Partager via

Connecter votre système SAP à Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Pour que les applications de solution Microsoft Sentinel pour SAP fonctionnent correctement, vous devez d’abord transférer vos données SAP dans Microsoft Sentinel. Pour ce faire, déployez l’agent de connecteur de données SAP Microsoft Sentinel ou connectez le connecteur de données sans agent Microsoft Sentinel pour SAP. En haut de la page, sélectionnez l’option qui correspond à votre environnement.

Cet article décrit la troisième étape du déploiement de l’une des solutions Microsoft Sentinel pour les applications SAP.

Important

L’agent de connecteur de données pour SAP est en cours d’obsolétude et sera définitivement désactivé d’ici le 30 septembre 2026. Nous vous recommandons de migrer vers le connecteur de données sans agent. Découvrez-en plus sur l’approche sans agent dans notre article de blog.

Diagramme du flux de déploiement de la solution SAP, mettant en évidence l’étape Connecter votre système SAP.

Le contenu de cet article est pertinent pour vos équipes de sécurité, d’infrastructure et de SAP BASIS . Effectuez les étapes décrites dans cet article dans l’ordre dans lequel elles sont présentées.

Diagramme du flux de déploiement de la solution SAP, mettant en évidence l’étape Connecter votre système SAP.

Le contenu de cet article est pertinent pour votre équipe de sécurité .

Prérequis

Avant de connecter votre système SAP à Microsoft Sentinel :

Regarder une vidéo de démonstration

Regardez l’une des vidéos de démonstration suivantes du processus de déploiement décrit dans cet article.

Une présentation approfondie des options du portail :

Inclut plus de détails sur l’utilisation d’Azure KeyVault. Pas d’audio, démonstration uniquement avec des sous-titres :

Créer une machine virtuelle et configurer l’accès à vos informations d’identification

Nous vous recommandons de créer une machine virtuelle dédiée pour votre conteneur d’agent de connecteur de données pour garantir un niveau de performance optimal et éviter des conflits potentiels. Pour plus d'informations, consultez les conditions système requises pour le conteneur de l'agent connecteur de données.

Nous vous recommandons de stocker vos secrets SAP et d’authentification dans azure Key Vault. La façon dont vous accédez à votre coffre de clés dépend de l’emplacement où votre machine virtuelle est déployée :

Méthode de déploiement Méthode d’accès
Conteneur sur une machine virtuelle Azure Nous vous recommandons d’utiliser une identité managée affectée par le système Azure pour accéder à Azure Key Vault.

Si une identité managée affectée par le système ne peut pas être utilisée, le conteneur peut également s’authentifier auprès d’Azure Key Vault à l’aide d’un principal de service d’application inscrite Microsoft Entra ID ou, en dernier recours, d’un fichier de configuration.
Conteneur sur une machine virtuelle locale ou une machine virtuelle dans un environnement cloud tiers Authentifiez-vous auprès d’Azure Key Vault à l’aide d’un principal de service d’application inscrite Microsoft Entra ID.

Si vous ne pouvez pas utiliser une application inscrite ou un principal de service, utilisez un fichier de configuration pour gérer vos informations d’identification, même si cette méthode n’est pas celle conseillée. Pour plus d’informations, consultez Déployer le connecteur de données à l’aide d’un fichier de configuration.

Pour plus d'informations, consultez :

Votre machine virtuelle est généralement créée par votre équipe d’infrastructure . La configuration de l’accès aux informations d’identification et de la gestion des coffres de clés est généralement effectuée par votre équipe de sécurité .

Créer une identité managée avec une machine virtuelle Azure

  1. Exécutez la commande suivante pour créer une machine virtuelle dans Azure, en remplaçant les noms réels de votre environnement pour :<placeholders>

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

    Pour plus d’informations, consultez Démarrage rapide : Créer une machine virtuelle Linux avec Azure CLI.

    Important

    Une fois la machine virtuelle créée, appliquez les exigences de sécurité et les procédures de renforcement applicables dans votre organisation.

    Cette commande crée la ressource de machine virtuelle, en produisant une sortie semblable à celle-ci :

    {
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

  2. Copiez le GUID systemAssignedIdentity , car il sera utilisé dans les étapes à venir. Il s’agit de votre identité managée.

Créer un coffre de clés

Cette procédure explique comment créer un coffre de clés pour stocker les informations de configuration de votre agent, notamment vos secrets d’authentification SAP. Si vous utilisez un coffre de clés existant, passez directement à l’étape 2.

