Configurer votre système SAP pour la solution Microsoft Sentinel

Cet article correspond à la deuxième étape du déploiement des applications de la solution Microsoft Sentinel pour SAP.

Les procédures décrites dans cet article sont généralement effectuées par votre équipe SAP BASIS.

Cet article correspond à la deuxième étape du déploiement des applications de la solution Microsoft Sentinel pour SAP. Bien que les étapes effectuées dans Microsoft Sentinel nécessitent que la solution soit installée en premier, d’autres préparations dans l’environnement SAP peuvent se produire en parallèle.

La plupart des procédures décrites dans cet article sont généralement effectuées par votre équipe SAP BASIS . Certaines étapes incluent également votre équipe de sécurité .

• Si vous utilisez le connecteur de données sans agent, certaines étapes sont effectuées dans Microsoft Sentinel et nécessitent que la solution soit installée en premier.

Nous vous recommandons de créer ce rôle en déployant la demande de modification SAP NPLK900271 (CR) : K900271.NPL | R900271.NPL

Déployez le cas échéant les demandes de modification sur votre système SAP, comme vous le feriez pour d’autres demandes de modification. Nous vous recommandons vivement de confier le déploiement des demandes de modification SAP à un administrateur système SAP expérimenté. Pour plus d’informations, consultez la Documentation SAP.

Vous pouvez aussi charger les autorisations de rôle depuis le fichier MSFTSEN_SENTINEL_CONNECTOR, qui inclut toutes les autorisations de base pour que le connecteur de données fonctionne.

Les administrateurs SAP expérimentés peuvent choisir de créer le rôle manuellement et de lui attribuer les autorisations appropriées. Dans ce cas, créez un rôle manuellement avec les autorisations appropriées requises pour les journaux que vous voulez ingérer. Pour en savoir plus, consultez Autorisations ABAP requises. Les exemples de notre documentation utilisent le nom /MSFTSEN/SENTINEL_RESPONDER.

Lors de la configuration du rôle, nous vous recommandons de :

• Générez un profil de rôle actif pour Microsoft Sentinel en exécutant la transaction PFCG.
• Utilisez /MSFTSEN/SENTINEL_RESPONDER comme nom de rôle.

Créez un rôle à l’aide du modèle MSFTSEN_SENTINEL_READER, qui inclut toutes les autorisations de base pour que le connecteur de données fonctionne.

• Veillez à créer un utilisateur système.
• Attribuez le rôle /MSFTSEN/SENTINEL_RESPONDER à l’utilisateur que vous avez créé à l’étape précédente.

• Veillez à créer un utilisateur système.
• Attribuez le rôle MSFTSEN_SENTINEL_READER à l’utilisateur que vous avez créé à l’étape précédente.

Pour une couverture de surveillance complète avec le connecteur de données sans agent, nous vous recommandons d’activer la surveillance sur tous les ID clients de vos systèmes SAP surveillés, y compris les clients 000 et 066.

Configurer la prise en charge de l’extraction de données supplémentaires (recommandé)

Bien que cette étape soit facultative, nous vous recommandons d’activer le connecteur de données SAP pour récupérer les informations de contenu suivantes à partir de votre système SAP :

• Journaux Table de base de données et Sortie de spool
• Informations sur l’adresse IP du client à partir des journaux d’audit de sécurité

1. Déployez les demandes de modification appropriées à partir du dépôt GitHub Microsoft Sentinel, en fonction de votre version de SAP :

   Versions de SAP BASIS	CR recommandée
   750 et ultérieur	NPLK900202 : K900202.NPL, R900202.NPL Lors du déploiement de cette demande de modification sur les versions SAP suivantes, déployez également 2641084 - Accès en lecture standardisé aux données du journal d’audit de sécurité : - 750 SP04 à SP12 - 751 SP00 à SP06 - 752 SP00 à SP02
   740	NPLK900201 : K900201.NPL, R900201.NPL

   Déployez le cas échéant les demandes de modification sur votre système SAP, comme vous le feriez pour d’autres demandes de modification. Nous vous recommandons vivement de confier le déploiement des demandes de modification SAP à un administrateur système SAP expérimenté. Pour plus d’informations, consultez la Documentation SAP.

   Pour plus d’informations, consultez la Communauté SAP et la Documentation SAP.

2. Pour prendre en charge SAP BASIS versions 7.31-7.5 SP12 lors de l’envoi des informations sur l’adresse IP du client à Microsoft Sentinel, activez la journalisation de la table SAP USR41. Pour plus d’informations, consultez la Documentation SAP.

