Implantar um agente de conector de dados SAP a partir da linha de comando

Esse artigo fornece opções de linha de comando para implantar um agente de conector de dados SAP. Para implantações típicas, recomendamos que você use o portal em vez da linha de comando, pois os agentes do conector de dados instalados via linha de comando podem ser gerenciados somente via linha de comando.

No entanto, se você estiver usando um arquivo de configuração para armazenar suas credenciais em vez do Azure Key Vault, ou se for um usuário avançado que deseja implantar o conector de dados manualmente, como em um cluster Kubernetes, use os procedimentos nesse artigo.

Embora você possa executar vários agentes de conectores de dados em uma única máquina, recomendamos que você comece com apenas um, monitore o desempenho e aumente o número de conectores lentamente. Também recomendamos que sua equipe de segurança execute esse procedimento com a ajuda da equipe do SAP BASIS.

Observação

Este artigo é relevante apenas para o agente do conector de dados e não é relevante para a solução sem agente do SAP (versão prévia limitada).

Pré-requisitos

• Antes de implantar seu conector de dados, certifique-se de criar uma máquina virtual e configurar o acesso às suas credenciais.

• Se você estiver usando o SNC para conexões seguras, certifique-se de que seu sistema SAP esteja configurado corretamente e, em seguida prepare o script de kickstart para comunicação segura com o SNC antes de implantar o agente do conector de dados.

  Para obter mais informações, confira a Documentação da SAP.

Implante o agente do conector de dados usando uma identidade gerenciada ou aplicativo registrado

Esse procedimento descreve como criar um novo agente e conectá-lo ao seu sistema SAP por meio da linha de comando, autenticando com uma identidade gerenciada ou um aplicativo registrado no Microsoft Entra ID.

• Se você estiver usando o SNC, certifique-se de ter concluído Preparar o script de kickstart para comunicação segura com o SNC primeiro.

• Se você estiver usando um arquivo de configuração para armazenar suas credenciais, veja Implantar o conector de dados usando um arquivo de configuração.

Para implantar seu agente de conector de dados:

1. Baixe e execute o script de inicialização da implantação:

   • Para uma identidade gerenciada, use uma das seguintes opções de comando:

     • Para a nuvem comercial pública do Azure:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • Para o Microsoft Azure operado pela 21Vianet, adicione --cloud mooncake ao final do comando copiado.

     • Para o Azure Governamental – EUA, adicione --cloud fairfax ao final do comando copiado.

   • Para um aplicativo registrado, use o seguinte comando para baixar o script de inicialização de implantação do repositório GitHub do Microsoft Sentinel e marcá-lo como executável:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Execute o script, especificando a ID do aplicativo, o segredo (a "senha"), a ID do locatário e o nome do cofre de chaves copiados nas etapas anteriores. Por exemplo:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Para configurar a configuração SNC segura, especifique os seguintes parâmetros base:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Se o certificado do cliente estiver nos formatos .crt ou .key, use as seguintes opções:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Se o certificado do cliente estiver no formato .pfx ou .p12, use as seguintes opções:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Se o certificado do cliente foi emitido por uma CA corporativa, adicione a seguinte opção para cada CA na cadeia de confiança:

     • --cacert <path to ca certificate>

     Por exemplo:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   O script atualiza os componentes do sistema operacional, instala a CLI do Azure e o software do Docker e outros utilitários necessários (jq, netcat, curl) e solicita valores de parâmetro de configuração. Forneça parâmetros extras ao script para minimizar o número de prompts ou para personalizar a implantação do contêiner. Para obter mais informações sobre as opções de linha de comando disponíveis, consulte a referência do script de Início rápido.

2. Siga as instruções na tela para inserir seus detalhes do SAP e do cofre de chaves e concluir a implantação. Quando a implantação for concluída, uma mensagem de confirmação será exibida:

   The process has been successfully completed, thank you!
   