Pour créer votre coffre de clés :

  1. Exécutez les commandes suivantes, en remplaçant les valeurs <placeholder> par des noms réels.

    az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

  2. Copiez le nom de votre coffre de clés et le nom de son groupe de ressources. Vous en aurez besoin quand vous attribuerez les autorisations d’accès au coffre de clés et exécuterez le script de déploiement dans les étapes suivantes.

Attribuer les autorisations d’accès au coffre de clés

  1. Dans votre coffre de clés, attribuez le rôle Lecteur de secrets Azure Key Vault à l’identité que vous avez créée et copiée précédemment.

  2. Dans le même coffre de clés, attribuez les rôles Azure suivants à l’utilisateur en configurant l’agent du connecteur de données :

    • Contributeur de coffre de clés pour déployer l’agent
    • Agent des secrets Key Vault pour ajouter de nouveaux systèmes

Déployer l’agent de connecteur de données à partir du portail (préversion)

Maintenant que vous avez créé une machine virtuelle et un coffre de clés, l’étape suivante consiste à créer un agent et à vous connecter à l’un de vos systèmes SAP. Vous pouvez exécuter plusieurs agents de connecteur de données sur une même machine, mais nous vous recommandons de commencer par un seul, de surveiller le niveau de performance, puis d’augmenter progressivement le nombre de connecteurs.

Cette procédure explique comment créer un agent et le connecter à votre système SAP à l’aide des portails Azure ou Defender. Nous recommandons que votre équipe sécurité effectue cette procédure avec l’aide de l’équipe SAP BASIS.

Le déploiement de l’agent de connecteur de données à partir du portail est pris en charge à partir du portail Azure et du portail Defender lorsque Microsoft Sentinel est intégré au portail Defender.

Bien que le déploiement soit également pris en charge à partir de la ligne de commande, nous vous recommandons d’utiliser le portail pour les déploiements classiques. Les agents de connecteur de données déployés à l’aide d’une ligne de commande peuvent être managés uniquement via la ligne de commande, et non via le portail. Pour plus d’informations, consultez Déployer un agent de connecteur de données SAP à partir de la ligne de commande.

Important

Le déploiement du conteneur et la création de connexions à des systèmes SAP via le portail est actuellement en PRÉVERSION. Les termes supplémentaires de la préversion Azure incluent des termes juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore publiées dans la disponibilité générale.

Conditions préalables :

  • Pour déployer votre agent de connecteur de données via le portail, vous avez besoin des éléments suivants :

    • Authentification via une identité managée ou une application inscrite
    • Informations d’identification stockées dans un coffre de clés Azure

    Si vous ne disposez pas de ces prérequis, déployez l’agent de connecteur de données SAP à partir de la ligne de commande à la place.

  • Pour déployer l’agent de connecteur de données, vous avez également besoin de privilèges sudo ou racine sur l’ordinateur de l’agent du connecteur de données.

  • Si vous souhaitez ingérer les journaux Netweaver/ABAP via une connexion sécurisée à l’aide de Secure Network Communications (SNC), vous avez besoin des éléments suivants :

    • Chemin d’accès à la bibliothèque binaire sapgenpse et la bibliothèque libsapcrypto.so
    • Détails de votre certificat client

    Pour plus d’informations, consultez Configurer votre système pour utiliser SNC pour des connexions sécurisées.

Pour déployer l’agent de connecteur de données :

  1. Connectez-vous à la machine virtuelle nouvellement créée sur laquelle vous installez l’agent en tant qu’utilisateur disposant de privilèges sudo.

  2. Téléchargez et/ou transférez le Kit de développement logiciel (SDK) SAP NetWeaver sur la machine.

  3. Dans Microsoft Sentinel, sélectionnez Connecteurs de données de configuration>.

  4. Dans la barre de recherche, entrez SAP. Sélectionnez Microsoft Sentinel pour SAP - basé sur l’agent dans les résultats de la recherche, puis ouvrez la page connecteur.

  5. Dans la zone Configuration , sélectionnez Ajouter un nouvel agent (préversion).

    Capture d’écran des instructions pour ajouter un agent collecteur basé sur l’API SAP.

