Развертывание агента соединителя данных SAP из командной строки

В этой статье приведены параметры командной строки для развертывания агента соединителя данных SAP. Для типичных развертываний рекомендуется использовать портал вместо командной строки, так как агенты соединителя данных, установленные с помощью командной строки, можно управлять только с помощью командной строки.

Однако если вы используете файл конфигурации для хранения учетных данных вместо Azure Key Vault или если вы являетесь расширенным пользователем, который хочет развернуть соединитель данных вручную, например в кластере Kubernetes, используйте процедуры, описанные в этой статье.

Хотя на одном компьютере можно запустить несколько агентов соединителя данных, рекомендуется начать только с одного, отслеживать производительность, а затем медленно увеличивать количество соединителей. Мы также рекомендуем вашей группе безопасности выполнить эту процедуру с помощью команды SAP BASIS .

Необходимые компоненты

• Перед развертыванием соединителя данных обязательно создайте виртуальную машину и настройте доступ к учетным данным.

• Если вы используете SNC для безопасных подключений, убедитесь, что система SAP настроена правильно, а затем подготовьте скрипт запуска для безопасного взаимодействия с SNC перед развертыванием агента соединителя данных.

  Дополнительные сведения см. в документации по SAP.

Развертывание агента соединителя данных с помощью управляемого удостоверения или зарегистрированного приложения

В этой процедуре описывается, как создать агент и подключить его к системе SAP с помощью командной строки, аутентификации с помощью управляемого удостоверения или зарегистрированного приложения Microsoft Entra ID.

• Если вы используете SNC, убедитесь, что вы завершили подготовку скрипта запуска для безопасного взаимодействия с SNC .

• Если вы используете файл конфигурации для хранения учетных данных, см . раздел "Развертывание соединителя данных" с помощью файла конфигурации.

Чтобы развернуть агент соединителя данных, выполните следующее:

1. Скачайте и запустите скрипт запуска развертывания:

   • Для управляемого удостоверения используйте один из следующих параметров команды:

     • Для общедоступного коммерческого облака Azure:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • Для Microsoft Azure, управляемой 21Vianet, добавьте --cloud mooncake в конец скопированной команды.

     • Для Azure для государственных организаций — США добавьте --cloud fairfax в конец скопированной команды.

   • Для зарегистрированного приложения используйте следующую команду, чтобы скачать скрипт запуска развертывания из репозитория GitHub Microsoft Sentinel и пометить его исполняемым файлом:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Запустите скрипт, указав идентификатор приложения, секрет (password), идентификатор клиента и имя хранилища ключей, скопированное на предыдущих этапах. Например:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Чтобы настроить безопасную конфигурацию SNC, укажите следующие базовые параметры:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Если сертификат клиента находится в формате CRT или .key , используйте следующие параметры:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Если сертификат клиента находится в формате PFX или P12 , используйте следующие параметры:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Если сертификат клиента был выдан корпоративным ЦС, добавьте следующий коммутатор для каждого ЦС в цепочке доверия:

     • --cacert <path to ca certificate>

     Например:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   Скрипт позволяет обновить компоненты ОС, установить Azure CLI и программное обеспечение Docker, а также другие необходимые служебные программы (jq, netcat, curl) и запросить значения параметров конфигурации. Укажите дополнительные параметры скрипту, чтобы свести к минимуму количество запросов или настроить развертывание контейнера. Дополнительные сведения о доступных параметрах командной строки см. в справочнике по скрипту Kickstart.

2. Следуйте инструкциям на экране, чтобы ввести сведения о SAP и хранилище ключей и завершить развертывание. После завершения развертывания появится сообщение с подтверждением.

   The process has been successfully completed, thank you!
   

   Запишите имя контейнера Docker в выходных данных скрипта. Чтобы просмотреть список контейнеров Docker на виртуальной машине, выполните следующую команду:

   docker ps -a
   

   Вы будете использовать имя контейнера Docker на следующем шаге.

3. При развертывании агента соединителя данных SAP требуется предоставить удостоверение виртуальной машины агента с определенными разрешениями для рабочей области Log Analytics, включенной для Microsoft Sentinel, с помощью ролей агента агента бизнес-приложений Microsoft Sentinel и читателя .