   Anote o nome do contêiner Docker na saída do script. Para ver a lista de contêineres do Docker em sua VM, execute:

   docker ps -a
   

   Você usará o nome do contêiner do Docker na próxima etapa.

3. A implantação do agente do conector de dados SAP exige que você conceda à identidade da VM do seu agente permissões específicas para o espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel, usando as funções Operador do Microsoft Sentinel Business Applications Agent e Leitor.

   Para executar o comando nesta etapa, você deve ser um proprietário de grupo de recursos no espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel. Se você não for um proprietário do grupo de recursos em seu workspace, esse procedimento também poderá ser executado posteriormente.

   Atribua as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor à identidade da VM:

   1. Obtenha o ID do agente executando o seguinte comando, substituindo o espaço reservado<container_name> pelo nome do contêiner do Docker que você criou com o script do Kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Por exemplo, uma ID de agente retornada pode ser 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Atribua as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor executando o seguinte comando:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Substitua os valores de espaço reservado da seguinte forma:

   Espaço reservado	Valor
   <OBJ_ID>	A ID do objeto da identidade da sua VM. Para encontrar a ID do objeto de identidade da sua VM no Azure: - Para uma identidade gerenciada, o ID do objeto é listado na página Identidade da VM. - Para uma entidade de serviço, acesse Aplicativo empresarial no Azure. Selecione Todos os aplicativos e depois selecione sua VM. O ID do objeto é exibido na página Visão geral.
   <SUB_ID>	O ID de assinatura do seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	O nome do grupo de recursos para seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel
   <WS_NAME>	O nome do seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel
   <AGENT_IDENTIFIER>	A ID do agente exibida após a execução do comando na etapa anterior.

4. Para configurar o contêiner do Docker para iniciar automaticamente, execute o seguinte comando, substituindo o espaço reservado <container-name> pelo nome do contêiner:

   docker update --restart unless-stopped <container-name>
   

O procedimento de implantação gera um arquivo systemconfig.json que contém os detalhes da configuração para o agente do conector de dados SAP. O arquivo está localizado no diretório /sapcon-app/sapcon/config/system em sua VM.

Implante o conector de dados usando um arquivo de configuração

O Azure Key Vault é o método recomendado para armazenar suas credenciais de autenticação e dados de configuração. Se você não puder usar o Azure Key Vault, esse procedimento descreve como implantar o contêiner do agente do conector de dados usando um arquivo de configuração.

• Se você estiver usando o SNC, certifique-se de ter concluído Preparar o script de kickstart para comunicação segura com o SNC primeiro.

• Se você estiver usando uma identidade gerenciada ou um aplicativo registrado, veja Implantar o agente do conector de dados usando uma identidade gerenciada ou um aplicativo registrado.

Para implantar seu agente de conector de dados:

1. Crie uma máquina virtual na qual implantar o agente.

2. Transfira o SDK do SAP NetWeaver para o computador no qual você deseja instalar o agente.

3. Execute os seguintes comandos para baixar o script de início rápido de implantação do repositório GitHub do Microsoft Sentinel e marcá-lo como executável:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Executar o script:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   O script atualiza os componentes do sistema operacional, instala a CLI do Azure e o software do Docker e outros utilitários necessários (jq, netcat, curl) e solicita valores de parâmetro de configuração. Forneça parâmetros extras ao script conforme necessário para minimizar o número de prompts ou para personalizar a implantação do contêiner. Para obter mais informações, veja a referência do script Kickstart.

5. Siga as instruções na tela para inserir os detalhes necessários e concluir a implantação. Quando a implantação for concluída, uma mensagem de confirmação será exibida:

   The process has been successfully completed, thank you!
   

   Anote o nome do contêiner Docker na saída do script. Para ver a lista de contêineres do Docker em sua VM, execute:

   docker ps -a
   

   Você usará o nome do contêiner do Docker na próxima etapa.

6. A implantação do agente do conector de dados SAP exige que você conceda à identidade da VM do seu agente permissões específicas para o espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel, usando as funções Operador do Microsoft Sentinel Business Applications Agent e Leitor.

