Connecteur SecurityBridge Threat Detection for SAP pour Microsoft Sentinel

  • Article

SecurityBridge est la première et la seule plateforme de sécurité intégrée et complète en mode natif, qui traite tous les aspects nécessaires pour protéger les organisations exécutant SAP contre les menaces internes et externes ciblant leurs applications métier principales. La plateforme SecurityBridge est un module complémentaire certifié SAP, utilisé par les organisations du monde entier, et répond aux besoins des clients en matière de cybersécurité avancée, de surveillance en temps réel, de conformité, de sécurité du code et de mise à jour corrective pour se protéger contre les menaces internes et externes. Cette solution Microsoft Sentinel vous permet d’intégrer des événements SecurityBridge Threat Detection de toutes vos instances SAP locales et cloud dans votre supervision de la sécurité. Utilisez cette solution Microsoft Sentinel pour recevoir des événements de sécurité normalisés et parlants, des tableaux de bord prédéfinis et des modèles prêts à l’emploi pour votre supervision de la sécurité SAP.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics SecurityBridgeLogs_CL
Prise en charge des règles de collecte des données Non prise en charge pour le moment
Pris en charge par Christoph Nagy

Exemples de requête

Top 10 des noms d’événements

SecurityBridgeLogs_CL 

| extend Name = tostring(split(RawData, '
|')[5]) 

| summarize count() by Name 
| top 10 by count_

Instructions d’installation du fournisseur

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour pouvoir fonctionner normalement. Suivez ces étapes pour créer l’alias Kusto Functions, SecurityBridgeLogs.

Notes

Ce connecteur de données a été développé à l’aide de SecurityBridge Application Platform 7.4.0.

  1. Installer et intégrer l'agent pour Linux ou Windows

Cette solution nécessite la collecte des journaux via une installation de l’agent Microsoft Sentinel

L’agent Sentinel est pris en charge sur les systèmes d’exploitation suivants :

  1. Serveurs Windows

  2. SUSE Linux Enterprise Server

  3. Redhat Linux Enterprise Server

  4. Oracle Linux Enterprise Server

  5. Si la solution SAP est installée sur HPUX/AIX, vous devez déployer un collecteur de journaux sur l’une des options Linux répertoriées ci-dessus et transférer vos journaux à ce collecteur.

  6. Configurer les journaux à collecter

Configurer le répertoire des journaux personnalisés à collecter

  1. Sélectionnez le lien ci-dessus pour ouvrir les paramètres avancés de votre espace de travail
  2. Cliquez sur +Ajouter un rôle personnalisé.
  3. Cliquez sur Parcourir pour charger un exemple de fichier journal SecurityBridge SAP (par exemple, AED_20211129164544.cef). Cliquez ensuite sur Suivant>
  4. Sélectionnez Nouvelle ligne comme délimiteur d’enregistrements, puis cliquez sur Suivant>.
  5. Sélectionnez Windows ou Linux et entrez le chemin d’accès aux journaux SecurityBridge en fonction de votre configuration. Exemple :
  • '/usr/sap/tmp/sb_events/*.cef'

REMARQUE : vous pouvez ajouter autant de chemins que vous le souhaitez dans la configuration.

  1. Après avoir entré le chemin d’accès, cliquez sur le symbole « + » à appliquer, puis cliquez sur Suivant >

  2. Ajoutez SecurityBridgeLogs comme nom du journal personnalisé, puis cliquez sur Terminé.

  3. Vérifier les journaux dans Microsoft Azure Sentinel

Ouvrez Log Analytics pour vérifier si les journaux sont reçus à l’aide de la table de journal SecurityBridgeLogs_CL personnalisée.

REMARQUE : il peut falloir jusqu’à 30 minutes avant que les nouveaux journaux d’activité apparaissent dans la table SecurityBridgeLogs_CL.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.