Nasazení agenta datového konektoru SAP z příkazového řádku

Tento článek obsahuje možnosti příkazového řádku pro nasazení agenta datového konektoru SAP. Pro typická nasazení doporučujeme místo příkazového řádku používat portál , protože agenti datového konektoru instalované přes příkazový řádek je možné spravovat pouze přes příkazový řádek.

Pokud ale k ukládání přihlašovacích údajů používáte konfigurační soubor místo služby Azure Key Vault, nebo pokud jste pokročilý uživatel, který chce datový konektor nasadit ručně, například v clusteru Kubernetes, použijte místo toho postupy v tomto článku.

I když můžete na jednom počítači spustit více agentů datového konektoru, doporučujeme začít jenom s jedním, monitorovat výkon a pak pomalu zvýšit počet konektorů. Doporučujeme také, aby váš bezpečnostní tým provedl tento postup s pomocí týmu SAP BASIS .

Poznámka:

Tento článek je relevantní jenom pro agenta datového konektoru a není relevantní pro řešení bez agentů SAP (limited Preview).

Požadavky

• Před nasazením datového konektoru nezapomeňte vytvořit virtuální počítač a nakonfigurovat přístup k vašim přihlašovacím údajům.

• Pokud pro zabezpečená připojení používáte SNC, ujistěte se, že je systém SAP správně nakonfigurovaný, a před nasazením agenta datového konektoru připravte skript kickstartu pro zabezpečenou komunikaci s SNC .

  Další informace najdete v dokumentaci k SAP.

Nasazení agenta datového konektoru pomocí spravované identity nebo registrované aplikace

Tento postup popisuje, jak vytvořit nového agenta a připojit ho k systému SAP prostřednictvím příkazového řádku, ověřování pomocí spravované identity nebo registrované aplikace Microsoft Entra ID.

• Pokud používáte SNC, ujistěte se, že jste nejprve dokončili přípravu skriptu kickstartu pro zabezpečenou komunikaci s SNC .

• Pokud k uložení přihlašovacích údajů používáte konfigurační soubor, přečtěte si téma Nasazení datového konektoru pomocí konfiguračního souboru .

Nasazení agenta datového konektoru:

1. Stáhněte a spusťte skript pro spuštění nasazení:

   • Pro spravovanou identitu použijte jednu z následujících možností příkazu:

     • Veřejný komerční cloud Azure:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • Pro Microsoft Azure provozovaný společností 21Vianet přidejte --cloud mooncake na konec zkopírovaného příkazu.

     • V případě Azure Government – USA přidejte --cloud fairfax na konec zkopírovaného příkazu.

   • Pro zaregistrovanou aplikaci pomocí následujícího příkazu stáhněte skript pro spuštění nasazení z úložiště GitHub služby Microsoft Sentinel a označte ho jako spustitelný:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Spusťte skript, zadejte ID aplikace, tajný klíč (heslo), ID tenanta a název trezoru klíčů, který jste zkopírovali v předchozích krocích. Příklad:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Pokud chcete nakonfigurovat zabezpečenou konfiguraci SNC, zadejte následující základní parametry:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Pokud je klientský certifikát ve formátu .crt nebo .key , použijte následující přepínače:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Pokud je klientský certifikát ve formátu .pfx nebo .p12 , použijte následující přepínače:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Pokud certifikát klienta vydala podniková certifikační autorita, přidejte následující přepínač pro každou certifikační autoritu v řetězu důvěryhodnosti:

     • --cacert <path to ca certificate>

     Příklad:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   Skript aktualizuje komponenty operačního systému, nainstaluje Azure CLI a software Dockeru a další požadované nástroje (jq, netcat, curl) a vyzve vás k zadání hodnot parametrů konfigurace. Zadejte do skriptu další parametry, abyste minimalizovali počet výzev nebo přizpůsobili nasazení kontejneru. Další informace o dostupných možnostech příkazového řádku najdete v referenčních informacích ke skriptu Kickstart.

2. Podle pokynů na obrazovce zadejte podrobnosti o SAP a trezoru klíčů a dokončete nasazení. Po dokončení nasazení se zobrazí potvrzovací zpráva:

   The process has been successfully completed, thank you!
   

   Poznamenejte si název kontejneru Dockeru ve výstupu skriptu. Pokud chcete zobrazit seznam kontejnerů Dockeru na virtuálním počítači, spusťte:

   docker ps -a
   

   V dalším kroku použijete název kontejneru Dockeru.

3. Nasazení agenta datového konektoru SAP vyžaduje, abyste identitě virtuálního počítače vašeho agenta udělili specifická oprávnění k pracovnímu prostoru služby Log Analytics povolenému pro Microsoft Sentinel pomocí rolí operátora a čtenáře obchodních aplikací Microsoft Sentinelu.

