Activer et configurer l’audit SAP pour Microsoft Sentinel
Cet article explique comment activer et configurer l’audit pour les applications Solution Microsoft Sentinel pour SAP, afin que vous disposiez d’une visibilité complète sur votre solution SAP.
Important
Nous vous recommandons vivement d’effectuer toute la gestion de votre système SAP par un administrateur système SAP expérimenté.
Les étapes décrites dans cet article peuvent varier en fonction de la version de votre système SAP et doivent être considérées comme un exemple uniquement.
Certaines installations de systèmes SAP peuvent ne pas avoir le journal d’audit activé par défaut. Pour obtenir de meilleurs résultats en matière d’évaluation des performances et de l’efficacité des applications Solution Microsoft Sentinel pour SAP, activez l’audit de votre système SAP et configurez les paramètres d’audit.
Jalons de déploiement
Suivez votre parcours de déploiement de solution SAP dans cette série d’articles :
Fonctionne avec la solution sur plusieurs espaces de travail (PRÉVERSION)
Configurez l’audit (vous êtes ici)
Configurer les applications Solution Microsoft Sentinel pour SAP®
Étapes de déploiement facultatives
Vérifier si l’audit est activé
Connectez-vous à l’interface utilisateur graphique SAP et exécutez la transaction RSAU_CONFIG.
Dans la fenêtre Journal d’audit de sécurité - Affichage de la configuration actuelle, recherchez la section Paramètres dans la section Configuration. Sous Paramètres généraux, vérifiez que la case Audit de sécurité statique actif est cochée.
Activer la fonction d’audit
Important
Votre stratégie d’audit doit être déterminée en étroite collaboration avec les administrateurs SAP et votre service de sécurité.
Connectez-vous à l’interface utilisateur graphique SAP et exécutez la transaction RSAU_CONFIG.
Dans l’écran Journal d’audit de sécurité, sélectionnez Paramètre dans la section Configuration du journal d’audit de sécurité dans l’arborescence Configuration.
Si la case Audit de sécurité statique actif est cochée, l’audit au niveau du système est activé. Si ce n’est pas le cas, activez la case Afficher <-> Modifier et cochez la case Audit de sécurité statique actif.
Par défaut, le système SAP enregistre le nom du client (ID de terminal) plutôt que l’adresse IP du client. Si vous souhaitez que le système se connecte par adresse IP du client à la place, cochez la case à cocher Adresse homologue du journal et non ID de terminal dans la section Paramètres généraux.
Si vous avez modifié des paramètres dans la section Configuration du journal d’audit de sécurité - Paramètre, sélectionnez Enregistrer pour enregistrer les modifications. L’audit n’est activé qu’après le redémarrage du serveur.
Important
Les applications SAP s’exécutant sur le système d’exploitation Windows doivent prendre en compte les recommandations de la note SAP 2360334 dans le cas où le journal d’audit n’est pas lu correctement après l’installation.
Cliquez avec le bouton droit sur Configuration statique, puis sélectionnez Créer un profil.
Spécifiez un nom pour le profil dans le champ Profil/Numéro de filtre.
Notes
Cette étape supplémentaire est nécessaire pour l’installation de Vanilla SAP : cliquez avec le bouton droit sur le profil que vous avez généré, puis créez un filtre.
Cochez la case Filtre pour l’enregistrement actif.
Dans le champ Client, entrez
*
.Dans le champ Utilisateur, entrez
*
.Sous Sélection d’événements, choisissez Sélection d’événement classique et sélectionnez tous les types d’événements dans la liste.
Sélectionnez Enregistrer.
Vous verrez que la section Configuration statique affiche le profil nouvellement créé. Cliquez avec le bouton droit sur le profil, puis sélectionnez Activer.
Dans la fenêtre de confirmation, sélectionnez Oui pour activer le profil nouvellement créé.
Remarque
La configuration statique ne prend effet qu’après le redémarrage du système. Pour effectuer une configuration immédiate, créez un autre filtre dynamique avec les mêmes propriétés en cliquant avec le profil statique récemment créé et en sélectionnant « appliquer à la configuration dynamique ».
Étapes suivantes
Dans cet article, vous avez appris à activer et configurer l’audit SAP pour Microsoft Sentinel.