Connecter votre système SAP en déployant votre conteneur d’agent de connecteur de données

Article
10/29/2024
S’applique à:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Pour que les applications de solution Microsoft Sentinel pour SAP fonctionnent correctement, vous devez d’abord transférer vos données SAP dans Microsoft Sentinel. Pour ce faire, vous devez déployer l’agent de connecteur de données SAP de la solution.

Cet article explique comment déployer le conteneur qui héberge l’agent de connecteur de données SAP et se connecter à votre système SAP. C’est la troisième étape du déploiement des applications de la Solution Microsoft Sentinel pour SAP. Veillez à effectuer les étapes décrites dans cet article dans l’ordre dans lequel elles sont présentées.

Diagramme du flux de déploiement de la solution SAP, mettant en évidence l’étape déployer votre conteneur d’agent de données.

Le contenu de cet article est pertinent pour vos équipes en charge de la sécurité, de l’infrastructure et de SAP BASIS.

Prérequis

Avant de déployer l’agent de connecteur de données :

Vérifiez que toutes les conditions préalables au déploiement sont en place. Pour plus d’informations, consultez Prérequis pour le déploiement des applications de solution Microsoft Sentinel pour SAP.
Vérifiez que les applications de la Solution Microsoft Sentinel pour SAP sont installées dans votre espace de travail Microsoft Sentinel.
Assurez-vous que votre système SAP est entièrement préparé pour le déploiement. Si vous déployez l’agent de connecteur de données pour communiquer avec Microsoft Sentinel sur SNC, assurez-vous d’avoir terminé Configurer votre système pour utiliser SNC pour des connexions sécurisées.

Regarder une vidéo de démonstration

Regardez l’une des démonstrations vidéo suivantes du processus de déploiement décrit dans cet article.

Une présentation approfondie des options du portail :

Inclut plus d’informations sur l’utilisation d’Azure KeyVault. Pas d’audio, démonstration uniquement avec des sous-titres :

Créer une machine virtuelle et configurer l’accès à vos informations d’identification

Nous vous recommandons de créer une machine virtuelle dédiée pour votre conteneur d’agent de connecteur de données afin de garantir un niveau de performance optimal et d’éviter des conflits potentiels. Pour plus d’informations, consultez les prérequis système.

Nous vous recommandons de stocker vos secrets SAP et ceux d’authentification dans un coffre de clés Azure. La façon dont vous accédez à votre coffre de clés dépend de l’emplacement où votre machine virtuelle est déployée :

Méthode de déploiement	Méthode d’accès
Conteneur sur une machine virtuelle Azure	Nous vous recommandons d’utiliser une identité managée affectée par le système Azure pour accéder à Azure Key Vault. Si une identité managée affectée par le système ne peut pas être utilisée, le conteneur peut également s’authentifier auprès d’Azure Key Vault à l’aide d’un principal de service d’application inscrite Microsoft Entra ID ou, en dernier recours, d’un fichier de configuration.
Un conteneur sur une machine virtuelle locale, ou une machine virtuelle dans un environnement cloud tiers	Authentifiez-vous auprès d’Azure Key Vault à l’aide d’un principal de service d’application inscrite Microsoft Entra ID.

Méthode de déploiement

Méthode d’accès

Conteneur sur une machine virtuelle Azure

Nous vous recommandons d’utiliser une identité managée affectée par le système Azure pour accéder à Azure Key Vault.

Si une identité managée affectée par le système ne peut pas être utilisée, le conteneur peut également s’authentifier auprès d’Azure Key Vault à l’aide d’un principal de service d’application inscrite Microsoft Entra ID ou, en dernier recours, d’un fichier de configuration.

Un conteneur sur une machine virtuelle locale, ou une machine virtuelle dans un environnement cloud tiers

Authentifiez-vous auprès d’Azure Key Vault à l’aide d’un principal de service d’application inscrite Microsoft Entra ID.

Si vous ne pouvez pas utiliser une application inscrite ou un principal de service, utilisez un fichier de configuration pour gérer vos informations d’identification, même si cette méthode n’est pas celle conseillée. Pour plus d’informations, consultez Déployer le connecteur de données à l’aide d’un fichier de configuration.

Pour plus d’informations, consultez l’article suivant :

Votre machine virtuelle est généralement créée par votre équipe en charge de l’infrastructure. La configuration de l’accès aux informations d’identification et la gestion des coffres de clés est généralement effectuée par votre équipe en charge de la sécurité.

