Conditions préalables pour le déploiement des solutions Microsoft Sentinel pour les applications SAP
Cet article répertorie les conditions préalables requises pour le déploiement de la solution Microsoft Sentinel pour les applications SAP, qui diffèrent selon que vous déployez un agent de connecteur de données ou que vous utilisiez la solution sans agent avec SAP Cloud Connector. Sélectionnez l’option en haut de cette page qui correspond à votre déploiement.
Examiner et vérifier que vous disposez ou comprenez toutes les conditions préalables est la première étape du déploiement de la solution Microsoft Sentinel pour les applications SAP. Sélectionnez un type de connexion pour répertorier les prérequis pour votre environnement.
Le contenu de cet article est pertinent pour vos équipes en charge de la sécurité, de l’infrastructure et de SAP BASIS.
Le contenu de cet article est pertinent pour vos équipes de sécurité et SAP BASIS .
Important
La solution sans agent de Microsoft Sentinel est en préversion limitée en tant que produit préversion, qui peut être sensiblement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie exprimée ou implicite, en ce qui concerne les informations fournies ici. L’accès à la solution sans agent nécessite également l’inscription et n’est disponible que pour les clients et les partenaires approuvés pendant la période d’évaluation. Pour plus d’informations, consultez Microsoft Sentinel pour SAP sans agent.
Conditions préalables pour Azure
En règle générale, les prérequis Azure sont gérés par vos équipes de sécurité .
| Configuration requise | Description | Obligatoire ou facultatif |
|---|---|---|
| Accéder à Microsoft Sentinel | Notez votre *ID d’espace de travail et votre clé primaire pour votre espace de travail Log Analytics activé pour Microsoft Sentinel. Vous trouverez ces détails dans Microsoft Sentinel : dans le menu de navigation, sélectionnez Paramètres>Paramètres de l’espace de travail>Gestion des agents. Copiez l’ID de l’espace de travail et la clé primaire et collez-les pour une utilisation pendant le processus de déploiement. |
Requis |
| Des autorisations pour créer des ressources Azure | Au minimum, vous devez disposer des autorisations nécessaires pour déployer des solutions à partir du hub de contenu Microsoft Sentinel. Pour plus d’informations, consultez Conditions préalables pour le déploiement de solutions Microsoft Sentinel. | Requis |
| Autorisations pour créer un coffre de clés Azure ou accéder à un coffre existant | Utilisez Azure Key Vault pour stocker les secrets requis pour vous connecter à votre système SAP. Pour en savoir plus, consultez Attribuer une stratégie d’autorisation des accès Key Vault. | Obligatoire si vous envisagez de stocker les informations de connexion au système SAP dans Azure Key Vault. Facultatif si vous envisagez de les stocker dans un fichier config. Pour en savoir plus, consultez Créer une machine virtuelle et configurer l’accès à vos informations d’identification. |
| Autorisations pour l’attribution d’un rôle privilégié à l’agent du connecteur de données SAP | Le déploiement de l’agent du connecteur de données SAP nécessite que vous accordiez à l’identité de la machine virtuelle de votre agent des autorisations spécifiques pour l’espace de travail Microsoft Sentinel, à l’aide du rôle Opérateur d’agent d’applications métiers Microsoft Sentinel. Pour accorder ce rôle, vous devez disposer d’autorisations de Propriétaire sur le groupe de ressources où réside votre espace de travail Microsoft Sentinel. Pour plus d’informations, consultez Connecter votre système SAP en déployant votre conteneur d’agent de connecteur de données. |
Obligatoire. Si vous n’avez pas d’autorisations en tant que Propriétaire sur le groupe de ressources, l’étape correspondante peut également être effectuée par un autre utilisateur disposant des autorisations appropriées, indépendamment et une fois l’agent entièrement déployé. |
Prérequis système pour le conteneur de l’agent de connecteur de données
En règle générale, les prérequis système sont gérés par vos équipes d’infrastructure .
