Поделиться через


Подключение системы SAP путем развертывания контейнера агента соединителя данных

Чтобы решение Microsoft Sentinel для приложений SAP работало правильно, необходимо сначала получить данные SAP в Microsoft Sentinel. Для этого необходимо развернуть агент соединителя данных SAP решения.

В этой статье описывается, как развернуть контейнер, на котором размещен агент соединителя данных SAP и подключиться к системе SAP, и это третий шаг при развертывании решения Microsoft Sentinel для приложений SAP. Выполните действия, описанные в этой статье, в том порядке, в который они представлены.

Схема потока развертывания решения SAP с выделением шага

Содержимое этой статьи относится к группам безопасности, инфраструктуры и SAP BASIS .

Необходимые компоненты

Перед развертыванием агента соединителя данных:

Посмотрите демонстрационное видео

Просмотрите одно из следующих видео демонстраций процесса развертывания, описанного в этой статье.

Подробные сведения о параметрах портала:

Содержит дополнительные сведения об использовании Azure KeyVault. Нет звука, демонстрация только с субтитрами:

Создание виртуальной машины и настройка доступа к учетным данным

Рекомендуется создать выделенную виртуальную машину для контейнера агента соединителя данных, чтобы обеспечить оптимальную производительность и избежать потенциальных конфликтов. Дополнительные сведения см. в разделе "Предварительные требования к системе".

Рекомендуется хранить секреты SAP и проверки подлинности в хранилище ключей Azure. Доступ к хранилищу ключей зависит от того, где развернута виртуальная машина:

Метод развертывания Метод Access
Контейнер на виртуальной машине Azure Мы рекомендуем использовать управляемое удостоверение, назначаемое системой Azure, для доступа к Azure Key Vault.

Если управляемое удостоверение, назначаемое системой, нельзя использовать, контейнер также может пройти проверку подлинности в Azure Key Vault с помощью субъекта-службы зарегистрированного приложения Microsoft Entra ID или в качестве последнего способа, файла конфигурации.
Контейнер на локальной виртуальной машине или виртуальной машине в сторонней облачной среде Проверка подлинности в Azure Key Vault с помощью субъекта-службы зарегистрированного приложения идентификатора Microsoft Entra.

Если вы не можете использовать зарегистрированное приложение или субъект-службу, используйте файл конфигурации для управления учетными данными, хотя этот метод не является предпочтительным. Дополнительные сведения см. в статье "Развертывание соединителя данных с помощью файла конфигурации".

Дополнительные сведения см. в разделе:

Ваша виртуальная машина обычно создается командой инфраструктуры . Настройка доступа к учетным данным и управление хранилищами ключей обычно выполняется командой безопасности .

Создание управляемого удостоверения с помощью виртуальной машины Azure

  1. Выполните следующую команду, чтобы создать виртуальную машину в Azure, подставив фактические имена из среды для следующих значений <placeholders>:

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
    
    

    Дополнительные сведения см. в статье Краткое руководство. Создание виртуальной машины Linux с помощью Azure CLI.

    Внимание

    После создания виртуальной машины обязательно примените все требования к безопасности и процедуры защиты, действующие в вашей организации.

    Эта команда создает ресурс виртуальной машины, создавая выходные данные, которые выглядят следующим образом:

    {
      "fqdns": "",
      "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
      "identity": {
        "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
        "userAssignedIdentities": {}
      },
      "location": "westeurope",
      "macAddress": "00-11-22-33-44-55",
      "powerState": "VM running",
      "privateIpAddress": "192.168.136.5",
      "publicIpAddress": "",
      "resourceGroup": "resourcegroupname",
      "zones": ""
    }
    
  2. Скопируйте идентификатор GUID systemAssignedIdentity, так как он будет использоваться на дальнейших этапах. Это управляемое удостоверение.

Создание хранилища ключей

В этой процедуре описывается создание хранилища ключей для хранения сведений о конфигурации агента, включая секреты проверки подлинности SAP. Если вы используете существующее хранилище ключей, перейдите непосредственно к шагу 2.