Vérifier que la table PAHI est mise à jour à intervalles réguliers

La table SAP PAHI contient des données sur l’historique du système SAP, la base de données et les paramètres SAP. Dans certains cas, les applications de la solution Microsoft Sentinel pour SAP ne peuvent pas surveiller la table SAP PAHI à intervalles réguliers, en raison d’une configuration manquante ou défectueuse. Il est important de mettre à jour la table PAHI et de la surveiller fréquemment, pour que les applications de la solution Microsoft Sentinel pour SAP puissent alerter en cas d’actions suspectes qui peuvent se produire à tout moment de la journée. Pour plus d'informations, consultez :

• Note SAP 12103
• Surveillance de la configuration des paramètres de sécurité SAP statiques (Préversion)

Si la table PAHI est mise à jour régulièrement, le travail SAP_COLLECTOR_FOR_PERFMONITOR est planifié et s’exécute toutes les heures. Si le travail SAP_COLLECTOR_FOR_PERFMONITOR n’existe pas, configurez-le selon les besoins.

Pour plus d’informations, consultez : Collecteur de bases de données dans les traitements en arrière-plan et Configuration du collecteur de données.

Configurer les paramètres SAP BTP

1. Dans votre sous-compte SAP BTP, ajoutez des droits aux services suivants :

   • SAP Integration Suite
   • Runtime d’intégration de processus SAP
   • Runtime Cloud Foundry

1. Créez une instance de Cloud Foundry Runtime, puis un espace Cloud Foundry.

2. Créez une instance de SAP Integration Suite.

3. Attribuez le rôle SAP BTP Integration_Provisioner au compte d’utilisateur de votre sous-compte SAP BTP.

4. Dans SAP Integration Suite, ajoutez la fonctionnalité Cloud Integration.

5. Attribuez les rôles d’intégration de processus suivants à votre compte d’utilisateur :

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Ces rôles ne sont disponibles qu’après l’activation de la fonctionnalité Cloud Integration.

6. Créez une instance du runtime d’intégration de processus SAP dans votre sous-compte à l’aide du flux d’intégration du plan de service (et non de l’API !).

7. Créez une clé de service pour SAP Process Integration Runtime et enregistrez le contenu JSON dans un emplacement sécurisé. Vous devez activer la fonctionnalité Cloud Integration avant de créer une clé de service pour SAP Process Integration Runtime.

Pour plus d’informations, consultez la Documentation SAP.

Configurer le connecteur dans Microsoft Sentinel et dans votre système SAP

Cette procédure comporte des étapes à la fois dans Microsoft Sentinel et votre système SAP, et nécessite une coordination avec l’administrateur SAP.

1. Dans Microsoft Sentinel, accédez à la page Des connecteurs de données de configuration > et recherchez le connecteur de données sans agent Microsoft Sentinel pour SAP.

2. Dans la section Configuration, développez et suivez les instructions de la configuration du connecteur initial : exécutez les étapes ci-dessous une fois : Ces étapes nécessitent à la fois votre ingénieur SecuritySOC et l’administrateur SAP.

   1. Déclencher le déploiement automatique des ressources Azure (ingénieur SOC). Si, après avoir déployé les ressources Azure, les valeurs des étapes 2 et 3 ne sont pas renseignées automatiquement, fermez et réexépliez l’étape 1 pour actualiser les valeurs dans les étapes 2 et 3.

   2. Déployez un artefact d’informations d’identification du client OAuth2 dans l’intégration SAP (administrateur SAP).

   3. Déployez un artefact de paramètre sécurisé dans l’intégration SAP (SAP Admin) nommé workspaceKey contenant la clé d’espace de travail Log Analytics visible dans l’interface utilisateur du connecteur de données.

   4. Déployez le package de connecteur de données sans agent SAP sur SAP Integration Suite (SAP Admin).

      1. Téléchargez le package d’intégration et chargez-le dans sap Integration Suite. Pour plus d’informations, consultez la Documentation SAP.
      2. Ouvrez le package et accédez à l’onglet Artefacts . Sélectionnez ensuite la configuration du collecteur de données . Pour plus d’informations, consultez la Documentation SAP.
      3. Configurez le flux d’intégration avec LogIngestionURL et DCRImmutableID.
      4. Déployez l’iflow à l’aide de SAP Cloud Integration en tant que service d’exécution.