Identité gérée
Application inscrite

Créer une identité managée avec une machine virtuelle Azure

Exécutez la commande suivante pour Créer une machine virtuelle dans Azure, en remplaçant les noms réels de votre environnement par les <placeholders> :

az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

Pour plus d’informations, consultez Démarrage rapide : Créer une machine virtuelle Linux avec Azure CLI.

Important

Une fois la machine virtuelle créée, veillez à appliquer les exigences de sécurité et les procédures de renforcement applicables dans votre organisation.

Cette commande crée la ressource de machine virtuelle, en produisant une sortie semblable à celle-ci :

{
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

Copiez le GUID systemAssignedIdentity, car il sera utilisé dans les étapes à venir. Il s’agit de votre identité managée.

Inscrire une application pour créer une identité d’application

Exécutez la commande suivante à partir de la ligne de commande Azure pour créer et inscrire une application :
```
az ad sp create-for-rbac
```
Cette commande crée l’application, en produisant une sortie semblable à celle-ci :
```
{
  "appId": "aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa",
  "displayName": "azure-cli-2022-01-28-17-59-06",
  "password": "ssssssssssssssssssssssssssssssssss",
  "tenant": "bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb"
}
```
Pour plus d’informations, consultez la documentation de référence sur Azure CLI.
Copiez l’ID d’application, le locataire et le mot de passe à partir de la sortie. Vous en avez besoin pour affecter la stratégie d’accès au coffre de clés et exécuter le script de déploiement dans les étapes à venir.
Avant de continuer, créez une machine virtuelle sur laquelle déployer l’agent. Vous pouvez créer cette machine dans Azure, dans un autre cloud ou localement.

Création d’un coffre de clés

Cette procédure explique comment créer un coffre de clés pour stocker les informations de configuration de votre agent, y compris vos secrets d’authentification SAP. Si vous utilisez un coffre de clés existant, passez directement à l’étape 2.

Pour créer votre coffre de clés :

Exécutez les commandes suivantes, en remplaçant les valeurs <placeholder> par des noms réels.

az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

Copiez le nom de votre coffre de clés et le nom de son groupe de ressources. Vous en aurez besoin lorsque vous affecterez les autorisations d’accès au coffre de clés et exécuterez le script de déploiement dans les étapes suivantes.

Attribuer les autorisations d’accès au coffre de clés

Dans votre coffre de clés, attribuez les autorisations de contrôle d’accès basé sur les rôles Azure ou de politique d’accès au coffre-fort suivantes sur l’étendue des secrets à l’identité que vous avez créée et copiée précédemment.

Modèle d’autorisation Autorisations requises

Contrôle d’accès en fonction du rôle Azure Utilisateur des secrets Key Vault

Stratégie d’accès au coffre get, list

Utilisez les options du portail pour attribuer les autorisations, ou exécutez l’une des commandes suivantes pour attribuer des autorisations de secrets de coffre de clés à votre identité, en remplaçant les valeurs <placeholder> par des noms réels. Sélectionnez l’onglet pour le type de l’identité que vous avez créé.

La stratégie spécifiée dans les commandes permet à la machine virtuelle de répertorier et de lire les secrets à partir du coffre de clés.
- Modèle d’autorisation de contrôle d’accès en fonction du rôle Azure :
  - Identité gérée
  - Application inscrite
```
az role assignment create --assignee-object-id <ManagedIdentityId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName> /providers/Microsoft.KeyVault/vaults/<KeyVaultName>
```
```
az role assignment create --assignee-object-id <ServicePrincipalObjectId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>
```
  Pour rechercher l’ID d’objet du principal de service de l’inscription d’application, accédez à la page Applications d’entreprise du portail Microsoft Entra ID. Recherchez le nom de l’inscription d’application, puis copiez la valeur ID d’objet.
  
  Important
  
  Ne confondez pas l’ID d’objet de la page Applications d’entreprise avec l’ID d’objet de l’inscription d’application trouvé dans la page Inscriptions d’applications. Seul l’ID d’objet de la page Applications d’entreprise fonctionne.
- Modèle d’autorisation de stratégie d’accès au coffre :
  - Identité gérée
  - Application inscrite
```
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <ManagedIdentityId> --secret-permissions get list
```
```
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --spn <ApplicationId> --secret-permissions get list
```
  Pour rechercher l’ID d’objet de l’inscription d’application, accédez à la page Inscriptions d’applications du portail Microsoft Entra ID. Recherchez le nom de l’inscription d’application et copiez la valeur ID d’application (client).
Dans le même coffre de clés, attribuez les autorisations de contrôle d’accès en fonction du rôle Azure ou de stratégie d’accès au coffre suivantes sur l’étendue des secrets à l’utilisateur configurant l’agent du connecteur de données :