Чтобы создать хранилище ключей, выполните приведенные действия.

  1. Выполните следующие команды, заменив фактические имена значений <placeholder> .

    az keyvault create \
      --name <KeyVaultName> \
      --resource-group <KeyVaultResourceGroupName>
    
  2. Скопируйте имя хранилища ключей и имя своей группы ресурсов. Они потребуются при назначении разрешений доступа к хранилищу ключей и запуске скрипта развертывания на следующих шагах.

Назначение разрешений доступа к хранилищу ключей

  1. В хранилище ключей назначьте роль средства чтения секретов Azure Key Vault удостоверению, созданному и скопированном ранее.

  2. В том же хранилище ключей назначьте следующие роли Azure пользователю, настроив агент соединителя данных:

    • Участник Key Vault для развертывания агента
    • Специалист по секретам Key Vault, чтобы добавить новые системы

Развертывание агента соединителя данных на портале (предварительная версия)

Теперь, когда вы создали виртуальную машину и Key Vault, необходимо создать новый агент и подключиться к одной из систем SAP. Хотя на одном компьютере можно запустить несколько агентов соединителя данных, рекомендуется начать только с одного, отслеживать производительность, а затем медленно увеличивать количество соединителей.

В этой процедуре описывается, как создать агент и подключить его к системе SAP с помощью порталов Azure или Defender. Рекомендуется, чтобы ваша команда безопасности выполняла эту процедуру с помощью команды SAP BASIS .

Развертывание агента соединителя данных на портале поддерживается как с портал Azure, так и на портале Defender, если вы подключены к рабочей области на унифицированную платформу операций безопасности.

Хотя развертывание также поддерживается из командной строки, рекомендуется использовать портал для типичных развертываний. Агенты соединителя данных, развернутые с помощью командной строки, можно управлять только с помощью командной строки, а не через портал. Дополнительные сведения см. в разделе "Развертывание агента соединителя данных SAP" из командной строки.

Внимание

Развертывание контейнера и создание подключений к системам SAP на портале в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Необходимые условия:

  • Чтобы развернуть агент соединителя данных на портале, вам потребуется:

    • Проверка подлинности с помощью управляемого удостоверения или зарегистрированного приложения
    • Учетные данные, хранящиеся в Azure Key Vault

    Если у вас нет этих предварительных требований, разверните агент соединителя данных SAP из командной строки .

  • Чтобы развернуть агент соединителя данных, на компьютере агента соединителя данных также требуются права sudo или root.

  • Если вы хотите принять журналы Netweaver/ABAP через безопасное подключение с помощью secure Network Communications (SNC), вам потребуется:

    • Путь к двоичному файлу и libsapcrypto.so библиотеке sapgenpse
    • Сведения о сертификате клиента

    Дополнительные сведения см. в статье "Настройка системы для использования SNC для безопасных подключений".

Чтобы развернуть агент соединителя данных, выполните следующие действия.

  1. Войдите на только что созданную виртуальную машину, на которой устанавливается агент, как пользователь с привилегиями sudo.

  2. Скачайте и/или перенесите пакет SDK SAP NetWeaver на компьютер.

  3. В Microsoft Sentinel выберите соединители данных конфигурации>.

  4. В строке поиска введите SAP. Выберите Microsoft Sentinel для SAP из результатов поиска и откройте страницу соединителя.

  5. В области конфигурации выберите "Добавить новый агент ( предварительная версия)".

    Снимок экрана: инструкции по добавлению агента сборщика на основе API SAP.

  6. В области создания агента сборщика введите следующие сведения об агенте:

    Имя Описание
    Имя агента Введите понятное имя агента для вашей организации. Мы не рекомендуем использовать какое-либо конкретное соглашение об именовании, за исключением того, что имя может содержать только следующие типы символов:
    • a-z
    • А-Я
    • 0–9
    • _ (символ подчеркивания)
    • . (точка)
    • - (тире)
    Хранилище ключей подписки / Выберите подписку и хранилище ключей из соответствующих раскрывающихся списков.
    Zip-файл пакета SDK NWRFC на виртуальной машине агента Введите путь к виртуальной машине, содержащей архив пакета SDK (SDK) пакета СРЕДСТВ разработки программного обеспечения (SDK) SAP NetWeaver Remote Function Call .zip (RFC).

