Implantar um agente do conector de dados SAP a partir da linha de comando

Este artigo fornece opções de linha de comando para implantar um agente do conector de dados SAP. Para implantações típicas, recomendamos que você use o portal em vez da linha de comando, pois os agentes do conector de dados instalados por meio da linha de comando podem ser gerenciados somente por meio da linha de comando.

No entanto, se você estiver usando um arquivo de configuração para armazenar suas credenciais em vez do Cofre da Chave do Azure, ou se for um usuário avançado que deseja implantar o conector de dados manualmente, como em um cluster Kubernetes, use os procedimentos neste artigo.

Embora você possa executar vários agentes de conector de dados em uma única máquina, recomendamos que você comece com apenas um, monitore o desempenho e, em seguida, aumente o número de conectores lentamente. Também recomendamos que sua equipe de segurança execute este procedimento com a ajuda da equipe do SAP BASIS .

Nota

Este artigo é relevante apenas para o agente do conector de dados e não é relevante para a solução sem agente SAP (visualização limitada).

Pré-requisitos

• Antes de implantar seu conector de dados, certifique-se de criar uma máquina virtual e configurar o acesso às suas credenciais.

• Se você estiver usando o SNC para conexões seguras, certifique-se de que seu sistema SAP esteja configurado corretamente e, em seguida , prepare o script de kickstart para comunicação segura com o SNC antes de implantar o agente do conector de dados.

  Para obter mais informações, consulte a documentação do SAP.

Implantar o agente do conector de dados usando uma identidade gerenciada ou um aplicativo registrado

Este procedimento descreve como criar um novo agente e conectá-lo ao seu sistema SAP através da linha de comando, autenticando com uma identidade gerenciada ou um aplicativo registrado no Microsoft Entra ID.

• Se você estiver usando o SNC, certifique-se de ter concluído Preparar o script de kickstart para comunicação segura com o SNC primeiro.

• Se você estiver usando um arquivo de configuração para armazenar suas credenciais, consulte Implantar o conector de dados usando um arquivo de configuração.

Para implantar seu agente de conector de dados:

1. Baixe e execute o script de kickstart de implantação:

   • Para uma identidade gerenciada, use uma das seguintes opções de comando:

     • Para a nuvem comercial pública do Azure:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • Para o Microsoft Azure operado pela 21Vianet, adicione --cloud mooncake ao final do comando copiado.

     • Para Azure Government - US, adicione --cloud fairfax ao final do comando copiado.

   • Para um aplicativo registrado, use o seguinte comando para baixar o script de kickstart de implantação do repositório GitHub do Microsoft Sentinel e marcá-lo executável:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Execute o script, especificando o ID do aplicativo, o segredo (a "senha"), o ID do locatário e o nome do cofre da chave que você copiou nas etapas anteriores. Por exemplo:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Para configurar a configuração segura do SNC, especifique os seguintes parâmetros básicos:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Se o certificado do cliente estiver no formato .crt ou .key , use as seguintes opções:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Se o certificado do cliente estiver no formato .pfx ou .p12 , use as seguintes opções:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Se o certificado do cliente tiver sido emitido por uma autoridade de certificação corporativa, adicione a seguinte opção para cada autoridade de certificação na cadeia de confiança:

     • --cacert <path to ca certificate>

     Por exemplo:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   O script atualiza os componentes do sistema operacional, instala a CLI do Azure e o software Docker e outros utilitários necessários (jq, netcat, curl) e solicita valores de parâmetros de configuração. Forneça parâmetros extras ao script para minimizar o número de prompts ou personalizar a implantação do contêiner. Para obter mais informações sobre as opções de linha de comando disponíveis, consulte Referência de script Kickstart.

2. Siga as instruções na tela para inserir os detalhes do SAP e do cofre de chaves e concluir a implantação. Quando a implantação estiver concluída, uma mensagem de confirmação será exibida:

   The process has been successfully completed, thank you!
   

   Anote o nome do contêiner do Docker na saída do script. Para ver a lista de contêineres do docker em sua VM, execute:

   docker ps -a
   

   Você usará o nome do contêiner do docker na próxima etapa.

