Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Bien que le déploiement d’un collecteur de données Microsoft Sentinel et d’une solution pour SAP vous permet de surveiller les systèmes SAP pour détecter les activités suspectes et d’identifier les menaces, des étapes de configuration supplémentaires sont nécessaires pour garantir que la solution est optimisée pour votre déploiement SAP. Cet article présente les meilleures pratiques pour bien démarrer avec le contenu de sécurité fourni avec la solution Microsoft Sentinel pour les applications SAP. Il s’agit de la dernière étape du déploiement de l’intégration SAP.
Importante
L’agent de connecteur de données pour SAP est déprécié et sera définitivement désactivé le 14 septembre 2026. Nous vous recommandons de migrer vers le connecteur de données sans agent. Pour en savoir plus sur l’approche sans agent, consultez notre billet de blog.
Le contenu de cet article est pertinent pour votre équipe de sécurité .
Configuration requise
Avant de configurer les paramètres décrits dans cet article, vous devez disposer d’un Microsoft Sentinel solution SAP et d’un connecteur de données configuré.
Pour plus d’informations, consultez Déployer la solution Microsoft Sentinel pour les applications SAP à partir du hub de contenu et Déployer Microsoft Sentinel solution pour les applications SAP.
Conseil
Utilisez la série de blog « Comment évaluer avec succès la solution SAP pour Sentinel et l’implémenter en production » pour obtenir une présentation détaillée des meilleures pratiques.
Commencer à activer les règles d’analyse
Par défaut, toutes les règles d’analyse de la solution Microsoft Sentinel pour les applications SAP sont fournies en tant que modèles de règles d’alerte. Nous vous recommandons d’adopter une approche intermédiaire, dans laquelle vous utilisez les modèles pour créer quelques règles à la fois, ce qui laisse le temps d’affiner chaque scénario.
Nous vous recommandons de commencer par les règles d’analyse suivantes, qui sont considérées comme plus simples à tester :
- Modification dans l’utilisateur privilégié sensible
- Utilisateur privilégié sensible connecté
- Un utilisateur privilégié sensible apporte une modification à un autre utilisateur
- Changement de mot de passe et connexion des utilisateurs sensibles
- Modification de la configuration du client
- Module de fonction testé
Pour plus d’informations, consultez Règles analytiques intégrées et Détection des menaces dans Microsoft Sentinel.
Configurer des watchlists
Configurez votre solution Microsoft Sentinel pour les applications SAP en fournissant des informations spécifiques au client dans les watchlists suivantes :
| Nom de la watchlist | Détails de la configuration |
|---|---|
| SAP - Systèmes | La watchlist SAP - Systems définit les systèmes SAP présents dans l’environnement surveillé. Pour chaque système, spécifiez : - Le SID - Qu’il s’agisse d’un système de production ou d’un environnement de développement/test. La définition de cela dans votre watchlist n’affecte pas la facturation et influence uniquement votre règle d’analyse. Par exemple, vous pouvez utiliser un système de test comme système de production lors du test. - Une description explicite Les données configurées sont utilisées par certaines règles d’analyse, qui peuvent réagir différemment si des événements pertinents apparaissent dans un système de développement ou de production. |
| SAP - Réseaux | La watchlist SAP - Networks décrit tous les réseaux utilisés par le organization. Il est principalement utilisé pour déterminer si les connexions utilisateur proviennent ou non de segments connus du réseau, ou si l’origine de la connexion d’un utilisateur change de façon inattendue. Il existe de nombreuses approches pour documenter la topologie réseau. Vous pouvez définir un large éventail d’adresses, comme 172.16.0.0/16, et le nommer Réseau d’entreprise, ce qui est suffisant pour suivre les connexions en dehors de cette plage. Toutefois, une approche plus segmentée vous permet d’avoir une meilleure visibilité sur les activités potentiellement atypiques. Par exemple, vous pouvez définir les segments et les emplacements géographiques suivants : - 192.168.10.0/23 : Europe occidentale - 10.15.0.0/16 : Australie Dans ce cas, Microsoft Sentinel pouvez différencier une connexion de 192.168.10.15 dans le premier segment d’une connexion de 10.15.2.1 dans le deuxième segment. Microsoft Sentinel vous avertit si un tel comportement est identifié comme atypique. |
|
SAP - Modules de fonction sensible SAP - Tables sensibles SAP - Programmes ABAP sensibles SAP - Transactions sensibles |
Les watchlists de contenu sensible identifient les actions ou les données sensibles qui peuvent être effectuées ou accessibles par les utilisateurs. Bien que plusieurs opérations, tables et autorisations connues soient préconfigurées dans les watchlists, nous vous recommandons de consulter votre équipe SAP BASIS pour identifier les opérations, les transactions, les autorisations et les tables considérées comme sensibles dans votre environnement SAP, et de mettre à jour les listes en fonction des besoins. |
|
SAP - Profils sensibles SAP - Rôles sensibles SAP - Utilisateurs privilégiés SAP - Autorisations critiques |
La solution Microsoft Sentinel pour les applications SAP utilise les données utilisateur collectées dans les watchlists de données utilisateur à partir des systèmes SAP pour identifier les utilisateurs, profils et rôles qui doivent être considérés comme sensibles. Bien que les exemples de données sont inclus dans les watchlists par défaut, nous vous recommandons de consulter votre équipe SAP BASIS pour identifier les utilisateurs, rôles et profils sensibles dans votre organization et mettre à jour les listes si nécessaire. |
Après le déploiement initial de la solution, le remplissage des watchlists avec des données peut prendre un certain temps. Si vous ouvrez une watchlist pour modification et qu’elle est vide, attendez quelques minutes et réessayez.
Pour plus d’informations, consultez Watchlists disponibles.
Utiliser un classeur pour case activée la conformité de vos contrôles de sécurité SAP
La solution Microsoft Sentinel pour les applications SAP comprend le classeur SAP - Contrôles d’audit de sécurité, qui vous aide à case activée conformité de vos contrôles de sécurité SAP. Le classeur fournit une vue complète des contrôles de sécurité en place et des status de conformité de chaque contrôle.
Pour plus d’informations, consultez Vérifier la conformité de vos contrôles de sécurité SAP avec le classeur SAP - Contrôles d’audit de sécurité.
Étape suivante
Il y a beaucoup plus de contenu à découvrir pour SAP avec Microsoft Sentinel, notamment des fonctions, des playbooks, des classeurs, etc. Cet article met en évidence certains points de départ utiles, et vous devez continuer à implémenter d’autres contenus pour tirer le meilleur parti de votre surveillance de la sécurité SAP.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- solution Microsoft Sentinel pour les applications SAP - Informations de référence sur les fonctions
- Microsoft Sentinel solution pour les applications SAP : informations de référence sur le contenu de sécurité.
Contenu connexe
Pour plus d’informations, reportez-vous aux rubriques suivantes :