    Убедитесь, что этот путь содержит номер версии пакета SDK в следующем синтаксисе: <path>/NWRFC<version number>.zip Например: /src/test/nwrfc750P_12-70002726.zip.
    Включение поддержки подключения SNC Выберите для приема журналов NetWeaver/ABAP через безопасное подключение с помощью SNC.

    Если выбрать этот параметр, введите путь, содержащий двоичный sapgenpse файл и libsapcrypto.so библиотеку, в разделе Путь к библиотеке шифрования SAP на виртуальной машине агента.

    Если вы хотите использовать подключение SNC, обязательно выберите включить поддержку подключения SNC на этом этапе, так как вы не сможете вернуться и включить подключение SNC после завершения развертывания агента. Если вы хотите изменить этот параметр после этого, рекомендуется создать новый агент.
    Проверка подлинности в Azure Key Vault Чтобы пройти проверку подлинности в хранилище ключей с помощью управляемого удостоверения, оставьте параметр управляемого удостоверения по умолчанию. Чтобы пройти проверку подлинности в хранилище ключей с помощью зарегистрированного приложения, выберите "Удостоверение приложения".

    Необходимо заранее настроить управляемое удостоверение или зарегистрированное приложение. Дополнительные сведения см. в статье "Создание виртуальной машины" и настройка доступа к учетным данным.

    Например:

    Снимок экрана: область создания агента сборщика.

  7. Нажмите кнопку "Создать " и просмотрите рекомендации перед завершением развертывания:

    Снимок экрана: последний этап развертывания агента.

  8. При развертывании агента соединителя данных SAP требуется предоставить удостоверение виртуальной машины агента с определенными разрешениями для рабочей области Microsoft Sentinel, используя роли агента microsoft Sentinel для бизнес-приложений и ролей читателя .

    Чтобы выполнить команды на этом шаге, необходимо быть владельцем группы ресурсов в рабочей области Microsoft Sentinel. Если вы не являетесь владельцем группы ресурсов в рабочей области, эта процедура также может выполняться после завершения развертывания агента.

    Перед завершением работы скопируйте команды назначения ролей из шага 1 и запустите их на виртуальной машине агента, заменив [Object_ID] заполнитель идентификатором объекта удостоверения виртуальной машины. Например:

    Снимок экрана: значок копирования для команды из шага 1.

    Чтобы найти идентификатор объекта удостоверений виртуальной машины в Azure:

    • Для управляемого удостоверения идентификатор объекта указан на странице удостоверений виртуальной машины.

    • Для субъекта-службы перейдите в приложение Enterprise в Azure. Выберите все приложения и выберите виртуальную машину. Идентификатор объекта отображается на странице обзора .

    Эти команды назначают оператору агента бизнес-приложений Microsoft Sentinel и ролям Azure читателя Azure управляемому или приложению виртуальной машины, включая только область данных указанного агента в рабочей области.

    Внимание

    Назначение ролей агента агента бизнес-приложений Microsoft Sentinel и читателя через ИНТЕРФЕЙС командной строки назначает роли только в области данных указанного агента в рабочей области. Это самый безопасный и, следовательно, рекомендуемый вариант.

    Если необходимо назначить роли через портал Azure, рекомендуется назначать роли в небольшой области, например только в рабочей области Microsoft Sentinel.

  9. Выберите "КопироватьСнимок экрана: значок копирования рядом с командой развертывания агента." рядом с командой развертывания агента на шаге 2. Например:

    Снимок экрана: команда агента для копирования на шаге 2.

  10. Скопируйте командную строку в отдельное расположение и нажмите кнопку "Закрыть".

    Соответствующие сведения агента развертываются в Azure Key Vault, а новый агент отображается в таблице в разделе "Добавление агента сборщика на основе API".