   Чтобы выполнить команду на этом шаге, необходимо быть владельцем группы ресурсов в рабочей области Log Analytics, включенной для Microsoft Sentinel. Если вы не являетесь владельцем группы ресурсов в рабочей области, эта процедура также может быть выполнена позже.

   Назначьте оператору агента бизнес-приложений Microsoft Sentinel и ролям читателя удостоверения виртуальной машины:

   1. Получите идентификатор агента, выполнив следующую команду, заменив <container_name> заполнитель именем контейнера Docker, созданного с помощью скрипта запуска.

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Например, возвращаемый идентификатор агента может быть 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Назначьте роли агента бизнес-приложений Microsoft Sentinel и читателя, выполнив следующие команды:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Замените значения заполнителей следующим образом:

   Заполнитель	Значение
   <OBJ_ID>	Идентификатор объекта удостоверения виртуальной машины. Чтобы найти идентификатор объекта удостоверений виртуальной машины в Azure: - Для управляемого удостоверения идентификатор объекта указан на странице удостоверений виртуальной машины. - Для субъекта-службы перейдите в приложение Enterprise в Azure. Выберите все приложения и выберите виртуальную машину. Идентификатор объекта отображается на странице обзора .
   <SUB_ID>	Идентификатор подписки для рабочей области Log Analytics, включенной для Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Имя группы ресурсов для рабочей области Log Analytics, включенной для Microsoft Sentinel
   <WS_NAME>	Имя рабочей области Log Analytics, включенной для Microsoft Sentinel
   <AGENT_IDENTIFIER>	Идентификатор агента, отображаемый после выполнения команды на предыдущем шаге.

4. Чтобы настроить автоматический запуск контейнера Docker, выполните следующую команду, заменив <container-name> заполнитель именем контейнера:

   docker update --restart unless-stopped <container-name>
   

Процедура развертывания создает файл systemconfig.json , содержащий сведения о конфигурации агента соединителя данных SAP. Файл находится в каталоге на виртуальной /sapcon-app/sapcon/config/system машине.

Развертывание соединителя данных с помощью файла конфигурации

Azure Key Vault — это рекомендуемый метод хранения учетных данных проверки подлинности и данных конфигурации. Если вы не используете Azure Key Vault, в этой процедуре описывается, как развернуть контейнер агента соединителя данных с помощью файла конфигурации.

• Если вы используете SNC, убедитесь, что вы завершили подготовку скрипта запуска для безопасного взаимодействия с SNC .

• Если вы используете управляемое удостоверение или зарегистрированное приложение, см . раздел "Развертывание агента соединителя данных" с помощью управляемого удостоверения или зарегистрированного приложения .

Чтобы развернуть агент соединителя данных, выполните следующее:

1. Создайте виртуальную машину, на которой будет развернут агент.

2. Перенесите пакет SDK SAP NetWeaver на компьютер, на котором необходимо установить агент.

3. Выполните следующие команды, чтобы скачать скрипт развертывания Kickstart из репозитория GitHub для Microsoft Sentinel и пометить его как исполняемый файл:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Запустите скрипт:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   Скрипт позволяет обновить компоненты ОС, установить Azure CLI и программное обеспечение Docker, а также другие необходимые служебные программы (jq, netcat, curl) и запросить значения параметров конфигурации. Укажите дополнительные параметры скрипту, чтобы свести к минимуму количество запросов или настроить развертывание контейнера. Дополнительные сведения см. в справочнике по скрипту Kickstart.

5. Следуйте инструкциям на экране, чтобы ввести запрашиваемые сведения и завершить развертывание. После завершения развертывания появится сообщение с подтверждением.

   The process has been successfully completed, thank you!
   

   Запишите имя контейнера Docker в выходных данных скрипта. Чтобы просмотреть список контейнеров Docker на виртуальной машине, выполните следующую команду:

   docker ps -a
   

   Вы будете использовать имя контейнера Docker на следующем шаге.

6. При развертывании агента соединителя данных SAP требуется предоставить удостоверение виртуальной машины агента с определенными разрешениями для рабочей области Log Analytics, включенной для Microsoft Sentinel, с помощью ролей агента агента бизнес-приложений Microsoft Sentinel и читателя .

