Déployer le conteneur Microsoft Sentinel pour l’agent de connecteur de données SAP avec des options d’experts

S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Cet article fournit des procédures pour le déploiement et la configuration de l’Microsoft Sentinel pour le conteneur de l’agent de connecteur de données SAP avec des options de configuration expert, personnalisées ou manuelles. Pour les déploiements classiques, nous vous recommandons d’utiliser le portail à la place.

Le contenu de cet article est destiné à vos équipes SAP BASIS . Pour plus d’informations, consultez Déployer un agent de connecteur de données SAP à partir de la ligne de commande.

Remarque

Cet article concerne uniquement l’agent de connecteur de données et n’est pas pertinent pour le connecteur de données sans agent SAP.

Configuration requise

Assurez-vous que votre système est conforme aux conditions préalables appropriées avant de commencer. Pour plus d’informations, consultez Prérequis de déploiement pour les solutions Microsoft Sentinel pour les applications SAP.

Ajouter manuellement l’agent de connecteur de données SAP Azure Key Vault secrets

Utilisez le script suivant pour ajouter manuellement des secrets système SAP à votre coffre de clés. Veillez à remplacer les espaces réservés par votre propre ID système et les informations d’identification que vous souhaitez ajouter :

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Pour plus d’informations, consultez démarrage rapide : Créer un coffre de clés à l’aide de l’interface CLI Azure et la documentation cli az keyvault secret.

Effectuer une installation d’expert/personnalisée

Cette procédure décrit comment déployer le connecteur de données Microsoft Sentinel pour SAP via l’interface CLI à l’aide d’une installation d’expert ou personnalisée, par exemple lors de l’installation locale.

Prérequis : Azure Key Vault est la méthode recommandée pour stocker vos informations d’identification d’authentification et vos données de configuration. Nous vous recommandons d’effectuer cette procédure uniquement une fois que vous disposez d’un coffre de clés prêt avec vos informations d’identification SAP.

Pour déployer le connecteur de données Microsoft Sentinel pour SAP :

Téléchargez la dernière version du SDK RFC SAP NW àpartir du site> SAPLaunchpad SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip, puis enregistrez-le sur votre ordinateur d’agent de connecteur de données.

Remarque

Vous aurez besoin de vos informations de connexion utilisateur SAP pour accéder au Kit de développement logiciel (SDK) et vous devez télécharger le KIT de développement logiciel (SDK) correspondant à votre système d’exploitation.

Veillez à sélectionner l’option LINUX ON X86_64 .
Sur votre même ordinateur, créez un dossier avec un nom explicite et copiez le fichier zip du Kit de développement logiciel (SDK) dans votre nouveau dossier.

Clonez le référentiel GitHub de la solution Microsoft Sentinel sur votre ordinateur local, puis copiez Microsoft Sentinel solution pour applications SAP systemconfig.json fichier systemconfig.json dans votre nouveau dossier.

Par exemple :

mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/

Modifiez le fichier systemconfig.json si nécessaire, en utilisant les commentaires incorporés comme guide.

Définissez les configurations suivantes à l’aide des instructions du fichier systemconfig.json :
- Les journaux que vous souhaitez ingérer dans Microsoft Sentinel en suivant les instructions du fichier systemconfig.json.
- Indique s’il faut inclure les adresses e-mail des utilisateurs dans les journaux d’audit
- Indique s’il faut réessayer les appels d’API ayant échoué
- Indique s’il faut inclure les journaux d’audit cexal
- S’il faut attendre un intervalle de temps entre les extractions de données, en particulier pour les extractions volumineuses
Pour plus d’informations, consultez Configurer manuellement l’Microsoft Sentinel pour le connecteur de données SAP et Définir les journaux SAP envoyés à Microsoft Sentinel.

Pour tester votre configuration, vous pouvez ajouter l’utilisateur et le mot de passe directement au fichier de configuration systemconfig.json . Bien que nous vous recommandons d’utiliser Azure Coffre de clés pour stocker vos informations d’identification, vous pouvez également utiliser un fichier env.list, des secrets Docker, ou vous pouvez ajouter vos informations d’identification directement au fichier systemconfig.json.

