Partager via


Déployer le conteneur d’agent du connecteur de données Microsoft Sentinel pour SAP avec des options avancées

Cet article fournit des procédures de déploiement et de configuration du conteneur d’agent du connecteur de données Microsoft Sentinel pour SAP à l’aide d’options de configuration avancées, personnalisées ou manuelles. Pour les déploiements classiques, nous vous recommandons d’utiliser le portail à la place.

Le contenu de cet article est destiné à vos équipes SAP BASIS. Pour plus d’informations, consultez Déployer un agent de connecteur de données SAP depuis la ligne de commande.

Prérequis

Ajouter manuellement les secrets Azure Key Vault de l’agent de connecteur de données SAP

Utilisez le script suivant pour ajouter manuellement des secrets système SAP à votre coffre de clés. Veillez à remplacer les espaces réservés par votre propre ID système et les informations d’identification à ajouter :

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Pour plus d’informations, consultez Démarrage rapide : Créer un coffre de clés à l’aide de l’interface de ligne de commande Azure CLI ainsi que la documentation de l’interface CLI relative à az keyvault secret.

Effectuer une installation experte/personnalisée

Cette procédure décrit comment déployer le connecteur de données Microsoft Sentinel for SAP à l’aide d’une installation d’experts ou personnalisée, par exemple lors d’une installation locale.

Prérequis : Azure Key Vault est la méthode recommandée pour stocker vos informations d’identification d’authentification et vos données de configuration. Nous vous recommandons d’effectuer cette procédure uniquement après avoir préparé un coffre de clés avec vos informations d’identification SAP.

Déployer le connecteur de données Microsoft Sentinel for SAP:

  1. Téléchargez la dernière version du kit SDK SAP NW RFC à partir du site SAP Launchpad>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip, puis enregistrez-la sur votre machine d’agent de connecteur de données.

    Remarque

    Vous aurez besoin de vos informations de connexion d’utilisateur SAP pour accéder au Kit de développement logiciel (SDK), et vous devrez télécharger le Kit de développement logiciel (SDK) qui correspond à votre système d’exploitation.

    Veillez à sélectionner l’option LINUX ON X86_64.

  2. Sur la même machine, créez un dossier avec un nom significatif, puis copiez le fichier zip du kit SDK dans votre nouveau dossier.

  3. Clonez le dépôt GitHub de la solution Microsoft Sentinel sur votre machine locale, puis copiez le fichier systemconfig.json de la Solution Microsoft Sentinel pour applications SAP dans votre nouveau dossier.

    Par exemple :

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
    cd /home/$(pwd)/sapcon/<sap-sid>/
    wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
    cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
    
  4. Modifiez le fichier systemconfig.json selon les besoins, en vous aidant des commentaires incorporés.

    Définissez les configurations suivantes en suivant les instructions fournies dans le fichier systemconfig.json :

    • Journaux à ingérer dans Microsoft Sentinel en suivant les instructions fournies dans le fichier systemconfig.json.
    • S’il faut inclure ou non les adresses e-mail des utilisateurs dans les journaux d’audit
    • S’il faut réessayer ou non les appels d’API qui ont échoué
    • S’il faut inclure ou non les journaux d’audit cexal
    • S’il faut attendre ou non un intervalle de temps entre les extractions de données, en particulier pour les extractions volumineuses

    Pour plus d’informations, consultez Configurer manuellement le connecteur de données Microsoft Sentinel pour SAP et Définir les journaux SAP qui sont envoyés à Microsoft Sentinel.

    Pour tester votre configuration, vous pouvez être amené à ajouter l’utilisateur et le mot de passe directement au fichier config systemconfig.json. Bien que nous vous recommandions d’utiliser Azure Key Vault pour stocker vos informations d’identification, vous pouvez également utiliser un fichier env.list ou des secrets Docker, ou vous pouvez ajouter vos informations d’identification directement au fichier systemconfig.json.

    Pour plus d’informations, consultez Configurations du connecteur de journaux SAL.

