Partager via


Connecter votre système SAP à Microsoft Sentinel

Pour que les applications de solution Microsoft Sentinel pour SAP fonctionnent correctement, vous devez d’abord transférer vos données SAP dans Microsoft Sentinel. Pour ce faire, déployez l’agent de connecteur de données SAP Microsoft Sentinel ou connectez le connecteur de données sans agent Microsoft Sentinel pour SAP. En haut de la page, sélectionnez l’option qui correspond à votre environnement.

Cet article décrit la troisième étape du déploiement de l’une des solutions Microsoft Sentinel pour les applications SAP.

Diagramme du flux de déploiement de la solution SAP, mettant en évidence l’étape Connecter votre système SAP.

Le contenu de cet article est pertinent pour vos équipes en charge de la sécurité, de l’infrastructure et de SAP BASIS. Veillez à effectuer les étapes décrites dans cet article dans l’ordre dans lequel elles sont présentées.

Diagramme du flux de déploiement de la solution SAP, mettant en évidence l’étape Connecter votre système SAP.

Le contenu de cet article est pertinent pour votre équipe de sécurité, en utilisant les informations fournies par vos équipes SAP BASIS.

Important

La solution sans agent de Microsoft Sentinel est en préversion limitée et est fournie en tant que produit en version préliminaire. Elle peut donc encore faire l’objet d’importantes modifications avant sa commercialisation. Microsoft n’offre aucune garantie expresse ou implicite concernant les informations fournies ici. L’accès à la solution sans agent nécessite également une inscription et n’est disponible que pour les clients et partenaires approuvés pendant la période de préversion. Pour plus d’informations, consultez Microsoft Sentinel pour SAP devient « sans agent ».

Prérequis

Avant de connecter votre système SAP à Microsoft Sentinel :

Regarder une vidéo de démonstration

Regardez l’une des démonstrations vidéo suivantes du processus de déploiement décrit dans cet article.

Une présentation approfondie des options du portail :

Inclut plus d’informations sur l’utilisation d’Azure KeyVault. Pas d’audio, démonstration uniquement avec des sous-titres :

Créer une machine virtuelle et configurer l’accès à vos informations d’identification

Nous vous recommandons de créer une machine virtuelle dédiée pour votre conteneur d’agent de connecteur de données afin de garantir un niveau de performance optimal et d’éviter des conflits potentiels. Pour plus d’informations, consultez Prérequis système pour le conteneur de l’agent de connecteur de données.

Nous vous recommandons de stocker vos secrets SAP et ceux d’authentification dans un coffre de clés Azure. La façon dont vous accédez à votre coffre de clés dépend de l’emplacement où votre machine virtuelle est déployée :

Méthode de déploiement Méthode d’accès
Conteneur sur une machine virtuelle Azure Nous vous recommandons d’utiliser une identité managée affectée par le système Azure pour accéder à Azure Key Vault.

Si une identité managée affectée par le système ne peut pas être utilisée, le conteneur peut également s’authentifier auprès d’Azure Key Vault à l’aide d’un principal de service d’application inscrite Microsoft Entra ID ou, en dernier recours, d’un fichier de configuration.
Un conteneur sur une machine virtuelle locale, ou une machine virtuelle dans un environnement cloud tiers Authentifiez-vous auprès d’Azure Key Vault à l’aide d’un principal de service d’application inscrite Microsoft Entra ID.

Si vous ne pouvez pas utiliser une application inscrite ou un principal de service, utilisez un fichier de configuration pour gérer vos informations d’identification, même si cette méthode n’est pas celle conseillée. Pour plus d’informations, consultez Déployer le connecteur de données à l’aide d’un fichier de configuration.

Pour plus d’informations, consultez l’article suivant :

Votre machine virtuelle est généralement créée par votre équipe en charge de l’infrastructure. La configuration de l’accès aux informations d’identification et la gestion des coffres de clés est généralement effectuée par votre équipe en charge de la sécurité.

Créer une identité managée avec une machine virtuelle Azure

  1. Exécutez la commande suivante pour Créer une machine virtuelle dans Azure, en remplaçant les noms réels de votre environnement par les <placeholders> :

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
    
    

    Pour plus d’informations, consultez Démarrage rapide : Créer une machine virtuelle Linux avec Azure CLI.

