Configurer des autorisations SAP et déployer des demandes de modification SAP facultatives

Cet article explique comment préparer votre environnement pour l’installation de l’agent SAP afin qu’il puisse se connecter correctement à vos systèmes SAP. La préparation inclut la configuration des autorisations SAP requises et, éventuellement, le déploiement de demandes de modification SAP supplémentaires.

• Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Jalons de déploiement

Suivez votre parcours de déploiement de solution SAP dans cette série d’articles :

1. Vue d’ensemble du déploiement

2. Conditions préalables au déploiement

3. Fonctionne avec la solution sur plusieurs espaces de travail (PRÉVERSION)

4. Préparation de l’environnement SAP (vous êtes ici)

5. Configurer l’audit

6. Déployer le contenu de la solution à partir du hub de contenu

7. Déploiement de l’agent connecteur de données

8. Configurer les applications Solution Microsoft Sentinel pour SAP®

9. Étapes de déploiement facultatives

   • Configurer le connecteur de données pour utiliser SNC
   • Collecter les journaux d’audit SAP HANA
   • Configurer les règles de surveillance des journaux d’audit
   • Déployer le connecteur SAP manuellement
   • Sélectionner des profils d’ingestion SAP

Configurer le rôle Microsoft Sentinel

1. Chargez les autorisations de rôle à partir du fichier /MSFTSEN/SENTINEL_RESPONDER dans GitHub.

   Cela crée le rôle /MSFTSEN/SENTINEL_RESPONDER, qui inclut toutes les autorisations requises pour récupérer les journaux des systèmes SAP et exécuter des actions de réponse aux interruptions d’attaque.

   Vous pouvez également créer un rôle manuellement avec les autorisations appropriées requises pour les journaux que vous souhaitez ingérer. Pour plus d’informations, consultez Autorisations ABAP requises. Les exemples de cette procédure utilisent le nom /MSFTSEN/SENTINEL_RESPONDER.

2. L’étape suivante consiste à générer un profil de rôle actif qui sera utilisé par Microsoft Sentinel. Exécutez la transaction PFCG :

   Sur l’écran Accès facile SAP, saisissez PFCG dans le champ situé en haut à gauche de l’écran, puis appuyez sur Entrée.

3. Dans la fenêtre Maintenance du rôle, tapez le nom du rôle (/MSFTSEN/SENTINEL_RESPONDER) dans le champ Rôle, puis sélectionnez le bouton Modifier (crayon).

4. Dans la fenêtre Modifier les rôles qui s’affiche, sélectionnez l’onglet Autorisations.

5. Dans l’onglet Autorisations, sélectionnez Modifier les données d’autorisation.

6. Dans la fenêtre contextuelle Informations, lisez le message et cochez la case verte pour confirmer.

7. Dans la fenêtre Modifier le rôle : Autorisations, sélectionnez Générer.

   Comme vous pouvez le constater, le champ État est passé de Inchangé à Généré.

8. Sélectionnez Précédent (à gauche du logo SAP situé en haut de l’écran).

9. Dans la fenêtre Modifier les rôles, vérifiez que l’onglet Autorisations présente une case verte, puis sélectionnez Enregistrer.

Créer un utilisateur

La solution Microsoft Sentinel pour les applications SAP® nécessite un compte d’utilisateur pour se connecter à votre système SAP. Suivez les instructions ci-dessous pour créer un compte d’utilisateur et lui attribuer le rôle que vous avez créé à l’étape précédente.

Dans les exemples présentés ici, nous utilisons le nom de rôle /MSFTSEN/SENTINEL_RESPONDER.

1. Exécutez la transaction SU01 :

   Sur l’écran Accès facile SAP, saisissez SU01 dans le champ situé en haut à gauche de l’écran, puis appuyez sur Entrée.

2. Sur l’écran Maintenance de l’utilisateur : écran initial, tapez le nom du nouvel utilisateur dans le champ Utilisateur, puis sélectionnez Créer un utilisateur technique dans la barre de boutons.

3. Sur l’écran Gérer les utilisateurs, sélectionnez Système dans la liste déroulante Type d’utilisateur. Créez et entrez un mot de passe complexe dans les champs Nouveau mot de passe et Répéter le mot de passe, puis sélectionnez l’onglet Rôles.

4. Dans la section Attributions de rôles de l’onglet Rôles, entrez le nom complet du rôle (/MSFTSEN/SENTINEL_RESPONDER dans notre exemple), puis appuyez sur Entrée.

