Déployer la solution Microsoft Sentinel pour les applications SAP à partir du hub de contenu

Cet article explique comment déployer la solution Microsoft Sentinel pour le contenu de sécurité des applications SAP à partir du hub de contenu vers votre espace de travail Microsoft Sentinel. Ce contenu constitue les parties restantes de la solution Microsoft Sentinel pour SAP.

Prérequis

Pour déployer la solution Microsoft Sentinel pour les applications SAP à partir du hub de contenu, vous avez besoin de :

• Une instance Microsoft Sentinel.
• Un espace de travail Microsoft Sentinel défini et des autorisations de lecture et d’écriture sur cet espace de travail.
• Un connecteur de données Microsoft Sentinel pour SAP configuré.

Vérifiez les jalons de déploiement

Suivez votre parcours de déploiement de solution SAP dans cette série d’articles :

1. Vue d’ensemble du déploiement

2. Conditions préalables au déploiement

3. Fonctionnement avec la solution dans plusieurs espaces de travail (préversion)

4. Préparation de votre environnement SAP

5. Configurer l’audit

6. Déploiement de l’agent connecteur de données

7. Déploiement de la solution Microsoft Sentinel pour les applications SAP à partir du hub de contenu (vous êtes ici)

8. Configuration de la solution Microsoft Sentinel pour les applications SAP

9. Étapes de déploiement facultatives :

   • Configuration du connecteur de données SAP de façon à ce qu’il utilise SNC
   • Collecter les journaux d’audit SAP HANA
   • Configurer les règles de surveillance des journaux d’audit
   • Déploiement du connecteur de données SAP manuellement
   • Sélectionner des profils d’ingestion SAP

Déployer le contenu de la sécurité depuis le hub de contenu

Déployez le contenu de sécurité SAP à partir des zones Hub de contenu et Watchlists de Microsoft Sentinel.

Le déploiement des applications Solution Microsoft Sentinel pour SAP entraîne l’affichage du connecteur de données Microsoft Sentinel pour SAP dans la zone Connecteurs de données de Microsoft Sentinel. La solution déploie également le classeur SAP - Applications et produits système et les règles d’analyse SAP associées.

Pour déployer le contenu de sécurité de la solution SAP :

1. Dans Microsoft Sentinel, dans le volet gauche, sélectionnez Hub de contenu (préversion).

   La page Hub de contenu (préversion) affiche une liste de solutions filtrée pouvant faire l’objet d’une recherche.

2. Pour ouvrir la page des solutions SAP, sélectionnez les applications Solution Microsoft Sentinel pour SAP.

   

3. Sélectionnez Créer pour lancer l’Assistant de déploiement de la solution, puis entrez les détails de l’abonnement Azure et du groupe de ressources.

4. Pour l’espace de travail de la cible de déploiement, sélectionnez l’espace de travail Log Analytics (celui utilisé par Microsoft Sentinel) dans lequel vous souhaitez déployer la solution.

5. Si vous souhaitez utiliser la solution Microsoft Sentinel pour les applications SAP sur plusieurs espaces de travail sélectionnez Certaines données se trouve sur un autre espace de travail puis effectuez les étapes suivantes :

   1. Sous Configurer l’espace de travail dans lequel résident les données SOC, sélectionnez l’abonnement SOC et l’espace de travail.

   2. Sous Configurer l’espace de travail dans lequel résident les données SAP, sélectionnez l’abonnement SAP et l’espace de travail.

   Par exemple :

   

   Remarque

   Si vous souhaitez que les données SAP et SOC soient conservées sur le même espace de travail sans contrôles d’accès supplémentaires, ne sélectionnez pas Certaines données se trouve sur un autre espace de travail. Si vous souhaitez conserver les données SOC et SAP sur le même espace de travail, mais appliquer des contrôles d’accès supplémentaires, passez en revue ce scénario.

6. Sélectionnez Suivant pour parcourir les onglets Connecteurs de données, Analytique et Classeurs, où vous pouvez découvrir les composants qui sont déployés avec cette solution.

   Pour plus d’informations, consultez les applications Solution Microsoft Sentinel pour SAP : référence relative au contenu de sécurité.

7. Dans le volet Vérifier + créer, attendez que le message Validation réussie s’affiche, puis sélectionnez Créer pour déployer la solution.

   Conseil

   Vous pouvez également sélectionner Télécharger un modèle afin d’obtenir un lien pour déployer la solution en tant que code.

8. Une fois le déploiement terminé, pour afficher le contenu nouvellement déployé :

   • Pour les classeurs inclus dans SAP, rendez-vous sur Gestion des menaces>Classeurs>Mes classeurs.

   • Pour une série de règles d’analyse liées à SAP, rendez-vous sur Configuration>Analyses.

9. Dans Microsoft Sentinel, accédez au connecteur de données Microsoft Sentinel for SAP afin de vérifier la connexion :

   

   Les journaux SAP ABAP s’affichent dans la page Journaux de Microsoft Sentinel sous Journaux personnalisés :

   

   Pour plus d’informations, consultez la référence des journaux de la solution des applications Solution Microsoft Sentinel pour SAP.

Résolution des problèmes et informations de référence

Pour obtenir des informations de résolution des problèmes, consultez ces articles :

• Résoudre les problèmes de déploiement des applications Solution Microsoft Sentinel pour SAP
• Solutions Microsoft Azure Sentinel

Pour voir les informations de référence, consultez ces articles :

• Référence de données de solution des applications Solution Microsoft Sentinel pour SAP
• Applications Solution Microsoft Sentinel pour SAP : informations de référence sur le contenu de sécurité
• Mettre à jour la référence de script
• Informations de référence sur le fichier Systemconfig.ini

Contenu connexe

• Déployer des applications Solution Microsoft Sentinel pour SAP
• Prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP
• Déploiement de demandes de modification SAP et configuration de l’autorisation