    Important

    Une fois la machine virtuelle créée, veillez à appliquer les exigences de sécurité et les procédures de renforcement applicables dans votre organisation.

    Cette commande crée la ressource de machine virtuelle, en produisant une sortie semblable à celle-ci :

    {
      "fqdns": "",
      "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
      "identity": {
        "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
        "userAssignedIdentities": {}
      },
      "location": "westeurope",
      "macAddress": "00-11-22-33-44-55",
      "powerState": "VM running",
      "privateIpAddress": "192.168.136.5",
      "publicIpAddress": "",
      "resourceGroup": "resourcegroupname",
      "zones": ""
    }
    
  2. Copiez le GUID systemAssignedIdentity, car il sera utilisé dans les étapes à venir. Il s’agit de votre identité managée.

Création d’un coffre de clés

Cette procédure explique comment créer un coffre de clés pour stocker les informations de configuration de votre agent, y compris vos secrets d’authentification SAP. Si vous utilisez un coffre de clés existant, passez directement à l’étape 2.

Pour créer votre coffre de clés :

  1. Exécutez les commandes suivantes, en remplaçant les valeurs <placeholder> par des noms réels.

    az keyvault create \
      --name <KeyVaultName> \
      --resource-group <KeyVaultResourceGroupName>
    
  2. Copiez le nom de votre coffre de clés et le nom de son groupe de ressources. Vous en aurez besoin lorsque vous affecterez les autorisations d’accès au coffre de clés et exécuterez le script de déploiement dans les étapes suivantes.

Attribuer les autorisations d’accès au coffre de clés

  1. Dans votre coffre de clés, attribuez le rôle Lecteur des secrets du coffre de clés Azure à l’identité créée et copiée plus tôt.

  2. Dans le même coffre de clés, attribuez les rôles Azure suivants à l’utilisateur en configurant l’agent du connecteur de données :

    • Contributeur de coffre de clés pour déployer l’agent
    • Agent des secrets du coffre de clés pour ajouter de nouveaux systèmes

Déployer l’agent de connecteur de données à partir du portail (préversion)

Maintenant que vous avez créé une machine virtuelle et un coffre de clés, l’étape suivante consiste à créer un agent et à vous connecter à l’un de vos systèmes SAP. Vous pouvez exécuter plusieurs agents de connecteur de données sur une même machine, mais nous vous recommandons de commencer par un seul, de surveiller le niveau de performance, puis d’augmenter progressivement le nombre de connecteurs.

Cette procédure explique comment créer un agent et le connecter à votre système SAP à l’aide des portails Azure ou Defender. Nous recommandons à votre équipe en charge de la sécurité d’effectuer cette procédure avec l’aide de l’équipe SAP BASIS.

Le déploiement de l’agent de connecteur de données à partir du portail est pris en charge à partir du Portail Azure et du portail Defender si vous avez intégré votre espace de travail à la plateforme d’opérations de sécurité unifiée.

Bien que le déploiement soit également pris en charge à partir de la ligne de commande, nous vous recommandons d’utiliser le portail pour les déploiements classiques. Les agents de connecteur de données déployés à l’aide de la ligne de commande peuvent être gérés uniquement via la ligne de commande, et non via le portail. Pour découvrir plus d’informations, consultez Déployer un agent de connecteur de données SAP depuis la ligne de commande.

Important

Le déploiement du conteneur et la création de connexions à des systèmes SAP via le portail est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Configuration requise :

  • Pour déployer votre agent de connecteur de données via le portail, vous avez besoin des éléments suivants :

    • Authentification via une identité managée ou une application inscrite
    • Informations d’identification stockées dans un coffre de clés Azure

    Si vous ne disposez pas de ces prérequis, déployer l’agent de connecteur de données SAP à partir de la ligne de commande à la place.

  • Pour déployer l’agent de connecteur de données, vous avez également besoin de privilèges sudo ou racine sur la machine de l’agent du connecteur de données.