   Après avoir appuyé sur Entrée, vérifiez que le côté droit de la section Attributions de rôles contient des données, par exemple Date de début des modifications.

5. Sélectionnez l’onglet Profils, vérifiez qu’un profil du rôle s’affiche sous Profils d’autorisation attribués, puis sélectionnez Enregistrer.

Autorisations ABAP requises

Cette section répertorie les autorisations ABAP requises pour vous assurer que le compte d’utilisateur SAP utilisé par le connecteur de données SAP de Microsoft Sentinel peut récupérer correctement les journaux des systèmes SAP et exécuter des actions de réponse aux interruptions d’attaque.

Les autorisations requises sont regroupées par leur objectif. Vous avez uniquement besoin des autorisations répertoriées pour les types de journaux que vous souhaitez intégrer dans Microsoft Sentinel et les actions de réponse aux interruptions d’attaque que vous souhaitez appliquer.

Conseil

Pour créer un rôle avec toutes les autorisations requises, chargez les autorisations de rôle à partir du fichier /MSFTSEN/SENTINEL_RESPONDER.

De plus, pour activer uniquement la récupération des journaux, sans actions de réponse aux interruptions d’attaque, déployez la demande de modification NPLK900271 SAP sur le système SAP pour créer le rôle /MSFTSEN/SENTINEL_CONNECTOR, ou chargez les autorisations de rôle à partir du fichier /MSFTSEN/SENTINEL_CONNECTOR.