| Configuration requise | Description |
|---|---|
| Architecture du système | Le composant connecteur de données de la solution SAP est déployé en tant que conteneur Docker. L’hôte de conteneur peut être une machine physique ou une machine virtuelle, peut être situé localement ou dans n’importe quel cloud. La machine virtuelle hébergeant le conteneur n’a pas besoin d’être située dans le même abonnement Azure que votre espace de travail Microsoft Sentinel, ou même dans le même locataire Microsoft Entra. |
| Versions de Linux prises en charge | L’agent du connecteur de données SAP a été testé avec les distributions Linux suivantes : - Ubuntu 18.04 ou version ultérieure - SLES version 15 ou ultérieure - RHEL version 7.7 or ultérieure Si vous disposez d’un autre système d’exploitation, vous devrez peut-être déployer et configurer le conteneur manuellement. Pour plus d’informations, consultez Déployer le conteneur de l’agent de connecteur de données Microsoft Sentinel pour SAP avec des options d’experts ou ouvrir un ticket de support. |
| Recommandations de dimensionnement des machines virtuelles | Spécification minimale, par exemple pour un environnement lab : Une machine virtuelle Standard_B2s avec : - Deux cœurs - 4 Go DE RAM Connecteur standard (par défaut) : Machine virtuelle Standard_D2as_v5 ou Machine virtuelle Standard_D2_v5, avec : - Deux cœurs - 8 Go DE RAM Plusieurs connecteurs : Standard_D4as_v5 ou Machine virtuelle Standard_D4_v5, avec : - Quatre cœurs - 16 Go DE RAM |
| Privilèges d’administration | Les privilèges d’administration (racine) sont requis sur l’ordinateur hôte du conteneur. |
| Connectivité réseau | Vérifiez que l’hôte de conteneur a accès aux éléments suivants : Microsoft Sentinel - - Coffre de clés Azure (dans le scénario de déploiement où Azure Key Vault est utilisé pour stocker les secrets) - Système SAP via les ports TCP suivants : 32xx, 5xx13, 33xx, 48xx (quand SNC est utilisé), où xx est le numéro d’instance SAP. |
| Utilitaires logiciels | Le script de déploiement du connecteur de données SAP installe les logiciels requis suivants sur la machine virtuelle hôte du conteneur (selon la distribution Linux utilisée, la liste peut varier légèrement) : - Unzip - NetCat - Docker - jq - curl |
| Identité managée ou principal de service | La dernière version de l’agent de connecteur de données SAP nécessite une identité managée ou un principal de service pour s’authentifier auprès de Microsoft Sentinel. Les anciens agents sont pris en charge pour les mises à jour liées à la dernière version, et devront ensuite utiliser une identité managée ou un principal de service pour continuer la mise à jour vers les versions ultérieures. |
Prérequis SAP pour le conteneur de l’agent de connecteur de données
Nous vous recommandons de vérifier et de vérifier les prérequis du système SAP. Nous vous recommandons vivement d’effectuer toute la gestion de votre système SAP par un administrateur système SAP expérimenté.
| Configuration requise | Description |
|---|---|
| Versions de SAP prises en charge | L’agent de connecteur de données SAP prend en charge les systèmes SAP NetWeaver et a été testé sur les SAP_BASIS versions 731 et ultérieures. Certaines étapes de ce tutoriel fournissent des instructions distinctes si vous travaillez sur la version antérieure SAP_BASIS version 740. |
| Logiciels requis | SDK RFC SAP NetWeaver 7.50 (Télécharger ici) Assurez-vous que vous disposez également d’un compte d’utilisateur SAP pour accéder à la page de téléchargement des logiciels SAP. |
| Détails du système SAP | Notez les détails du système SAP suivants : - Adresse IP du système SAP et nom d’hôte FQDN - Numéro du système SAP, par exemple 00- ID du système SAP, provenant du système SAP NetWeaver (par exemple, NPL) - ID client SAP, tel que 001 |
| Accès à l’instance SAP NetWeaver | L’agent de connecteur de données SAP utilise l’un des mécanismes suivants pour s’authentifier auprès du système SAP : - Utilisateur/mot de passe SAP ABAP - Un utilisateur avec un certificat X.509. Cette option nécessite des étapes de configuration supplémentaires. Pour plus d’informations, consultez Configurer votre système pour utiliser SNC pour des connexions sécurisées. |
| Configuration requise pour les rôles SAP | Pour permettre au connecteur de données SAP de se connecter à votre système SAP, vous devez créer un rôle de système SAP. Nous vous recommandons de créer le rôle système requis en déployant la demande de modification sap NPLK900271 (CR). Pour plus d’informations, consultez Configurer le rôle Microsoft Sentinel. |
| Demandes de certification recommandées pour une prise en charge supplémentaire | Déployez les demandes de certification recommandées sur votre système SAP pour récupérer des détails supplémentaires, tels que l’adresse IP du client et les journaux supplémentaires. Pour plus d’informations, consultez Configurer la prise en charge de l’extraction de données supplémentaire (nos recommandations). |
Conditions préalables pour Azure
En règle générale, les prérequis Azure sont gérés par vos équipes de sécurité .
