Een SAP-gegevensconnectoragent implementeren vanaf de opdrachtregel

Dit artikel bevat opdrachtregelopties voor het implementeren van een SAP-gegevensconnectoragent. Voor typische implementaties wordt u aangeraden de portal te gebruiken in plaats van de opdrachtregel, omdat agents voor gegevensconnectors die via de opdrachtregel zijn geïnstalleerd, alleen kunnen worden beheerd via de opdrachtregel.

Als u echter een configuratiebestand gebruikt om uw referenties op te slaan in plaats van Azure Key Vault, of als u een geavanceerde gebruiker bent die de gegevensconnector handmatig wil implementeren, zoals in een Kubernetes-cluster, gebruikt u in plaats daarvan de procedures in dit artikel.

Hoewel u meerdere agents voor gegevensconnectors op één computer kunt uitvoeren, raden we u aan om slechts één agent te gebruiken, de prestaties te bewaken en vervolgens het aantal connectors langzaam te verhogen. Het is ook raadzaam dat uw beveiligingsteam deze procedure uitvoert met hulp van het SAP BASIS-team .

Vereisten

• Voordat u uw gegevensconnector implementeert, moet u een virtuele machine maken en de toegang tot uw referenties configureren.

• Als u SNC gebruikt voor beveiligde verbindingen, controleert u of uw SAP-systeem juist is geconfigureerd en bereidt u het kickstartscript voor beveiligde communicatie met SNC voordat u de agent voor de gegevensconnector implementeert.

  Zie de SAP-documentatie voor meer informatie.

De gegevensconnectoragent implementeren met behulp van een beheerde identiteit of geregistreerde toepassing

In deze procedure wordt beschreven hoe u een nieuwe agent maakt en deze verbindt met uw SAP-systeem via de opdrachtregel, verificatie met een beheerde identiteit of een geregistreerde Microsoft Entra-id-toepassing.

• Als u SNC gebruikt, moet u ervoor zorgen dat u het kickstartscript voorbereiden voor veilige communicatie met SNC eerst hebt voltooid.

• Als u een configuratiebestand gebruikt om uw referenties op te slaan, raadpleegt u In plaats daarvan de gegevensconnector implementeren met behulp van een configuratiebestand .

Uw gegevensconnectoragent implementeren:

1. Download en voer het kickstartscript voor de implementatie uit:

   • Gebruik een van de volgende opdrachtopties voor een beheerde identiteit:

     • Voor de openbare commerciële Cloud van Azure:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • Voor Microsoft Azure beheerd door 21Vianet, voegt u deze toe --cloud mooncake aan het einde van de gekopieerde opdracht.

     • Voeg voor Azure Government - VS toe --cloud fairfax aan het einde van de gekopieerde opdracht.

   • Gebruik voor een geregistreerde toepassing de volgende opdracht om het kickstartscript voor de implementatie te downloaden uit de GitHub-opslagplaats van Microsoft Sentinel en het uitvoerbare bestand te markeren:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Voer het script uit, waarbij u de toepassings-id, het geheim (het 'wachtwoord'), de tenant-id en de naam van de sleutelkluis opgeeft die u in de vorige stappen hebt gekopieerd. Voorbeeld:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Als u beveiligde SNC-configuratie wilt configureren, geeft u de volgende basisparameters op:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Als het clientcertificaat de indeling .crt of .key heeft, gebruikt u de volgende schakelopties:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Als het clientcertificaat de indeling .pfx of .p12 heeft, gebruikt u de volgende schakelopties:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Als het clientcertificaat is uitgegeven door een ca voor ondernemingen, voegt u de volgende switch toe voor elke CA in de vertrouwensketen:

     • --cacert <path to ca certificate>

     Voorbeeld:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   Het script werkt de onderdelen van het besturingssysteem bij, installeert de Azure CLI en Docker-software en andere vereiste hulpprogramma's (jq, netcat, curl) en vraagt u om configuratieparameterwaarden. Geef extra parameters op voor het script om het aantal prompts te minimaliseren of om de containerimplementatie aan te passen. Zie de kickstartscriptreferentie voor meer informatie over beschikbare opdrachtregelopties.

2. Volg de instructies op het scherm om de details van uw SAP- en sleutelkluis in te voeren en de implementatie te voltooien. Wanneer de implementatie is voltooid, wordt er een bevestigingsbericht weergegeven:

   The process has been successfully completed, thank you!
   

   Noteer de naam van de Docker-container in de scriptuitvoer. Voer de volgende opdracht uit om de lijst met Docker-containers op uw VIRTUELE machine weer te geven:

   docker ps -a
   

   In de volgende stap gebruikt u de naam van de docker-container.