  • Si vous souhaitez ingérer les journaux Netweaver/ABAP via une connexion sécurisée à l’aide de Secure Network Communications (SNC), vous avez besoin des éléments suivants :

    • Chemin d’accès à la bibliothèque binaire sapgenpse et la bibliothèque libsapcrypto.so
    • Détails de votre certificat client

    Pour plus d’informations, consultez Configurer votre système pour utiliser SNC pour des connexions sécurisées.

Pour déployer l’agent du connecteur de données :

  1. Connectez-vous à la machine virtuelle nouvellement créée sur laquelle vous installez l’agent en tant qu’utilisateur disposant de privilèges sudo.

  2. Téléchargez et/ou transférez le Kit de développement logiciel (SDK) NetWeaver SAP sur la machine.

  3. Dans Microsoft Sentinel, sélectionnez Configuration > Connecteurs de données.

  4. Dans la barre de recherche, entrez SAP. Sélectionnez Microsoft Sentinel pour SAP dans les résultats de la recherche, puis sélectionnez Ouvrir la page du connecteur.

  5. Dans la zone Configuration, sélectionnez Add new agent (Preview) (Ajouter un nouvel agent (préversion)).

    Capture d’écran des instructions pour ajouter un agent collecteur basé sur l’API SAP.

  6. Dans le volet Créer un agent collecteur, entrez les détails de l’agent suivant :

    Nom Description
    Nom de l’agent Entrez un nom d’agent pertinent pour votre organisation. Nous ne recommandons aucune convention d’affectation de noms spécifique, sauf que le nom ne peut inclure que les types de caractères suivants :
    • a-z
    • A-Z
    • 0-9
    • _ (souligné)
    • . (period)
    • - (tiret)
    Abonnement / Coffre de clés Sélectionnez Abonnement et Coffre de clés dans leurs listes déroulantes respectives.
    Chemin du fichier zip du kit de développement logiciel (SDK) NWRFC sur la machine virtuelle de l’agent Entrez le chemin d’accès de votre machine virtuelle qui contient l’archive (fichier .zip) du kit de développement logiciel (SDK) SAP NetWeaver Remote Function Call (RFC).

    Vérifiez que ce chemin d’accès inclut le numéro de version du Kit de développement logiciel (SDK) dans la syntaxe suivante : <path>/NWRFC<version number>.zip. Par exemple : /src/test/nwrfc750P_12-70002726.zip.
    Activer la prise en charge des connexions SNC Sélectionnez cette option pour ingérer les journaux NetWeaver/ABAP via une connexion sécurisée à l’aide de SNC.

    Si vous sélectionnez cette option, indiquez le chemin qui contient le fichier binaire sapgenpse et la bibliothèque libsapcrypto.so sous Chemin de la bibliothèque de chiffrement SAP sur la machine virtuelle de l’agent.

    Si vous souhaitez utiliser une connexion SNC, veillez à sélectionner Activer la prise en charge des connexions SNC à ce stade, car vous ne pouvez pas revenir en arrière et activer une connexion SNC une fois que vous avez terminé le déploiement de l’agent. Si vous souhaitez modifier ce paramètre par la suite, nous vous recommandons de créer un agent à la place.
    Authentification auprès d’Azure Key Vault Pour vous authentifier auprès de votre coffre de clés à l’aide d’une identité managée, laissez l’option Identité managée par défaut sélectionnée. Pour vous authentifier auprès de votre coffre de clés à l’aide d’une application inscrite, sélectionnez Identitéd’application.

    Vous devez configurer l’identité managée ou l’application inscrite à l’avance. Pour en savoir plus, consultez Créer une machine virtuelle et configurer l’accès à vos informations d’identification.

    Par exemple :

    Capture d’écran de la zone Créer un agent collecteur.

  7. Sélectionnez Créer et passez en revue les recommandations avant de terminer le déploiement :

    Capture d’écran de l’étape finale du déploiement de l’agent.

  8. Le déploiement de l’agent du connecteur de données SAP nécessite que vous accordiez à l’identité de la machine virtuelle de votre agent des autorisations spécifiques pour l’espace de travail Microsoft Sentinel, à l’aide des rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur.

