Подключение системы SAP путем развертывания контейнера агента соединителя данных
Чтобы решение Microsoft Sentinel для приложений SAP работало правильно, необходимо сначала получить данные SAP в Microsoft Sentinel. Для этого необходимо развернуть агент соединителя данных SAP решения.
В этой статье описывается, как развернуть контейнер, на котором размещен агент соединителя данных SAP и подключиться к системе SAP, и это третий шаг при развертывании решения Microsoft Sentinel для приложений SAP. Выполните действия, описанные в этой статье, в том порядке, в который они представлены.
Содержимое этой статьи относится к группам безопасности, инфраструктуры и SAP BASIS .
Необходимые компоненты
Перед развертыванием агента соединителя данных:
Убедитесь, что все необходимые компоненты развертывания выполнены. Дополнительные сведения см. в статье "Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP".
Убедитесь, что у вас есть решение Microsoft Sentinel для приложений SAP, установленных в рабочей области Microsoft Sentinel.
Убедитесь, что система SAP полностью подготовлена к развертыванию. Если вы развертываете агент соединителя данных для взаимодействия с Microsoft Sentinel через SNC, убедитесь, что вы завершили настройку системы для использования SNC для безопасных подключений.
Посмотрите демонстрационное видео
Просмотрите одно из следующих видео демонстраций процесса развертывания, описанного в этой статье.
Подробные сведения о параметрах портала:
Содержит дополнительные сведения об использовании Azure KeyVault. Нет звука, демонстрация только с субтитрами:
Создание виртуальной машины и настройка доступа к учетным данным
Рекомендуется создать выделенную виртуальную машину для контейнера агента соединителя данных, чтобы обеспечить оптимальную производительность и избежать потенциальных конфликтов. Дополнительные сведения см. в разделе "Предварительные требования к системе".
Рекомендуется хранить секреты SAP и проверки подлинности в хранилище ключей Azure. Доступ к хранилищу ключей зависит от того, где развернута виртуальная машина:
Метод развертывания | Метод Access |
---|---|
Контейнер на виртуальной машине Azure | Мы рекомендуем использовать управляемое удостоверение, назначаемое системой Azure, для доступа к Azure Key Vault. Если управляемое удостоверение, назначаемое системой, нельзя использовать, контейнер также может пройти проверку подлинности в Azure Key Vault с помощью субъекта-службы зарегистрированного приложения Microsoft Entra ID или в качестве последнего способа, файла конфигурации. |
Контейнер на локальной виртуальной машине или виртуальной машине в сторонней облачной среде | Проверка подлинности в Azure Key Vault с помощью субъекта-службы зарегистрированного приложения идентификатора Microsoft Entra. |
Если вы не можете использовать зарегистрированное приложение или субъект-службу, используйте файл конфигурации для управления учетными данными, хотя этот метод не является предпочтительным. Дополнительные сведения см. в статье "Развертывание соединителя данных с помощью файла конфигурации".
Дополнительные сведения см. в разделе:
- Проверка подлинности в Azure Key Vault
- Что такое удостоверений для ресурсов Azure?
- Сведения об объектах приложения и субъекта-службы в Microsoft Entra ID
Ваша виртуальная машина обычно создается командой инфраструктуры . Настройка доступа к учетным данным и управление хранилищами ключей обычно выполняется командой безопасности .
Создание управляемого удостоверения с помощью виртуальной машины Azure
Выполните следующую команду, чтобы создать виртуальную машину в Azure, подставив фактические имена из среды для следующих значений
<placeholders>
:az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
Дополнительные сведения см. в статье Краткое руководство. Создание виртуальной машины Linux с помощью Azure CLI.
Внимание
После создания виртуальной машины обязательно примените все требования к безопасности и процедуры защиты, действующие в вашей организации.