Pour plus d’informations, consultez Configurations du connecteur des journaux SAL.
Enregistrez votre fichier systemconfig.json mis à jour dans le répertoire sapcon de votre ordinateur.

Si vous avez choisi d’utiliser un fichier env.list pour vos informations d’identification, créez un fichier env.list temporaire avec les informations d’identification requises. Une fois que votre conteneur Docker s’exécute correctement, veillez à supprimer ce fichier.

Remarque

Le script suivant contient chaque conteneur Docker qui se connecte à un système ABAP spécifique. Modifiez votre script en fonction des besoins de votre environnement.

Courir:

##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

Téléchargez et exécutez l’image Docker prédéfinie avec le connecteur de données SAP installé. Courir:

docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

Vérifiez que le conteneur Docker s’exécute correctement. Courir:
```
docker logs –f sapcon-[SID]
```
Poursuivez le déploiement de Microsoft Sentinel solution pour les applications SAP.

Le déploiement de la solution permet au connecteur de données SAP de s’afficher dans Microsoft Sentinel et déploie le classeur SAP et les règles d’analyse. Lorsque vous avez terminé, ajoutez et personnalisez manuellement vos watchlists SAP.

Pour plus d’informations, consultez Déployer la solution Microsoft Sentinel pour les applications SAP à partir du hub de contenu.

Configurer manuellement le Microsoft Sentinel pour le connecteur de données SAP

Lorsqu’il est déployé via l’interface CLI, le connecteur de données Microsoft Sentinel pour SAP est configuré dans le fichier systemconfig.json, que vous avez cloné sur votre ordinateur du connecteur de données SAP dans le cadre de la procédure de déploiement. Utilisez le contenu de cette section pour configurer manuellement les paramètres du connecteur de données.

Pour plus d’informations, consultez Systemconfig.json référence de fichier ou Systemconfig.ini référence de fichier pour les systèmes hérités.

Définir les journaux SAP envoyés à Microsoft Sentinel

Le fichier de systemconfig.json par défaut est configuré pour couvrir l’analytique intégrée, l’autorisation utilisateur SAP master tables de données, avec des informations sur les utilisateurs et les privilèges, et la possibilité de suivre les modifications et les activités dans le paysage SAP.

La configuration par défaut fournit plus d’informations de journalisation pour permettre des investigations post-violation et des capacités de chasse étendues. Toutefois, vous pouvez personnaliser votre configuration au fil du temps, d’autant plus que les processus métier ont tendance à être saisonniers.

Utilisez les jeux de code suivants pour configurer le fichier systemconfig.json afin de définir les journaux envoyés à Microsoft Sentinel.

Pour plus d’informations, consultez Microsoft Sentinel solution pour les journaux de solution des applications SAP (préversion publique).

Configurer un profil par défaut

Le code suivant configure une configuration par défaut :

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "True",
      "abapspoollog": "True",
      "abapspooloutputlog": "True",
      "abapchangedocslog": "True",
      "abapapplog": "True",
      "abapworkflowlog": "True",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"

Configurer un profil axé sur la détection

Utilisez le code suivant pour configurer un profil axé sur la détection, qui inclut les principaux journaux de sécurité du paysage SAP requis pour que la plupart des règles d’analyse fonctionnent correctement. Les enquêtes postérieures aux violations et les capacités de chasse sont limitées.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Utilisez le code suivant pour configurer un profil minimal, qui inclut le journal d’audit de sécurité SAP, qui est la source de données la plus importante que la solution Microsoft Sentinel pour les applications SAP utilise pour analyser les activités dans le paysage SAP. L’activation de ce journal est la condition minimale requise pour fournir une couverture de sécurité.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "False",
      "usr01_full": "False",
      "usr02_full": "False",
      "usr02_incremental": "False",
      "agr_1251_full": "False",
      "agr_users_full": "False",
      "agr_users_incremental": "False",
      "agr_prof_full": "False",
      "ust04_full": "False",
      "usr21_full": "False",
      "adr6_full": "False",
      "adcp_full": "False",
      "usr05_full": "False",
      "usgrp_user_full": "False",
      "user_addr_full": "False",
      "devaccess_full": "False",
      "agr_define_full": "False",
      "agr_define_incremental": "False",
      "pahi_full": "False",
      "pahi_incremental": "False",
      "agr_agrs_full": "False",
      "usrstamp_full": "False",
      "usrstamp_incremental": "False",
      "agr_flags_full": "False",
      "agr_flags_incremental": "False",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Paramètres du connecteur des journaux SAL

Ajoutez le code suivant au fichier systemconfig.json Microsoft Sentinel pour le connecteur de données SAP afin de définir d’autres paramètres pour les journaux SAP ingérés dans Microsoft Sentinel.

