다음을 통해 공유

명령줄에서 SAP 데이터 커넥터 에이전트 배포

  • 아티클

이 문서에서는 SAP 데이터 커넥터 에이전트를 배포하기 위한 명령줄 옵션을 제공합니다. 일반적인 배포의 경우 명령줄을 통해 설치된 데이터 커넥터 에이전트를 명령줄을 통해서만 관리할 수 있으므로 명령줄 대신 포털을 사용하는 것이 좋습니다.

그러나 구성 파일을 사용하여 Azure Key Vault 대신 자격 증명을 저장하거나 Kubernetes 클러스터와 같이 데이터 커넥터를 수동으로 배포하려는 고급 사용자인 경우 이 문서의 절차를 대신 사용합니다.

단일 컴퓨터에서 여러 데이터 커넥터 에이전트를 실행할 수 있지만 하나만 시작하고 성능을 모니터링한 다음 커넥터 수를 느리게 늘리는 것이 좋습니다. 또한 보안 팀은 SAP BASIS 팀의 도움을 받아 이 절차를 수행하는 것이 좋습니다.

필수 조건

관리 ID 또는 등록된 애플리케이션을 사용하여 데이터 커넥터 에이전트 배포

이 절차에서는 새 에이전트를 만들고 명령줄을 통해 SAP 시스템에 연결하여 관리 ID 또는 Microsoft Entra ID 등록 애플리케이션으로 인증하는 방법을 설명합니다.

데이터 커넥터 에이전트를 배포하려면 다음을 수행합니다.

  1. 배포 시작 스크립트를 다운로드하고 실행합니다.

    • 관리 ID의 경우 다음 명령 옵션 중 하나를 사용합니다.

      • Azure 퍼블릭 상용 클라우드의 경우:

        wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh

      • 21Vianet에서 운영하는 Microsoft Azure의 경우 --cloud mooncake를 복사된 명령의 끝에 추가합니다.

      • Azure Government - US의 경우 --cloud fairfax를 복사된 명령의 끝에 추가합니다.

    • 등록된 애플리케이션의 경우 다음 명령을 사용하여 Microsoft Sentinel GitHub 리포지토리에서 배포 kickstart 스크립트를 다운로드하고 실행 파일로 표시합니다.

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh

      이전 단계에서 복사한 애플리케이션 ID, 비밀('password'), 테넌트 ID 및 키 자격 증명 모음 이름을 지정하여 스크립트를 실행합니다. 예시:

      ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>

    • 보안 SNC 구성을 구성하려면 다음 기본 매개 변수를 지정합니다.

      • --use-snc
      • --cryptolib <path to sapcryptolib.so>
      • --sapgenpse <path to sapgenpse>
      • --server-cert <path to server certificate public key>

      클라이언트 인증서가 .crt 또는 .key 형식인 경우 다음 스위치를 사용합니다.

      • --client-cert <path to client certificate public key>
      • --client-key <path to client certificate private key>

      클라이언트 인증서가 .pfx 또는 .p12 형식인 경우 다음 스위치를 사용합니다.

      • --client-pfx <pfx filename>
      • --client-pfx-passwd <password>

      엔터프라이즈 CA에서 클라이언트 인증서를 발급한 경우 트러스트 체인의 각 CA에 대해 다음 스위치를 추가합니다.

      • --cacert <path to ca certificate>

      예시:

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt

    스크립트는 OS 구성 요소를 업데이트하고, Azure CLI 및 Docker 소프트웨어와 기타 필수 유틸리티(jq, netcat, curl)를 설치하고, 구성 매개 변수 값을 묻는 메시지를 표시합니다. 프롬프트 수를 최소화하거나 컨테이너 배포를 사용자 지정하기 위해 스크립트에 추가 매개 변수를 제공합니다. 사용 가능한 명령줄 옵션에 대한 자세한 내용은 Kickstart 스크립트 참조를 참조하세요.

  2. 화면의 지침에 따라 SAP 및 키 자격 증명 모음 세부 정보를 입력하고 배포를 완료합니다. 배포가 완료되면 확인 메시지가 표시됩니다.

    The process has been successfully completed, thank you!

    스크립트 출력에서 Docker 컨테이너 이름을 기록해 둡다. VM에서 Docker 컨테이너 목록을 보려면 다음을 실행합니다.

    docker ps -a

    다음 단계에서 Docker 컨테이너의 이름을 사용하게 됩니다.

  3. SAP 데이터 커넥터 에이전트를 배포하려면 Microsoft Sentinel Business Applications 에이전트 운영자 및 판독기 역할을 사용하여 Microsoft Sentinel에 대해 사용하도록 설정된 Log Analytics 작업 영역에 대한 특정 권한으로 에이전트의 VM ID를 부여해야 합니다.