Эта команда создает ресурс виртуальной машины, создавая выходные данные, которые выглядят следующим образом:
{ "fqdns": "", "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname", "identity": { "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy", "userAssignedIdentities": {} }, "location": "westeurope", "macAddress": "00-11-22-33-44-55", "powerState": "VM running", "privateIpAddress": "192.168.136.5", "publicIpAddress": "", "resourceGroup": "resourcegroupname", "zones": "" }
Скопируйте идентификатор GUID systemAssignedIdentity, так как он будет использоваться на дальнейших этапах. Это управляемое удостоверение.
Создание хранилища ключей
В этой процедуре описывается создание хранилища ключей для хранения сведений о конфигурации агента, включая секреты проверки подлинности SAP. Если вы используете существующее хранилище ключей, перейдите непосредственно к шагу 2.
Чтобы создать хранилище ключей, выполните приведенные действия.
Выполните следующие команды, заменив фактические имена значений
<placeholder>
.az keyvault create \ --name <KeyVaultName> \ --resource-group <KeyVaultResourceGroupName>
Скопируйте имя хранилища ключей и имя своей группы ресурсов. Они потребуются при назначении разрешений доступа к хранилищу ключей и запуске скрипта развертывания на следующих шагах.
Назначение разрешений доступа к хранилищу ключей
В хранилище ключей назначьте роль средства чтения секретов Azure Key Vault удостоверению, созданному и скопированном ранее.
В том же хранилище ключей назначьте следующие роли Azure пользователю, настроив агент соединителя данных:
- Участник Key Vault для развертывания агента
- Специалист по секретам Key Vault, чтобы добавить новые системы
Развертывание агента соединителя данных на портале (предварительная версия)
Теперь, когда вы создали виртуальную машину и Key Vault, необходимо создать новый агент и подключиться к одной из систем SAP. Хотя на одном компьютере можно запустить несколько агентов соединителя данных, рекомендуется начать только с одного, отслеживать производительность, а затем медленно увеличивать количество соединителей.
В этой процедуре описывается, как создать агент и подключить его к системе SAP с помощью порталов Azure или Defender. Рекомендуется, чтобы ваша команда безопасности выполняла эту процедуру с помощью команды SAP BASIS .
Развертывание агента соединителя данных на портале поддерживается как с портал Azure, так и на портале Defender, если вы подключены к рабочей области на унифицированную платформу операций безопасности.
Хотя развертывание также поддерживается из командной строки, рекомендуется использовать портал для типичных развертываний. Агенты соединителя данных, развернутые с помощью командной строки, можно управлять только с помощью командной строки, а не через портал. Дополнительные сведения см. в разделе "Развертывание агента соединителя данных SAP" из командной строки.
Внимание
Развертывание контейнера и создание подключений к системам SAP на портале в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Необходимые условия:
Чтобы развернуть агент соединителя данных на портале, вам потребуется:
- Проверка подлинности с помощью управляемого удостоверения или зарегистрированного приложения
- Учетные данные, хранящиеся в Azure Key Vault
Если у вас нет этих предварительных требований, разверните агент соединителя данных SAP из командной строки .
Чтобы развернуть агент соединителя данных, на компьютере агента соединителя данных также требуются права sudo или root.
Если вы хотите принять журналы Netweaver/ABAP через безопасное подключение с помощью secure Network Communications (SNC), вам потребуется:
- Путь к двоичному файлу и
libsapcrypto.so
библиотекеsapgenpse
- Сведения о сертификате клиента
Дополнительные сведения см. в статье "Настройка системы для использования SNC для безопасных подключений".
- Путь к двоичному файлу и
Чтобы развернуть агент соединителя данных, выполните следующие действия.
Войдите на только что созданную виртуальную машину, на которой устанавливается агент, как пользователь с привилегиями sudo.
Скачайте и/или перенесите пакет SDK SAP NetWeaver на компьютер.
В Microsoft Sentinel выберите соединители данных конфигурации>.
В строке поиска введите SAP. Выберите Microsoft Sentinel для SAP из результатов поиска и откройте страницу соединителя.
В области конфигурации выберите "Добавить новый агент ( предварительная версия)".
