Déployer le connecteur de données Microsoft Sentinel pour SAP avec SNC

  • Article

Cet article explique comment déployer le connecteur de données Microsoft Sentinel pour SAP afin d’ingérer des journaux SAP NetWeaver et SAP ABAP sur une connexion sécurisée en utilisant SNC (Secure Network Communications).

L’agent du connecteur de données SAP se connecte généralement à un serveur SAP ABAP avec une connexion RFC (appel de fonction à distance), et avec un nom d’utilisateur/mot de passe pour l’authentification.

Toutefois, certains environnements peuvent nécessiter une connexion sur un canal chiffré ou l’utilisation de certificats clients pour l’authentification. Dans ce cas, vous pouvez utiliser SNC à partir de SAP pour connecter de manière sécurisée votre connecteur de données. Effectuez les étapes décrites dans cet article.

Prérequis

Pour déployer le connecteur de données Microsoft Sentinel pour SAP avec SNC, vous avez besoin des éléments suivants :

  • La bibliothèque de chiffrement SAP.
  • Connectivité réseau SNC utilise le port 48xx (où xx est le numéro d’instance SAP) pour se connecter au serveur ABAP.
  • Un serveur SAP configuré pour prendre en charge l’authentification SNC.
  • Un certificat émis par l’autorité de certification, auto-signé ou d’entreprise, pour l’authentification utilisateur.

Remarque

Cet article décrit un exemple de cas pour la configuration de SNC. Dans un environnement de production, nous vous recommandons vivement de consulter les administrateurs SAP pour créer un plan de déploiement.

Exporter le certificat de serveur

Pour commencer, exportez le certificat de serveur :

  1. Connectez-vous à votre client SAP et exécutez la transaction STRUST .

  2. Dans le volet gauche, accédez à SNC SAPCryptolib et développez la section.

  3. Sélectionnez le système, puis sélectionnez une valeur pour Objet.

    Les informations du certificat de serveur s’affichent dans la section Certificat.

  4. Sélectionnez Exporter le certificat.

    Screenshot that shows how to export a server certificate.

  5. Dans la boîte de dialogue Exporter le certificat :

    1. Pour le format de fichier, sélectionnez Base64.

    2. À côté de Chemin du fichier, sélectionnez l’icône avec deux boîtes.

    3. Sélectionnez un nom de fichier où exporter le certificat.

    4. Sélectionnez la coche verte pour exporter le certificat.

Importer votre certificat

Cette section explique comment importer un certificat afin qu’il soit approuvé par votre serveur ABAP. Il est important de comprendre quel certificat doit être importé dans le système SAP. Seules les clés publiques des certificats doivent être importées dans le système SAP.

  • Si le certificat utilisateur est auto-signé : importez un certificat utilisateur.

  • Si le certificat utilisateur est émis par une autorité de certification d’entreprise : importez un certificat d’autorité de certification d’entreprise. Si les serveurs d’autorité de certification racine et subordonné sont utilisés, importez les deux certificats publics d’autorité de certification racine et subordonné.

Pour importer votre certificat :

  1. Exécutez la transaction STRUST.

  2. Select Afficher<->Modifier.

  3. Sélectionnez Importer le certificat.

  4. Dans la boîte de dialogue Importer le certificat :

    1. À côté de Chemin du fichier, sélectionnez l’icône avec deux boîtes et accédez au certificat.

    2. Accédez au fichier contenant le certificat (pour une clé publique uniquement) et sélectionnez la coche verte pour importer le certificat.

      Les informations de certificat s’affichent dans la section Certificat.

    3. Sélectionnez Ajouter à la liste des certificats.

      Le certificat s’affiche dans la section Liste des certificats.

Associer le certificat à un compte d’utilisateur

Pour associer le certificat à un compte d’utilisateur :

  1. Exécutez la transaction SM30.

  2. Dans Table/vue, entrez USRACLEXT, puis sélectionnez Gérer.

  3. Passez en revue la sortie et identifiez si l’utilisateur cible a déjà un nom SNC associé. Si aucun nom SNC n’est associé à l’utilisateur, sélectionnez Nouvelles entrées.

    Screenshot that shows how to create a new entry in the USERACLEXT table.

  4. Pour Utilisateur, entrez le nom d’utilisateur. Pour Nom SNC, entrez le nom d’objet de certificat de l’utilisateur précédé de p:, puis sélectionnez Enregistrer.

    Screenshot that shows how to create a new user in USERACLEXT table.