    Pour exécuter les commandes à cette étape, vous devez être propriétaire du groupe de ressources sur votre espace de travail Microsoft Sentinel. Si vous n’êtes pas propriétaire d’un groupe de ressources sur votre espace de travail, cette procédure peut également être effectuée une fois le déploiement de l’agent terminé.

    Sous Quelques étapes supplémentaires avant de terminer, copiez les Commandes d’attribution de rôle de l’étape 1 et exécutez-les sur la machine virtuelle de votre agent, en remplaçant l’espace réservé [Object_ID] par votre ID d’objet d’identité de machine virtuelle. Par exemple :

    Capture d’écran de l’icône Copier pour la commande de l’étape 1.

    Pour trouver l’ID d’objet de l’identité de votre machine virtuelle dans Azure :

    • Pour une identité managée, l’ID d’objet est répertorié dans la page Identité de la machine virtuelle.

    • Pour un principal de service, accédez à Application d'entreprise dans Azure. Sélectionnez Toutes les applications, puis sélectionnez votre machine virtuelle. L’ID d’objet est affiché dans la page Vue d’ensemble.

    Ces commandes attribuent les rôles Azure Opérateur d’agent d’applications métier Microsoft Sentinel et Lecteur à l’identité managé ou de l’application de votre machine virtuelle, y compris uniquement l’étendue des données de l’agent spécifié dans l’espace de travail.

    Important

    L’attribution des rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur via l’interface CLI attribue les rôles uniquement dans l’étendue des données de l’agent spécifié dans l’espace de travail. Il s’agit de l’option la plus sécurisée et donc recommandée.

    Si vous devez attribuer les rôles via le portail Microsoft Azure, nous vous recommandons d’attribuer les rôles sur une petite étendue, par exemple uniquement sur l’espace de travail Microsoft Sentinel.

  9. Sélectionnez Copier Capture d’écran de l’icône Copier à côté de la commande de déploiement de l’agent. en regard de la commande de déploiement Agent à l’étape 2. Par exemple :

    Capture d’écran de la commande Agent à copier à l’étape 2.

  10. Copiez la ligne de commande à un emplacement distinct, puis sélectionnez Fermer.

    Les informations pertinentes sur l’agent sont déployées dans Azure Key Vault, et le nouvel agent est visible dans le tableau sous Add an API based collector agent (Ajouter un agent collecteur basé sur l’API).

    À ce stade, l’état Intégrité l’agent est « Installation incomplète. Suivez les instructions ». Une fois l’agent installé, l’état passe à Agent sain. Cette mise à jour peut prendre jusqu’à 10 minutes. Par exemple :

    Capture d’écran des états d’intégrité des agents collecteurs basés sur l’API sur la page du connecteur de données SAP.

    Remarque

    Le tableau affiche le nom de l’agent et l’état d’intégrité uniquement pour les agents que vous déployez via le portail Microsoft Azure. Les agents déployés à l’aide de la ligne de commande ne sont pas affichés ici. Pour plus d’informations, consultez l’onglet Ligne de commande à la place.

  11. Sur la machine virtuelle où vous envisagez d’installer l’agent, ouvrez un terminal et exécutez la commande de déploiement de l’agent que vous avez copiée à l’étape précédente. Cette étape nécessite des privilèges sudo ou racine sur la machine de l’agent du connecteur de données.

    Le script met à jour les composants du système d’exploitation et installe Azure CLI, le logiciel Docker et d’autres utilitaires requis, tels que jq, netcat et curl.

    Fournissez des paramètres supplémentaires au script si nécessaire pour personnaliser le déploiement du conteneur. Pour plus d’informations sur les options de ligne de commande disponibles, consultez référence du script kickstart.

    Si vous avez besoin de copier votre commande, sélectionnez Afficher Capture d’écran de l’icône Afficher à côté de la colonne Intégrité. à droite de la colonne Intégrité et copiez la commande en regard de la commande de déploiement Agent en bas à droite.

  12. Dans la page du connecteur de données de l'application de la Solution Microsoft Sentinel pour SAP, dans la zone Configuration, sélectionnez Ajouter un nouveau système (préversion) et entrez les détails suivants :

    • Sous Sélectionner un agent, sélectionnez l’agent que vous avez créé précédemment.

