Configurer les applications Solution Microsoft Sentinel SAP®

Notes

Azure Sentinel s’appelle maintenant Microsoft Sentinel et nous mettrons à jour ces pages dans les semaines à venir. En savoir plus sur les améliorations récentes de la sécurité Microsoft.

Cet article décrit les meilleures pratiques de configuration des applications Solution Microsoft Sentinel SAP®. Le processus de déploiement complet est détaillé dans un ensemble complet d’articles liés sous Jalons de déploiement.

Important

Certains composants des applications Solution Microsoft Sentinel SAP® sont actuellement en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Le déploiement de l’agent du collecteur de données et de la solution dans Microsoft Sentinel vous permet de surveiller toute activité suspecte dans les systèmes SAP et d’identifier les menaces. Toutefois, pour de meilleurs résultats, les meilleures pratiques d’utilisation de la solution recommandent vivement d’effectuer plusieurs étapes de configuration supplémentaires qui dépendent du déploiement SAP.

Jalons de déploiement

Suivez votre parcours de déploiement de solution SAP dans cette série d’articles :

1. Vue d’ensemble du déploiement

2. Conditions préalables au déploiement

3. Fonctionne avec la solution sur plusieurs espaces de travail (PRÉVERSION)

4. Préparer l’environnement SAP

5. Configurer l’audit

6. Déployer la solution Microsoft Sentinel pour les applications SAP® à partir du hub de contenu

7. Déployer l’agent de connecteur de données

8. Configurer les applications Solution Microsoft Sentinel SAP® (Vous êtes ici)

9. Étapes de déploiement facultatives

   • Configurer le connecteur de données pour utiliser SNC
   • Collecter les journaux d’audit SAP HANA
   • Configurer les règles de surveillance des journaux d’audit
   • Déployer le connecteur SAP manuellement
   • Sélectionner des profils d’ingestion SAP

Configurer des watchlists

La configuration des applications Solution Microsoft Sentinel SAP® est effectuée via la fourniture des informations spécifiques au client dans les watchlists configurées.

Notes

Au terme du déploiement initial de la solution, il peut s’écouler un certain temps avant que les données n’apparaissent dans les watchlists. Si vous modifiez une watchlist et constatez qu’elle est vide, patientez quelques minutes et essayez de la rouvrir pour la modifier.

SAP - Watchlist des systèmes

SAP - La watchlist des systèmes définit les systèmes SAP présents dans l’environnement surveillé. Pour chaque système, spécifiez son SID, s’il s’agit d’un système de production ou d’un environnement de développement/test, ainsi qu’une description. Ces informations sont utilisées par certaines règles d’analyse, qui peuvent réagir différemment si des événements pertinents apparaissent dans un système de développement ou de production.

SAP - Watchlist des réseaux

SAP - La watchlist des réseaux présente tous les réseaux utilisés par l’organisation. Elle est principalement utilisée pour déterminer si les connexions utilisateur proviennent ou non de segments réseau connus, et si l’origine de l’ouverture de session de l’utilisateur change de façon inattendue.

Plusieurs approches permettent de documenter la topologie réseau. Vous pouvez définir une large plage d’adresses, comme 172.16.0.0/16, et nommer le réseau « Réseau d’entreprise » afin d’assurer le suivi des ouvertures de session extérieures à cette plage. Toutefois, une approche plus segmentée offre une meilleure visibilité des activités potentiellement atypiques.

Par exemple, définissez les deux segments suivants et leurs emplacements géographiques :

Segment	Emplacement
192.168.10.0/23	Europe de l’Ouest
10.15.0.0/16	Australie

Microsoft Sentinel peut désormais différencier une ouverture de session de 192.168.10.15 (dans le premier segment) d’une ouverture de session de 10.15.2.1 (dans le second segment) et vous avertir si ce comportement se révèle atypique.

Watchlists des données sensibles

• SAP - Modules de fonctions sensibles
• SAP - Tables sensibles
• SAP - Programmes ABAP sensibles
• SAP - Transactions sensibles

Toutes ces watchlists identifient des actions ou données sensibles effectuées ou accessibles par les utilisateurs. Plusieurs opérations, tables et autorisations connues ont été préconfigurées dans les watchlists, mais nous vous recommandons de consulter l’équipe SAP BASIS pour identifier les opérations, transactions, autorisations et tables considérées comme sensibles dans votre environnement SAP.

