Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment déployer la solution Microsoft Sentinel pour le système SAP Business Technology Platform (BTP). La solution Microsoft Sentinel pour SAP BTP surveille et protège votre système SAP BTP. Il collecte les journaux d’audit et les journaux d’activité à partir de l’infrastructure BTP et des applications BTP, puis détecte les menaces, les activités suspectes, les activités illégitimes, etc. En savoir plus sur la solution.
Importante
Un changement architectural dans le connecteur de données v3.0.11 pour prendre en charge les journaux SAP BTP retardés nécessite la réinsérégation des sous-comptes SAP ajoutés avant cette modification. Pour plus d’informations, consultez les notes de publication . Tenez compte des outils d’intégration de masse pour plus de commodité.
Configuration requise
Avant de commencer, vérifiez que :
- La solution Microsoft Sentinel est activée.
- Vous disposez d’un espace de travail Microsoft Sentinel défini et vous disposez d’autorisations de lecture et d’écriture sur l’espace de travail.
- Votre organization utilise SAP BTP (dans un environnement Cloud Foundry) pour simplifier les interactions avec les applications SAP et d’autres applications métier.
- Vous disposez d’un sous-compte SAP BTP (qui prend en charge les sous-comptes BTP dans l’environnement Cloud Foundry). Vous pouvez également utiliser un compte d’évaluation SAP BTP.
- Vous disposez du service sap BTP auditlog-management et de la clé de service (consultez Configurer le sous-compte et la solution BTP).
- Vous disposez du rôle Contributeur Microsoft Sentinel sur l’espace de travail Microsoft Sentinel cible.
Configurer le sous-compte et la solution BTP
Pour configurer le sous-compte BTP et la solution manuellement à partir du cockpit et de l’Portail Azure SAP BTP, procédez comme suit :
Une fois que vous pouvez vous connecter à votre sous-compte BTP (consultez les conditions préalables), suivez les étapes de récupération du journal d’audit sur le système SAP BTP.
Dans le cockpit SAP BTP, sélectionnez le service De gestion des journaux d’audit.
Créez un instance du service de gestion des journaux d’audit dans le sous-compte BTP.
Créez une clé de service et enregistrez les valeurs de
url,uaa.clientid,uaa.clientsecretetuaa.url. Ces valeurs sont requises pour déployer le connecteur de données.Voici des exemples de ces valeurs de champ :
-
url :
https://auditlog-management.cfapps.us10.hana.ondemand.com -
uaa.clientid :
00001111-aaaa-2222-bbbb-3333cccc4444|auditlog-management!b1237 -
uaa.clientsecret :
aaaaaaaa-0b0b-1c1c-2d2d-333333333333 -
uaa.url :
https://trial.authentication.us10.hana.ondemand.com
-
url :
Connectez-vous au Portail Azure.
Accédez au service Microsoft Sentinel.
Sélectionnez Hub de contenu, puis, dans la barre de recherche, recherchez BTP.
Sélectionnez SAP BTP.
Sélectionnez Installer.
Pour plus d’informations sur la gestion des composants de la solution, consultez Découvrir et déployer du contenu prête à l’emploi.
Sélectionnez Créer.
Sélectionnez le groupe de ressources et l’espace de travail Microsoft Sentinel dans lequel déployer la solution.
Sélectionnez Suivant jusqu’à ce que vous réussissiez la validation, puis sélectionnez Créer.
Une fois le déploiement de la solution terminé, revenez à votre espace de travail Microsoft Sentinel et sélectionnez Connecteurs de données.
Dans la barre de recherche, entrez BTP, puis sélectionnez SAP BTP.
Sélectionnez Ouvrir la page du connecteur.
Dans la page du connecteur, assurez-vous que vous remplissez les conditions préalables requises répertoriées et effectuez les étapes de configuration. Lorsque vous êtes prêt, sélectionnez Ajouter un compte.