   Para executar os comandos nessa etapa, você deve ser proprietário de um grupo de recursos no seu espaço de trabalho. Se você não for um proprietário do grupo de recursos em seu workspace, essa etapa também poderá ser executada posteriormente.

   Atribua as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor à identidade da VM:

   1. Obtenha o ID do agente executando o seguinte comando, substituindo o espaço reservado <container_name> pelo nome do contêiner do Docker que você criou com o script do Kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Por exemplo, uma ID de agente retornada pode ser 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Atribua as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor executando o seguinte comando:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Substitua os valores de espaço reservado da seguinte forma:

      Espaço reservado	Valor
      <OBJ_ID>	A ID do objeto da identidade da sua VM. Para encontrar a ID do objeto de identidade da VM no Azure: para uma identidade gerenciada, a ID do objeto é listada na página Identidade da VM. Para uma entidade de serviço, acesse Aplicativo empresarial no Azure. Selecione Todos os aplicativos e depois selecione sua VM. O ID do objeto é exibido na página Visão geral.
      <SUB_ID>	O ID de assinatura do seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel
      <RESOURCE_GROUP_NAME>	O nome do grupo de recursos para o seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel
      <WS_NAME>	O nome do seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel
      <AGENT_IDENTIFIER>	A ID do agente exibida após a execução do comando na etapa anterior.

7. Execute o comando a seguir para configurar o contêiner do Docker para iniciar automaticamente.

   docker update --restart unless-stopped <container-name>
   

O procedimento de implantação gera um arquivo systemconfig.json que contém os detalhes da configuração para o agente do conector de dados SAP. O arquivo está localizado no diretório /sapcon-app/sapcon/config/system em sua VM.

Prepare o script de kickstart para comunicação segura com o SNC

Esse procedimento descreve como preparar o script de implantação para configurar as comunicações seguras com seu sistema SAP usando o SNC. Se estiver usando o SNC, você deverá executar esse procedimento antes de implantar o agente do conector de dados.

Para configurar o contêiner para comunicação segura com SNC:

1. Transfira os arquivos libsapcrypto.so e sapgenpse para o sistema onde você está criando o contêiner.

2. Transfira o certificado do cliente, incluindo as chaves privada e pública, para o sistema onde você está criando o contêiner.

   O certificado e a chave do cliente podem estar nos formatos .p12, .pfx, ou .crt e .key Base64.

3. Transfira o certificado do servidor (somente chave pública) para o sistema onde você está criando o contêiner.

   O certificado do servidor deve estar no formato .crt Base64.

4. Se o certificado do cliente foi emitido por uma autoridade de certificação corporativa, transfira os certificados da CA emissora e da CA raiz para o sistema onde você está criando o contêiner.

5. Obtenha o script de início rápido do repositório do Microsoft Sentinel no GitHub:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Altere as permissões do script para torná-lo executável:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Para obter mais informações, veja referência do script de implantação do Kickstart para o agente do conector de dados do Microsoft Sentinel para aplicativos SAP.

Otimizar o monitoramento da tabela SAP PAHI (recomendado)

Para obter os melhores resultados no monitoramento da tabela SAP PAHI, abra o arquivo systemconfig.json para edição e, na seção [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector), habilite os parâmetros PAHI_FULL e PAHI_INCREMENTAL.

Para obter mais informações, confira Referência do arquivo Systemconfig.json e Verificar se a tabela PAHI é atualizada em intervalos regulares.

Verifique a conectividade e a integridade

Após implantar o agente do conector de dados SAP, verifique a integridade e a conectividade do seu agente. Para obter mais informações, confira Monitorar a integridade e a função dos seus sistemas SAP.

Próxima etapa

Após a implantação do conector, prossiga para a implantação da Solução do Microsoft Sentinel para SAP para o conteúdo dos aplicativos:

Habilitar detecções SAP e proteção contra ameaças