   Чтобы выполнить команды на этом шаге, необходимо быть владельцем группы ресурсов в рабочей области. Если вы не являетесь владельцем группы ресурсов в рабочей области, этот шаг также можно выполнить позже.

   Назначьте оператору агента бизнес-приложений Microsoft Sentinel и ролям читателя удостоверения виртуальной машины:

   1. Получите идентификатор агента, выполнив следующую команду, заменив <container_name> заполнитель именем контейнера Docker, созданного с помощью скрипта Kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Например, возвращаемый идентификатор агента может быть 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Назначьте роли агента бизнес-приложений Microsoft Sentinel и читателя, выполнив следующие команды:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Замените значения заполнителей следующим образом:

      Заполнитель	Значение
      <OBJ_ID>	Идентификатор объекта удостоверения виртуальной машины. Чтобы найти идентификатор объекта удостоверения виртуальной машины в Azure: для управляемого удостоверения идентификатор объекта указан на странице удостоверений виртуальной машины. Для субъекта-службы перейдите в приложение Enterprise в Azure. Выберите все приложения и выберите виртуальную машину. Идентификатор объекта отображается на странице обзора .
      <SUB_ID>	Идентификатор подписки для рабочей области Log Analytics, включенной для Microsoft Sentinel
      <RESOURCE_GROUP_NAME>	Имя группы ресурсов для рабочей области Log Analytics, включенной для Microsoft Sentinel
      <WS_NAME>	Имя рабочей области Log Analytics, включенной для Microsoft Sentinel
      <AGENT_IDENTIFIER>	Идентификатор агента, отображаемый после выполнения команды на предыдущем шаге.

7. Выполните следующую команду, чтобы настроить контейнер Docker для автоматического запуска:

   docker update --restart unless-stopped <container-name>
   

Процедура развертывания создает файл systemconfig.json , содержащий сведения о конфигурации агента соединителя данных SAP. Файл находится в каталоге на виртуальной /sapcon-app/sapcon/config/system машине.

Подготовка скрипта запуска для безопасного взаимодействия с SNC

В этой процедуре описывается, как подготовить скрипт развертывания для настройки параметров безопасного взаимодействия с системой SAP с помощью SNC. Если вы используете SNC, перед развертыванием агента соединителя данных необходимо выполнить эту процедуру.

Чтобы настроить контейнер для безопасного взаимодействия с SNC, выполните следующие действия.

1. Передайте файлы libsapcrypto.so и sapgenpse в систему, в которую создается контейнер.

2. Передайте сертификат клиента, включая закрытые и открытые ключи в систему, в которой создается контейнер.

   Сертификат клиента и ключ могут находиться в формате P12, PFX или Base64 .crt и .key .

3. Передайте сертификат сервера (только открытый ключ) в систему, в которой создается контейнер.

   Сертификат сервера должен быть в формате Base64 .crt .

4. Если сертификат клиента был выдан центром сертификации предприятия, передайте выданные сертификаты ЦС и корневого ЦС в систему, в которой создается контейнер.

5. Получите скрипт kickstart из репозитория GitHub Microsoft Sentinel:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Измените разрешения скрипта, чтобы сделать его исполняемым:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Дополнительные сведения см. в справочнике по скрипту развертывания Kickstart для агента соединителя данных приложений SAP для Microsoft Sentinel.

Оптимизация мониторинга таблиц SAP PAHI (рекомендуется)

Для оптимального мониторинга таблицы SAP PAHI откройте файл systemconfig.json для редактирования и в разделе [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) , включите PAHI_FULL как параметры, так и PAHI_INCREMENTAL параметры.

Дополнительные сведения см. в Systemconfig.json справочнике по файлам и убедитесь, что таблица PAHI обновляется через регулярные интервалы.

Проверка подключения и работоспособности

После развертывания агента соединителя данных SAP проверьте работоспособность и подключение агента. Дополнительные сведения см. в статье "Мониторинг работоспособности и роли систем SAP".

Следующий шаг

После развертывания соединителя перейдите к развертыванию решения Microsoft Sentinel для содержимого приложений SAP:

Включение обнаружения SAP и защиты от угроз