  6. Dans le volet Créer un agent collecteur , entrez les détails de l’agent suivants :

    Nom Descriptif
    Nom de l’agent Entrez un nom d’agent pertinent pour votre organisation. Nous ne recommandons aucune convention d’affectation de noms spécifique. Toutefois, le nom ne peut inclure que les types de caractères suivants :
    • a-z
    • A-Z
    • 0-9
    • _ (souligné)
    • . (point)
    • - (tiret)
    Abonnement / Coffre de clés Sélectionnez l’abonnement et le coffre de clés dans leurs listes déroulantes respectives.
    Chemin du fichier zip du SDK NWRFC sur la machine virtuelle de l’agent Entrez le chemin d’accès de votre machine virtuelle qui contient l’archive (fichier .zip) du kit de développement logiciel (SDK) SAP NetWeaver Remote Function Call (RFC).

    Vérifiez que ce chemin d’accès inclut le numéro de version du kit de développement logiciel (SDK) dans la syntaxe suivante : <path>/NWRFC<version number>.zip. Par exemple : /src/test/nwrfc750P_12-70002726.zip.
    Activer la prise en charge des connexions SNC Sélectionnez cette option pour ingérer les journaux NetWeaver/ABAP via une connexion sécurisée avec SNC.

    Si vous sélectionnez cette option, entrez le chemin d’accès qui contient le sapgenpse fichier binaire et la libsapcrypto.so bibliothèque, à l'emplacement Chemin d’accès de la bibliothèque de chiffrement SAP sur la machine virtuelle de l’agent.

    Si vous souhaitez utiliser une connexion SNC, veillez à sélectionner Activer la prise en charge des connexions SNC à ce stade, car vous ne pouvez pas revenir en arrière et activer une connexion SNC une fois que vous avez terminé le déploiement de l’agent. Si vous souhaitez modifier ce paramètre par la suite, nous vous recommandons plutôt de créer un agent.
    Authentification auprès d’Azure Key Vault Pour vous authentifier auprès de votre coffre de clés à l’aide d’une identité managée, laissez l’option d’identité managée par défaut sélectionnée. Pour vous authentifier auprès de votre coffre de clés à l’aide d’une application inscrite, sélectionnez Identité d’application.

    Vous devez configurer l’identité managée ou l’application inscrite à l’avance. Pour plus d’informations, consultez Créer une machine virtuelle et configurer l’accès à vos informations d’identification.

    Exemple :

    Capture d’écran de la zone Créer un agent collecteur.

  7. Sélectionnez Créer et passer en revue les recommandations avant de terminer le déploiement :

    Capture d’écran de la dernière étape du déploiement de l’agent.

  8. Le déploiement de l’agent de connecteur de données SAP nécessite que vous accordiez l’identité de machine virtuelle de votre agent avec des autorisations spécifiques à l’espace de travail Microsoft Sentinel, à l’aide des rôles Opérateur et Lecteur de l’Agent d’applications métiers Microsoft Sentinel.

    Pour exécuter les commandes de cette étape, vous devez être propriétaire du groupe de ressources sur votre espace de travail Microsoft Sentinel. Si vous n’êtes pas propriétaire d’un groupe de ressources sur votre espace de travail, cette procédure peut également être effectuée une fois le déploiement de l’agent terminé.

    Sous Quelques étapes supplémentaires avant de terminer, copiez les commandes d’attribution de rôle de l’étape 1 et exécutez-les sur votre machine virtuelle de l’agent, en remplaçant l’espace [Object_ID] réservé par votre ID d’objet d’identité de machine virtuelle. Exemple :

    Capture d’écran de l’icône Copier pour la commande de l’étape 1.

    Pour trouver l’ID d’objet de l’identité de votre machine virtuelle dans Azure :

    • Pour une identité managée, l’ID d’objet est répertorié dans la page Identité de la machine virtuelle.

    • Pour un principal de service, accédez à Application d’entreprise dans Azure. Sélectionnez Toutes les applications , puis sélectionnez votre machine virtuelle. L’ID d’objet s’affiche sur la page Vue d’ensemble .

    Ces commandes attribuent les rôles Opérateur Microsoft Sentinel Business Applications Agent et Lecteur Azure à l’identité managée ou d’application de votre machine virtuelle, y compris uniquement l’étendue des données de l’agent spécifié dans l’espace de travail.

    Important

    L’affectation des rôles Opérateur et Lecteur de l’Agent d’applications métiers Microsoft Sentinel via l’interface CLI affecte les rôles uniquement dans l’étendue des données de l’agent spécifié dans l’espace de travail. Il s’agit de l’option la plus sécurisée et donc recommandée.