В области создания агента сборщика введите следующие сведения об агенте:
Имя Описание Имя агента Введите понятное имя агента для вашей организации. Мы не рекомендуем использовать какое-либо конкретное соглашение об именовании, за исключением того, что имя может содержать только следующие типы символов: - a-z
- А-Я
- 0–9
- _ (символ подчеркивания)
- . (точка)
- - (тире)
Хранилище ключей подписки / Выберите подписку и хранилище ключей из соответствующих раскрывающихся списков. Zip-файл пакета SDK NWRFC на виртуальной машине агента Введите путь к виртуальной машине, содержащей архив пакета SDK (SDK) пакета СРЕДСТВ разработки программного обеспечения (SDK) SAP NetWeaver Remote Function Call .zip (RFC).
Убедитесь, что этот путь содержит номер версии пакета SDK в следующем синтаксисе:<path>/NWRFC<version number>.zip
Например:/src/test/nwrfc750P_12-70002726.zip
.Включение поддержки подключения SNC Выберите для приема журналов NetWeaver/ABAP через безопасное подключение с помощью SNC.
Если выбрать этот параметр, введите путь, содержащий двоичныйsapgenpse
файл иlibsapcrypto.so
библиотеку, в разделе Путь к библиотеке шифрования SAP на виртуальной машине агента.
Если вы хотите использовать подключение SNC, обязательно выберите включить поддержку подключения SNC на этом этапе, так как вы не сможете вернуться и включить подключение SNC после завершения развертывания агента. Если вы хотите изменить этот параметр после этого, рекомендуется создать новый агент.Проверка подлинности в Azure Key Vault Чтобы пройти проверку подлинности в хранилище ключей с помощью управляемого удостоверения, оставьте параметр управляемого удостоверения по умолчанию. Чтобы пройти проверку подлинности в хранилище ключей с помощью зарегистрированного приложения, выберите "Удостоверение приложения".
Необходимо заранее настроить управляемое удостоверение или зарегистрированное приложение. Дополнительные сведения см. в статье "Создание виртуальной машины" и настройка доступа к учетным данным.Например:
Нажмите кнопку "Создать " и просмотрите рекомендации перед завершением развертывания:
При развертывании агента соединителя данных SAP требуется предоставить удостоверение виртуальной машины агента с определенными разрешениями для рабочей области Microsoft Sentinel, используя роли агента microsoft Sentinel для бизнес-приложений и ролей читателя .
Чтобы выполнить команды на этом шаге, необходимо быть владельцем группы ресурсов в рабочей области Microsoft Sentinel. Если вы не являетесь владельцем группы ресурсов в рабочей области, эта процедура также может выполняться после завершения развертывания агента.
Перед завершением работы скопируйте команды назначения ролей из шага 1 и запустите их на виртуальной машине агента, заменив
[Object_ID]
заполнитель идентификатором объекта удостоверения виртуальной машины. Например:Чтобы найти идентификатор объекта удостоверений виртуальной машины в Azure:
Для управляемого удостоверения идентификатор объекта указан на странице удостоверений виртуальной машины.
Для субъекта-службы перейдите в приложение Enterprise в Azure. Выберите все приложения и выберите виртуальную машину. Идентификатор объекта отображается на странице обзора .
Эти команды назначают оператору агента бизнес-приложений Microsoft Sentinel и ролям Azure читателя Azure управляемому или приложению виртуальной машины, включая только область данных указанного агента в рабочей области.
Внимание
Назначение ролей агента агента бизнес-приложений Microsoft Sentinel и читателя через ИНТЕРФЕЙС командной строки назначает роли только в области данных указанного агента в рабочей области. Это самый безопасный и, следовательно, рекомендуемый вариант.
Если необходимо назначить роли через портал Azure, рекомендуется назначать роли в небольшой области, например только в рабочей области Microsoft Sentinel.
Выберите "Копировать" рядом с командой развертывания агента на шаге 2. Например:
Скопируйте командную строку в отдельное расположение и нажмите кнопку "Закрыть".
