Solution Microsoft Sentinel pour les applications SAP : vue d’ensemble du déploiement
La Solution Microsoft Sentinel pour les applications SAP vous permet de surveiller vos systèmes SAP avec Microsoft Sentinel et de détecter les menaces sophistiquées au niveau des couches de logique métier et d’application de vos applications SAP.
Cet article présente le déploiement de la Solution Microsoft Sentinel pour les applications SAP.
Composants de solution
La Solution Microsoft Sentinel pour les applications SAP comprend un connecteur de données qui collecte les journaux à partir de vos systèmes SAP et les envoie à votre espace de travail Microsoft Sentinel. Elle comprend également un contenu de sécurité prêt à l’emploi qui vous aide à mieux comprendre l’environnement SAP de votre organisation, à détecter les menaces de sécurité et à y répondre.
Connecteur de données
Le connecteur de données Microsoft Sentinel pour SAP est un agent installé en tant que conteneur sur une machine virtuelle Linux, un serveur physique ou un cluster Kubernetes. L’agent collecte des journaux d’application pour tous vos identificateurs de sécurité (SID) SAP intégrés dans l’ensemble de l’environnement système SAP, puis envoie ces journaux à votre espace de travail Log Analytics dans Microsoft Sentinel.
Par exemple, l’image suivante illustre un environnement SAP à plusieurs SID avec une division entre les systèmes de production et les systèmes hors production, notamment SAP Business Technology Platform. Tous les systèmes de cette image sont intégrés dans la Solution Microsoft Sentinel pour SAP.
L’agent se connecte à votre système SAP pour extraire les journaux et d’autres données, puis envoie ces journaux à votre espace de travail Microsoft Sentinel. Pour ce faire, l’agent doit s’authentifier auprès de votre système SAP en utilisant un utilisateur et un rôle créés spécifiquement à cet effet.
Microsoft Sentinel prend en charge quelques options pour stocker les informations de configuration de votre agent, notamment la configuration de vos secrets d’authentification SAP. Le choix de l’option peut dépendre de l’endroit où vous déployez votre machine virtuelle et du mécanisme d’authentification SAP que vous utilisez. Les options prises en charge sont les suivantes, listées par ordre de préférence :
- Un coffre Azure Key Vault accessible via une identité managée affectée par le système Azure
- Un coffre Azure Key Vault accessible via un principal de service d’application inscrite Microsoft Entra ID
- Un fichier de configuration en texte clair
Vous pouvez également vous authentifier à l’aide de certificats X.509 et SNC (Secure Network Communication) de SAP. Bien que l’utilisation de SNC offre un niveau de sécurité d’authentification supérieur, il peut ne pas convenir à tous les scénarios.
Contenu de sécurité
La Solution Microsoft Sentinel pour les applications SAP inclut les types de contenu de sécurité suivants pour vous aider à obtenir des insights sur l’environnement SAP de votre organisation, à détecter les menaces de sécurité et à y répondre :
- Règles d’analyse et listes de suivi pour détecter les menaces.
- Fonctions pour accéder facilement aux données.
- Classeurs pour créer une visualisation interactive des données.
- Listes de suivi pour personnaliser les paramètres de solution intégrés.
- Playbooks que vous pouvez utiliser pour automatiser les réponses aux menaces.
Pour plus d’informations, consultez les applications Solution Microsoft Sentinel pour SAP : référence relative au contenu de sécurité.
Flux de déploiement et personnages
Le déploiement de la Solution Microsoft Sentinel pour les applications SAP implique plusieurs étapes et nécessite la collaboration de plusieurs équipes, notamment celles en charge de la sécurité, de l’infrastructure et de SAP BASIS. L’image suivante montre les étapes de déploiement de la Solution Microsoft Sentinel pour les applications SAP avec les équipes concernées :
Nous vous recommandons d’impliquer toutes les équipes concernées lors de la planification de votre déploiement pour répartir les efforts et garantir le bon déroulement du déploiement.
Le déploiement inclut les étapes suivantes :
Passer en revue les prérequis pour le déploiement de la Solution Microsoft Sentinel pour les applications SAP. Certains prérequis nécessitent un travail de coordination avec vos équipes en charge de l’infrastructure ou de SAP BASIS.
Les étapes suivantes peuvent être effectuées en parallèle, car elles impliquent des équipes distinctes et ne dépendent pas les unes des autres :
Déployer la solution Microsoft Sentinel pour les applications SAP à partir du hub de contenu. Cette étape est gérée par l’équipe de sécurité dans le Portail Azure.
Configurer votre système SAP pour la solution Microsoft Sentinel, ce qui comprend la configuration des autorisations SAP, la configuration de l’audit SAP, etc. Nous recommandons que ces étapes soient effectuées par votre équipe SAP BASIS (notre documentation inclut des références à la documentation SAP).
Connecter votre système SAP en déployant votre conteneur d’agent de connecteur de données. Cette étape nécessite un travail de coordination entre les équipes en charge de la sécurité, de l’infrastructure et de SAP BASIS.
Activer les détections et la protection contre les menaces de SAP. Cette étape est gérée par l’équipe de sécurité dans le Portail Azure.
Options supplémentaires :
Arrêter la collecte de données SAP
Si vous devez arrêter la collecte de vos données SAP par Microsoft Sentinel, arrêtez l’ingestion des journaux et désactivez le connecteur. Supprimez ensuite le rôle d’utilisateur supplémentaire et toutes les demandes de modification facultatives installés sur votre système SAP.
Pour plus d’informations, consultez Arrêter la collecte de données SAP.
Contenu connexe
Pour plus d’informations, consultez l’article suivant :
- À propos du contenu et des solutions Microsoft Sentinel.
- Monitorer l’intégrité et le rôle de vos systèmes SAP
- Mettre à jour l’agent de connecteur de données SAP de Microsoft Sentinel
Étape suivante
Commencez le déploiement des applications Solution Microsoft Sentinel pour SAP en examinant les conditions préalables :