Guide opérationnels de réponse aux incidents Microsoft Sentinel pour SAP

Cet article explique comment tirer parti des fonctionnalités d’orchestration de sécurité, d’automatisation et de réponse (SOAR) de Microsoft Sentinel, conjointement avec SAP. L’article présente les guides opérationnels spécialement conçus inclus dans la solution Microsoft Sentinel pour les applications SAP®. Vous pouvez utiliser ces guides opérationnels pour répondre automatiquement aux activités suspectes des utilisateurs dans les systèmes SAP, en automatisant les actions correctives dans SAP RISE, SAP ERP, SAP Business Technology Platform (BTP) ainsi que dans Microsoft Entra ID.

La solution SAP Microsoft Sentinel permet à votre organisation de sécuriser son environnement SAP. Pour obtenir une vue d’ensemble complète et détaillée de la solution SAP Sentinel, consultez les articles suivants :

• Présentation des applications Solution Microsoft Sentinel pour SAP®
• Déployer des applications Solution Microsoft Sentinel pour SAP®
• Applications Solution Microsoft Sentinel pour SAP® : référence relative au contenu de sécurité

Avec l’ajout de ces guides opérationnels à la solution, vous pouvez non seulement surveiller et analyser les événements de sécurité en temps réel, mais également automatiser les processus de réponse aux incidents SAP pour améliorer l’efficacité des opérations de sécurité.

La solution Microsoft Sentinel pour SAP® comprend les guides opérationnels suivants :

• Réponse aux incidents SAP : bloquer l’utilisateur à partir de Teams (base)
• Réponse aux incidents SAP : bloquer l’utilisateur à partir de Teams (avancé)
• Réponse aux incidents SAP : réactiver le journal d’audit

Cas d'utilisation

Vous êtes responsable de défendre l’environnement SAP de votre organisation. Vous avez installé la solution Microsoft Sentinel pour application SAP®. Vous avez activé la règle d’analyse de la solution « SAP : exécution d’un code de transaction sensible » et vous avez probablement personnalisé la liste de surveillance « Transactions sensibles » de la solution pour inclure les codes de transaction spécifiques que vous souhaitez analyser. Un incident vous avertit d’une activité suspecte dans l’un des systèmes SAP. Un utilisateur tente d’exécuter l’une de ces transactions hautement sensibles. Vous devez examiner cet incident et y répondre.

Pendant la phase de triage, vous décidez d’agir contre cet utilisateur, en l’excluant de vos systèmes SAP ERP ou BTP ou même de Microsoft Entra ID.

Bloquer un utilisateur à partir d’un système unique

Pour illustrer comment automatiser ce processus, créons une règle d’automatisation pour appeler le guide opérationnel Bloquer l’utilisateur à partir de Teams (base) chaque fois qu’une exécution de transaction sensible par un utilisateur non autorisé est détectée. Ce guide opérationnel utilise la fonctionnalité des cartes adaptatives de Teams pour demander une approbation avant de bloquer unilatéralement l’utilisateur.

Pour plus d’informations sur la configuration de ce guide opérationnel, consultez ce billet de blog SAP.

Bloquer un utilisateur à partir de plusieurs systèmes

Le guide opérationnel Bloquer un utilisateur à partir de Teams (avancé) fait la même chose, mais il est conçu pour des scénarios plus complexes, ce qui permet d’utiliser un seul guide opérationnel pour plusieurs systèmes SAP, chacun avec son propre SID SAP. Le guide opérationnel gère en toute fluidité les connexions à tous ces systèmes, ainsi que leurs informations de connexion, à l’aide du paramètre dynamique optionnel InterfaceAttributes dans la liste de surveillance SAP : systèmes (incluse avec la solution Microsoft Sentinel pour les applications SAP®) et Azure Key Vault. Le guide opérationnel vous permet également de communiquer avec les parties dans le processus d’approbation à l’aide des messages actionnables Outlook en renfort et en synchronisation avec Teams, grâce aux paramètres TeamsChannelID et DestinationEmail dans la liste de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration .

Pour plus d’informations sur la configuration de ce guide opérationnel, et en particulier sur l’utilisation des paramètres dynamiques des listes de surveillance pour gérer les connexions à tous vos systèmes SAP, consultez ce billet de blog SAP.

Empêcher la désactivation du journal d’audit

Votre mission étant de vous assurer que la couverture de sécurité de votre environnement SAP reste complète et ininterrompue, vous pouvez être préoccupé par la désactivation du journal d’audit SAP, l’une des sources de vos informations de sécurité. Il vous faudra créer une règle d’automatisation basée sur la règle SAP : désactivation du journal d’audit de sécurité, qui appellera le guide opérationnel Réactiver le journal d’audit une fois désactivé afin de vous assurer que cela n’arrive pas. Ce guide opérationnel utilise également Teams, mais uniquement pour informer le personnel de sécurité a posteriori. Selon la gravité de l’infraction et l’urgence de la corriger, des mesures immédiates peuvent être prises sans approbation préalable obligatoire. Étant donné que ce guide opérationnel utilise également Azure Key Vault pour gérer les informations d’identification, sa configuration est similaire à celle du précédent. Pour plus d’informations sur ce guide opérationnel et sa configuration, consultez ce billet de blog SAP.

Comparatif des guide opérationnels Standard et Consommation

Microsoft Sentinel vous permet de créer des instances de ces guide opérationnels directement à partir de modèles si vous utilisez les guides opérationnels du pack Consommation de Azure Logic Apps. Si vous avez des besoins spéciaux de support pour le VNET, vous devez utiliser soit la gestion des API Azuretelle que décrite ici en complément de votre application logique Consommation, soit utiliser des applications logiques du packStandard.

Consultez l’explication complète sur les différents types de guides opérationnels. Consultez également ce billet de blog SAP, du tableau, sous le titre « Création d’une ligne de mire pour la requête SOAP de votre système SAP », afin de vous familiariser avec les ramifications du choix de chaque type d’application logique.

Le processus de déploiement des applications logiques Standard est généralement plus complexe que celui des applications logiques Consommation, mais nous avons mis à disposition une série de raccourcis qui vous permettent de les déployer rapidement à partir du référentiel GitHub Microsoft Sentinel. Suivez la procédure décrite ici pour déployer les guides opérationnels.

Guides opérationnels Standard actuellement disponibles dans GitHub :

• Guide opérationnel StandardBloquer un utilisateur SAP à partir de Teams (base)

Gardez des onglets ouverts sur le Dossier guides opérationnels SAP dans le référentiel GitHub pour plus obtenir les nouveaux guides opérationnels à mesure qu’ils seront disponibles. Vous trouverez également une courte vidéo de présentation (lien externe) pour vous aider à vous lancer.

Étapes suivantes

Dans cet article, vous avez découvert les guides opérationnels disponibles dans les applications de la solution Microsoft Sentinel solution pour SAP®.

• En apprendre davantage sur les applications de la solution Microsoft Sentinel pour SAP® :
• Découvrez comment déployer des applications de la solution Microsoft Sentinel pour SAP®.
• Cet article détaille le contenu de sécurité disponible pour les applications de la solution Microsoft Sentinel pour SAP®.
• Découvrez les règles d’automatisation et les guides opérationnels.