Соответствующие сведения агента развертываются в Azure Key Vault, а новый агент отображается в таблице в разделе "Добавление агента сборщика на основе API".
На этом этапе состояние работоспособности агента — "Неполная установка. Следуйте инструкциям. После успешной установки агента состояние изменится на работоспособное агент. Это обновление может занять до 10 минут. Например:
Примечание.
В таблице отображается имя агента и состояние работоспособности только тех агентов, которые вы развертываете с помощью портал Azure. Агенты, развернутые с помощью командной строки, не отображаются здесь. Дополнительные сведения см. на вкладке командной строки.
На виртуальной машине, в которой планируется установить агент, откройте терминал и выполните команду развертывания агента, скопированную на предыдущем шаге. На этом шаге требуются права sudo или root на компьютере агента соединителя данных.
Скрипт обновляет компоненты ОС и устанавливает Azure CLI, программное обеспечение Docker и другие необходимые служебные программы, такие как jq, netcat и curl.
Укажите дополнительные параметры скрипту при необходимости для настройки развертывания контейнера. Дополнительные сведения о доступных параметрах командной строки см. в справочнике по скрипту Kickstart.
Если вам нужно снова скопировать команду, выберите "Вид" справа от столбца "Работоспособность" и скопируйте команду рядом с командой развертывания агента в правом нижнем углу.
На странице соединителя данных приложения SAP в области конфигурации в решении Microsoft Sentinel выберите "Добавить новую систему (предварительная версия) и введите следующие сведения:
В разделе "Выбор агента" выберите созданный ранее агент.
В разделе "Системный идентификатор" выберите тип сервера:
- ABAP Server
- Сервер сообщений для использования сервера сообщений в составе служб SAP CENTRAL ABAP (ASCS).
Продолжайте определять связанные сведения для типа сервера:
- Для сервера ABAP введите IP-адрес и полное доменное имя сервера приложений ABAP, идентификатор системы и номер клиента.
- Для сервера сообщений введите IP-адрес или полное доменное имя сервера сообщений, номер порта или имя службы и группу входа в систему.
После завершения нажмите кнопку "Далее: проверка подлинности".
Например:
На вкладке "Проверка подлинности" введите следующие сведения:
- Для базовой проверки подлинности введите пользователя и пароль.
- Если при настройке агента выбрано подключение SNC, выберите SNC и введите сведения о сертификате.
После завершения нажмите кнопку "Далее: журналы".
На вкладке "Журналы" выберите журналы , которые вы хотите принять из SAP, а затем нажмите кнопку "Далее: Проверка и создание". Например:
(Необязательно) Для оптимального мониторинга таблицы SAP PAHI выберите журнал конфигурации. Дополнительные сведения см. в статье "Проверка того, что таблица PAHI обновляется через регулярные интервалы".
Просмотрите заданные параметры. Выберите "Назад" , чтобы изменить любые параметры или выбрать "Развернуть ", чтобы развернуть систему.
Определяемая вами конфигурация системы развертывается в хранилище ключей Azure, определенное во время развертывания. Теперь вы можете просмотреть сведения о системе в таблице в разделе "Настройка системы SAP" и назначить его агенту сборщика. В этой таблице отображается связанное имя агента, идентификатор системы SAP (SID) и состояние работоспособности для систем, добавленных через портал или в противном случае.
На этом этапе состояние работоспособности системы ожидается. Если агент успешно обновлен, он извлекает конфигурацию из хранилища ключей Azure, а состояние изменится на работоспособность системы. Это обновление может занять до 10 минут.
Проверка подключения и работоспособности
После развертывания агента соединителя данных SAP проверьте работоспособность и подключение агента. Дополнительные сведения см. в статье "Мониторинг работоспособности и роли систем SAP".
Следующий шаг
После развертывания соединителя перейдите к настройке решения Microsoft Sentinel для содержимого приложений SAP. В частности, настройка сведений в списках наблюдения является важным шагом в включении обнаружения и защиты от угроз.