notre documentation inclut des références à la documentation SAP). Certaines des procédures de cette étape peuvent être effectuées par l’équipe SAP BASIS avant d’installer la solution.

4. Connectez votre système SAP à l’aide d’un connecteur de données sans agent avec le SAP Cloud Connector. Cette étape est gérée par votre équipe de sécurité sur le Portail Azure, à l’aide des informations fournies par votre équipe SAP BASIS.

5. Activer les détections et la protection contre les menaces de SAP. Cette étape est gérée par l’équipe de sécurité dans le Portail Azure.

Agent de connecteur de données conteneurisé

Le déploiement des solutions Microsoft Sentinel pour les applications SAP implique plusieurs étapes et nécessite la collaboration de plusieurs équipes, notamment celles en charge de la sécurité, de l’infrastructure et de SAP BASIS. L’image suivante montre les étapes de déploiement des solutions Microsoft Sentinel pour les applications SAP avec les équipes concernées :

Nous vous recommandons d’impliquer toutes les équipes concernées lors de la planification de votre déploiement pour répartir les efforts et garantir le bon déroulement du déploiement.

Le déploiement inclut les étapes suivantes :

1. Passez en revue les prérequis pour le déploiement de la Solution Microsoft Sentinel pour les applications SAP. Certains prérequis nécessitent un travail de coordination avec vos équipes en charge de l’infrastructure ou de SAP BASIS.

2. Les étapes suivantes peuvent être effectuées en parallèle, car elles impliquent des équipes distinctes et ne dépendent pas les unes des autres :

   1. Déployer la solution Microsoft Sentinel pour les applications SAP à partir du hub de contenu. Veillez à installer la solution adaptée à votre environnement. Cette étape est gérée par l’équipe de sécurité dans le Portail Azure.

   2. Configurer votre système SAP pour la solution Microsoft Sentinel, ce qui comprend la configuration des autorisations SAP, la configuration de l’audit SAP, etc. Nous recommandons que ces étapes soient effectuées par votre équipe SAP BASIS (notre documentation inclut des références à la documentation SAP). Certaines étapes sont également effectuées par l’équipe de sécurité.

3. Connectez votre système SAP en déployant un agent de connecteur de données conteneurisé. Cette étape nécessite un travail de coordination entre les équipes en charge de la sécurité, de l’infrastructure et de SAP BASIS.

4. Activer les détections et la protection contre les menaces de SAP. Cette étape est gérée par l’équipe de sécurité dans le Portail Azure.

Options supplémentaires :

• Collecter les journaux d’audit SAP HANA
• Déployer manuellement un agent de connecteur de données SAP

Arrêter la collecte de données SAP

Si vous utilisez l’agent de connecteur de données et que vous devez arrêter la collecte de vos données SAP par Microsoft Sentinel, arrêtez l’ingestion des journaux et désactivez le connecteur. Supprimez ensuite le rôle d’utilisateur supplémentaire et toutes les demandes de modification facultatives installés sur votre système SAP.

Pour plus d’informations, consultez Arrêter la collecte de données SAP.

Contenu connexe

Pour plus d'informations, consultez les pages suivantes :

• À propos du contenu et des solutions Microsoft Sentinel.
• Monitorer l’intégrité et le rôle de vos systèmes SAP
• Mettre à jour l’agent de connecteur de données SAP de Microsoft Sentinel

Étape suivante

Commencez le déploiement des applications Solution Microsoft Sentinel pour SAP en examinant les conditions préalables :

Prérequis