  5. Enregistrez votre fichier systemconfig.json mis à jour dans le répertoire sapcon de votre machine.

  6. Si vous avez choisi d’utiliser un fichier env.list pour vos informations d’identification, créez un fichier env.list temporaire avec les informations d’identification requises. Une fois que votre conteneur Docker fonctionne correctement, veillez à supprimer ce fichier.

    Notes

    Dans le script suivant, chaque conteneur Docker se connecte à un système ABAP spécifique. Modifiez votre script selon les besoins de votre environnement.

    Run :

    ##############################################################
    # Include the following section if you're using user authentication
    ##############################################################
    # env.list template for Credentials
    SAPADMUSER=<SET_SAPCONTROL_USER>
    SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
    LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
    LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
    ABAPUSER=SET_ABAP_USER>
    ABAPPASS=<SET_ABAP_PASS>
    JAVAUSER=<SET_JAVA_OS_USER>
    JAVAPASS=<SET_JAVA_OS_USER>
    ##############################################################
    # Include the following section if you are using Azure Keyvault
    ##############################################################
    # env.list template for AZ Cli when MI is not enabled
    AZURE_TENANT_ID=<your tenant id>
    AZURE_CLIENT_ID=<your client/app id>
    AZURE_CLIENT_SECRET=<your password/secret for the service principal>
    ##############################################################
    
  7. Téléchargez et exécutez l’image Docker prédéfinie avec le connecteur de données SAP installé. Run :

    docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
    docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
    rm -f <env.list_location>
    
  8. Vérifiez que le conteneur Docker fonctionne correctement. Run :

    docker logs –f sapcon-[SID]
    
  9. Poursuivez le déploiement de la Solution Microsoft Sentinel pour applications SAP.

    Le déploiement de la solution permet au connecteur de données SAP de s’afficher dans Microsoft Sentinel et déploie le classeur et les règles d’analyse SAP. Lorsque vous avez terminé, ajoutez manuellement et personnalisez vos listes de surveillance SAP.

    Pour plus d’informations, consultez Déployer la solution Microsoft Sentinel pour applications SAP à partir du hub de contenu.

Configurer manuellement le connecteur de données Microsoft Sentinel for SAP

Le connecteur de données Microsoft Sentinel pour SAP est configuré dans le fichier systemconfig.json, que vous avez cloné sur votre machine de connecteur de données SAP dans le cadre de la procédure de déploiement. Utilisez le contenu de cette section pour configurer manuellement les paramètres du connecteur de données.

Pour plus de détails, consultez Informations de référence sur le fichier systemconfig.json, ou Informations de référence sur le fichier systemconfig.ini pour les systèmes hérités.

Définir les journaux SAP qui sont envoyés à Microsoft Sentinel

Le fichier systemconfig par défaut est configuré pour couvrir les analyses intégrées, les tables de données de référence sur les autorisations utilisateur SAP, avec les informations relatives aux utilisateurs et aux privilèges ainsi que le suivi des changements et des activités dans l’environnement SAP. La configuration par défaut fournit davantage d’informations de journalisation pour permettre les investigations post-violation, et étendre les fonctionnalités de chasse.

Toutefois, vous pouvez être amené à personnaliser votre configuration au fil du temps, dans la mesure où les processus métier ont tendance à être saisonniers.

Utilisez les ensembles de code suivants pour configurer le fichier systemconfig.json afin de définir les journaux envoyés à Microsoft Sentinel.

Pour plus de détails, consultez les informations de référence sur les journaux de la Solution Microsoft Sentinel pour applications SAP (préversion publique).

Configurer un profil par défaut

Le code suivant définit une configuration par défaut :

##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################

Configurer un profil axé sur la détection

Utilisez le code suivant pour configurer un profil axé sur la détection, qui inclut les journaux de sécurité principaux de l’environnement SAP nécessaires au bon fonctionnement de la plupart des règles d’analyse. Les enquêtes post-violation et les fonctionnalités de chasse sont limitées.