Pour plus d’informations, consultez Effectuer une installation d’un connecteur de données SAP personnalisé/expert.

    "connector_configuration": {
      "extractuseremail": "True",
      "apiretry": "True",
      "auditlogforcexal": "False",
      "auditlogforcelegacyfiles": "False",
      "timechunk": "60"

Cette section vous permet de configurer les paramètres suivants :

Nom du paramètre	Description
extractuseremail	Détermine si les adresses e-mail des utilisateurs sont incluses dans les journaux d’audit.
apiretry	Détermine si les appels d’API sont retentés en tant que mécanisme de basculement.
auditlogforcexal	Détermine si le système force l’utilisation des journaux d’audit pour les systèmes non SAL, tels que SAP BASIS version 7.4.
auditlogforcelegacyfiles	Détermine si le système force l’utilisation des journaux d’audit avec des fonctionnalités système héritées, telles que SAP BASIS version 7.4 avec des niveaux de correctif inférieurs.
timechunk	Détermine que le système attend un nombre spécifique de minutes comme intervalle entre les extractions de données. Utilisez ce paramètre si vous avez une grande quantité de données attendue. Par exemple, pendant le chargement initial des données au cours de vos premières 24 heures, vous souhaiterez peut-être que l’extraction de données ne s’exécute que toutes les 30 minutes pour donner à chaque extraction de données suffisamment de temps. Dans ce cas, définissez cette valeur sur 30.

Configuration d’un instance de contrôle SAP ABAP

Pour ingérer tous les journaux ABAP dans Microsoft Sentinel, y compris les journaux NW RFC et sap Control Web Service, configurez les détails du contrôle SAP ABAP suivants :

Setting	Description
javaappserver	Entrez votre hôte de serveur ABAP de contrôle SAP. Par exemple : `contoso-erp.appserver.com`
javainstance	Entrez votre numéro de instance ABAP de contrôle SAP. Par exemple : `00`
abaptz	Entrez le fuseau horaire configuré sur votre serveur ABAP de contrôle SAP, au format GMT. Par exemple : `GMT+3`
abapseverity	Entrez le niveau de gravité le plus bas inclus pour lequel vous souhaitez ingérer des journaux ABAP dans Microsoft Sentinel. Les valeurs sont les suivantes : - 0 = Tous les journaux - 1 = Avertissement - 2 = Erreur

Configuration d’un instance de contrôle SAP Java

Pour ingérer les journaux du service web de contrôle SAP dans Microsoft Sentinel, configurez les détails du contrôle SAP java instance suivants :

Paramètre	Description
javaappserver	Entrez votre hôte serveur Java sap Control. Par exemple : `contoso-java.server.com`
javainstance	Entrez votre numéro de instance ABAP de contrôle SAP. Par exemple : `10`
javatz	Entrez le fuseau horaire configuré sur votre serveur Java sap Control, au format GMT. Par exemple : `GMT+3`
javaseverity	Entrez le niveau de gravité le plus bas inclus pour lequel vous souhaitez ingérer les journaux du service web dans Microsoft Sentinel. Les valeurs sont les suivantes : - 0 = Tous les journaux - 1 = Avertissement - 2 = Erreur

Configuration de la collecte de données de référence utilisateur

Pour ingérer des tables directement à partir de votre système SAP avec des détails sur vos utilisateurs et autorisations de rôle, configurez votre fichier systemconfig.json avec une True/False instruction pour chaque table.

Par exemple :

    "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Pour plus d’informations, consultez Référence des tables récupérées directement à partir des systèmes SAP.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-04-23