Modèle d’autorisation Autorisations requises

Contrôle d’accès en fonction du rôle Azure Agent des secrets Key Vault

Stratégie d’accès au coffre get, list, set, delete

Utilisez les options du portail pour attribuer les autorisations, ou exécutez l’une des commandes suivantes pour attribuer des autorisations de secrets de coffre de clés à l’utilisateur, en remplaçant les valeurs <placeholder> par des noms réels :
- Modèle d’autorisation de contrôle d’accès en fonction du rôle Azure :
```
az role assignment create --role "Key Vault Secrets Officer" --assignee <UserPrincipalName> --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>
```
- Modèle d’autorisation de stratégie d’accès au coffre :
```
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --upn <UserPrincipalName>--secret-permissions get list set delete
```

Modèle d’autorisation	Autorisations requises
Contrôle d’accès en fonction du rôle Azure	Utilisateur des secrets Key Vault
Stratégie d’accès au coffre	`get`, `list`

Modèle d’autorisation	Autorisations requises
Contrôle d’accès en fonction du rôle Azure	Agent des secrets Key Vault
Stratégie d’accès au coffre	`get`, `list`, `set`, `delete`

Déployer l’agent de connecteur de données à partir du portail (préversion)

Maintenant que vous avez créé une machine virtuelle et un coffre de clés, l’étape suivante consiste à créer un agent et à vous connecter à l’un de vos systèmes SAP. Vous pouvez exécuter plusieurs agents de connecteur de données sur une même machine, mais nous vous recommandons de commencer par un seul, de surveiller le niveau de performance, puis d’augmenter progressivement le nombre de connecteurs.

Cette procédure explique comment créer un agent et le connecter à votre système SAP à l’aide des portails Azure ou Defender. Nous recommandons à votre équipe en charge de la sécurité d’effectuer cette procédure avec l’aide de l’équipe SAP BASIS.

Le déploiement de l’agent de connecteur de données à partir du portail est pris en charge à partir du Portail Azure et du portail Defender si vous avez intégré votre espace de travail à la plateforme d’opérations de sécurité unifiée.

Bien que le déploiement soit également pris en charge à partir de la ligne de commande, nous vous recommandons d’utiliser le portail pour les déploiements classiques. Les agents de connecteur de données déployés à l’aide de la ligne de commande peuvent être gérés uniquement via la ligne de commande, et non via le portail. Pour plus d’informations, consultez Déployer un agent de connecteur de données SAP à partir de la ligne de commande.

Important

Le déploiement du conteneur et la création de connexions à des systèmes SAP via le portail est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Configuration requise :

Pour déployer votre agent de connecteur de données via le portail, vous avez besoin des éléments suivants :
- Authentification via une identité managée ou une application inscrite
- Informations d’identification stockées dans un coffre de clés Azure
Si vous ne disposez pas de ces prérequis, déployer l’agent de connecteur de données SAP à partir de la ligne de commande à la place.
Pour déployer l’agent de connecteur de données, vous avez également besoin de privilèges sudo ou racine sur la machine de l’agent du connecteur de données.
Si vous souhaitez ingérer les journaux Netweaver/ABAP via une connexion sécurisée à l’aide de Secure Network Communications (SNC), vous avez besoin des éléments suivants :
- Chemin d’accès à la bibliothèque binaire sapgenpse et la bibliothèque libsapcrypto.so
- Détails de votre certificat client
Pour plus d’informations, consultez Configurer votre système pour utiliser SNC pour des connexions sécurisées.

Pour déployer l’agent du connecteur de données :

Connectez-vous à la machine virtuelle nouvellement créée sur laquelle vous installez l’agent en tant qu’utilisateur disposant de privilèges sudo.
Téléchargez et/ou transférez le Kit de développement logiciel (SDK) NetWeaver SAP sur la machine.
Dans Microsoft Sentinel, sélectionnez Configuration > Connecteurs de données.
Dans la barre de recherche, entrez SAP. Sélectionnez Microsoft Sentinel pour SAP dans les résultats de la recherche, puis sélectionnez Ouvrir la page du connecteur.
Dans la zone Configuration, sélectionnez Add new agent (Preview) (Ajouter un nouvel agent (préversion)).