Exécuter le vérificateur de conditions préalables

1. L’iflow Vérificateur des conditions préalables est inclus dans le package. Nous vous recommandons d’exécuter ce flux manuellement avant de passer à l’étape suivante pour vous assurer que votre système SAP répond aux prérequis du système avant de tenter l’intégration à partir de Microsoft Sentinel.

   Pour exécuter l’outil :

   1. Ouvrez le package d’intégration, accédez à l’onglet artefacts, puis sélectionnez vérificateur des prérequis iflow >Configure.

   2. Définissez le nom de destination cible de l’appel de fonction distante (RFC) sur le système SAP que vous souhaitez vérifier. Par exemple : A4H-100-Sentinel-RFC.

   3. Déployez l’iflow comme vous le feriez pour vos systèmes SAP.

   4. Déclenchez l’iflow à partir de n’importe quel client REST. Par exemple, utilisez l’exemple de script PowerShell suivant, en modifiant les exemples de valeurs d’espace réservé pour votre environnement :

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
      $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
      $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
      $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
      
      $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
      $headers = @{
          "Authorization" = "Basic $credentials"
          "Content-Type"  = "application/json"
      }
      $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
          -Method Post `
          -Headers $headers
      $token = ($authResponse.Content | ConvertFrom-Json).access_token
      $path = "/http/checkSAP"
      $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
      $headers = @{
          "Authorization"      = "Bearer $token"
          "Content-Type"       = "application/json"
      }
      $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
      Write-Host $response.RawContent
      

   Assurez-vous que l’outil de vérification des prérequis s’exécute correctement (code d’état 200) sans avertissements sur la sortie de réponse avant de vous connecter à Microsoft Sentinel.

   Si des résultats sont détectés, consultez les détails de la réponse pour obtenir des conseils sur les étapes de correction. Les systèmes SAP hérités nécessitent souvent des notes SAP supplémentaires. En outre, consultez la section résolution des problèmes courants.

2. Faites défiler vers le bas dans la zone Configuration, puis développez et suivez les instructions de la section Ajouter des systèmes SAP surveillés - exécutez les étapes ci-dessous pour chaque système SAP que vous souhaitez surveiller.

   Lorsque vous passez à l’étape 2. Connectez le système SAP à Microsoft Sentinel / Ingénieur SOC, continuez avec la connexion de votre système SAP à Microsoft Sentinel.

Configurer les paramètres du connecteur de cloud SAP

1. Installez le connecteur de cloud SAP. Pour plus d’informations, consultez la Documentation SAP.

2. Connectez-vous à l’interface du connecteur de cloud, puis ajoutez le sous-compte à l’aide des informations d’identification appropriées. Pour plus d’informations, consultez la Documentation SAP.

3. Dans votre sous-compte du connecteur de cloud, ajoutez un nouveau mappage système au système principal pour mapper le système ABAP au protocole RFC.

4. Définissez les options d’équilibrage de charge et entrez les détails de votre serveur ABAP principal. Dans cette étape, copiez le nom de l’hôte virtuel dans un emplacement sécurisé en vue d’une utilisation ultérieure au cours du processus de déploiement.

5. Ajoutez de nouvelles ressources au mappage système pour chacun des noms de fonctions suivants :

   • RSAU_API_GET_LOG_DATA, pour extraire les données du journal d’audit de sécurité SAP

   • BAPI_USER_GET_DETAIL, pour récupérer les détails de l’utilisateur SAP

   • RFC_READ_TABLE, pour lire les données à partir de tables requises

   • SIAG_ROLE_GET_AUTH, pour récupérer les autorisations de rôle de sécurité

   • /OSP/SYSTEM_TIMEZONE, pour récupérer les détails du fuseau horaire système SAP

1. Ajoutez une nouvelle destination dans SAP BTP qui pointe vers l’hôte virtuel que vous avez créé précédemment. Utilisez les détails suivants pour remplir la nouvelle destination :

   • Nom : entrez le nom que vous souhaitez utiliser pour la connexion Microsoft Sentinel

   • TypeRFC

   • Type de proxy :On-Premise

   • Utilisateur : entrez le compte d’utilisateur ABAP que vous avez créé précédemment pour Microsoft Sentinel

   • Type d’autorisation :CONFIGURED USER

   • Propriétés supplémentaires :

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Emplacement : obligatoire uniquement lorsque vous connectez plusieurs connecteurs de cloud au même sous-compte BTP. Pour plus d’informations, consultez la Documentation SAP.