Prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP®
Cet article liste les prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP®.
Important
Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Jalons de déploiement
Suivez votre parcours de déploiement de solution SAP dans cette série d’articles :
Conditions préalables pour le déploiement (Vous êtes ici)
Fonctionne avec la solution sur plusieurs espaces de travail (PRÉVERSION)
Déployer le contenu de la solution à partir du hub de contenu
Configurer les applications Solution Microsoft Sentinel pour SAP®
Étapes de déploiement facultatives
Tableau des conditions préalables
Pour réussir le déploiement des applications Solution Microsoft Sentinel pour SAP®, vous devez satisfaire aux prérequis suivants :
Conditions préalables pour Azure
| Configuration requise | Description | Obligatoire ou facultatif |
|---|---|---|
| Accéder à Microsoft Sentinel | Notez votre ID d’espace de travail Microsoft Sentinel et votre clé primaire. Vous trouverez ces détails dans Microsoft Sentinel : dans le menu de navigation, sélectionnez Paramètres>Paramètres de l’espace de travail>Gestion des agents. Copiez l’ID de l’espace de travail et la clé primaire et collez-les pour une utilisation pendant le processus de déploiement. |
Requis |
| Des autorisations pour créer des ressources Azure | Au minimum, vous devez disposer des autorisations nécessaires pour déployer des solutions à partir du hub de contenu Microsoft Sentinel. Pour plus d’informations, consultez le catalogue du hub de contenu Microsoft Sentinel. | Requis |
| Autorisations pour créer un coffre de clés Azure ou accéder à un coffre existant | Utilisez Azure Key Vault pour stocker les secrets nécessaires à la connexion à votre système SAP (recommandé quand il s’agit d’un prérequis requis). Pour en savoir plus, consultez Attribuer une stratégie d’autorisation des accès Key Vault. | Obligatoire si vous envisagez de stocker les informations de connexion au système SAP dans Azure Key Vault. Facultatif si vous envisagez de les stocker dans un fichier config. Pour en savoir plus, consultez Créer une machine virtuelle et configurer l’accès à vos informations d’identification. |
| Autorisations pour l’attribution d’un rôle privilégié à l’agent du connecteur de données SAP | Le déploiement de l’agent du connecteur de données SAP nécessite que vous accordiez à l’identité de la machine virtuelle de votre agent des autorisations spécifiques pour l’espace de travail Microsoft Sentinel, à l’aide du rôle Opérateur d’agent d’applications métiers Microsoft Sentinel. Pour accorder ce rôle, vous devez disposer d’autorisations de Propriétaire sur le groupe de ressources où réside votre espace de travail Microsoft Sentinel. Pour en savoir plus, consultez Déployer l’agent du connecteur de données. |
Obligatoire. Si vous n’avez pas d’autorisations en tant que Propriétaire sur le groupe de ressources, l’étape correspondante peut également être effectuée par un autre utilisateur disposant des autorisations appropriées, indépendamment et une fois l’agent entièrement déployé. |
Prérequis système
| Configuration requise | Description |
|---|---|
| Architecture du système | Le composant de connecteur de données de la solution SAP est déployé en tant que conteneur Docker, et chaque client SAP requiert sa propre instance de conteneur. L’hôte de conteneur peut être une machine physique ou une machine virtuelle, peut être situé localement ou dans n’importe quel cloud. La machine virtuelle hébergeant le conteneur n’a pas besoin d’être située dans le même abonnement Azure que votre espace de travail Microsoft Sentinel, ou même dans le même locataire Microsoft Entra. |
| Recommandations de dimensionnement des machines virtuelles | Spécification minimale, par exemple pour un environnement lab : Une machine virtuelle Standard_B2s avec : - Deux cœurs - 4 Go DE RAM Connecteur standard (par défaut) : Machine virtuelle Standard_D2as_v5 ou Machine virtuelle Standard_D2_v5, avec : - Deux cœurs - 8 Go DE RAM Plusieurs connecteurs : Standard_D4as_v5 ou Machine virtuelle Standard_D4_v5, avec : - Quatre cœurs - 16 Go DE RAM |
| Privilèges d’administration | Les privilèges d’administration (racine) sont requis sur l’ordinateur hôte du conteneur. |
| Versions de Linux prises en charge | L’agent du connecteur de données SAP a été testé avec les distributions Linux suivantes : - Ubuntu 18.04 ou version ultérieure - SLES version 15 ou ultérieure - RHEL version 7.7 or ultérieure Si vous disposez d’un autre système d’exploitation, vous devrez peut-être déployer et configurer le conteneur manuellement. Pour en savoir plus, ouvrez un ticket de support. |
| Connectivité réseau | Vérifiez que l’hôte de conteneur a accès aux éléments suivants : Microsoft Sentinel - - Coffre de clés Azure (dans le scénario de déploiement où Azure Key Vault est utilisé pour stocker les secrets) - Système SAP via les ports TCP suivants : 32xx, 5xx13, 33xx, 48xx (quand SNC est utilisé), où xx est le numéro d’instance SAP. |
