Delen via


Uw SAP-systeem verbinden door de agentcontainer voor de gegevensconnector te implementeren

Om ervoor te zorgen dat de Microsoft Sentinel-oplossing voor SAP-toepassingen correct werkt, moet u eerst uw SAP-gegevens in Microsoft Sentinel ophalen. Hiervoor moet u de SAP-gegevensconnectoragent van de oplossing implementeren.

In dit artikel wordt beschreven hoe u de container implementeert die als host fungeert voor de SAP-gegevensconnectoragent en verbinding maakt met uw SAP-systeem. Dit is de derde stap bij het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen. Zorg ervoor dat u de stappen in dit artikel uitvoert in de volgorde waarin ze worden weergegeven.

Diagram van de implementatiestroom van de SAP-oplossing, waarin de containerstap Uw gegevensagent implementeren is gemarkeerd.

Inhoud in dit artikel is relevant voor uw beveiligings-, infrastructuur- en SAP BASIS-teams .

Vereisten

Voordat u de agent voor de gegevensconnector implementeert:

Bekijk een demovideo

Bekijk een van de volgende videodemonstraties van het implementatieproces dat in dit artikel wordt beschreven.

Een uitgebreide informatie over de portalopties:

Bevat meer informatie over het gebruik van Azure KeyVault. Geen audio, alleen demonstratie met bijschriften:

Een virtuele machine maken en toegang tot uw referenties configureren

U wordt aangeraden een toegewezen virtuele machine te maken voor de agentcontainer van uw gegevensconnector om optimale prestaties te garanderen en mogelijke conflicten te voorkomen. Zie Systeemvereisten voor meer informatie.

U wordt aangeraden uw SAP- en verificatiegeheimen op te slaan in een Azure-sleutelkluis. Hoe u toegang krijgt tot uw sleutelkluis, is afhankelijk van de locatie waar uw virtuele machine (VM) is geïmplementeerd:

Implementatiemethode Toegangsmethode
Container op een Virtuele Azure-machine U wordt aangeraden een door het Azure-systeem toegewezen beheerde identiteit te gebruiken voor toegang tot Azure Key Vault.

Als een door het systeem toegewezen beheerde identiteit niet kan worden gebruikt, kan de container ook worden geverifieerd bij Azure Key Vault met behulp van een service-principal voor geregistreerde toepassingen of, als laatste redmiddel, een configuratiebestand.
Een container op een on-premises VM of een VM in een cloudomgeving van derden Verifieer bij Azure Key Vault met behulp van een service-principal voor geregistreerde toepassingen van Microsoft Entra ID.

Als u geen geregistreerde toepassing of een service-principal kunt gebruiken, gebruikt u een configuratiebestand om uw referenties te beheren, hoewel deze methode niet de voorkeur heeft. Zie De gegevensconnector implementeren met behulp van een configuratiebestand voor meer informatie.

Zie voor meer informatie:

Uw virtuele machine wordt doorgaans gemaakt door uw infrastructuurteam . Het configureren van toegang tot referenties en het beheren van sleutelkluizen wordt doorgaans uitgevoerd door uw beveiligingsteam .

Een beheerde identiteit maken met een Virtuele Azure-machine

  1. Voer de volgende opdracht uit om een virtuele machine te maken in Azure, waarbij u de werkelijke namen uit uw omgeving vervangt door de <placeholders>volgende:

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
    
    

    Zie quickstart: Een virtuele Linux-machine maken met de Azure CLI voor meer informatie.

    Belangrijk

    Nadat de VIRTUELE machine is gemaakt, moet u alle beveiligingsvereisten en beveiligingsprocedures toepassen die van toepassing zijn in uw organisatie.

    Met deze opdracht maakt u de VM-resource, die uitvoer produceert die er als volgt uitziet:

    {
      "fqdns": "",
      "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
      "identity": {
        "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
        "userAssignedIdentities": {}
      },
      "location": "westeurope",
      "macAddress": "00-11-22-33-44-55",
      "powerState": "VM running",
      "privateIpAddress": "192.168.136.5",
      "publicIpAddress": "",
      "resourceGroup": "resourcegroupname",
      "zones": ""
    }
    
  2. Kopieer de GUID systemAssignedIdentity , omdat deze wordt gebruikt in de volgende stappen. Dit is uw beheerde identiteit.