Objet d’autorisation	Champ	Valeur
Tous les journaux d’activité
S_RFC	RFC_TYPE	Module de fonction
S_RFC	RFC_NAME	/OSP/SYSTEM_TIMEZONE
S_RFC	RFC_NAME	DDIF_FIELDINFO_GET
S_RFC	RFC_NAME	RFCPING
S_RFC	RFC_NAME	RFC_GET_FUNCTION_INTERFACE
S_RFC	RFC_NAME	RFC_READ_TABLE
S_RFC	RFC_NAME	RFC_SYSTEM_INFO
S_RFC	RFC_NAME	SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC	RFC_NAME	TH_SERVER_LIST
S_RFC	ACTVT	Execute
S_TCODE	TCD	SM51
S_TABU_NAM	ACTVT	Affichage
S_TABU_NAM	TABLE	T000
Facultatif : uniquement si la demande de modification de la solution Sentinel a été implémentée
S_RFC	RFC_NAME	/MSFTSEN/*
Journal des applications ABAP
S_RFC	RFC_NAME	BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC	RFC_NAME	BAPI_XMI_LOGOFF
S_RFC	RFC_NAME	BAPI_XMI_LOGON
S_RFC	RFC_NAME	BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM	TABLE	BALHDR
S_XMI_PROD	EXTCOMPANY	Microsoft
S_XMI_PROD	EXTPRODUCT	Azure Sentinel
S_XMI_PROD	INTERFACE	XBP
S_APPL_LOG	ALG_OBJECT	*
S_APPL_LOG	ALG_SUBOBJ	*
S_APPL_LOG	ACTVT	Affichage
Journal des documents de modification ABAP
S_TABU_NAM	TABLE	CDHDR
S_TABU_NAM	TABLE	CDPOS
Journal ABAP CR
S_RFC	RFC_NAME	CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM	TABLE	E070
S_TRANSPRT	TTYPE	*
S_TRANSPRT	ACTVT	Affichage
Journal des données de table ABAP DB
S_TABU_NAM	TABLE	DBTABLOG
S_TABU_NAM	TABLE	SACF_ALERT
S_TABU_NAM	TABLE	SOUD
S_TABU_NAM	TABLE	USR41
S_TABU_NAM	TABLE	TMSQAFILTER
Journal des tâches ABAP
S_RFC	RFC_NAME	BAPI_XBP_JOB_JOBLOG_READ
S_RFC	RFC_NAME	BAPI_XMI_LOGOFF
S_RFC	RFC_NAME	BAPI_XMI_LOGON
S_RFC	RFC_NAME	BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM	TABLE	TBTCO
S_XMI_PROD	EXTCOMPANY	Microsoft
S_XMI_PROD	EXTPRODUCT	Azure Sentinel
S_XMI_PROD	INTERFACE	XBP
Journaux Spool ABAP
S_TABU_NAM	TABLE	TSP01
S_ADMI_FCD	S_ADMI_FCD	SPOS (Utilisation de transaction SP01 (tous les systèmes))
Journal de flux de travail ABAP
S_TABU_NAM	TABLE	SWWLOGHIST
S_TABU_NAM	TABLE	SWWWIHEAD
Journal d’audit de sécurité ABAP
S_RFC	RFC_NAME	BAPI_USER_GET_DETAIL
S_RFC	RFC_NAME	BAPI_XMI_LOGOFF
S_RFC	RFC_NAME	BAPI_XMI_LOGON
S_RFC	RFC_NAME	BAPI_XMI_SET_AUDITLEVEL
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETMLHIS
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETTREE
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC	RFC_NAME	BAPI_SYSTEM_MS_GETLIST
S_RFC	RFC_NAME	BAPI_SYSTEM_MON_GETLIST
S_RFC	RFC_NAME	BAPI_SYSTEM_MON_GETTREE
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC	RFC_NAME	BAPI_SYSTEM_MT_GETALERTDATA
S_RFC	RFC_NAME	BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD	S_ADMI_FCD	AUDD (Authentification de l’audit de base.)
S_SAL	SAL_ACTVT	SHOW_LOG (évaluer le journal basé sur les fichiers)
S_USER_GRP	CLASS	SUPER
S_USER_GRP	ACTVT	Affichage
S_USER_GRP	CLASS	SUPER
S_USER_GRP	ACTVT	Verrouillage
S_XMI_PROD	EXTCOMPANY	Microsoft
S_XMI_PROD	EXTPRODUCT	Azure Sentinel
S_XMI_PROD	INTERFACE	XAL
Données utilisateur
S_TABU_NAM	TABLE	ADCP
S_TABU_NAM	TABLE	ADR6
S_TABU_NAM	TABLE	AGR_1251
S_TABU_NAM	TABLE	AGR_AGRS
S_TABU_NAM	TABLE	AGR_DEFINE
S_TABU_NAM	TABLE	AGR_FLAGS
S_TABU_NAM	TABLE	AGR_PROF
S_TABU_NAM	TABLE	AGR_TCODES
S_TABU_NAM	TABLE	AGR_USERS
S_TABU_NAM	TABLE	DEVACCESS
S_TABU_NAM	TABLE	USER_ADDR
S_TABU_NAM	TABLE	USGRP_USER
S_TABU_NAM	TABLE	USR01
S_TABU_NAM	TABLE	USR02
S_TABU_NAM	TABLE	USR05
S_TABU_NAM	TABLE	USR21
S_TABU_NAM	TABLE	USRSTAMP
S_TABU_NAM	TABLE	UST04
Historique de la configuration
S_TABU_NAM	TABLE	PAHI
Données SNC
S_TABU_NAM	TABLE	SNCSYSACL
S_TABU_NAM	TABLE	USRACL
Actions de réponse aux interruptions d’attaque
S_RFC	RFC_TYPE	Module de fonction
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER Contrairement à son nom, cette fonction ne supprime pas les utilisateurs, mais met fin à la session utilisateur active.
S_USER_GRP	CLASS	* Nous vous recommandons de remplacer S_USER_GRP CLASS par les classes pertinentes de votre organisation qui représentent les utilisateurs du dialogue.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

Si nécessaire, vous pouvez supprimer le rôle d’utilisateur et le CR facultatif installé sur votre système ABAP.

Déployer des demandes de modification facultatives

Cette section présente un guide pas à pas pour déployer des demandes de modification supplémentaires et facultatives. Elle est destinée aux ingénieurs et implémenteurs SOC qui ne sont pas nécessairement des experts SAP.

Les administrateurs SAP expérimentés qui connaissent bien le processus de déploiement de demandes de modification peuvent préférer récupérer les demandes appropriées directement dans la section Étapes de validation de l’environnement SAP du guide et les déployer.

Nous vous recommandons vivement de confier le déploiement des demandes de modification SAP à un administrateur système SAP expérimenté.

Le tableau suivant décrit les demandes de modification facultatives disponibles pour le déploiement :

CR	Description
NPLK900271	Crée et configure un exemple de rôle avec les autorisations de base requises pour permettre au connecteur de données SAP de se connecter à votre système SAP. Vous pouvez également charger des autorisations directement à partir d’un fichier ou définir manuellement le rôle en fonction des journaux que vous souhaitez ingérer. Pour plus d’informations, consultez Autorisations ABAP requises et Créer et configurer un rôle (obligatoire).
NPLK900201 ou NPLK900202	Récupère des informations supplémentaires à partir de SAP. Sélectionnez l’une de ces demandes de modification en fonction de votre version de SAP.