3. Voor het implementeren van de SAP-gegevensconnectoragent moet u de VM-identiteit van uw agent verlenen met specifieke machtigingen voor de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel, met behulp van de rollen Agent voor Microsoft Sentinel Business Applications Agent en Lezer .

   Als u de opdracht in deze stap wilt uitvoeren, moet u de eigenaar van de resourcegroep zijn in de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel. Als u geen eigenaar van een resourcegroep in uw werkruimte bent, kan deze procedure ook later worden uitgevoerd.

   Wijs de rollen Agent voor Microsoft Sentinel Business Applications Agent en Lezer toe aan de identiteit van de VIRTUELE machine:

   1. Haal de agent-id op door de volgende opdracht uit te voeren, waarbij u de <container_name> tijdelijke aanduiding vervangt door de naam van de docker-container die u hebt gemaakt met het kickstartscript:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Een geretourneerde agent-id kan bijvoorbeeld zijn 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Wijs de rollen Agent voor Microsoft Sentinel Business Applications Agent en Lezer toe door de volgende opdrachten uit te voeren:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Vervang de waarden van tijdelijke aanduidingen als volgt:

   Tijdelijke aanduiding	Weergegeven als
   <OBJ_ID>	De id van uw VM-identiteitsobject. Ga als volgende te werk om de id van uw VM-id in Azure te vinden: - Voor een beheerde identiteit wordt de object-id weergegeven op de pagina Identiteit van de virtuele machine. - Ga voor een service-principal naar Enterprise-toepassing in Azure. Selecteer Alle toepassingen en selecteer vervolgens uw virtuele machine. De object-id wordt weergegeven op de pagina Overzicht .
   <SUB_ID>	De abonnements-id voor uw Log Analytics-werkruimte ingeschakeld voor Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	De naam van de resourcegroep voor uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel
   <WS_NAME>	De naam van uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel
   <AGENT_IDENTIFIER>	De agent-id die wordt weergegeven na het uitvoeren van de opdracht in de vorige stap.

4. Als u de Docker-container zo wilt configureren dat deze automatisch wordt gestart, voert u de volgende opdracht uit, waarbij u de <container-name> tijdelijke aanduiding vervangt door de naam van uw container:

   docker update --restart unless-stopped <container-name>
   

Met de implementatieprocedure wordt een systemconfig.json-bestand gegenereerd dat de configuratiegegevens voor de SAP-gegevensconnectoragent bevat. Het bestand bevindt zich in de /sapcon-app/sapcon/config/system map op uw VIRTUELE machine.

De gegevensconnector implementeren met behulp van een configuratiebestand

Azure Key Vault is de aanbevolen methode voor het opslaan van uw verificatiereferenties en configuratiegegevens. Als u azure Key Vault niet kunt gebruiken, wordt in deze procedure beschreven hoe u de agentcontainer voor de gegevensconnector kunt implementeren met behulp van een configuratiebestand.

• Als u SNC gebruikt, moet u ervoor zorgen dat u het kickstartscript voorbereiden voor veilige communicatie met SNC eerst hebt voltooid.

• Als u een beheerde identiteit of geregistreerde toepassing gebruikt, raadpleegt u In plaats daarvan de agent voor de gegevensconnector implementeren met behulp van een beheerde identiteit of geregistreerde toepassing .

Uw gegevensconnectoragent implementeren:

1. Maak een virtuele machine waarop de agent moet worden geïmplementeerd.

2. Breng de SAP NetWeaver SDK over naar de computer waarop u de agent wilt installeren.

3. Voer de volgende opdrachten uit om het Kickstart-script voor de implementatie te downloaden vanuit de GitHub-opslagplaats van Microsoft Sentinel en het uitvoerbare bestand te markeren:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Voer het script uit:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   Het script werkt de onderdelen van het besturingssysteem bij, installeert de Azure CLI en Docker-software en andere vereiste hulpprogramma's (jq, netcat, curl) en vraagt u om configuratieparameterwaarden. Geef indien nodig extra parameters op voor het script om het aantal prompts te minimaliseren of om de containerimplementatie aan te passen. Zie de kickstartscriptreferentie voor meer informatie.

5. Volg de instructies op het scherm om de aangevraagde details in te voeren en de implementatie te voltooien. Wanneer de implementatie is voltooid, wordt er een bevestigingsbericht weergegeven:

   The process has been successfully completed, thank you!
   

   Noteer de naam van de Docker-container in de scriptuitvoer. Voer de volgende opdracht uit om de lijst met Docker-containers op uw VIRTUELE machine weer te geven:

   docker ps -a
   

   In de volgende stap gebruikt u de naam van de docker-container.

6. Voor het implementeren van de SAP-gegevensconnectoragent moet u de VM-identiteit van uw agent verlenen met specifieke machtigingen voor de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel, met behulp van de rollen Agent voor Microsoft Sentinel Business Applications Agent en Lezer .