    이 단계에서 명령을 실행하려면 Microsoft Sentinel에 대해 사용하도록 설정된 Log Analytics 작업 영역에서 리소스 그룹 소유자여야 합니다. 작업 영역에서 리소스 그룹 소유자가 아닌 경우 나중에 이 절차를 수행할 수도 있습니다.

    VM ID에 Microsoft Sentinel Business Applications 에이전트 운영자읽기 권한자 역할을 할당합니다.

    1. 다음 명령을 실행하여 에이전트 ID를 가져오고 자리 표시자를 kickstart 스크립트로 만든 docker 컨테이너의 이름으로 바꿉 <container_name> 니다.

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+

      예를 들어 반환된 에이전트 ID는 234fba02-3b34-4c55-8c0e-e6423ceb405b일 수 있습니다.

    2. 다음 명령을 실행하여 Microsoft Sentinel Business Applications 에이전트 운영자읽기 권한자 역할을 할당합니다.

    az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

    자리 표시자 값을 다음과 같이 바꿉니다.

    자리 표시자
    <OBJ_ID> VM 관리 ID 개체 ID.

    Azure에서 VM ID 개체 ID를 찾으려면 다음을 수행합니다.
    - 관리 ID의 경우 개체 ID가 VM의 ID 페이지에 나열됩니다.
    - 서비스 주체의 경우 Azure의 엔터프라이즈 애플리케이션 으로 이동합니다. 모든 애플리케이션을 선택한 다음, VM을 선택합니다. 개체 ID가 개요 페이지에 표시됩니다.
    <SUB_ID> Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역에 대한 구독 ID
    <RESOURCE_GROUP_NAME> Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역의 리소스 그룹 이름
    <WS_NAME> Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역의 이름
    <AGENT_IDENTIFIER> 이전 단계에서 명령을 실행한 후 표시되는 에이전트 ID.

  4. Docker 컨테이너가 자동으로 시작되도록 구성하려면 <container-name> 자리 표시자를 컨테이너 이름으로 바꾸어 다음 명령을 실행합니다.

    docker update --restart unless-stopped <container-name>

배포 절차는 SAP 데이터 커넥터 에이전트에 대한 구성 세부 정보가 포함된 systemconfig.json 파일을 생성합니다. 파일이 VM의 /sapcon-app/sapcon/config/system 디렉터리에 있습니다.

구성 파일을 사용하여 데이터 커넥터 배포

Azure Key Vault는 인증 자격 증명 및 구성 데이터를 저장하는 데 권장되는 방법입니다. Azure Key Vault를 사용할 수 없는 경우 이 절차에서는 대신 구성 파일을 사용하여 데이터 커넥터 에이전트 컨테이너를 배포하는 방법을 설명합니다.

데이터 커넥터 에이전트를 배포하려면 다음을 수행합니다.

  1. 에이전트를 배포할 가상 머신을 만듭니다.

  2. 에이전트를 설치하려는 컴퓨터로 SAP NetWeaver SDK를 전송합니다.

  3. 다음 명령을 실행하여 Microsoft Sentinel GitHub 리포지토리에서 배포 kickstart 스크립트를 다운로드하고 실행 파일로 표시합니다.

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh

  4. 스크립트를 실행합니다.

    ./sapcon-sentinel-kickstart.sh --keymode cfgf

    스크립트는 OS 구성 요소를 업데이트하고, Azure CLI 및 Docker 소프트웨어와 기타 필수 유틸리티(jq, netcat, curl)를 설치하고, 구성 매개 변수 값을 묻는 메시지를 표시합니다. 프롬프트 수를 최소화하거나 컨테이너 배포를 사용자 지정하기 위해 필요에 따라 스크립트에 추가 매개 변수를 제공합니다. 자세한 내용은 Kickstart 스크립트 참조를 참조하세요.

  5. 화면 지침에 따라 요청된 세부 정보를 입력하고 배포를 완료합니다. 배포가 완료되면 확인 메시지가 표시됩니다.

    The process has been successfully completed, thank you!

    스크립트 출력에서 Docker 컨테이너 이름을 기록해 둡다. VM에서 Docker 컨테이너 목록을 보려면 다음을 실행합니다.

    docker ps -a

    다음 단계에서 Docker 컨테이너의 이름을 사용하게 됩니다.

  6. SAP 데이터 커넥터 에이전트를 배포하려면 Microsoft Sentinel Business Applications 에이전트 운영자 및 판독기 역할을 사용하여 Microsoft Sentinel에 대해 사용하도록 설정된 Log Analytics 작업 영역에 대한 특정 권한으로 에이전트의 VM ID를 부여해야 합니다.