Maak een sleutelkluis.

In deze procedure wordt beschreven hoe u een sleutelkluis maakt om uw agentconfiguratiegegevens op te slaan, inclusief uw SAP-verificatiegeheimen. Als u een bestaande sleutelkluis gebruikt, gaat u rechtstreeks naar stap 2.

Uw sleutelkluis maken:

  1. Voer de volgende opdrachten uit, waarbij u de werkelijke namen vervangt door de <placeholder> waarden.

    az keyvault create \
      --name <KeyVaultName> \
      --resource-group <KeyVaultResourceGroupName>
    
  2. Kopieer de naam van uw sleutelkluis en de naam van de resourcegroep. U hebt deze nodig wanneer u de toegangsmachtigingen voor de sleutelkluis toewijst en het implementatiescript uitvoert in de volgende stappen.

Toegangsmachtigingen voor key vault toewijzen

  1. Wijs in uw sleutelkluis de volgende machtigingen voor toegangsbeheer op basis van rollen of kluistoegangsbeleid van Azure toe aan de identiteit die u eerder hebt gemaakt en gekopieerd.

    Machtigingsmodel Vereiste machtigingen
    Op rollen gebaseerd toegangsbeheer van Azure Key Vault-geheimengebruiker
    Toegangsbeleid voor kluis get, list

    Gebruik de opties in de portal om de machtigingen toe te wijzen of voer een van de volgende opdrachten uit om sleutelkluisgeheimmachtigingen toe te wijzen aan uw identiteit, waarbij werkelijke namen voor de <placeholder> waarden worden vervangen. Selecteer het tabblad voor het type identiteit dat u hebt gemaakt.

    Met het beleid dat in de opdrachten is opgegeven, kan de virtuele machine geheimen uit de sleutelkluis weergeven en lezen.

    • Machtigingsmodel voor op rollen gebaseerd toegangsbeheer van Azure:

      az role assignment create --assignee-object-id <ManagedIdentityId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName> /providers/Microsoft.KeyVault/vaults/<KeyVaultName>
      
    • Machtigingsmodel voor toegangsbeleid voor kluis:

      az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <ManagedIdentityId> --secret-permissions get list
      
  2. Wijs in dezelfde sleutelkluis de volgende machtigingen voor op rollen gebaseerd toegangsbeheer van Azure of toegangsbeleid voor de kluis toe aan de gebruiker die de agent voor de gegevensconnector configureert:

    Machtigingsmodel Vereiste machtigingen
    Op rollen gebaseerd toegangsbeheer van Azure Key Vault Secrets Officer
    Toegangsbeleid voor kluis get, , , listsetdelete

    Gebruik de opties in de portal om de machtigingen toe te wijzen of voer een van de volgende opdrachten uit om key vault-geheimenmachtigingen toe te wijzen aan de gebruiker, waarbij de werkelijke namen voor de <placeholder> waarden worden vervangen:

    • Machtigingsmodel voor op rollen gebaseerd toegangsbeheer van Azure:

      az role assignment create --role "Key Vault Secrets Officer" --assignee <UserPrincipalName> --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>
      
    • Machtigingsmodel voor toegangsbeleid voor kluis:

      az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --upn <UserPrincipalName>--secret-permissions get list set delete
      

De gegevensconnectoragent implementeren vanuit de portal (preview)

Nu u een virtuele machine en een sleutelkluis hebt gemaakt, is de volgende stap het maken van een nieuwe agent en het maken van verbinding met een van uw SAP-systemen. Hoewel u meerdere agents voor gegevensconnectors op één computer kunt uitvoeren, raden we u aan om slechts één agent te gebruiken, de prestaties te bewaken en vervolgens het aantal connectors langzaam te verhogen.

In deze procedure wordt beschreven hoe u een nieuwe agent maakt en deze verbindt met uw SAP-systeem met behulp van de Azure- of Defender-portals. Het is raadzaam dat uw beveiligingsteam deze procedure uitvoert met hulp van het SAP BASIS-team .