Watchlists des données de référence de l’utilisateur

• SAP - Profils sensibles
• SAP - Rôles sensibles
• SAP - Utilisateurs disposant de privilèges
• SAP - Autorisations critiques

Les applications Solution Microsoft Sentinel SAP® utilisent des données principales utilisateur collectées à partir de systèmes SAP pour identifier les utilisateurs, les profils et les rôles qui doivent être considérés comme sensibles. Certains exemples de données sont inclus dans les watchlists, mais nous vous recommandons de consulter l’équipe SAP BASIS pour identifier les utilisateurs, rôles et profils sensibles et remplir les watchlists en conséquence.

Commencer à activer les règles analytiques

Par défaut, toutes les règles d’analyse proposées dans les applications Solution Microsoft Sentinel SAP® sont fournies en tant que modèles de règles d’alerte. Nous vous recommandons d’adopter une approche à plusieurs phases, où quelques règles sont créées à partir de modèles à la fois, ce qui permet d’affiner chaque scénario. Les règles suivantes comptent parmi les plus faciles à implémenter et constituent un bon point de départ :

1. Modification d’un utilisateur sensible disposant de privilèges
2. Modification de la configuration du client
3. Ouverture de session d’utilisateur privilégié sensible
4. Un utilisateur sensible disposant de privilèges apporte une modification à un autre utilisateur
5. Modification et connexion du mot de passe de l’utilisateur sensible disposant de privilèges et connexion
6. Module de fonction testé

Activer ou désactiver l’ingestion de journaux SAP spécifiques

Pour activer ou désactiver l’ingestion d’un journal spécifique :

1. Modifiez le fichier systemconfig.json situé sous /opt/sapcon/SID/ sur la machine virtuelle du connecteur.
2. Dans le fichier de configuration, recherchez le journal en question et effectuez l’une des opérations suivantes :
   • Pour activer le journal, faites passer la valeur à True.
   • Pour désactiver le journal, faites passer la valeur à False.

Par exemple, pour arrêter l’ingestion pour ABAPJobLog, faites passer sa valeur à False :

"abapjoblog": "True",

Examinez la liste des journaux disponibles dans Informations de référence sur le fichier Systemconfig.json.

Vous pouvez aussi arrêter l’ingestion des tables de données de référence utilisateur.

Notes

Une fois que vous avez arrêté l’un des journaux ou tables, il se peut que les classeurs et les requêtes analytiques qui utilisent ce journal ne fonctionnent pas. Identifiez le journal qu’utilise chaque classeur et identifiez le journal qu’utilise chaque règle analytique.

Arrêter l’ingestion de journaux et désactiver le connecteur

Pour arrêter l’ingestion de journaux SAP dans l’espace de travail Microsoft Sentinel, et pour arrêter le flux de données en provenance du conteneur Docker, exécutez cette commande :

docker stop sapcon-[SID/agent-name]

Pour arrêter d’ingérer un SID spécifique pour un conteneur multi-SID, vous devez supprimer le SID de l’interface utilisateur de la page du connecteur dans Sentinel. Le conteneur Docker s’arrête et n’envoie plus de journaux SAP à l’espace de travail Microsoft Sentinel. Cette commande met simultanément fin à l’ingestion et à la facturation pour le système SAP lié au connecteur.

Si vous avez besoin de réactiver le conteneur Docker, exécutez cette commande :

docker start sapcon-[SID]

Supprimer le rôle d’utilisateur et le CR facultatif installé sur votre système ABAP

Pour supprimer le rôle d’utilisateur et le CR facultatif importé dans votre système, importez le CR de suppression NPLK900259 dans votre système ABAP.

Étapes suivantes

En savoir plus sur les applications Solution Microsoft Sentinel pour SAP® :

• Déployer des applications Solution Microsoft Sentinel pour SAP®
• Prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP®
• Déployer des demandes de modification SAP (CR) et configurer l’autorisation
• Déployer et configurer le conteneur hébergeant l’agent de connecteur de données SAP
• Déployer le contenu de sécurité SAP
• Surveiller l’intégrité de votre système SAP
• Déployer le connecteur de données Microsoft Sentinel pour SAP avec SNC
• Activer et configurer l’audit SAP
• Collecter les journaux d’audit SAP HANA

Résolution des problèmes :

• Résolution des problèmes de déploiement des applications Solution Microsoft Sentinel pour SAP®

Fichiers de référence :

• Référence de données des applications Solution Microsoft Sentinel pour SAP®
• Applications Solution Microsoft Sentinel pour SAP® : référence relative au contenu de sécurité
• Informations de référence sur le script Kickstart
• Mettre à jour la référence de script
• Informations de référence sur le fichier Systemconfig.ini

Pour plus d’informations, consultez Solutions Microsoft Sentinel.