   Pokud chcete příkaz spustit v tomto kroku, musíte být vlastníkem skupiny prostředků v pracovním prostoru služby Log Analytics, který je povolený pro Microsoft Sentinel. Pokud nejste vlastníkem skupiny prostředků ve vašem pracovním prostoru, můžete tento postup provést i později.

   Přiřaďte roli operátora a čtenáře obchodních aplikací Microsoft Sentinelu k identitě virtuálního počítače:

   1. Získejte ID agenta spuštěním následujícího příkazu a nahraďte <container_name> zástupný symbol názvem kontejneru Dockeru, který jste vytvořili pomocí skriptu kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Vrácené ID agenta může být 234fba02-3b34-4c55-8c0e-e6423ceb405bnapříklad .

   2. Spuštěním následujících příkazů přiřaďte roli operátora a čtenáře obchodních aplikací služby Microsoft Sentinel:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Zástupné hodnoty nahraďte následujícím způsobem:

   Zástupný symbol	Hodnota
   <OBJ_ID>	ID objektu identity virtuálního počítače. Vyhledání ID objektu identity virtuálního počítače v Azure: - U spravované identity je ID objektu uvedené na stránce Identita virtuálního počítače. - V případě instančního objektu přejděte do podnikové aplikace v Azure. Vyberte Všechny aplikace a pak vyberte virtuální počítač. ID objektu se zobrazí na stránce Přehled .
   <SUB_ID>	ID předplatného pro pracovní prostor služby Log Analytics povolené pro Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Název skupiny prostředků pro váš pracovní prostor služby Log Analytics povolený pro Microsoft Sentinel
   <WS_NAME>	Název pracovního prostoru služby Log Analytics povolený pro Microsoft Sentinel
   <AGENT_IDENTIFIER>	ID agenta se zobrazí po spuštění příkazu v předchozím kroku.

4. Pokud chcete nakonfigurovat, aby se kontejner Dockeru spustil automaticky, spusťte následující příkaz a nahraďte <container-name> zástupný symbol názvem kontejneru:

   docker update --restart unless-stopped <container-name>
   

Postup nasazení vygeneruje soubor systemconfig.json , který obsahuje podrobnosti konfigurace pro agenta datového konektoru SAP. Soubor se nachází v adresáři /sapcon-app/sapcon/config/system na vašem virtuálním počítači.

Nasazení datového konektoru pomocí konfiguračního souboru

Azure Key Vault je doporučená metoda pro ukládání přihlašovacích údajů a konfiguračních dat ověřování. Pokud nemáte přístup ke službě Azure Key Vault, tento postup popisuje, jak místo toho nasadit kontejner agenta datového konektoru pomocí konfiguračního souboru.

• Pokud používáte SNC, ujistěte se, že jste nejprve dokončili přípravu skriptu kickstartu pro zabezpečenou komunikaci s SNC .

• Pokud používáte spravovanou identitu nebo zaregistrovanou aplikaci, přečtěte si téma Nasazení agenta datového konektoru pomocí spravované identity nebo registrované aplikace .

Nasazení agenta datového konektoru:

1. Vytvořte virtuální počítač, na kterém se má agent nasadit.

2. Přeneste sadu SAP NetWeaver SDK na počítač, na který chcete agenta nainstalovat.

3. Spuštěním následujících příkazů stáhněte skript Kickstart nasazení z úložiště GitHub služby Microsoft Sentinel a označte ho jako spustitelný:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Spusťte skript:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   Skript aktualizuje komponenty operačního systému, nainstaluje Azure CLI a software Dockeru a další požadované nástroje (jq, netcat, curl) a vyzve vás k zadání hodnot parametrů konfigurace. Podle potřeby zadejte do skriptu další parametry, abyste minimalizovali počet výzev nebo přizpůsobili nasazení kontejneru. Další informace najdete v referenčních informacích ke skriptu Kickstart.

5. Podle pokynů na obrazovce zadejte požadované podrobnosti a dokončete nasazení. Po dokončení nasazení se zobrazí potvrzovací zpráva:

   The process has been successfully completed, thank you!
   

   Poznamenejte si název kontejneru Dockeru ve výstupu skriptu. Pokud chcete zobrazit seznam kontejnerů Dockeru na virtuálním počítači, spusťte:

   docker ps -a
   

   V dalším kroku použijete název kontejneru Dockeru.

6. Nasazení agenta datového konektoru SAP vyžaduje, abyste identitě virtuálního počítače vašeho agenta udělili specifická oprávnění k pracovnímu prostoru služby Log Analytics povolenému pro Microsoft Sentinel pomocí rolí operátora a čtenáře obchodních aplikací Microsoft Sentinelu.