Accorder des droits d’ouverture de session avec le certificat

Pour accorder des droits d’ouverture de session :

  1. Exécutez la transaction SM30.

  2. Dans Table/vue, entrez VSNCSYSACL, puis sélectionnez Gérer.

  3. Dans l’invite d’informations qui s’affiche, confirmez que la table est inter-clients.

  4. Dans Déterminer la zone de travail : Entrée, tapez E pour Type d’entrée ACL, puis sélectionnez la coche verte.

  5. Passez en revue la sortie et identifiez si l’utilisateur cible a déjà un nom SNC associé. Si l’utilisateur n’a pas de nom SNC associé, sélectionnez Nouvelles entrées.

    Screenshot that shows how to create a new entry in the VSNCSYSACL table.

  6. Entrez votre ID système et le nom de l’objet du certificat utilisateur avec un préfixe p:.

    Screenshot that shows how to create a new user in the VSNCSYSACL table.

  7. Vérifiez que les cases Entrée pour RFC activée et Entrée pour le certificat activée sont cochées, puis sélectionnez Enregistrer.

Mapper les utilisateurs du fournisseur de services ABAP à des identifiants utilisateurs externes

Pour mapper les utilisateurs du fournisseur de services ABAP à des identifiants utilisateur externes :

  1. Exécutez la transaction SM30.

  2. Dans Table/vue, entrez VUSREXTID, puis sélectionnez Gérer.

  3. Dans Déterminer la zone de travail : Entrée, sélectionnez le type d’ID DN comme Zone de travail.

  4. Saisissez les valeurs suivantes :

    • Pour ID externe, entrez CN=Sentinel, C=US.
    • Pour Numéro de séquence, entrez 000.
    • Pour Utilisateur, entrez SENTINEL.

  5. Sélectionnez Enregistrer, puis Entrée.

    Screenshot that shows how to set up the SAP VUSREXTID table.

Configurer le conteneur

Remarque

Si vous configurez le conteneur de l’agent du connecteur de données SAP avec l’interface utilisateur, ignorez les étapes décrites dans cette section. À la place, continuez la configuration du connecteur dans la page du connecteur.

Pour configurer le conteneur :

  1. Transférez les fichiers libsapcrypto.so et sapgenpse vers le système où créer le conteneur.

  2. Transférez le certificat client (clés privée et publique) vers le système où créer le conteneur.

    Le certificat client et la clé peuvent être au format .p12, .pfx ou Base64 .crt et .key.

  3. Transférez le certificat de serveur (clé publique uniquement) vers le système où créer le conteneur.

    Le certificat de serveur doit être au format Base64 .crt.

  4. Si le certificat client a été émis par une autorité de certification d’entreprise, transférez l’autorité de certification émettrice et les certificats d’autorité de certification racine vers le système où créer le conteneur.

  5. Obtenez le script kickstart à partir du dépôt GitHub Microsoft Sentinel :

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh

  6. Modifiez les autorisations du script pour le rendre exécutable :

    chmod +x ./sapcon-sentinel-kickstart.sh

  7. Exécutez le script en spécifiant les paramètres de base suivants :

    ./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib <path to sapcryptolib.so> \
--sapgenpse <path to sapgenpse> \
--server-cert <path to server certificate public key> \

    Si le certificat client est au format .crt ou .key, utilisez les commutateurs suivants :

    --client-cert <path to client certificate public key> \
--client-key <path to client certificate private key> \

    Si le certificat client est au format .pfx ou .p12, utilises ces commutateurs :

    --client-pfx <pfx filename>
--client-pfx-passwd <password>

    Si le certificat client a été émis par une autorité de certification d’entreprise, ajoutez ce commutateur pour chaque autorité de certification dans la chaîne d’approbation :

    --cacert <path to ca certificate>

    Par exemple :

    ./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib /home/azureuser/libsapcrypto.so \
--sapgenpse /home/azureuser/sapgenpse \
--client-cert /home/azureuser/client.crt \
--client-key /home/azureuser/client.key \
--cacert /home/azureuser/issuingca.crt
--cacert /home/azureuser/rootca.crt
--server-cert /home/azureuser/server.crt \

Pour plus d’informations sur les options disponibles dans le script kickstart, consultez Informations de référence : script kickstart.

Résolution des problèmes et informations de référence

Pour obtenir des informations de résolution des problèmes, consultez ces articles :

Pour voir les informations de référence, consultez ces articles :

Contenu connexe