| Configuration requise | Description | Obligatoire ou facultatif |
|---|---|---|
| Accès à la préversion limitée | La solution sans agent vous oblige à vous inscrire et n’est disponible que pour les clients et partenaires approuvés pendant la période d’évaluation limitée. Pour plus d’informations, consultez Inscription en préversion limitée : Solution Microsoft Sentinel pour SAP - Connecteur de données sans agent. | Requis |
| Des autorisations pour créer des ressources Azure | Vous devez disposer des points suivants : - Autorisations nécessaires pour déployer des solutions à partir du hub de contenu Microsoft Sentinel. Pour plus d’informations, consultez Conditions préalables pour le déploiement de solutions Microsoft Sentinel et des rôles intégrés Microsoft Entra. Propriétaire sur le groupe de ressources Microsoft Sentinel, requis pour : - Création d’une règle de collecte de données et d’un point de terminaison de collecte de données. - Surveillance de l’attribution de rôle Serveur de publication de métriques sur la règle de collecte de données. |
Requis |
| Autorisations dans Microsoft Entra | Vous devez disposer d’autorisations dans l’ID Microsoft Entra requis pour créer des inscriptions d’applications. Cette autorisation peut être obtenue via l’appartenance au rôle d’ID Microsoft Entra intégré : - Développeur d’applications. |
Requis |
Prérequis SAP pour le connecteur de données sans agent
Nous vous recommandons de vérifier et de vérifier les prérequis du système SAP. Nous vous recommandons vivement d’effectuer toute la gestion de votre système SAP par un administrateur système SAP expérimenté.
| Configuration requise | Description |
|---|---|
| Versions de SAP prises en charge | La solution sans agent prend en charge les systèmes SAP NetWeaver avec SAP_BASIS versions 750 et ultérieures. |
| Système SAP | Votre système SAP doit avoir : Un sous-compte SAP BTP avec les services suivants activés : - SAP Integration Suite - Runtime d’intégration de processus SAP - Runtime Cloud Foundry Pour plus d’informations, consultez la documentation SAP. Les comptes d’évaluation sont pris en charge. SAP Cloud Connector déployé SAP NetWeaver version 7.5 ou ultérieure |
| Rôles et autorisations SAP | Vous devez disposer des rôles suivants dans vos systèmes SAP : Dans SAP NetWeaver 7.5+ : Administrateur SAP Netweaver Dans SAP BTP, tous les rôles suivants : - Administrateur de sous-compte - Provisionneur d’intégration - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
Planifier votre ingestion
Nous vous recommandons de tester vos systèmes pour déterminer le nombre de journaux que chacun de vos systèmes SAP envoie à Microsoft Sentinel. La facturation de Microsoft Sentinel dépend de la taille d’ingestion des journaux, qui dépend à son tour de facteurs tels que l’utilisation du système, les modules déployés, le nombre d’utilisateurs, les cas d’utilisation en cours d’exécution, le trafic réseau et les types de journaux.
Pour plus d’informations, consultez l’article suivant :
- Tarification de la solution
- Planifier les coûts et comprendre la tarification et la facturation de Microsoft Sentinel
- Réduction des coûts de Microsoft Sentinel
- Gérer et surveiller les coûts pour Microsoft Sentinel