Activer et configurer l’audit SAP pour Microsoft Sentinel

  • Article

Cet article explique comment activer et configurer l’audit pour les applications Solution Microsoft Sentinel pour SAP, afin que vous disposiez d’une visibilité complète sur votre solution SAP.

Important

Nous vous recommandons vivement d’effectuer toute la gestion de votre système SAP par un administrateur système SAP expérimenté.

Les étapes décrites dans cet article peuvent varier en fonction de la version de votre système SAP et doivent être considérées comme un exemple uniquement.

Certaines installations de systèmes SAP peuvent ne pas avoir le journal d’audit activé par défaut. Pour obtenir de meilleurs résultats en matière d’évaluation des performances et de l’efficacité des applications Solution Microsoft Sentinel pour SAP, activez l’audit de votre système SAP et configurez les paramètres d’audit.

Jalons de déploiement

Suivez votre parcours de déploiement de solution SAP dans cette série d’articles :

  1. Vue d’ensemble du déploiement

  2. Conditions préalables au déploiement

  3. Fonctionne avec la solution sur plusieurs espaces de travail (PRÉVERSION)

  4. Préparer l’environnement SAP

  5. Configurez l’audit (vous êtes ici)

  6. Déployer l’agent de connecteur de données

  7. Déployer le contenu de sécurité SAP

  8. Configurer les applications Solution Microsoft Sentinel pour SAP®

  9. Étapes de déploiement facultatives

Vérifier si l’audit est activé

  1. Connectez-vous à l’interface utilisateur graphique SAP et exécutez la transaction RSAU_CONFIG.

    Capture d’écran montrant l’exécution de la transaction RSAU_CONFIG.

  2. Dans la fenêtre Journal d’audit de sécurité - Affichage de la configuration actuelle, recherchez la section Paramètres dans la section Configuration. Sous Paramètres généraux, vérifiez que la case Audit de sécurité statique actif est cochée.

Activer la fonction d’audit

Important

Votre stratégie d’audit doit être déterminée en étroite collaboration avec les administrateurs SAP et votre service de sécurité.

  1. Connectez-vous à l’interface utilisateur graphique SAP et exécutez la transaction RSAU_CONFIG.

  2. Dans l’écran Journal d’audit de sécurité, sélectionnez Paramètre dans la section Configuration du journal d’audit de sécurité dans l’arborescence Configuration.

  3. Si la case Audit de sécurité statique actif est cochée, l’audit au niveau du système est activé. Si ce n’est pas le cas, activez la case Afficher <-> Modifier et cochez la case Audit de sécurité statique actif.

  4. Par défaut, le système SAP enregistre le nom du client (ID de terminal) plutôt que l’adresse IP du client. Si vous souhaitez que le système se connecte par adresse IP du client à la place, cochez la case à cocher Adresse homologue du journal et non ID de terminal dans la section Paramètres généraux.

  5. Si vous avez modifié des paramètres dans la section Configuration du journal d’audit de sécurité - Paramètre, sélectionnez Enregistrer pour enregistrer les modifications. L’audit n’est activé qu’après le redémarrage du serveur.

    Important

    Les applications SAP s’exécutant sur le système d’exploitation Windows doivent prendre en compte les recommandations de la note SAP 2360334 dans le cas où le journal d’audit n’est pas lu correctement après l’installation.

    Capture d’écran montrant les paramètres de RSAU_CONFIG.

  6. Cliquez avec le bouton droit sur Configuration statique, puis sélectionnez Créer un profil.

    Capture d’écran montrant l’écran de création de profil de RSAU_CONFIG.

  7. Spécifiez un nom pour le profil dans le champ Profil/Numéro de filtre.

    Notes

    Cette étape supplémentaire est nécessaire pour l’installation de Vanilla SAP : cliquez avec le bouton droit sur le profil que vous avez généré, puis créez un filtre.

  8. Cochez la case Filtre pour l’enregistrement actif.

  9. Dans le champ Client, entrez *.

  10. Dans le champ Utilisateur, entrez *.

  11. Sous Sélection d’événements, choisissez Sélection d’événement classique et sélectionnez tous les types d’événements dans la liste.

  12. Sélectionnez Enregistrer.

    Capture d’écran montrant les paramètres de profil statique.

  13. Vous verrez que la section Configuration statique affiche le profil nouvellement créé. Cliquez avec le bouton droit sur le profil, puis sélectionnez Activer.

  14. Dans la fenêtre de confirmation, sélectionnez Oui pour activer le profil nouvellement créé.

    Remarque

    La configuration statique ne prend effet qu’après le redémarrage du système. Pour effectuer une configuration immédiate, créez un autre filtre dynamique avec les mêmes propriétés en cliquant avec le profil statique récemment créé et en sélectionnant « appliquer à la configuration dynamique ».

Étapes suivantes

Dans cet article, vous avez appris à activer et configurer l’audit SAP pour Microsoft Sentinel.

Déployer et configurer le conteneur hébergeant l’agent de connecteur de données