Dans le volet Créer un agent collecteur, entrez les détails de l’agent suivant :

Nom	Description
Nom de l’agent	Entrez un nom d’agent pertinent pour votre organisation. Nous ne recommandons aucune convention d’affectation de noms spécifique, sauf que le nom ne peut inclure que les types de caractères suivants : a-z A-Z 0-9 _ (souligné) . (period) - (tiret)
Abonnement / Coffre de clés	Sélectionnez Abonnement et Coffre de clés dans leurs listes déroulantes respectives.
Chemin du fichier zip du kit de développement logiciel (SDK) NWRFC sur la machine virtuelle de l’agent	Entrez le chemin d’accès de votre machine virtuelle qui contient l’archive (fichier .zip) du kit de développement logiciel (SDK) SAP NetWeaver Remote Function Call (RFC). Vérifiez que ce chemin d’accès inclut le numéro de version du Kit de développement logiciel (SDK) dans la syntaxe suivante : `<path>/NWRFC<version number>.zip`. Par exemple : `/src/test/nwrfc750P_12-70002726.zip`.
Activer la prise en charge des connexions SNC	Sélectionnez cette option pour ingérer les journaux NetWeaver/ABAP via une connexion sécurisée à l’aide de SNC. Si vous sélectionnez cette option, indiquez le chemin qui contient le fichier binaire `sapgenpse` et la bibliothèque `libsapcrypto.so` sous Chemin de la bibliothèque de chiffrement SAP sur la machine virtuelle de l’agent. Si vous souhaitez utiliser une connexion SNC, veillez à sélectionner Activer la prise en charge des connexions SNC à ce stade, car vous ne pouvez pas revenir en arrière et activer une connexion SNC une fois que vous avez terminé le déploiement de l’agent. Si vous souhaitez modifier ce paramètre par la suite, nous vous recommandons de créer un agent à la place.
Authentification auprès d’Azure Key Vault	Pour vous authentifier auprès de votre coffre de clés à l’aide d’une identité managée, laissez l’option Identité managée par défaut sélectionnée. Pour vous authentifier auprès de votre coffre de clés à l’aide d’une application inscrite, sélectionnez Identitéd’application. Vous devez configurer l’identité managée ou l’application inscrite à l’avance. Pour en savoir plus, consultez Créer une machine virtuelle et configurer l’accès à vos informations d’identification.

Par exemple :

Capture d’écran de la zone Créer un agent collecteur.

Sélectionnez Créer et passez en revue les recommandations avant de terminer le déploiement :
Le déploiement de l’agent du connecteur de données SAP nécessite que vous accordiez à l’identité de la machine virtuelle de votre agent des autorisations spécifiques pour l’espace de travail Microsoft Sentinel, à l’aide des rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur.

Pour exécuter les commandes à cette étape, vous devez être propriétaire du groupe de ressources sur votre espace de travail Microsoft Sentinel. Si vous n’êtes pas propriétaire d’un groupe de ressources sur votre espace de travail, cette procédure peut également être effectuée une fois le déploiement de l’agent terminé.

Sous Quelques étapes supplémentaires avant de terminer, copiez les Commandes d’attribution de rôle de l’étape 1 et exécutez-les sur la machine virtuelle de votre agent, en remplaçant l’espace réservé [Object_ID] par votre ID d’objet d’identité de machine virtuelle. Par exemple :

Pour trouver l’ID d’objet de l’identité de votre machine virtuelle dans Azure :
- Pour une identité managée, l’ID d’objet est répertorié dans la page Identité de la machine virtuelle.
- Pour un principal de service, accédez à Application d'entreprise dans Azure. Sélectionnez Toutes les applications, puis sélectionnez votre machine virtuelle. L’ID d’objet est affiché dans la page Vue d’ensemble.
Ces commandes attribuent les rôles Azure Opérateur d’agent d’applications métier Microsoft Sentinel et Lecteur à l’identité managé ou de l’application de votre machine virtuelle, y compris uniquement l’étendue des données de l’agent spécifié dans l’espace de travail.

Important

L’attribution des rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur via l’interface CLI attribue les rôles uniquement dans l’étendue des données de l’agent spécifié dans l’espace de travail. Il s’agit de l’option la plus sécurisée et donc recommandée.

Si vous devez attribuer les rôles via le portail Microsoft Azure, nous vous recommandons d’attribuer les rôles sur une petite étendue, par exemple uniquement sur l’espace de travail Microsoft Sentinel.
Sélectionnez Copier en regard de la commande de déploiement Agent à l’étape 2. Par exemple :
Copiez la ligne de commande à un emplacement distinct, puis sélectionnez Fermer.

Les informations pertinentes sur l’agent sont déployées dans Azure Key Vault, et le nouvel agent est visible dans le tableau sous Add an API based collector agent (Ajouter un agent collecteur basé sur l’API).

