solution Microsoft Sentinel pour les applications SAP : Vue d’ensemble du déploiement

Le connecteur de données sans agent Microsoft Sentinel pour SAP utilise SAP Cloud Connector et SAP Integration Suite pour se connecter à votre système SAP et extraire des journaux d’activité, comme illustré dans l’image suivante :

En utilisant SAP Cloud Connector, le connecteur de données sans agent bénéficie des configurations existantes et des processus d’intégration établis. Cela signifie que vous n’avez plus à relever les défis réseau, car les personnes qui exécutent votre connecteur SAP Cloud Ont déjà suivi ce processus.

Le connecteur de données sans agent est compatible avec les systèmes BASÉS sur SAP NetWeaver. Parmi eux SAP S/4HANA Cloud, Private Edition (RISE with SAP), SAP S/4HANA on-premises, SAP ERP Central Component (ECC), SAP Business Warehouse (BW) et bien plus encore, garantissant la continuité des fonctionnalités du contenu de sécurité existant, y compris les détections, les classeurs et les playbooks.

Le connecteur de données sans agent ingère des journaux de sécurité critiques tels que le journal d’audit de sécurité, les journaux de modification de la documentation et les données de master utilisateur, y compris les rôles d’utilisateur et les autorisations.

Par exemple, l’image suivante montre un paysage SAP multi-SID avec une division entre les systèmes de production et de non-production, y compris la plateforme sap business technology. Tous les systèmes de cette image sont intégrés à Microsoft Sentinel pour la solution SAP.

L’agent se connecte à votre système SAP pour extraire des journaux et d’autres données, puis envoie ces journaux à votre espace de travail Microsoft Sentinel. Pour ce faire, l’agent doit s’authentifier auprès de votre système SAP, à l’aide d’un utilisateur et d’un rôle créés spécifiquement à cet effet.

Microsoft Sentinel prend en charge quelques options pour stocker les informations de configuration de votre agent, notamment la configuration de vos secrets d’authentification SAP. La décision de l’option peut dépendre de l’emplacement où vous déployez votre machine virtuelle et du mécanisme d’authentification SAP que vous utilisez. Les options prises en charge sont les suivantes, répertoriées dans l’ordre de préférence :

• Un Azure Key Vault accessible via une identité managée affectée par le système Azure
• Un Azure Key Vault accessible via un principal de service d’application inscrite Microsoft Entra ID
• Un fichier de configuration en texte clair

Vous pouvez également vous authentifier à l’aide des certificats SNC (Secure Network Communication) et X.509 de SAP. Bien que l’utilisation de SNC offre un niveau plus élevé de sécurité d’authentification, cela peut ne pas être pratique pour tous les scénarios.

Le déploiement des solutions Microsoft Sentinel pour les applications SAP implique plusieurs étapes et nécessite une collaboration entre vos équipes de sécurité et SAP BASIS. L’image suivante montre les étapes de déploiement des solutions Microsoft Sentinel pour les applications SAP, avec les équipes appropriées indiquées :

Nous vous recommandons d’impliquer les deux équipes lors de la planification de votre déploiement pour vous assurer que l’effort est alloué et que le déploiement peut se déplacer sans heurts.

Les étapes de déploiement sont les suivantes :

1. Passez en revue les prérequis pour le déploiement du connecteur de données sans agent SAP.

2. Déployez la solution d’applications SAP à partir du hub de contenu. Cette étape est gérée par l’équipe de sécurité sur le Portail Azure.

3. Configurez votre système SAP pour la solution Microsoft Sentinel, notamment la configuration des autorisations SAP, la configuration de l’audit SAP, etc. Nous vous recommandons d’effectuer ces étapes par votre équipe SAP BASIS, et notre documentation inclut des références à la documentation SAP. Certaines des procédures de cette étape peuvent être effectuées par l’équipe SAP BASIS avant d’installer la solution.

4. Connectez votre système SAP à l’aide d’un connecteur de données sans agent avec SAP Cloud Connector. Cette étape est gérée par votre équipe de sécurité sur le Portail Azure, à l’aide des informations fournies par votre équipe SAP BASIS.

5. Activez les détections SAP et la protection contre les menaces. Cette étape est gérée par l’équipe de sécurité sur le Portail Azure.

Le déploiement des solutions Microsoft Sentinel pour les applications SAP implique plusieurs étapes et nécessite une collaboration entre plusieurs équipes, notamment les équipes de sécurité, d’infrastructure et SAP BASIS. L’image suivante montre les étapes de déploiement des solutions Microsoft Sentinel pour les applications SAP, avec les équipes appropriées indiquées :

Nous vous recommandons d’impliquer toutes les équipes concernées lors de la planification de votre déploiement pour vous assurer que l’effort est alloué et que le déploiement peut se déplacer sans heurts.

Les étapes de déploiement sont les suivantes :

1. Passez en revue les prérequis pour le déploiement de la solution Microsoft Sentinel pour les applications SAP. Certains prérequis nécessitent une coordination avec votre infrastructure ou les équipes SAP BASIS.

2. Les étapes suivantes peuvent se produire en parallèle, car elles impliquent des équipes distinctes et ne dépendent pas les unes des autres :

   1. Déployez la solution Microsoft Sentinel pour les applications SAP à partir du hub de contenu. Veillez à installer la solution appropriée pour votre environnement. Cette étape est gérée par l’équipe de sécurité sur le Portail Azure.

   2. Configurez votre système SAP pour la solution Microsoft Sentinel, notamment la configuration des autorisations SAP, la configuration de l’audit SAP, etc. Nous vous recommandons d’effectuer ces étapes par votre équipe SAP BASIS, et notre documentation inclut des références à la documentation SAP. Certaines étapes sont également effectuées par l’équipe de sécurité.

3. Connectez votre système SAP en déployant un agent de connecteur de données conteneurisé. Cette étape nécessite une coordination entre vos équipes de sécurité, d’infrastructure et SAP BASIS.

4. Activez les détections SAP et la protection contre les menaces. Cette étape est gérée par l’équipe de sécurité sur le Portail Azure.

Les options supplémentaires sont les suivantes :

• Collecter les journaux d’audit SAP HANA
• Déployer manuellement un agent de connecteur de données SAP

Arrêter la collecte de données SAP

Si vous utilisez l’agent de connecteur de données et que vous devez arrêter Microsoft Sentinel de collecter vos données SAP, arrêtez l’ingestion des journaux et désactivez le connecteur. Supprimez ensuite le rôle d’utilisateur supplémentaire et toutes les demandes de tirage facultatives installées sur votre système SAP.

Pour plus d’informations, consultez Arrêter la collecte de données SAP.