Het implementeren van de agent voor de gegevensconnector vanuit de portal wordt ondersteund vanuit zowel De Azure-portal als de Defender-portal als u uw werkruimte hebt toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen.

Hoewel de implementatie ook wordt ondersteund vanaf de opdrachtregel, wordt u aangeraden de portal te gebruiken voor typische implementaties. Gegevensconnectoragents die zijn geïmplementeerd met behulp van de opdrachtregel, kunnen alleen worden beheerd via de opdrachtregel en niet via de portal. Zie Een SAP-gegevensconnectoragent implementeren vanaf de opdrachtregel voor meer informatie.

Belangrijk

Het implementeren van de container en het maken van verbindingen met SAP-systemen vanuit de portal is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Vereisten:

  • Als u uw gegevensconnectoragent wilt implementeren via de portal, hebt u het volgende nodig:

    • Verificatie via een beheerde identiteit of een geregistreerde toepassing
    • Referenties die zijn opgeslagen in een Azure Key Vault

    Als u deze vereisten niet hebt, implementeert u in plaats daarvan de SAP-gegevensconnectoragent vanaf de opdrachtregel .

  • Als u de agent voor de gegevensconnector wilt implementeren, hebt u ook sudo- of hoofdbevoegdheden nodig op de machine van de gegevensconnectoragent.

  • Als u Netweaver/ABAP-logboeken wilt opnemen via een beveiligde verbinding met behulp van SNC (Secure Network Communications), hebt u het volgende nodig:

    • Het pad naar het binaire bestand en libsapcrypto.so de sapgenpse bibliotheek
    • De details van uw clientcertificaat

    Zie Uw systeem configureren voor het gebruik van SNC voor beveiligde verbindingen voor meer informatie.

De agent voor de gegevensconnector implementeren:

  1. Meld u als gebruiker met sudo-bevoegdheden aan bij de zojuist gemaakte VM waarop u de agent installeert.

  2. Download en/of draag de SAP NetWeaver SDK over naar de computer.

  3. Selecteer configuratiegegevensconnectors >in Microsoft Sentinel.

  4. Voer SAP in de zoekbalk in. Selecteer Microsoft Sentinel voor SAP in de zoekresultaten en open vervolgens de connectorpagina.

  5. Selecteer in het gebied Configuratie de optie Nieuwe agent toevoegen (preview).

    Schermopname van de instructies voor het toevoegen van een op SAP API gebaseerde collectoragent.

  6. Voer in het deelvenster Een collectoragent maken de volgende agentgegevens in:

    Name Beschrijving
    Agentnaam Voer een betekenisvolle agentnaam in voor uw organisatie. We raden geen specifieke naamconventie aan, behalve dat de naam alleen de volgende typen tekens kan bevatten:
    • a-z
    • A-Z
    • 0-9
    • _ (onderstrepingsteken)
    • . (punt)
    • - (streepje)
    Abonnementssleutelkluis / Selecteer het abonnement en de sleutelkluis in de desbetreffende vervolgkeuzelijsten.
    ZIP-bestandspad NWRFC SDK op de VM van de agent Voer het pad in uw VM in dat het SAP NetWeaver Remote Function Call (RFC) SOFTWARE Development Kit (SDK)-archief (.zip-bestand) bevat.

    Zorg ervoor dat dit pad het SDK-versienummer bevat in de volgende syntaxis: <path>/NWRFC<version number>.zip Voorbeeld: /src/test/nwrfc750P_12-70002726.zip.
    Ondersteuning voor SNC-verbindingen inschakelen Selecteer deze optie om NetWeaver/ABAP-logboeken op te nemen via een beveiligde verbinding met behulp van SNC.

    Als u deze optie selecteert, voert u het pad in dat het sapgenpse binaire bestand en libsapcrypto.so de bibliotheek bevat, onder het pad naar de cryptografische BIBLIOTHEEK van SAP op de agent-VM.

