Partager via

Autorisations ABAP requises

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Cet article liste les autorisations ABAP nécessaires pour vérifier que le compte d’utilisateur SAP utilisé par le connecteur de données SAP de Microsoft Sentinel peut récupérer correctement les journaux des systèmes SAP, et exécuter des actions de réponse aux interruptions d’attaque.

Les autorisations requises sont regroupées par leur objectif. Vous avez uniquement besoin des autorisations répertoriées pour les types de journaux que vous souhaitez intégrer dans Microsoft Sentinel et les actions de réponse aux interruptions d’attaque que vous souhaitez appliquer.

Conseil

Pour créer un rôle avec toutes les autorisations requises, chargez les autorisations de rôle à partir du fichier /MSFTSEN/SENTINEL_RESPONDER.

De plus, pour activer uniquement la récupération des journaux, sans actions de réponse aux interruptions d’attaque, déployez la demande de modification NPLK900271 SAP sur le système SAP pour créer le rôle /MSFTSEN/SENTINEL_CONNECTOR, ou chargez les autorisations de rôle à partir du fichier /MSFTSEN/SENTINEL_CONNECTOR.

Si nécessaire, vous pouvez supprimer le rôle utilisateur et toute demande de modification facultative installée sur votre système ABAP.

Journal des applications ABAP

Objet d’autorisation Champ Valeur
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT Affichage

Journal des documents de modification ABAP

Objet d’autorisation Champ Valeur
S_TABU_NAM TABLE CDHDR
S_TABU_NAM TABLE CDPOS

Journal ABAP CR

Objet d’autorisation Champ Valeur
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABLE E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT Affichage

Journal des données de table ABAP DB

Objet d’autorisation Champ Valeur
S_TABU_NAM TABLE DBTABLOG
S_TABU_NAM TABLE SACF_ALERT
S_TABU_NAM TABLE SOUD
S_TABU_NAM TABLE USR41
S_TABU_NAM TABLE TMSQAFILTER

Journal des travaux ABAP

Objet d’autorisation Champ Valeur
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP

Journal d’audit de sécurité ABAP

Objet d’autorisation Champ Valeur
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (Authentification de l’audit de base.)
S_SAL SAL_ACTVT SHOW_LOG (évaluer le journal basé sur les fichiers)
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT Affichage
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT Verrouillage
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XAL

Journaux spool ABAP

Objet d’autorisation Champ Valeur
S_TABU_NAM TABLE TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (Utilisation de transaction SP01 (tous les systèmes))

Journal de workflow ABAP

Objet d’autorisation Champ Valeur
S_TABU_NAM TABLE SWWLOGHIST
S_TABU_NAM TABLE SWWWIHEAD

Tous les journaux d’activité

Objet d’autorisation Champ Valeur
S_RFC RFC_TYPE Module de fonction
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT Execute
S_TCODE TCD SM51
S_TABU_NAM ACTVT Affichage
S_TABU_NAM TABLE T000

Actions de réponse aux interruptions d’attaque

Objet d’autorisation Champ Valeur
S_RFC RFC_TYPE Module de fonction
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
Contrairement à son nom, cette fonction ne supprime pas les utilisateurs, mais met fin à la session utilisateur active.
S_USER_GRP CLASS *
Nous vous recommandons de remplacer S_USER_GRP CLASS par les classes pertinentes de votre organisation qui représentent les utilisateurs du dialogue.
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

Historique de configuration

Objet d’autorisation Champ Valeur
S_TABU_NAM TABLE PAHI

Journaux facultatifs, si la demande de modification de la solution Microsoft Sentinel est implémentée

Objet d’autorisation Champ Valeur
S_RFC RFC_NAME /MSFTSEN/*

Données SNC

Objet d’autorisation Champ Valeur
S_TABU_NAM TABLE SNCSYSACL
S_TABU_NAM TABLE USRACL

Données utilisateur

Objet d’autorisation Champ Valeur
S_TABU_NAM TABLE ADCP
S_TABU_NAM TABLE ADR6
S_TABU_NAM TABLE AGR_1251
S_TABU_NAM TABLE AGR_AGRS
S_TABU_NAM TABLE AGR_DEFINE
S_TABU_NAM TABLE AGR_FLAGS
S_TABU_NAM TABLE AGR_PROF
S_TABU_NAM TABLE AGR_TCODES
S_TABU_NAM TABLE AGR_USERS
S_TABU_NAM TABLE DEVACCESS
S_TABU_NAM TABLE USER_ADDR
S_TABU_NAM TABLE USGRP_USER
S_TABU_NAM TABLE USR01
S_TABU_NAM TABLE USR02
S_TABU_NAM TABLE USR05
S_TABU_NAM TABLE USR21
S_TABU_NAM TABLE USRSTAMP
S_TABU_NAM TABLE UST04

Contenu connexe

Pour plus d’informations, consultez Configurer votre système SAP pour la solution Microsoft Sentinel.