   Pokud chcete příkazy spustit v tomto kroku, musíte být vlastníkem skupiny prostředků ve vašem pracovním prostoru. Pokud nejste vlastníkem skupiny prostředků ve vašem pracovním prostoru, můžete tento krok provést i později.

   Přiřaďte roli operátora a čtenáře obchodních aplikací Microsoft Sentinelu k identitě virtuálního počítače:

   1. Získejte ID agenta spuštěním následujícího příkazu a nahraďte <container_name> zástupný symbol názvem kontejneru Dockeru, který jste vytvořili pomocí skriptu Kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Vrácené ID agenta může být 234fba02-3b34-4c55-8c0e-e6423ceb405bnapříklad .

   2. Spuštěním následujících příkazů přiřaďte roli operátora a čtenáře obchodních aplikací služby Microsoft Sentinel:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Zástupné hodnoty nahraďte následujícím způsobem:

      Zástupný symbol	Hodnota
      <OBJ_ID>	ID objektu identity virtuálního počítače. Pokud chcete zjistit ID objektu identity virtuálního počítače v Azure: Pro spravovanou identitu se ID objektu zobrazí na stránce Identita virtuálního počítače. V případě instančního objektu přejděte do podnikové aplikace v Azure. Vyberte Všechny aplikace a pak vyberte virtuální počítač. ID objektu se zobrazí na stránce Přehled .
      <SUB_ID>	ID předplatného pro váš pracovní prostor služby Log Analytics povolené pro Microsoft Sentinel
      <RESOURCE_GROUP_NAME>	Název skupiny prostředků pro váš pracovní prostor služby Log Analytics povolený pro Microsoft Sentinel
      <WS_NAME>	Název pracovního prostoru služby Log Analytics povolený pro Microsoft Sentinel
      <AGENT_IDENTIFIER>	ID agenta se zobrazí po spuštění příkazu v předchozím kroku.

7. Spuštěním následujícího příkazu nakonfigurujte kontejner Dockeru tak, aby se spustil automaticky.

   docker update --restart unless-stopped <container-name>
   

Postup nasazení vygeneruje soubor systemconfig.json , který obsahuje podrobnosti konfigurace pro agenta datového konektoru SAP. Soubor se nachází v adresáři /sapcon-app/sapcon/config/system na vašem virtuálním počítači.

Příprava skriptu kickstartu pro zabezpečenou komunikaci s SNC

Tento postup popisuje, jak připravit skript nasazení ke konfiguraci nastavení pro zabezpečenou komunikaci se systémem SAP pomocí SNC. Pokud používáte SNC, musíte tento postup provést před nasazením agenta datového konektoru.

Konfigurace kontejneru pro zabezpečenou komunikaci s SNC:

1. Přeneste soubory libsapcrypto.so a sapgenpse do systému, ve kterém kontejner vytváříte.

2. Přeneste klientský certifikát, včetně privátních i veřejných klíčů, do systému, ve kterém kontejner vytváříte.

   Klientský certifikát a klíč mohou být ve formátu .p12, .pfx nebo Base64 .crt a .key .

3. Přeneste certifikát serveru (jenom veřejný klíč) do systému, ve kterém kontejner vytváříte.

   Certifikát serveru musí být ve formátu Base64 .crt .

4. Pokud certifikát klienta vydal certifikační autorita organizace, přeneste vydávající certifikační autoritu a kořenové certifikační autority do systému, ve kterém kontejner vytváříte.

5. Získejte úvodní skript z úložiště GitHub služby Microsoft Sentinel:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Změňte oprávnění skriptu tak, aby byl spustitelný:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Další informace najdete v referenčních informacích ke skriptu nasazení Kickstart pro agenta datového konektoru aplikací Microsoft Sentinelu pro aplikace SAP.

Optimalizace monitorování tabulek SAP PAHI (doporučeno)

Pokud chcete dosáhnout optimálních výsledků při monitorování tabulky SAP PAHI, otevřete soubor systemconfig.json pro úpravy a v [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) části povolte parametry i PAHI_FULL PAHI_INCREMENTAL parametry.

Další informace najdete v Systemconfig.json odkazu na soubor a ověřte, zda je tabulka PAHI aktualizována v pravidelných intervalech.

Kontrola připojení a stavu

Po nasazení agenta datového konektoru SAP zkontrolujte stav a připojení agenta. Další informace najdete v tématu Monitorování stavu a role systémů SAP.

Další krok

Po nasazení konektoru pokračujte nasazením řešení Microsoft Sentinel pro obsah aplikací SAP:

Povolení detekce SAP a ochrany před hrozbami