    Als u een SNC-verbinding wilt gebruiken, moet u in deze fase ondersteuning voor SNC-verbindingen inschakelen selecteren, omdat u niet terug kunt gaan en een SNC-verbinding kunt inschakelen nadat u de agent hebt geïmplementeerd. Als u deze instelling later wilt wijzigen, wordt u aangeraden in plaats daarvan een nieuwe agent te maken.
    Verificatie bij Azure Key Vault Als u wilt verifiëren bij uw sleutelkluis met behulp van een beheerde identiteit, laat u de standaardoptie Beheerde identiteit geselecteerd. Als u wilt verifiëren bij uw sleutelkluis met behulp van een geregistreerde toepassing, selecteert u Toepassingsidentiteit.

    U moet de beheerde identiteit of geregistreerde toepassing van tevoren hebben ingesteld. Zie Een virtuele machine maken en toegang tot uw referenties configureren voor meer informatie.

    Voorbeeld:

    Schermopname van het gebied Een collectoragent maken.

  7. Selecteer Maken en bekijk de aanbevelingen voordat u de implementatie voltooit:

    Schermopname van de laatste fase van de agentimplementatie.

  8. Voor het implementeren van de SAP-gegevensconnectoragent moet u de VM-identiteit van uw agent met specifieke machtigingen verlenen aan de Microsoft Sentinel-werkruimte, met behulp van de rollen Agent voor Microsoft Sentinel Business Applications Agent en Lezer .

    Als u de opdrachten in deze stap wilt uitvoeren, moet u de eigenaar van de resourcegroep zijn in uw Microsoft Sentinel-werkruimte. Als u geen eigenaar van een resourcegroep in uw werkruimte bent, kan deze procedure ook worden uitgevoerd nadat de agentimplementatie is voltooid.

    Kopieer onder Nog een paar stappen voordat we klaar zijn de opdrachten voor roltoewijzing uit stap 1 en voer deze uit op uw agent-VM, waarbij u de tijdelijke aanduiding vervangt door de [Object_ID] id van uw VM-id. Voorbeeld:

    Schermopname van het pictogram Kopiëren voor de opdracht uit stap 1.

    Ga als volgende te werk om de id van uw VM-id in Azure te vinden:

    • Voor een beheerde identiteit wordt de object-id weergegeven op de pagina Identiteit van de virtuele machine.

    • Ga voor een service-principal naar Enterprise-toepassing in Azure. Selecteer Alle toepassingen en selecteer vervolgens uw virtuele machine. De object-id wordt weergegeven op de pagina Overzicht .

    Met deze opdrachten wordt de Azure-rol Agent voor Microsoft Sentinel Business Applications En Reader toegewezen aan de beheerde identiteit of toepassingsidentiteit van uw VIRTUELE machine, inclusief alleen het bereik van de opgegeven agentgegevens in de werkruimte.

    Belangrijk

    Als u de rollen Agent voor Microsoft Sentinel Business Applications Agent en Lezer toewijst via de CLI, worden de rollen alleen toegewezen aan het bereik van de opgegeven agentgegevens in de werkruimte. Dit is de veiligste en daarom aanbevolen optie.

    Als u de rollen moet toewijzen via Azure Portal, raden we u aan om de rollen toe te wijzen op een klein bereik, zoals alleen in de Microsoft Sentinel-werkruimte.

  9. Selecteer Kopiëren Schermopname van het pictogram Kopiëren naast de opdracht Agent-implementatie. naast de opdracht Agent-implementatie in stap 2. Voorbeeld:

    Schermopname van de opdracht Agent die u in stap 2 wilt kopiëren.

  10. Kopieer de opdrachtregel naar een afzonderlijke locatie en selecteer Sluiten.

    De relevante agentgegevens worden geïmplementeerd in Azure Key Vault en de nieuwe agent is zichtbaar in de tabel onder Een op API gebaseerde collectoragent toevoegen.

    In deze fase is de status van de agent onvolledige installatie. Volg de instructies". Zodra de agent is geïnstalleerd, verandert de status in Agent in orde. Deze update kan maximaal 10 minuten duren. Voorbeeld:

    Schermopname van de statusstatussen van op API gebaseerde collectoragenten op de pagina sap-gegevensconnector.

    Notitie

    In de tabel worden de naam en status van de agent weergegeven voor alleen de agents die u implementeert via Azure Portal. Agents die zijn geïmplementeerd met behulp van de opdrachtregel, worden hier niet weergegeven. Zie in plaats daarvan het tabblad Opdrachtregel voor meer informatie.