3. A implantação do agente do conector de dados SAP requer que você conceda a identidade da VM do agente com permissões específicas para o espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel, usando as funções Operador e Leitor do Microsoft Sentinel Business Applications Agent.

   Para executar o comando nesta etapa, você deve ser proprietário de um grupo de recursos no espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel. Se você não for proprietário de um grupo de recursos em seu espaço de trabalho, esse procedimento também poderá ser executado posteriormente.

   Atribua as funções Operador e Leitor do Microsoft Sentinel Business Applications Agent à identidade da VM:

   1. Obtenha o ID do agente executando o seguinte comando, substituindo o espaço reservado <container_name> pelo nome do contêiner do docker que você criou com o script kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Por exemplo, um ID de agente retornado pode ser 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Atribua as funções Operador e Leitor do Microsoft Sentinel Business Applications Agent executando os seguintes comandos:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Substitua os valores de espaço reservado da seguinte maneira:

   Marcador de Posição	Value
   <OBJ_ID>	Sua ID de objeto de identidade da VM. Para localizar sua ID de objeto de identidade de VM no Azure: - Para uma identidade gerenciada, a ID do objeto é listada na página Identidade da VM. - Para uma entidade de serviço, vá para Aplicativo empresarial no Azure. Selecione Todos os aplicativos e, em seguida, selecione sua VM. O ID do objeto é exibido na página Visão geral .
   <SUB_ID>	A ID de assinatura do espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	O nome do grupo de recursos para seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel
   <WS_NAME>	O nome do seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel
   <AGENT_IDENTIFIER>	O ID do agente exibido após a execução do comando na etapa anterior.

4. Para configurar o contêiner do Docker para iniciar automaticamente, execute o seguinte comando, substituindo o espaço reservado <container-name> pelo nome do contêiner:

   docker update --restart unless-stopped <container-name>
   

O procedimento de implantação gera um arquivo de systemconfig.json que contém os detalhes de configuração para o agente do conector de dados SAP. O arquivo está localizado no /sapcon-app/sapcon/config/system diretório em sua VM.

Implantar o conector de dados usando um arquivo de configuração

O Azure Key Vault é o método recomendado para armazenar suas credenciais de autenticação e dados de configuração. Se você estiver impedido de usar o Cofre de Chaves do Azure, este procedimento descreve como você pode implantar o contêiner do agente do conector de dados usando um arquivo de configuração.

• Se você estiver usando o SNC, certifique-se de ter concluído Preparar o script de kickstart para comunicação segura com o SNC primeiro.

• Se você estiver usando uma identidade gerenciada ou um aplicativo registrado, consulte Implantar o agente do conector de dados usando uma identidade gerenciada ou um aplicativo registrado.

Para implantar seu agente de conector de dados:

1. Crie uma máquina virtual na qual implantar o agente.

2. Transfira o SAP NetWeaver SDK para a máquina na qual você deseja instalar o agente.

3. Execute os seguintes comandos para baixar o script Kickstart de implantação do repositório GitHub do Microsoft Sentinel e marcá-lo executável:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Execute o script:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   O script atualiza os componentes do sistema operacional, instala a CLI do Azure e o software Docker e outros utilitários necessários (jq, netcat, curl) e solicita valores de parâmetros de configuração. Forneça parâmetros extras ao script conforme necessário para minimizar o número de prompts ou para personalizar a implantação do contêiner. Para obter mais informações, consulte a referência de script do Kickstart.

5. Siga as instruções na tela para inserir os detalhes solicitados e concluir a implantação. Quando a implantação estiver concluída, uma mensagem de confirmação será exibida:

   The process has been successfully completed, thank you!
   

   Anote o nome do contêiner do Docker na saída do script. Para ver a lista de contêineres do docker em sua VM, execute:

   docker ps -a
   

   Você usará o nome do contêiner do docker na próxima etapa.

6. A implantação do agente do conector de dados SAP requer que você conceda a identidade da VM do agente com permissões específicas para o espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel, usando as funções Operador e Leitor do Microsoft Sentinel Business Applications Agent.