Conditions préalables pour le déploiement des demandes de modification

1. Avant de commencer le processus de déploiement, vérifiez que vous avez copié les informations suivantes : Version du système SAP, ID système (SID), Numéro système, Numéro de client, Adresse IP, Nom d’utilisateur administratif et Mot de passe. Dans l’exemple suivant, les informations suivantes sont supposées :

   • Version du système SAP :SAP ABAP Platform 1909 Developer edition
   • SID :A4H
   • Numéro système :00
   • Numéro de client :001
   • Adresse IP :192.168.136.4
   • Utilisateur administrateur :a4hadm (toutefois, la connexion SSH au système SAP est établie avec les informations d’identification de l’utilisateur root)

2. Assurez-vous que vous connaissez la demande de modification que vous souhaitez déployer.

3. Si vous déployez la demande de modification NPLK900202 pour récupérer des informations supplémentaires, vérifiez que vous avez installé la note SAP appropriée.

Configuration des fichiers

1. Connectez-vous au système SAP suivant le protocole SSH.

2. Transférez les fichiers CR vers le système SAP ou téléchargez les fichiers directement sur le système SAP à partir de l’invite SSH. Utilisez les commandes suivantes :

   • Télécharger NPLK900271

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
     

     Vous pouvez également charger ces autorisations directement à partir d’un fichier.

   • Télécharger NPLK900202

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
     

   • Télécharger NPLK900201

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
     

   Chaque demande de modification se compose de deux fichiers, l’un commençant par K et l’autre par R.

3. Changez le propriétaire des fichiers en choisissant l’utilisateur <sid>adm et le groupe sapsys (remplacez votre ID système SAP par <sid>).

   chown <sid>adm:sapsys *.NPL
   

   Dans notre exemple :

   chown a4hadm:sapsys *.NPL
   

4. Copiez les cofichiers (ceux commençant par K) dans le dossier /usr/sap/trans/cofiles. Conservez les autorisations lors de la copie, en utilisant la commande cp avec le commutateur -p.

   cp -p K*.NPL /usr/sap/trans/cofiles/
   

5. Copiez les fichiers de données (ceux commençant par R) dans le dossier /usr/sap/trans/data. Conservez les autorisations lors de la copie, en utilisant la commande cp avec le commutateur -p.

   cp -p R*.NPL /usr/sap/trans/data/
   

Importer les demandes de modification

1. Lancez l’application SAP Logon et connectez-vous à la console SAP GUI.

2. Exécutez la transaction STMS_IMPORT :

   Sur l’écran Accès facile SAP, saisissez STMS_IMPORT dans le champ situé en haut à gauche de l’écran, puis appuyez sur Entrée.

   

3. Dans la fenêtre File d’attente d’importation qui s’affiche, sélectionnez Autres > Extras > Autres demandes > Ajouter.

   

4. Dans la fenêtre contextuelle Ajouter des demandes de transport à la file d’attente d’importation qui s’affiche, sélectionnez le champ Demande de transport.

5. La fenêtre Demandes de transport qui s’affiche présente la liste des demandes de modification qui peuvent être déployées. Sélectionnez une demande de modification, puis cochez le bouton vert.

6. Dans la fenêtre Ajouter une demande de transport à la file d’attente d’importation, sélectionnez Continuer (coche verte) ou appuyez sur Entrée.

7. Dans la boîte de dialogue de confirmation Ajouter une demande de transport, sélectionnez Oui.

8. Si vous prévoyez de déployer plus de demandes de modification, répétez la procédure des cinq étapes précédentes pour les demandes de modification restantes.

9. Dans la fenêtre File d’attente d’importation, sélectionnez la demande de transport appropriée, puis sélectionnez F9 ou Sélectionner/Désélectionner la demande.

10. S’il vous reste des demandes de transport à ajouter au déploiement, répétez l’étape 9.

11. Sélectionnez l’icône Importer des demandes :

    

12. Dans la fenêtre Démarrer l’importation, sélectionnez le champ Client cible.

13. La boîte de dialogue Entrer l’aide s’affiche. Sélectionnez le numéro du client auprès duquel vous souhaitez déployer les demandes de modification (001 dans notre exemple), puis cochez la case verte pour confirmer.