  11. Open op de VM waarop u de agent wilt installeren een terminal en voer de opdracht Agent-implementatie uit die u in de vorige stap hebt gekopieerd. Voor deze stap zijn sudo- of hoofdbevoegdheden vereist op de machine van de gegevensconnectoragent.

    Het script werkt de onderdelen van het besturingssysteem bij en installeert de Azure CLI, Docker-software en andere vereiste hulpprogramma's, zoals jq, netcat en curl.

    Geef indien nodig extra parameters op voor het script om de containerimplementatie aan te passen. Zie de kickstartscriptreferentie voor meer informatie over beschikbare opdrachtregelopties.

    Als u de opdracht opnieuw wilt kopiëren, selecteert u WeergaveSchermopname van het pictogram Beeld naast de kolom Status. rechts van de kolom Status en kopieert u de opdracht naast de opdracht Agentimplementatie rechtsonder.

  12. Selecteer op de microsoft Sentinel-oplossing voor de gegevensconnectorpagina van de SAP-toepassing in het gebied Configuratie het selectievakje Nieuw systeem toevoegen (preview) en voer de volgende gegevens in:

    • Selecteer onder Een agent selecteren de agent die u eerder hebt gemaakt.

    • Selecteer onder Systeem-id het servertype:

      • ABAP-server
      • Berichtserver voor het gebruik van een berichtserver als onderdeel van een ABAP SAP Central Services (ASCS).
    • Ga door door met het definiëren van gerelateerde details voor uw servertype:

      • Voer voor een ABAP-server het IP-adres/FQDN van de ABAP-toepassingsserver, de systeem-id en het nummer en de client-id in.
      • Voer voor een berichtserver het IP-adres/FQDN van de berichtserver, het poortnummer of de servicenaam en de aanmeldingsgroep in

    Wanneer u klaar bent, selecteert u Volgende: Verificatie.

    Voorbeeld:

    Schermopname van het tabblad Systeeminstellingen toevoegen.

  13. Voer op het tabblad Verificatie de volgende details in:

    Wanneer u klaar bent, selecteert u Volgende: Logboeken.

  14. Selecteer op het tabblad Logboeken de logboeken die u wilt opnemen in SAP en selecteer vervolgens Volgende: Controleren en maken. Voorbeeld:

    Schermopname van het tabblad Logboeken in het deelvenster Nieuwe systeemzijde toevoegen.

  15. (Optioneel) Voor optimale resultaten bij het bewaken van de SAP PAHI-tabel selecteert u Configuratiegeschiedenis. Zie Controleren of de PAHI-tabel regelmatig wordt bijgewerkt voor meer informatie.

  16. Controleer de instellingen die u hebt gedefinieerd. Selecteer Vorige om instellingen te wijzigen of selecteer Implementeren om het systeem te implementeren.

De door u gedefinieerde systeemconfiguratie wordt geïmplementeerd in de Azure-sleutelkluis die u tijdens de implementatie hebt gedefinieerd. U kunt nu de systeemdetails in de tabel bekijken onder Een SAP-systeem configureren en deze toewijzen aan een collectoragent. In deze tabel worden de naam van de bijbehorende agent, SAP-systeem-id (SID) en de status weergegeven voor systemen die u hebt toegevoegd via de portal of anderszins.

In deze fase is de status van het systeem in behandeling. Als de agent is bijgewerkt, wordt de configuratie opgehaald uit Azure Key Vault en wordt de status gewijzigd in Systeem in orde. Deze update kan maximaal 10 minuten duren.

Connectiviteit en status controleren

Nadat u de SAP-gegevensconnectoragent hebt geïmplementeerd, controleert u de status en connectiviteit van uw agent. Zie De status en rol van uw SAP-systemen bewaken voor meer informatie.

Volgende stap

Zodra de connector is geïmplementeerd, gaat u verder met het configureren van de Microsoft Sentinel-oplossing voor sap-toepassingen. Het configureren van details in de volglijsten is een essentiële stap bij het inschakelen van detecties en bedreigingsbeveiliging.