    이 단계에서 명령을 실행하려면 작업 영역에서 리소스 그룹 소유자여야 합니다. 작업 영역에서 리소스 그룹 소유자가 아닌 경우 나중에 이 단계를 수행할 수도 있습니다.

    VM ID에 Microsoft Sentinel Business Applications 에이전트 운영자읽기 권한자 역할을 할당합니다.

    1. 다음 명령을 실행하여 에이전트 ID를 가져오고 자리 표시자를 Kickstart 스크립트로 만든 docker 컨테이너의 이름으로 바꿉 <container_name> 니다.

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'

      예를 들어 반환된 에이전트 ID는 234fba02-3b34-4c55-8c0e-e6423ceb405b일 수 있습니다.

    2. 다음 명령을 실행하여 Microsoft Sentinel Business Applications 에이전트 운영자읽기 권한자 역할을 할당합니다.

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

      자리 표시자 값을 다음과 같이 바꿉니다.

      자리 표시자
      <OBJ_ID> VM 관리 ID 개체 ID.

      Azure에서 VM ID 개체 ID를 찾으려면: 관리 ID의 경우 개체 ID가 VM의 ID 페이지에 나열됩니다. 서비스 주체의 경우 Azure의 엔터프라이즈 애플리케이션 으로 이동합니다. 모든 애플리케이션을 선택한 다음, VM을 선택합니다. 개체 ID가 개요 페이지에 표시됩니다.
      <SUB_ID> Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역에 대한 구독 ID
      <RESOURCE_GROUP_NAME> Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역의 리소스 그룹 이름
      <WS_NAME> Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역의 이름
      <AGENT_IDENTIFIER> 이전 단계에서 명령을 실행한 후 표시되는 에이전트 ID.

  7. 다음 명령을 실행하여 Docker 컨테이너가 자동으로 시작되도록 구성합니다.

    docker update --restart unless-stopped <container-name>

배포 절차는 SAP 데이터 커넥터 에이전트에 대한 구성 세부 정보가 포함된 systemconfig.json 파일을 생성합니다. 파일이 VM의 /sapcon-app/sapcon/config/system 디렉터리에 있습니다.

SNC와의 보안 통신을 위해 kickstart 스크립트 준비

이 절차에서는 SNC를 사용하여 SAP 시스템과의 보안 통신을 위한 설정을 구성하는 배포 스크립트를 준비하는 방법을 설명합니다. SNC를 사용하는 경우 데이터 커넥터 에이전트를 배포하기 전에 이 절차를 수행해야 합니다.

SNC와의 보안 통신을 위해 컨테이너를 구성하려면 다음을 수행합니다.

  1. libsapcrypto.sosapgenpse 파일을 컨테이너를 만드는 시스템으로 전송합니다.

  2. 프라이빗 키와 퍼블릭 키를 포함한 클라이언트 인증서를 컨테이너를 만드는 시스템으로 전송합니다.

    클라이언트 인증서 및 키는 .p12, .pfx 또는 Base64 .crt.key 형식일 수 있습니다.

  3. 서버 인증서(공개 키만 해당)를 컨테이너를 만드는 시스템으로 전송합니다.

    서버 인증서는 Base64 .crt 형식이어야 합니다.

  4. 엔터프라이즈 인증 기관에서 클라이언트 인증서를 발급한 경우 발급 CA 및 루트 CA 인증서를 컨테이너를 만드는 시스템으로 전송합니다.

  5. Microsoft Sentinel GitHub 리포지토리에서 kickstart 스크립트를 가져옵니다.

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh

  6. 실행 가능하도록 스크립트의 권한을 변경합니다.

    chmod +x ./sapcon-sentinel-kickstart.sh

자세한 내용은 SAP 애플리케이션 데이터 커넥터 에이전트용 Microsoft Sentinel에 대한 Kickstart 배포 스크립트 참조를 참조하세요.

SAP PAHI 테이블을 모니터링하는 데 최적의 결과를 보려면 편집 [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) 을 위해 systemconfig.json 파일을 열고 섹션에서 매개 변수와 PAHI_INCREMENTAL 매개 변수를 모두 PAHI_FULL 사용하도록 설정합니다.

자세한 내용은 Systemconfig.json 파일 참조를 참조하고 PAHI 테이블이 정기적으로 업데이트되는지 확인합니다.

연결 및 상태 확인

SAP 데이터 커넥터 에이전트를 배포한 후 에이전트의 상태 및 연결을 확인합니다. 자세한 내용은 SAP 시스템의 상태 및 역할 모니터링을 참조하세요.

다음 단계

커넥터가 배포되면 SAP 애플리케이션 콘텐츠용 Microsoft Sentinel 솔루션 배포를 계속 진행합니다.

SAP 검색 및 위협 방지 사용