14. De retour dans la fenêtre Démarrer l’importation, sélectionnez l’onglet Options. Cochez la case Ignorer la version non valide du composant, puis cochez la case verte pour confirmer.

    

15. Dans la boîte de dialogue de confirmation Commencer l’importation, sélectionnez Oui pour confirmer l’importation.

16. De retour dans la fenêtre File d’attente d’importation, sélectionnez Actualiser, puis attendez que l’opération d’importation se termine et que la file d’attente d’importation soit vide.

17. Pour passer en revue l’état de l’importation, sélectionnez Autres > Accéder à > Historique d’importation dans la fenêtre File d’attente d’importation.

    

18. Si vous avez déployé la demande de modification NPLK900202, vous devriez voir un Avertissement. Sélectionnez l’entrée pour vérifier que les avertissements affichés sont de type « La table <nom-table> a été activée ».

    Les demandes de modification et les versions dans les captures d’écran suivantes peuvent varier selon la version des demandes de modification installées.

    

    

Vérifier que la table PAHI (historique du système, base de données et paramètres SAP) est mise à jour à intervalles réguliers

La table SAP PAHI contient des données sur l’historique du système SAP, la base de données et les paramètres SAP. Dans certains cas, les applications Solution Microsoft Sentinel pour SAP® ne peuvent pas surveiller la table SAP PAHI à intervalles réguliers, en raison d’une configuration manquante ou défectueuse (pour plus d’informations sur ce problème, consultez la note SAP). Il est important de mettre à jour la table PAHI et de la surveiller fréquemment, afin que les applications Solution Microsoft Sentinel pour SAP® puissent alerter en cas d’actions suspectes qui peuvent se produire à tout moment de la journée.

Découvrir comment la façon dont la solution Microsoft Sentinel pour les applications SAP® surveille les modifications suspectes de configuration apportées aux paramètres de sécurité.

Notes

Pour obtenir des résultats optimaux, dans le fichier systemconfig.ini de votre ordinateur, sous la section [ABAP Table Selector], activez les paramètres PAHI_FULL et PAHI_INCREMENTAL.

Pour vérifier que la table PAHI est mise à jour à intervalles réguliers :

1. Vérifiez si le travail SAP_COLLECTOR_FOR_PERFMONITOR, basé sur le programme RSCOLL00, est planifié et exécuté toutes les heures par l’utilisateur DDIC dans le client 000.
2. Vérifiez si les noms de rapport RSHOSTPH, RSSTATPH et RSDB_PAR sont conservés dans la table TCOLL.
   • Rapport RSHOSTPH : lit les paramètres du noyau du système d’exploitation et stocke ces données dans la table PAHI.
   • Rapport RSSTATPH : lit les paramètres de profil SAP et stocke ces données dans la table PAHI.
   • Rapport RSDB_PAR : lit les paramètres de base de données et les stocke dans la table PAHI.

Si le travail existe et est correctement configuré, aucune autre étape n’est nécessaire.

Si le travail n’existe pas :

1. Connectez-vous à votre système SAP dans le client 000.

2. Exécutez la transaction SM36.

3. Sous Nom du travail, tapez SAP_COLLECTOR_FOR_PERFMONITOR.

   

4. Sélectionnez Étape et renseignez les informations suivantes :

   • Sous Utilisateur, tapez DDIC.
   • Sous Nom du programme ABAP, tapez RSCOLL00.

5. Enregistrez la configuration.

   

6. Sélectionnez F3 pour revenir à l’écran précédent.

7. Sélectionnez Condition de démarrage pour définir la condition de début.

8. Sélectionnez Immédiat, puis activez la case Travail périodique.

   

9. Sélectionnez Valeurs de période, puis Toutes les heures.

10. Sélectionnez Enregistrer dans la boîte de dialogue, puis Enregistrer dans le bas.

    

11. Pour libérer le travail, sélectionnez Enregistrer en haut.

    

Étapes suivantes

Votre environnement SAP est maintenant entièrement prêt à déployer un agent de connecteur de données. Un rôle et un profil sont approvisionnés, un compte d’utilisateur est créé et attribué au profil de rôle approprié, et les demandes de modification sont déployées selon les besoins de votre environnement.

Vous êtes maintenant prêt à activer et configurer l’audit SAP pour Microsoft Sentinel.

Activer et configurer l’audit SAP pour Microsoft Sentinel