| Utilitaires logiciels | Le script de déploiement du connecteur de données SAP installe les logiciels requis suivants sur la machine virtuelle hôte du conteneur (selon la distribution Linux utilisée, la liste peut varier légèrement) : - Unzip - NetCat - Docker - jq - curl |
| Identité managée ou principal de service | La dernière version de l’agent du connecteur de données SAP nécessite une identité managée ou un principal de service pour s’authentifier auprès de Microsoft Sentinel. Les anciens agents sont pris en charge pour les mises à jour liées à la dernière version, et devront ensuite utiliser une identité managée ou un principal de service pour continuer la mise à jour vers les versions ultérieures. |
Configuration requise pour SAP
| Configuration requise | Description |
|---|---|
| Versions de SAP prises en charge | L’agent de connecteur de données SAP prend en charge les systèmes SAP NetWeaver et a été testé sur les SAP_BASIS versions 731 et ultérieures. Certaines étapes de ce tutoriel fournissent des instructions distinctes si vous travaillez sur la version antérieure SAP_BASIS version 740. |
| Logiciels requis | SDK RFC SAP NetWeaver 7.50 (Télécharger ici) Assurez-vous que vous disposez également d’un compte d’utilisateur SAP pour accéder à la page de téléchargement des logiciels SAP. |
| Détails du système SAP | Prenez note des détails suivants du système SAP à utiliser dans ce tutoriel : - Adresse IP du système SAP et nom d’hôte FQDN - Numéro du système SAP, par exemple 00- ID du système SAP, provenant du système SAP NetWeaver (par exemple, NPL) - ID client SAP, tel que 001 |
| Accès à l’instance SAP NetWeaver | L’agent de connecteur de données SAP utilise l’un des mécanismes suivants pour s’authentifier auprès du système SAP : - Utilisateur/mot de passe SAP ABAP - Un utilisateur disposant d’un certificat X.509 (cette option nécessite des étapes de configuration supplémentaires) |
Étapes de validation de l’environnement SAP
Notes
Des instructions pas à pas pour le déploiement d’une demande de modification et l’attribution du rôle requis sont disponibles dans le guide de déploiement des demandes de certification SAP et de configuration de l’autorisation. Déterminez les demandes de modification à déployer, récupérez les demandes de modification appropriées à partir des liens dans les tableaux ci-dessous et passez au guide pas à pas.
- Créer et configurer un rôle (obligatoire)
- Récupérer des informations supplémentaires à partir de SAP (facultatif)
Créer et configurer un rôle (obligatoire)
Pour autoriser le connecteur de données SAP à se connecter à votre système SAP, vous devez créer un rôle. Créez le rôle en chargeant les autorisations de rôle à partir du fichier /MSFTSEN/SENTINEL_RESPONDER.
Le rôle /MSFTSEN/SENTINEL_RESPONDER inclut à la fois les actions de récupération de journal et de réponse aux interruptions en cas d’attaque. Pour activer uniquement la récupération de journal, sans actions de réponse aux interruptions d’attaque, déployez la demande de modification SAP NPLK900271 sur le système SAP ou chargez les autorisations de rôle à partir du fichier MSFTSEN_SENTINEL_CONNECTOR. Le rôle /MSFTSEN/SENTINEL_CONNECTOR dispose de toutes les autorisations nécessaires au fonctionnement du connecteur de données.
| Versions de SAP Basis | Exemple de CR |
|---|---|
| Toutes les versions | NPLK900271 : K900271.NPL, R900271.NPL |
Les administrateurs SAP expérimentés peuvent choisir de créer le rôle manuellement et de lui attribuer les autorisations appropriées. Dans ce cas, veillez à suivre les autorisations recommandées pour chaque journal. Pour en savoir plus, consultez Autorisations ABAP requises.
Récupérer des informations supplémentaires à partir de SAP (facultatif)
Vous pouvez déployer des demandes de modification supplémentaires à partir du référentiel GitHub Microsoft Sentinel pour permettre au connecteur de données SAP de récupérer certaines informations de votre système SAP.
- SAP BASIS 7.5 SP12 et versions ultérieures : informations sur l’adresse IP du client à partir du journal d’audit de sécurité
- TOUTE version de SAP BASIS : journaux de tables de base de données, journal de sortie de spool
| Versions de SAP Basis | CR recommandée | Notes |
|---|---|---|
| – 750 et ultérieur | NPLK900202 : K900202.NPL, R900202.NPL | Déployez la note SAP appropriée. |
| – 740 | NPLK900201 : K900201.NPL, R900201.NPL |
Déployer une note SAP (facultatif)
Si vous choisissez de récupérer des informations supplémentaires avec la demande de modification facultative NPLK900202, vérifiez que la note SAP suivante est déployée dans votre système SAP (en fonction de sa version) :
| Versions de SAP Basis | Notes |
|---|---|
| - 750 SP04 à SP12 - 751 SP00 à SP06 - 752 SP00 à SP02 |
2641084 - Accès en lecture standardisé aux données du journal d’audit de sécurité* |
Étapes suivantes
Après avoir vérifié que toutes les conditions préalables ont été remplies, passez à l’étape suivante pour déployer les demandes de modification requises sur votre système SAP et configurer l’autorisation.