À ce stade, l’état Intégrité l’agent est « Installation incomplète. Suivez les instructions ». Une fois l’agent installé, l’état passe à Agent sain. Cette mise à jour peut prendre jusqu’à 10 minutes. Par exemple :

Remarque

Le tableau affiche le nom de l’agent et l’état d’intégrité uniquement pour les agents que vous déployez via le portail Microsoft Azure. Les agents déployés à l’aide de la ligne de commande ne sont pas affichés ici. Pour plus d’informations, consultez l’onglet Ligne de commande à la place.
Sur la machine virtuelle où vous envisagez d’installer l’agent, ouvrez un terminal et exécutez la commande de déploiement de l’agent que vous avez copiée à l’étape précédente. Cette étape nécessite des privilèges sudo ou racine sur la machine de l’agent du connecteur de données.

Le script met à jour les composants du système d’exploitation et installe Azure CLI, le logiciel Docker et d’autres utilitaires requis, tels que jq, netcat et curl.

Fournissez des paramètres supplémentaires au script si nécessaire pour personnaliser le déploiement du conteneur. Pour plus d’informations sur les options de ligne de commande disponibles, consultez référence du script kickstart.

Si vous avez besoin de copier votre commande, sélectionnez Afficher à droite de la colonne Intégrité et copiez la commande en regard de la commande de déploiement Agent en bas à droite.
Dans la page du connecteur de données de l'application de la Solution Microsoft Sentinel pour SAP, dans la zone Configuration, sélectionnez Ajouter un nouveau système (préversion) et entrez les détails suivants :
- Sous Sélectionner un agent, sélectionnez l’agent que vous avez créé précédemment.
- Sous Identificateur système, sélectionnez le type de serveur :
  - Serveur ABAP
  - Serveur de messages pour utiliser un serveur de messages dans le cadre des Services centraux ABAP SAP (ASCS).
- Continuez en définissant les détails associés pour votre type de serveur :
  - Pour un serveur ABAP, entrez l’adresse IP/le nom de domaine complet du serveur d’applications ABAP, l’ID et le numéro de système, ainsi que l’ID client.
  - Pour un serveur de message, entrez l’adresse IP/le nom de domaine complet du serveur de message, le numéro de port ou le nom de service, ainsi que le groupe de connexion
Lorsque vous avez terminé, sélectionnez Suivant : authentification.

Par exemple :
Sous l’onglet Authentification, entrez les détails suivants :
- Pour l’authentification de base, entrez l’utilisateur et le mot de passe.
- Si vous avez sélectionné une connexion SNC lors de la configuration de l’agent, sélectionnez SNC et entrez les détails du certificat.
Lorsque vous avez terminé, sélectionnez Suivant : journaux d’activité.
Sous l’onglet journaux d’activité, sélectionnez les journaux que vous souhaitez ingérer à partir de SAP, puis sélectionnez Suivant : vérifier et créer. Par exemple :
Passez en revue les paramètres que vous avez définis. Sélectionnez Précédent pour modifier les paramètres, ou sélectionnez Déployer pour déployer le système.

La configuration système que vous avez définie est déployée dans Azure Key Vault. Vous pouvez maintenant voir les détails du système dans le tableau sous Configure an SAP system and assign it to a collector agent (Configurer un système SAP et l’affecter à un agent collecteur). Ce tableau affiche le nom de l’agent associé, l’ID de système SAP (SID) et l’état d’intégrité des systèmes que vous avez ajoutés via le portail ou autrement.

À ce stade, l’état d’intégrité du système est Pending (En attente). Si l’agent est mis à jour, il extrait la configuration d’Azure Key Vault et l’état devient System healthy (Système sain). Cette mise à jour peut prendre jusqu’à 10 minutes.

La procédure de déploiement génère un fichier systemconfig.json qui contient les détails de configuration de l’agent de connecteur de données SAP. Pour plus d’informations, consultez Fichier de configuration de l’agent de connecteur de données SAP.

Vérifier la connectivité et l’intégrité

Après avoir déployé l’agent de connecteur de données SAP, vérifiez l’intégrité et la connectivité de votre agent. Pour plus d’informations, consultez Surveiller l’intégrité et le rôle de vos systèmes SAP.

Étape suivante

Une fois le connecteur déployé, passez à la configuration du contenu des applications de la Solution Microsoft Sentinel pour SAP. Plus précisément, la configuration des détails dans les watchlists est une étape essentielle pour activer les détections et la protection contre les menaces.

Activer les détections et la protection contre les menaces de SAP

Partager via