    На этом этапе состояние работоспособности агента "Неполная установка. Следуйте инструкциям. После успешной установки агента состояние изменится на работоспособное агент. Это обновление может занять до 10 минут. Например:

    Снимок экрана: состояние работоспособности агентов сборщика на основе API на странице соединителя данных SAP.

    Примечание.

    В таблице отображается имя агента и состояние работоспособности только тех агентов, которые вы развертываете с помощью портал Azure. Агенты, развернутые с помощью командной строки, не отображаются здесь. Дополнительные сведения см. на вкладке командной строки.

  11. На виртуальной машине, в которой планируется установить агент, откройте терминал и выполните команду развертывания агента, скопированную на предыдущем шаге. На этом шаге требуются права sudo или root на компьютере агента соединителя данных.

    Скрипт обновляет компоненты ОС и устанавливает Azure CLI, программное обеспечение Docker и другие необходимые служебные программы, такие как jq, netcat и curl.

    Укажите дополнительные параметры скрипту при необходимости для настройки развертывания контейнера. Дополнительные сведения о доступных параметрах командной строки см. в справочнике по скрипту Kickstart.

    Если вам нужно снова скопировать команду, выберите "ВидСнимок экрана: значок представления рядом со столбцом " справа от столбца "Работоспособность" и скопируйте команду рядом с командой развертывания агента в правом нижнем углу.

  12. На странице соединителя данных приложения SAP в области конфигурации в решении Microsoft Sentinel выберите "Добавить новую систему (предварительная версия) и введите следующие сведения:

    • В разделе "Выбор агента" выберите созданный ранее агент.

    • В разделе "Системный идентификатор" выберите тип сервера:

      • ABAP Server
      • Сервер сообщений для использования сервера сообщений в составе служб SAP CENTRAL ABAP (ASCS).
    • Продолжайте определять связанные сведения для типа сервера:

      • Для сервера ABAP введите IP-адрес и полное доменное имя сервера приложений ABAP, идентификатор системы и номер клиента.
      • Для сервера сообщений введите IP-адрес или полное доменное имя сервера сообщений, номер порта или имя службы и группу входа в систему.

    После завершения нажмите кнопку "Далее: проверка подлинности".

    Например:

    Снимок экрана: вкладка

  13. На вкладке "Проверка подлинности" введите следующие сведения:

    • Для базовой проверки подлинности введите пользователя и пароль.
    • Если при настройке агента выбрано подключение SNC, выберите SNC и введите сведения о сертификате.

    После завершения нажмите кнопку "Далее: журналы".

  14. На вкладке "Журналы" выберите журналы , которые вы хотите принять из SAP, а затем нажмите кнопку "Далее: Проверка и создание". Например:

    Снимок экрана: вкладка

  15. (Необязательно) Для оптимального мониторинга таблицы SAP PAHI выберите журнал конфигурации. Дополнительные сведения см. в статье "Проверка того, что таблица PAHI обновляется через регулярные интервалы".

  16. Просмотрите заданные параметры. Выберите "Назад" , чтобы изменить любые параметры или выбрать "Развернуть ", чтобы развернуть систему.

Определяемая вами конфигурация системы развертывается в хранилище ключей Azure, определенное во время развертывания. Теперь вы можете просмотреть сведения о системе в таблице в разделе "Настройка системы SAP" и назначить его агенту сборщика. В этой таблице отображается связанное имя агента, идентификатор системы SAP (SID) и состояние работоспособности для систем, добавленных через портал или в противном случае.

На этом этапе состояние работоспособности системы ожидается. Если агент успешно обновлен, он извлекает конфигурацию из хранилища ключей Azure, а состояние изменится на работоспособность системы. Это обновление может занять до 10 минут.

Проверка подключения и работоспособности

После развертывания агента соединителя данных SAP проверьте работоспособность и подключение агента. Дополнительные сведения см. в статье "Мониторинг работоспособности и роли систем SAP".

Следующий шаг

После развертывания соединителя перейдите к настройке решения Microsoft Sentinel для содержимого приложений SAP. В частности, настройка сведений в списках наблюдения является важным шагом в включении обнаружения и защиты от угроз.