    Si vous devez attribuer les rôles via le portail Azure, nous vous recommandons d’attribuer les rôles sur une petite étendue, par exemple uniquement sur l’espace de travail Microsoft Sentinel.

  9. Sélectionnez Copierpour voir la capture d’écran de l’icône Copier à côté de la commande de déploiement de l’agent. à côté de la commande de déploiement de l’agent à l’étape 2. Exemple :

    Capture d’écran de la commande Agent à copier à l’étape 2.

  10. Copiez la ligne de commande à un emplacement distinct, puis sélectionnez Fermer.

    Les informations pertinentes de l’agent sont déployées dans Azure Key Vault et le nouvel agent est visible dans la table sous Ajouter un agent collecteur basé sur l’API.

    À ce stade, l’état d’intégrité de l’agent est « Installation incomplète. Suivez les instructions . Une fois l’agent installé, l’état passe à Agent en bon état. Cette mise à jour peut prendre jusqu’à 10 minutes. Exemple :

    Capture d’écran des états d’intégrité des agents collecteurs basés sur l’API sur la page du connecteur de données SAP.

    Note

    Le tableau affiche le nom de l’agent et l’état d’intégrité uniquement pour les agents que vous déployez via le portail Microsoft Azure. Les agents déployés à l’aide de la ligne de commande ne sont pas affichés ici. Pour plus d’informations, consultez l’onglet Ligne de commande à la place.

  11. Sur la machine virtuelle où vous envisagez d’installer l’agent, ouvrez un terminal et exécutez la commande de déploiement de l’agent que vous avez copiée à l’étape précédente. Cette étape nécessite des privilèges sudo ou racine sur l’ordinateur de l’agent du connecteur de données.

    Le script met à jour les composants du système d’exploitation et installe Azure CLI, le logiciel Docker et d’autres utilitaires requis, tels que jq, netcat et curl.

    Fournissez le cas échéant des paramètres supplémentaires au script pour personnaliser le déploiement du conteneur. Pour plus d’informations sur les options de ligne de commande disponibles, consultez la référence du script Kickstart.

    Si vous avez besoin de copier à nouveau votre commande, sélectionnez AfficherCapture d’écran de l’icône Afficher en regard de la colonne Intégrité. à droite de la colonne Intégrité et copiez la commande en regard de la commande de déploiement d’agent en bas à droite.

  12. Dans la solution Microsoft Sentinel pour la page connecteur de données de l’application SAP, dans la zone Configuration , sélectionnez Ajouter un nouveau système (préversion) et entrez les détails suivants :

    • Sous Sélectionner un agent, sélectionnez l’agent que vous avez créé précédemment.

    • Sous Identificateur système, sélectionnez le type de serveur :

      • Serveur ABAP
      • Message Server pour utiliser un serveur de messages dans le cadre d’un service central SAP ABAP (ASCS).

    • Continuez en définissant les détails associés à votre type de serveur :

      • Pour un serveur ABAP, entrez l’adresse IP du serveur d’applications ABAP/FQDN, l’ID système et le numéro et l’ID client.
      • Pour un serveur de messages, entrez l’adresse IP du serveur de messages/nom de domaine complet, le numéro de port ou le nom du service et le groupe d’ouverture de session

    Lorsque vous avez terminé, sélectionnez Suivant : Authentification.

    Exemple :

    Capture d’écran de l’onglet Ajouter les paramètres système de la zone système.

  13. Sous l’onglet Authentification , entrez les détails suivants :

    • Pour l’authentification de base, entrez l’utilisateur et le mot de passe.
    • Si vous avez sélectionné une connexion SNC lorsque vous configurez l’agent, sélectionnez SNC et entrez les détails du certificat.

    Lorsque vous avez terminé, sélectionnez Suivant : Logs.

  14. Sous l’onglet Journaux, sélectionnez les journaux que vous souhaitez ingérer à partir de SAP, puis sélectionnez Suivant : Vérifier et créer. Exemple :

    Capture d’écran de l’onglet Journaux d’activité dans le volet latéral Ajouter un nouveau système.

  15. (Facultatif) Pour obtenir des résultats optimaux dans la surveillance de la table SAP PAHI, sélectionnez Historique de configuration. Pour plus d’informations, consultez Vérifier que la table PAHI est mise à jour à intervalles réguliers.

  16. Vérifiez les paramètres que vous avez définis. Sélectionnez Précédent pour modifier les paramètres, ou sélectionnez Déployer pour déployer le système.