Spécifiez les paramètres que vous avez définis précédemment pendant la configuration. Le nom du sous-compte spécifié est projeté sous la forme d’une colonne dans la
SAPBTPAuditLog_CLtable et peut être utilisé pour filtrer les journaux lorsque vous avez plusieurs sous-comptes.Envisagez les options avancées, si nécessaire :
- Fréquence d’interrogation : fréquence à laquelle le connecteur interroge les nouvelles données. La valeur par défaut est 1 minute.
- Délai d’ingestion des journaux : délai estimé entre le moment où l’événement est généré dans SAP BTP et le moment où il est disponible sur le service de journal d’audit SAP BTP pour l’ingestion dans Microsoft Sentinel. La valeur par défaut est 20 minutes.
Remarque
La récupération des audits pour le compte global ne récupère pas automatiquement les audits du sous-compte. Suivez les étapes de configuration du connecteur pour chacun des sous-comptes que vous souhaitez surveiller, et suivez également ces étapes pour le compte global. Passez en revue ces considérations relatives à la configuration de l’audit de compte.
Assurez-vous que les journaux BTP circulent dans l’espace de travail Microsoft Sentinel :
- Connectez-vous à votre sous-compte BTP et exécutez quelques activités qui génèrent des journaux, telles que les connexions, l’ajout d’utilisateurs, la modification des autorisations et la modification des paramètres.
- Prévoyez de 20 à 30 minutes pour que les journaux commencent à circuler.
- Dans la page du connecteur SAP BTP, vérifiez que Microsoft Sentinel reçoit les données BTP ou interrogez directement la table SAPBTPAuditLog_CL.
Activez le classeur et les règles d’analyse fournies dans le cadre de la solution en suivant ces instructions.
Remarque
Pour intégrer des sous-comptes SAP BTP à grande échelle, des approches basées sur l’API et l’interface CLI sont recommandées. Prise en main de cette bibliothèque de scripts.
Tenez compte des configurations d’audit de votre compte
La dernière étape du processus de déploiement consiste à prendre en compte les configurations d’audit de votre compte global et de sous-compte.
Configuration de l’audit de compte global
Lorsque vous activez la récupération des journaux d’audit dans le cockpit BTP pour le compte global : si le sous-compte pour lequel vous souhaitez donner droit au service de gestion des journaux d’audit se trouve sous un répertoire, vous devez d’abord autoriser le service au niveau de l’annuaire. Ce n’est qu’à ce moment-là que vous pouvez autoriser le service au niveau du sous-compte.
Configuration de l’audit de sous-compte
Pour activer l’audit d’un sous-compte, suivez les étapes décrites dans la documentation de l’API d’audit des sous-comptes SAP.
La documentation de l’API décrit comment activer la récupération du journal d’audit à l’aide de l’interface CLI Cloud Foundry.
Vous pouvez également récupérer les journaux via l’interface utilisateur :
- Dans votre sous-compte dans SAP Service Marketplace, créez une instance de Service de gestion des journaux d’audit.
- Dans la nouvelle instance, créez une clé de service.
- Affichez la clé de service et récupérez les paramètres requis à l’étape 4 des instructions de configuration dans l’interface utilisateur du connecteur de données (url, uaa.url, uaa.clientid et uaa.clientsecret).
Mass-Onboard sous-comptes SAP BTP à grande échelle
Pour intégrer des sous-comptes SAP BTP à grande échelle, des approches basées sur l’API et l’interface CLI sont recommandées. Prise en main de cette bibliothèque de scripts.
Faire pivoter la clé secrète client BTP
Nous vous recommandons de faire pivoter régulièrement les secrets client du sous-compte BTP. Pour une approche automatisée basée sur la plateforme, consultez notre renouvellement automatique des certificats du magasin d’approbation SAP BTP avec Azure Key Vault ou comment arrêter de penser aux dates d’expiration une fois pour toutes (blog SAP).
Cette bibliothèque de scripts illustre le processus automatique de mise à jour d’un connecteur de données existant avec un nouveau secret.