   Para executar os comandos nesta etapa, você deve ser proprietário de um grupo de recursos em seu espaço de trabalho. Se você não for proprietário de um grupo de recursos em seu espaço de trabalho, essa etapa também poderá ser executada posteriormente.

   Atribua as funções Operador e Leitor do Microsoft Sentinel Business Applications Agent à identidade da VM:

   1. Obtenha o ID do agente executando o seguinte comando, substituindo o espaço reservado <container_name> pelo nome do contêiner do docker que você criou com o script Kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Por exemplo, um ID de agente retornado pode ser 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Atribua as funções Operador e Leitor do Microsoft Sentinel Business Applications Agent executando os seguintes comandos:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Substitua os valores de espaço reservado da seguinte maneira:

      Marcador de Posição	Value
      <OBJ_ID>	Sua ID de objeto de identidade da VM. Para localizar sua ID de objeto de identidade de VM no Azure: Para uma identidade gerenciada, a ID de objeto é listada na página Identidade da VM. Para uma entidade de serviço, vá para Aplicativo empresarial no Azure. Selecione Todos os aplicativos e, em seguida, selecione sua VM. O ID do objeto é exibido na página Visão geral .
      <SUB_ID>	A ID de assinatura para seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel
      <RESOURCE_GROUP_NAME>	O nome do grupo de recursos para seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel
      <WS_NAME>	O nome do seu espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel
      <AGENT_IDENTIFIER>	O ID do agente exibido após a execução do comando na etapa anterior.

7. Execute o seguinte comando para configurar o contêiner do Docker para iniciar automaticamente.

   docker update --restart unless-stopped <container-name>
   

O procedimento de implantação gera um arquivo de systemconfig.json que contém os detalhes de configuração para o agente do conector de dados SAP. O arquivo está localizado no /sapcon-app/sapcon/config/system diretório em sua VM.

Prepare o script de kickstart para comunicação segura com o SNC

Este procedimento descreve como preparar o script de implementação para definir configurações para comunicações seguras com seu sistema SAP usando SNC. Se você estiver usando o SNC, deverá executar este procedimento antes de implantar o agente do conector de dados.

Para configurar o contêiner para comunicação segura com SNC:

1. Transfira os arquivos libsapcrypto.so e sapgenpse para o sistema onde você está criando o contêiner.

2. Transfira o certificado do cliente, incluindo chaves privadas e públicas para o sistema onde você está criando o contêiner.

   O certificado e a chave do cliente podem estar no formato .p12, .pfx ou Base64 .crt e .key .

3. Transfira o certificado do servidor (somente chave pública) para o sistema onde você está criando o contêiner.

   O certificado do servidor deve estar no formato .crt Base64.

4. Se o certificado do cliente tiver sido emitido por uma autoridade de certificação corporativa, transfira os certificados de CA emissores e de autoridade de certificação raiz para o sistema em que você está criando o contêiner.

5. Obtenha o script de kickstart do repositório GitHub do Microsoft Sentinel:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Altere as permissões do script para torná-lo executável:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Para obter mais informações, consulte Referência de script de implantação do Kickstart para o agente do conector de dados de aplicativos do Microsoft Sentinel for SAP.

Otimizar o monitoramento da tabela SAP PAHI (recomendado)

Para obter os melhores resultados no monitoramento da tabela SAP PAHI, abra o arquivo systemconfig.json para edição e, na [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) seção , habilite os PAHI_FULL parâmetros e PAHI_INCREMENTAL os parâmetros.

Para obter mais informações, consulte Systemconfig.json referência de arquivo e Verificar se a tabela PAHI é atualizada em intervalos regulares.

Verificar conectividade e integridade

Depois de implantar o agente do conector de dados SAP, verifique a integridade e a conectividade do agente. Para obter mais informações, consulte Monitorar a integridade e a função de seus sistemas SAP.

Próximo passo

Depois que o conector for implantado, prossiga para implantar o conteúdo da solução Microsoft Sentinel para aplicativos SAP:

Habilite deteções SAP e proteção contra ameaças