Partage via


Configurer votre système SAP pour la solution Microsoft Sentinel

Cet article explique comment préparer votre environnement SAP pour la connexion à l’agent de connecteur de données SAP. La préparation inclut la configuration des autorisations SAP requises et, éventuellement, le déploiement de demandes de modification SAP supplémentaires.

Cet article correspond à la deuxième étape du déploiement des applications Solution Microsoft Sentinel pour SAP.

Diagramme du flux de déploiement des applications Solution Microsoft Sentinel pour SAP, avec l’étape Préparation de SAP mise en évidence.

Les procédures décrites dans cet article sont généralement effectuées par votre équipe SAP BASIS.

Prérequis

Configurer le rôle Microsoft Sentinel

Pour autoriser le connecteur de données SAP à se connecter à votre système SAP, vous devez créer pour cela un rôle de système SAP.

  • Pour inclure à la fois la récupération des journaux et les actions de réponse aux interruptions dues à des attaques, nous vous recommandons de créer ce rôle en chargeant les autorisations de rôle depuis le fichier /MSFTSEN/SENTINEL_RESPONDER.

  • Pour inclure seulement la récupération des journaux, nous vous recommandons de créer ce rôle en déployant la demande de modification SAP NPLK900271 : K900271.NPL | R900271.NPL

    Déployez selon les besoins les demandes de modification sur votre système SAP, comme vous le feriez pour d’autres demandes de modification. Nous vous recommandons vivement de confier le déploiement des demandes de modification SAP à un administrateur système SAP expérimenté. Pour plus d’informations, consultez la documentation SAP.

    Vous pouvez aussi charger les autorisations de rôle depuis le fichier MSFTSEN_SENTINEL_CONNECTOR, qui inclut toutes les autorisations de base pour que le connecteur de données puisse fonctionner.

    Les administrateurs SAP expérimentés peuvent choisir de créer le rôle manuellement et de lui attribuer les autorisations appropriées. Dans ces situations, créez un rôle manuellement avec les autorisations appropriées requises pour les journaux que vous voulez ingérer. Pour plus d’informations, consultez Autorisations ABAP requises. Les exemples de notre documentation utilisent le nom /MSFTSEN/SENTINEL_RESPONDER.

Lors de la configuration du rôle, nous vous recommandons de :

  • Générez un profil de rôle actif pour Microsoft Sentinel en exécutant la transaction PFCG.
  • Utilisez /MSFTSEN/SENTINEL_RESPONDER comme nom de rôle.

Pour plus d’informations, consultez la documentation SAP sur la création de rôles.

Créer un utilisateur

Les applications Solution Microsoft Sentinel pour SAP nécessitent un compte d’utilisateur pour se connecter à votre système SAP. Lors de la création de votre utilisateur :

  • Veillez à créer un utilisateur système.
  • Attribuez le rôle /MSFTSEN/SENTINEL_RESPONDER à l’utilisateur que vous avez créé à l’étape précédente.

Pour plus d’informations, consultez la documentation SAP.

Configurer l’audit SAP

La journalisation d’audit peut ne pas être activée par défaut sur certaines installations de systèmes SAP. Pour obtenir de meilleurs résultats en matière d’évaluation des performances et de l’efficacité des applications Solution Microsoft Sentinel pour SAP, activez l’audit de votre système SAP et configurez les paramètres d’audit. Si vous voulez ingérer des journaux de base de données SAP HANA, veillez à activer également l’audit pour la base de données SAP HANA.

Nous vous recommandons de configurer l’audit pour tous les messages du journal d’audit, car ces données sont utiles pour les détections de Microsoft Sentinel, ainsi que dans les investigations et le repérage post-compromission.

Pour plus d’informations, consultez la Communauté SAP et Collecter les journaux d’audit SAP HANA dans Microsoft Sentinel.

Bien que cette étape soit facultative, nous vous recommandons de déployer des demandes de modification supplémentaires à partir du référentiel GitHub Microsoft Sentinel pour permettre au connecteur de données SAP de récupérer les informations de contenu suivantes auprès de votre système SAP :

  • Journaux Table de base de données et Sortie de spool
  • Informations sur les adresses IP des clients provenant des journaux d’audit de sécurité (SAP BASIS version 7.5 SP12 et ultérieure uniquement)

Déployez les demandes de modification appropriées en fonction de votre version SAP :

Versions de SAP Basis CR recommandée
750 et ultérieur NPLK900202 : K900202.NPL, R900202.NPL

Lors du déploiement de cette demande de modification sur les versions SAP suivantes, déployez également 2641084 – Accès en lecture standardisé aux données du journal d’audit de sécurité :
- 750 SP04 à SP12
- 751 SP00 à SP06
- 752 SP00 à SP02
740 NPLK900201 : K900201.NPL, R900201.NPL

Déployez selon les besoins les demandes de modification sur votre système SAP, comme vous le feriez pour d’autres demandes de modification. Nous vous recommandons vivement de confier le déploiement des demandes de modification SAP à un administrateur système SAP expérimenté. Pour plus d’informations, consultez la documentation SAP.

Pour plus d’informations, consultez la Communauté SAP et la Documentation SAP.

Vérifier que la table PAHI est mise à jour à intervalles réguliers

La table SAP PAHI contient des données sur l’historique du système SAP, la base de données et les paramètres SAP. Dans certains cas, les applications Solution Microsoft Sentinel pour SAP ne peuvent pas surveiller la table SAP PAHI à intervalles réguliers, en raison d’une configuration manquante ou défectueuse. Il est important de mettre à jour la table PAHI et de la surveiller fréquemment, afin que les applications Solution Microsoft Sentinel pour SAP puissent alerter en cas d’actions suspectes qui peuvent se produire à tout moment de la journée. Pour plus d’informations, consultez l’article suivant :

Si la table PAHI est mise à jour régulièrement, le travail SAP_COLLECTOR_FOR_PERFMONITOR est planifié et s’exécute toutes les heures. Si le travail SAP_COLLECTOR_FOR_PERFMONITOR n’existe pas, veillez à le configurer selon les besoins.

Pour plus d’informations, consultez : Collecteur de bases de données dans les traitements en arrière-plan et Configuration du collecteur de données.

Configurer votre système pour utiliser SNC pour des connexions sécurisées

Par défaut, l’agent de connecteur de données SAP se connecte à un serveur SAP en utilisant une connexion RFC (Remote Function Call) et un nom d’utilisateur/mot de passe pour l’authentification.

Cependant, il peut être nécessaire d’établir la connexion sur un canal chiffré ou d’utiliser des certificats clients pour l’authentification. Dans ces situations, utilisez Smart Network Communications (SNC) de SAP pour sécuriser vos connexions de données, comme décrit dans cette section.

Dans un environnement de production, nous vous recommandons fortement de consulter les administrateurs SAP afin de créer un plan de déploiement pour la configuration de SNC. Pour plus d’informations, consultez la documentation SAP.

Lors de la configuration de SNC :

  • Si le certificat client a été émis par une autorité de certification d’entreprise, transférez l’autorité de certification émettrice et les certificats d’autorité de certification racine sur le système où vous prévoyez de créer l’agent de connecteur de données.
  • Veillez également à entrer les valeurs pertinentes et à utiliser les procédures appropriées lors de la configuration du conteneur de l’agent de connecteur de données SAP.

Étape suivante