La configuration système que vous avez définie est déployée dans Azure Key Vault que vous avez définie pendant le déploiement. Vous pouvez maintenant voir les détails du système dans la table sous Configurer un système SAP et l’affecter à un agent collecteur. Ce tableau affiche le nom de l’agent associé, l’ID de système SAP (SID) et l’état d’intégrité des systèmes que vous avez ajoutés via le portail ou autrement.

À ce stade, l’état de santé du système est en attente. Si l’agent est correctement mis à jour, il extrait la configuration à partir d’Azure Key Vault et l’état passe au système sain. Cette mise à jour peut prendre jusqu’à 10 minutes.

Connecter votre connecteur de données sans agent

  1. Dans Microsoft Sentinel, accédez à la page Des connecteurs de données de configuration > et recherchez le connecteur de données sans agent Microsoft Sentinel pour SAP.

  2. Dans la zone Configuration , développez l’étape 1. Déclenchez le déploiement automatique des ressources Azure requises / Ingénieur SOC, puis sélectionnez Déployer les ressources Azure requises.

    Important

    Si vous n’avez pas le rôle Développeur d’applications Entra ID ou version ultérieure et que vous sélectionnez déployer les ressources Azure requises, un message d’erreur s’affiche, par exemple : « Déployer les ressources Azure requises » (les erreurs peuvent varier). Cela signifie que la règle de collecte de données (DCR) et le point de terminaison de collecte de données (DCE) ont été créés, mais vous devez vous assurer que votre inscription d’application Entra ID est autorisée. Continuez à configurer l’autorisation correcte.

  3. Effectuez l’une des opérations suivantes :

    • Si vous avez le rôle Développeur d’applications Entra ID ou version ultérieure, passez à l’étape suivante.

    • Si vous n’avez pas le rôle Développeur d’applications Entra ID ou version ultérieure :

      • Partagez l’ID DCR avec votre administrateur ou collègue Entra ID avec les autorisations requises.
      • Vérifiez que le rôle Publication des mesures de supervision est attribué sur la DCR, avec l’attribution du principal de service, à l’aide de l’ID client de l’inscription de l’application Entra ID.
      • Récupérez l'ID client et le secret client depuis l'enregistrement de l'application Entra ID pour les utiliser lors de l'autorisation sur la DCR.

      L’administrateur SAP utilise l’ID client et les informations de clé secrète client pour publier dans la DCR.

      Note

      Si vous êtes administrateur SAP et que vous n’avez pas accès à l’installation du connecteur, téléchargez le package d’intégration directement.

  4. Faites défiler vers le bas et sélectionnez Ajouter un client SAP.

  5. Dans le volet Se connecter à un client SAP , entrez les détails suivants :

    Champ Descriptif
    Nom de destination RFC Nom de la destination RFC, extraite de votre destination BTP.
    Identifiant client SAP sans agent Valeur clientid extraite du fichier JSON de clé de service Process Integration Runtime.
    Clé secrète client sans agent SAP Valeur clientecret extraite du fichier JSON de clé de service Process Integration Runtime.
    URL du serveur d’autorisation Valeur tokenurl extraite du fichier JSON de clé de service Process Integration Runtime. Par exemple : https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
    Point de terminaison Integration Suite La valeur url extraite du fichier JSON de la clé de service Process Integration Runtime. Par exemple : https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

  6. Sélectionnez Se connecter.

Important

Il peut y avoir un certain temps d’attente lors de la connexion initiale. Pour plus d’informations, vérifiez le connecteur ici.

Personnaliser le comportement du connecteur de données (facultatif)

Si vous disposez d’un connecteur de données sans agent SAP pour Microsoft Sentinel, vous pouvez utiliser SAP Integration Suite pour personnaliser la façon dont le connecteur de données sans agent ingère les données de votre système SAP dans Microsoft Sentinel.

Cette procédure s’applique uniquement lorsque vous souhaitez personnaliser le comportement du connecteur de données sans agent SAP. Ignorez cette procédure si vous êtes satisfait des fonctionnalités par défaut. Par exemple, si vous utilisez Sybase, nous vous recommandons de désactiver l'ingestion des journaux de changements de documents dans l'iflow en configurant le paramètre collect-changedocs-logs. En raison de problèmes de performance de la base de données, l’ingestion des journaux des documents de modification (Change Docs) pour Sybase n’est pas prise en charge.