    • Sous Identificateur système, sélectionnez le type de serveur :

      • Serveur ABAP
      • Serveur de messages pour utiliser un serveur de messages dans le cadre des Services centraux ABAP SAP (ASCS).
    • Continuez en définissant les détails associés pour votre type de serveur :

      • Pour un serveur ABAP, entrez l’adresse IP/le nom de domaine complet du serveur d’applications ABAP, l’ID et le numéro de système, ainsi que l’ID client.
      • Pour un serveur de message, entrez l’adresse IP/le nom de domaine complet du serveur de message, le numéro de port ou le nom de service, ainsi que le groupe de connexion

    Lorsque vous avez terminé, sélectionnez Suivant : authentification.

    Par exemple :

    Capture d’écran de l’onglet Paramètres système dans la zone Ajouter un nouveau système.

  13. Sous l’onglet Authentification, entrez les détails suivants :

    • Pour l’authentification de base, entrez l’utilisateur et le mot de passe.
    • Si vous avez sélectionné une connexion SNC lors de la configuration de l’agent, sélectionnez SNC et entrez les détails du certificat.

    Lorsque vous avez terminé, sélectionnez Suivant : journaux d’activité.

  14. Sous l’onglet journaux d’activité, sélectionnez les journaux que vous souhaitez ingérer à partir de SAP, puis sélectionnez Suivant : vérifier et créer. Par exemple :

    Capture d’écran de l’onglet Journaux d’activité dans le volet latéral Ajouter un nouveau système.

  15. (Facultatif) Pour obtenir des résultats optimaux dans la surveillance de la table SAP PAHI, sélectionnez Historique de configuration. Pour plus d'informations, voir Vérifier que la table PAHI est mise à jour à intervalles réguliers.

  16. Passez en revue les paramètres que vous avez définis. Sélectionnez Précédent pour modifier les paramètres, ou sélectionnez Déployer pour déployer le système.

La configuration du système que vous avez définie est déployée dans le coffre-fort de clés Azure que vous avez défini lors du déploiement. Vous pouvez maintenant voir les détails du système dans le tableau sous Configure an SAP system and assign it to a collector agent (Configurer un système SAP et l’affecter à un agent collecteur). Ce tableau affiche le nom de l’agent associé, l’ID de système SAP (SID) et l’état d’intégrité des systèmes que vous avez ajoutés via le portail ou autrement.

À ce stade, l’état d’intégrité du système est Pending (En attente). Si l’agent est mis à jour, il extrait la configuration d’Azure Key Vault et l’état devient System healthy (Système sain). Cette mise à jour peut prendre jusqu’à 10 minutes.

Connecter votre connecteur de données sans agent

  1. Dans Microsoft Sentinel, accédez à la page Configuration > Connecteurs de données et recherchez le connecteur de données SAP ABAP et S/4 via le connecteur cloud (préversion).

  2. Dans la zone Configuration, sous Connecter une suite d’intégration SAP à Microsoft Sentinel, sélectionnez Ajouter une connexion.

  3. Dans le volet latéral Connexion sans agent, entrez les détails suivants :

    Champ Description
    Nom de destination RFC Nom de la destination RFC, extraite de votre destination BTP.
    ID client sans agent SAP Valeur clientid extraite du fichier JSON de la clé de service Process Integration Runtime.
    Clé secrète client sans agent SAP La valeur clientsecret extraite du fichier JSON de la clé de service Process Integration Runtime.
    URL du serveur d’autorisation La valeur tokenurlurl extraite du fichier JSON de la clé de service Process Integration Runtime. Par exemple : https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
    Point de terminaison Integration Suite La valeur url extraite du fichier JSON de la clé de service Process Integration Runtime. Par exemple : https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

Vérifier la connectivité et l’intégrité

Après avoir déployé le connecteur de données SAP, vérifiez l’intégrité et la connectivité de votre agent. Pour plus d’informations, consultez Surveiller l’intégrité et le rôle de vos systèmes SAP.

Étape suivante

Une fois le connecteur déployé, passez à la configuration du contenu des applications de la Solution Microsoft Sentinel pour SAP. Plus précisément, la configuration des détails dans les watchlists est une étape essentielle pour activer les détections et la protection contre les menaces.