##############################################################
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False

Servez-vous du code suivant pour configurer un profil minimal, qui inclut le journal d’audit de sécurité SAP, lequel représente la source de données la plus importante utilisée par la solution Microsoft Sentinel pour applications SAP afin d’analyser les activités au sein de l’environnement SAP. L’activation de ce journal est l’exigence minimale pour fournir une couverture de sécurité.

[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False

Paramètres du connecteur de journaux SAL

Ajoutez le code suivant au fichier systemconfig.json du connecteur de données Microsoft Sentinel pour SAP afin de définir d’autres paramètres pour les journaux SAP ingérés dans Microsoft Sentinel.

Pour plus d’informations, consultez Effectuer une installation experte/personnalisée du connecteur de données SAP.

##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################

Cette section vous permet de configurer les paramètres suivants :

Nom du paramètre Description
extractuseremail Détermine si les adresses e-mail des utilisateurs sont incluses dans les journaux d’audit.
apiretry Détermine si les appels d’API font l’objet d’une nouvelle tentative comme mécanisme de basculement.
auditlogforcexal Détermine si le système force l’utilisation de journaux d’audit pour les systèmes non SAL, tels que SAP BASIS version 7.4.
auditlogforcelegacyfiles Détermine si le système force l’utilisation de journaux d’audit avec les capacités système héritées, par exemple celles de SAP BASIS version 7.4 avec des niveaux de correctifs inférieurs.
timechunk Détermine si le système attend un nombre spécifique de minutes comme intervalle entre les extractions de données. Utilisez ce paramètre si une grande quantité de données est attendue.

Par exemple, pendant le chargement initial des données au cours des premières 24 heures, vous souhaiterez peut-être que l’extraction des données soit seulement exécutée toutes les 30 minutes afin de laisser suffisamment de temps à chaque extraction de données. Dans ce cas, définissez cette valeur sur 30.

Configuration d’une instance de contrôle SAP ABAP

Pour ingérer tous les journaux ABAP dans Microsoft Sentinel, y compris les journaux basés sur le service web de contrôle NW RFC et SAP, configurez les informations de contrôle SAP ABAP suivantes :

Paramètre Description
javaappserver Entrez votre hôte de serveur ABAP de contrôle SAP.
Par exemple : contoso-erp.appserver.com
javainstance Entrez votre numéro d’instance ABAP de contrôle SAP.
Par exemple : 00
abaptz Entrez le fuseau horaire configuré sur votre serveur ABAP de contrôle SAP, au format GMT.
Par exemple : GMT+3
abapseverity Entrez le niveau de gravité le plus bas, inclus, pour lequel vous souhaitez ingérer les journaux ABAP dans Microsoft Sentinel. Ces valeurs comprennent :

- 0 = Tous les journaux
- 1 = Avertissement
- 2 = Erreur

Configuration d’une instance de contrôle SAP Java

Pour ingérer les journaux du service Web de contrôle SAP dans Microsoft Sentinel, configurez les informations sur l’instance de contrôle SAP JAVA suivantes :

Paramètre Description
javaappserver Entrez votre hôte de serveur Java de contrôle SAP.
Par exemple : contoso-java.server.com
javainstance Entrez votre numéro d’instance ABAP de contrôle SAP.
Par exemple : 10
javatz Entrez le fuseau horaire configuré sur votre serveur Java de contrôle SAP, au format GMT.
Par exemple : GMT+3
javaseverity Entrez le niveau de gravité le plus bas, inclus, pour lequel vous souhaitez ingérer les journaux de service web dans Microsoft Sentinel. Ces valeurs comprennent :

- 0 = Tous les journaux
- 1 = Avertissement
- 2 = Erreur

Configuration de la collecte des données de référence utilisateur

Pour ingérer des tables directement à partir de votre système SAP avec des détails sur vos utilisateurs et les autorisations liées aux rôles, configurez votre fichier systemconfig.json avec une instruction True/False pour chaque table.

Par exemple :

[ABAP Table Selector] 
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True 
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True

Pour plus de détails, consultez les informations de référence sur les tables récupérées directement à partir de systèmes SAP.

Pour plus d’informations, consultez l’article suivant :