Conseil / Astuce

Pour plus d’informations sur les implications de la substitution des valeurs par défaut, consultez ce blog.

Conditions préalables à la personnalisation du comportement du connecteur de données

Télécharger le fichier de configuration et personnaliser les paramètres

  1. Téléchargez le fichier example-parameters.zip par défaut, qui fournit des paramètres qui définissent le comportement par défaut et constitue un bon point de départ pour commencer la personnalisation.

    Enregistrez le fichier example-parameters.zip dans un emplacement accessible à votre environnement SAP Integration Suite.

  2. Utilisez les procédures SAP standard pour charger un fichier de mappage de valeurs et apporter des modifications pour personnaliser les paramètres de votre connecteur de données :

    1. Chargez le fichier example-parameters.zip dans SAP Integration Suite en tant qu’artefact de mappage de valeurs. Pour plus d’informations, consultez la documentation SAP.

    2. Utilisez l’une des méthodes suivantes pour personnaliser vos paramètres :

      • Pour personnaliser les paramètres sur tous les systèmes SAP, ajoutez des mappages de valeurs pour l’agence de mappage bidirectionnelle globale .
      • Pour personnaliser les paramètres des systèmes SAP spécifiques, ajoutez de nouvelles agences de mappage bidirectionnelles pour chaque système SAP, puis ajoutez des mappages de valeurs pour chacun d’eux. Nommez vos agences pour qu’elles correspondent exactement au nom de la destination RFC que vous souhaitez personnaliser, par exemple myRfc, clé, myRfc, valeur.

      Pour plus d’informations, consultez la documentation SAP sur la configuration des mappages de valeurs

    Veillez à déployer l’artefact lorsque vous avez terminé la personnalisation pour activer les paramètres mis à jour.

Le tableau suivant répertorie les paramètres personnalisables pour le connecteur de données sans agent SAP pour Microsoft Sentinel :

Paramètre Descriptif Valeurs autorisées Valeur par défaut
changedocs-object-classes Liste des classes d'objets qui sont importées à partir des journaux de Change Docs. Liste séparée par des virgules de classes d’objets BANK, CLEARING, IBAN, IDENTITY, KERBEROS, OA2_CLIENT, PCA_BLOCK, PCA_MASTER, PFCG, SECM, SU_USOBT_C, SECURITY_POLICY, STATUS, SU22_USOBT, SU22_USOBX, SUSR_PROF, SU_USOBX_C, USER_CUA
collect-audit-logs Détermine si les données du journal d’audit sont ingérées ou non. true : ingéré
false : Non ingéré		 vrai
collect-changedocs-logs Détermine si les journaux des documents de modification sont ingérés ou non. true : ingéré
false : Non ingéré		 vrai
collect-user-master-data Détermine si les données principales utilisateur sont ingérées ou non. true : ingéré
false : Non ingéré		 vrai
force-audit-log-to-read-from-all-clients Détermine si le journal d’audit est lu par tous les clients. true : Lecture de tous les clients
false : Pas lu par tous les clients		 faux
ingestion-cycle-days Temps, en jours, donné pour ingérer les données de référence utilisateur complètes, y compris tous les rôles et tous les utilisateurs. Ce paramètre n’affecte pas l’ingestion des modifications apportées aux données de référence utilisateur. Entier compris entre 1-14 1
décalage en secondes Détermine le décalage, en secondes, pour les heures de début et de fin d’une fenêtre de collecte de données. Utilisez ce paramètre pour retarder la collecte de données en fonction du nombre configuré de secondes. Entier, compris entre 1-600 60
max-rows Agit comme une protection qui limite le nombre d’enregistrements traités dans une seule fenêtre de collecte de données. Cela permet d’éviter les problèmes de performances ou de mémoire dans l’IPC provoqués par une augmentation soudaine du volume d’événements. Entier, compris entre 1 et 1000000 150000

Vérifier la connectivité et l’intégrité

Après avoir déployé le connecteur de données SAP, vérifiez l’intégrité et la connectivité de votre agent. Pour plus d’informations, consultez Surveiller l’intégrité et le rôle de vos systèmes SAP.

Étape suivante

Une fois le connecteur déployé, passez à la configuration du contenu des applications de la solution Microsoft Sentinel pour SAP. Plus précisément, la configuration des détails dans les watchlists est une étape essentielle pour activer les détections et la protection contre les menaces.

Activer les détections SAP et la protection contre les menaces

  • Last updated on