Configurer votre système SAP pour la solution Microsoft Sentinel
Cet article explique comment préparer votre environnement SAP pour la connexion à l’agent de connecteur de données SAP. La préparation inclut la configuration des autorisations SAP requises et, éventuellement, le déploiement de demandes de modification SAP supplémentaires.
Cet article correspond à la deuxième étape du déploiement des applications Solution Microsoft Sentinel pour SAP.
Les procédures décrites dans cet article sont généralement effectuées par votre équipe SAP BASIS.
Prérequis
- Avant de commencer, veillez à passer en revue les prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP.
Configurer le rôle Microsoft Sentinel
Pour autoriser le connecteur de données SAP à se connecter à votre système SAP, vous devez créer pour cela un rôle de système SAP.
Pour inclure à la fois la récupération des journaux et les actions de réponse aux interruptions dues à des attaques, nous vous recommandons de créer ce rôle en chargeant les autorisations de rôle depuis le fichier /MSFTSEN/SENTINEL_RESPONDER.
Pour inclure seulement la récupération des journaux, nous vous recommandons de créer ce rôle en déployant la demande de modification SAP NPLK900271 : K900271.NPL | R900271.NPL
Déployez selon les besoins les demandes de modification sur votre système SAP, comme vous le feriez pour d’autres demandes de modification. Nous vous recommandons vivement de confier le déploiement des demandes de modification SAP à un administrateur système SAP expérimenté. Pour plus d’informations, consultez la documentation SAP.
Vous pouvez aussi charger les autorisations de rôle depuis le fichier MSFTSEN_SENTINEL_CONNECTOR, qui inclut toutes les autorisations de base pour que le connecteur de données puisse fonctionner.
Les administrateurs SAP expérimentés peuvent choisir de créer le rôle manuellement et de lui attribuer les autorisations appropriées. Dans ces situations, créez un rôle manuellement avec les autorisations appropriées requises pour les journaux que vous voulez ingérer. Pour plus d’informations, consultez Autorisations ABAP requises. Les exemples de notre documentation utilisent le nom /MSFTSEN/SENTINEL_RESPONDER.
Lors de la configuration du rôle, nous vous recommandons de :
- Générez un profil de rôle actif pour Microsoft Sentinel en exécutant la transaction PFCG.
- Utilisez
/MSFTSEN/SENTINEL_RESPONDER
comme nom de rôle.
Pour plus d’informations, consultez la documentation SAP sur la création de rôles.
Créer un utilisateur
Les applications Solution Microsoft Sentinel pour SAP nécessitent un compte d’utilisateur pour se connecter à votre système SAP. Lors de la création de votre utilisateur :
- Veillez à créer un utilisateur système.
- Attribuez le rôle /MSFTSEN/SENTINEL_RESPONDER à l’utilisateur que vous avez créé à l’étape précédente.
Pour plus d’informations, consultez la documentation SAP.
Configurer l’audit SAP
La journalisation d’audit peut ne pas être activée par défaut sur certaines installations de systèmes SAP. Pour obtenir de meilleurs résultats en matière d’évaluation des performances et de l’efficacité des applications Solution Microsoft Sentinel pour SAP, activez l’audit de votre système SAP et configurez les paramètres d’audit. Si vous voulez ingérer des journaux de base de données SAP HANA, veillez à activer également l’audit pour la base de données SAP HANA.
Nous vous recommandons de configurer l’audit pour tous les messages du journal d’audit, car ces données sont utiles pour les détections de Microsoft Sentinel, ainsi que dans les investigations et le repérage post-compromission.
Pour plus d’informations, consultez la Communauté SAP et Collecter les journaux d’audit SAP HANA dans Microsoft Sentinel.
Configurer la prise en charge de la récupération de données supplémentaire (recommandé)
Bien que cette étape soit facultative, nous vous recommandons de déployer des demandes de modification supplémentaires à partir du référentiel GitHub Microsoft Sentinel pour permettre au connecteur de données SAP de récupérer les informations de contenu suivantes auprès de votre système SAP :
- Journaux Table de base de données et Sortie de spool
- Informations sur les adresses IP des clients provenant des journaux d’audit de sécurité (SAP BASIS version 7.5 SP12 et ultérieure uniquement)
Déployez les demandes de modification appropriées en fonction de votre version SAP :
Versions de SAP Basis | CR recommandée |
---|---|
750 et ultérieur | NPLK900202 : K900202.NPL, R900202.NPL Lors du déploiement de cette demande de modification sur les versions SAP suivantes, déployez également 2641084 – Accès en lecture standardisé aux données du journal d’audit de sécurité : - 750 SP04 à SP12 - 751 SP00 à SP06 - 752 SP00 à SP02 |
740 | NPLK900201 : K900201.NPL, R900201.NPL |
Déployez selon les besoins les demandes de modification sur votre système SAP, comme vous le feriez pour d’autres demandes de modification. Nous vous recommandons vivement de confier le déploiement des demandes de modification SAP à un administrateur système SAP expérimenté. Pour plus d’informations, consultez la documentation SAP.
Pour plus d’informations, consultez la Communauté SAP et la Documentation SAP.
Vérifier que la table PAHI est mise à jour à intervalles réguliers
La table SAP PAHI contient des données sur l’historique du système SAP, la base de données et les paramètres SAP. Dans certains cas, les applications Solution Microsoft Sentinel pour SAP ne peuvent pas surveiller la table SAP PAHI à intervalles réguliers, en raison d’une configuration manquante ou défectueuse. Il est important de mettre à jour la table PAHI et de la surveiller fréquemment, afin que les applications Solution Microsoft Sentinel pour SAP puissent alerter en cas d’actions suspectes qui peuvent se produire à tout moment de la journée. Pour plus d’informations, consultez l’article suivant :
- Note SAP 12103
- Surveillance de la configuration des paramètres de sécurité du SAP statiques (Préversion)
Si la table PAHI est mise à jour régulièrement, le travail SAP_COLLECTOR_FOR_PERFMONITOR
est planifié et s’exécute toutes les heures. Si le travail SAP_COLLECTOR_FOR_PERFMONITOR
n’existe pas, veillez à le configurer selon les besoins.
Pour plus d’informations, consultez : Collecteur de bases de données dans les traitements en arrière-plan et Configuration du collecteur de données.
Configurer votre système pour utiliser SNC pour des connexions sécurisées
Par défaut, l’agent de connecteur de données SAP se connecte à un serveur SAP en utilisant une connexion RFC (Remote Function Call) et un nom d’utilisateur/mot de passe pour l’authentification.
Cependant, il peut être nécessaire d’établir la connexion sur un canal chiffré ou d’utiliser des certificats clients pour l’authentification. Dans ces situations, utilisez Smart Network Communications (SNC) de SAP pour sécuriser vos connexions de données, comme décrit dans cette section.
Dans un environnement de production, nous vous recommandons fortement de consulter les administrateurs SAP afin de créer un plan de déploiement pour la configuration de SNC. Pour plus d’informations, consultez la documentation SAP.
Lors de la configuration de SNC :
- Si le certificat client a été émis par une autorité de certification d’entreprise, transférez l’autorité de certification émettrice et les certificats d’autorité de certification racine sur le système où vous prévoyez de créer l’agent de connecteur de données.
- Veillez également à entrer les valeurs pertinentes et à utiliser les procédures appropriées lors de la configuration du conteneur de l’agent de connecteur de données SAP.