   Als u de opdrachten in deze stap wilt uitvoeren, moet u de eigenaar van de resourcegroep in uw werkruimte zijn. Als u geen eigenaar van een resourcegroep in uw werkruimte bent, kan deze stap ook later worden uitgevoerd.

   Wijs de rollen Agent voor Microsoft Sentinel Business Applications Agent en Lezer toe aan de identiteit van de VIRTUELE machine:

   1. Haal de agent-id op door de volgende opdracht uit te voeren, waarbij u de <container_name> tijdelijke aanduiding vervangt door de naam van de docker-container die u hebt gemaakt met het Kickstart-script:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Een geretourneerde agent-id kan bijvoorbeeld zijn 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Wijs de rollen Agent voor Microsoft Sentinel Business Applications Agent en Lezer toe door de volgende opdrachten uit te voeren:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Vervang de waarden van tijdelijke aanduidingen als volgt:

      Tijdelijke aanduiding	Weergegeven als
      <OBJ_ID>	De id van uw VM-identiteitsobject. Ga als volgt te werk om de id van uw VM-id in Azure te vinden: voor een beheerde identiteit wordt de object-id weergegeven op de pagina Identiteit van de virtuele machine. Ga voor een service-principal naar Enterprise-toepassing in Azure. Selecteer Alle toepassingen en selecteer vervolgens uw virtuele machine. De object-id wordt weergegeven op de pagina Overzicht .
      <SUB_ID>	De abonnements-id voor uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel
      <RESOURCE_GROUP_NAME>	De naam van de resourcegroep voor uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel
      <WS_NAME>	De naam van uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel
      <AGENT_IDENTIFIER>	De agent-id die wordt weergegeven na het uitvoeren van de opdracht in de vorige stap.

7. Voer de volgende opdracht uit om de Docker-container zo te configureren dat deze automatisch wordt gestart.

   docker update --restart unless-stopped <container-name>
   

Met de implementatieprocedure wordt een systemconfig.json-bestand gegenereerd dat de configuratiegegevens voor de SAP-gegevensconnectoragent bevat. Het bestand bevindt zich in de /sapcon-app/sapcon/config/system map op uw VIRTUELE machine.

Het kickstartscript voorbereiden voor beveiligde communicatie met SNC

In deze procedure wordt beschreven hoe u het implementatiescript voorbereidt voor het configureren van instellingen voor beveiligde communicatie met uw SAP-systeem met behulp van SNC. Als u SNC gebruikt, moet u deze procedure uitvoeren voordat u de agent voor de gegevensconnector implementeert.

De container configureren voor beveiligde communicatie met SNC:

1. Breng de libsapcrypto.so- en sapgenpse-bestanden over naar het systeem waar u de container maakt.

2. Draag het clientcertificaat over, inclusief persoonlijke en openbare sleutels naar het systeem waar u de container maakt.

   Het clientcertificaat en de sleutel kunnen de indeling .p12, .pfx of Base64 .crt en .key hebben.

3. Breng het servercertificaat (alleen openbare sleutel) over naar het systeem waar u de container maakt.

   Het servercertificaat moet de indeling Base64 .crt hebben.

4. Als het clientcertificaat is uitgegeven door een certificeringsinstantie voor ondernemingen, moet u de verlenende CA- en basis-CA-certificaten overdragen naar het systeem waar u de container maakt.

5. Haal het kickstartscript op uit de GitHub-opslagplaats van Microsoft Sentinel:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Wijzig de machtigingen van het script om het uitvoerbare bestand te maken:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Zie de referentie voor kickstart-implementatiescripts voor de Microsoft Sentinel voor de gegevensconnectoragent voor SAP-toepassingen voor meer informatie.

SAP PAHI-tabelbewaking optimaliseren (aanbevolen)

Voor optimale resultaten bij het bewaken van de SAP PAHI-tabel opent u het systemconfig.json-bestand voor bewerken en onder de [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) sectie schakelt u zowel de PAHI_FULL als de PAHI_INCREMENTAL parameters in.

Zie Systemconfig.json bestandsverwijzing en controleer of de PAHI-tabel regelmatig wordt bijgewerkt voor meer informatie.

Connectiviteit en status controleren

Nadat u de SAP-gegevensconnectoragent hebt geïmplementeerd, controleert u de status en connectiviteit van uw agent. Zie De status en rol van uw SAP-systemen bewaken voor meer informatie.

Volgende stap

Zodra de connector is geïmplementeerd, gaat u verder met het implementeren van de Microsoft Sentinel-oplossing voor sap-toepassingen:

SAP-detecties en bedreigingsbeveiliging inschakelen