Distribuera en SAP-dataanslutningsagent från kommandoraden

Den här artikeln innehåller kommandoradsalternativ för att distribuera en SAP-dataanslutningsagent. För typiska distributioner rekommenderar vi att du använder portalen i stället för kommandoraden, eftersom dataanslutningsagenter som installeras via kommandoraden endast kan hanteras via kommandoraden.

Men om du använder en konfigurationsfil för att lagra dina autentiseringsuppgifter i stället för Azure Key Vault, eller om du är en avancerad användare som vill distribuera dataanslutningen manuellt, till exempel i ett Kubernetes-kluster, använder du procedurerna i den här artikeln i stället.

Du kan köra flera dataanslutningsagenter på en enda dator, men vi rekommenderar att du börjar med en enda, övervakar prestanda och sedan ökar antalet anslutningsappar långsamt. Vi rekommenderar också att säkerhetsteamet utför den här proceduren med hjälp av SAP BASIS-teamet.

Förutsättningar

• Innan du distribuerar dataanslutningsappen måste du skapa en virtuell dator och konfigurera åtkomsten till dina autentiseringsuppgifter.

• Om du använder SNC för säkra anslutningar kontrollerar du att SAP-systemet är korrekt konfigurerat och förbereder sedan kickstartskriptet för säker kommunikation med SNC innan du distribuerar dataanslutningsagenten.

  Mer information finns i SAP-dokumentationen.

Distribuera dataanslutningsagenten med hjälp av en hanterad identitet eller ett registrerat program

Den här proceduren beskriver hur du skapar en ny agent och ansluter den till ditt SAP-system via kommandoraden, autentiserar med en hanterad identitet eller ett Registrerat Microsoft Entra-ID-program.

• Om du använder SNC kontrollerar du att du har slutfört Förbereda kickstartskriptet för säker kommunikation med SNC först.

• Om du använder en konfigurationsfil för att lagra dina autentiseringsuppgifter kan du läsa Distribuera dataanslutningsappen med hjälp av en konfigurationsfil i stället.

Så här distribuerar du dataanslutningsagenten:

1. Ladda ned och kör distributionsstartskriptet:

   • Använd något av följande kommandoalternativ för en hanterad identitet:

     • För azures offentliga kommersiella moln:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • För Microsoft Azure som drivs av 21Vianet lägger du till --cloud mooncake i slutet av det kopierade kommandot.

     • För Azure Government – USA lägger du till --cloud fairfax i slutet av det kopierade kommandot.

   • För ett registrerat program använder du följande kommando för att ladda ned distributionsstartskriptet från Microsoft Sentinel GitHub-lagringsplatsen och markera det som körbart:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Kör skriptet och ange program-ID, hemlighet ("lösenord"), klient-ID och nyckelvalvsnamn som du kopierade i föregående steg. Till exempel:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Ange följande basparametrar för att konfigurera säker SNC-konfiguration:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Om klientcertifikatet är i .crt - eller .key-format använder du följande växlar:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Om klientcertifikatet är i .pfx - eller .p12-format använder du följande växlar:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Om klientcertifikatet har utfärdats av en företagscertifikatutfärdare lägger du till följande växel för varje certifikatutfärdare i förtroendekedjan:

     • --cacert <path to ca certificate>

     Till exempel:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   Skriptet uppdaterar OS-komponenterna, installerar Programvaran Azure CLI och Docker och andra nödvändiga verktyg (jq, netcat, curl) och frågar efter konfigurationsparametervärden. Ange extra parametrar i skriptet för att minimera antalet frågor eller för att anpassa containerdistributionen. Mer information om tillgängliga kommandoradsalternativ finns i Referens för Kickstart-skript.

2. Följ anvisningarna på skärmen för att ange information om SAP och nyckelvalv och slutföra distributionen. När distributionen är klar visas ett bekräftelsemeddelande:

   The process has been successfully completed, thank you!
   

   Anteckna Docker-containernamnet i skriptutdata. Om du vill se listan över docker-containrar på den virtuella datorn kör du:

   docker ps -a
   

   Du använder namnet på docker-containern i nästa steg.

3. När du distribuerar SAP-dataanslutningsagenten måste du bevilja agentens VM-identitet med specifika behörigheter till Log Analytics-arbetsytan som är aktiverad för Microsoft Sentinel, med hjälp av agentoperator- och läsarrollerna för Microsoft Sentinel Business Applications Agent.

   Om du vill köra kommandot i det här steget måste du vara resursgruppsägare på Log Analytics-arbetsytan som är aktiverad för Microsoft Sentinel. Om du inte är resursgruppsägare på din arbetsyta kan den här proceduren också utföras senare.

   Tilldela rollerna Microsoft Sentinel Business Applications Agent Operator och Reader till den virtuella datorns identitet:

   1. Hämta agent-ID:t genom att köra följande kommando och ersätta <container_name> platshållaren med namnet på docker-containern som du skapade med kickstart-skriptet:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Ett agent-ID som returneras kan till exempel vara 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Tilldela rollerna Microsoft Sentinel Business Applications Agent Operator och Reader genom att köra följande kommandon:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Ersätt platshållarvärden på följande sätt:

   Platshållare	Värde
   <OBJ_ID>	Objekt-ID för den virtuella datorns identitet. Så här hittar du objekt-ID:t för den virtuella datorns identitet i Azure: - För en hanterad identitet visas objekt-ID:t på den virtuella datorns identitetssida. - För tjänstens huvudnamn går du till Företagsprogram i Azure. Välj Alla program och välj sedan den virtuella datorn. Objekt-ID:t visas på sidan Översikt .
   <SUB_ID>	Prenumerations-ID:t för dig Log Analytics-arbetsytan aktiverad för Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Resursgruppens namn för din Log Analytics-arbetsyta aktiverad för Microsoft Sentinel
   <WS_NAME>	Namnet på din Log Analytics-arbetsyta har aktiverats för Microsoft Sentinel
   <AGENT_IDENTIFIER>	Agent-ID:t visas när kommandot har körts i föregående steg.

4. Om du vill konfigurera Docker-containern att starta automatiskt kör du följande kommando och ersätter <container-name> platshållaren med namnet på containern:

   docker update --restart unless-stopped <container-name>
   

Distributionsproceduren genererar en systemconfig.json fil som innehåller konfigurationsinformation för SAP-dataanslutningsagenten. Filen finns i katalogen på den /sapcon-app/sapcon/config/system virtuella datorn.

Distribuera dataanslutningsappen med hjälp av en konfigurationsfil

Azure Key Vault är den rekommenderade metoden för att lagra dina autentiseringsuppgifter och konfigurationsdata. Om du hindras från att använda Azure Key Vault beskriver den här proceduren hur du kan distribuera dataanslutningsagentcontainern med hjälp av en konfigurationsfil i stället.

• Om du använder SNC kontrollerar du att du har slutfört Förbereda kickstartskriptet för säker kommunikation med SNC först.

• Om du använder en hanterad identitet eller ett registrerat program kan du läsa Distribuera dataanslutningsagenten med hjälp av en hanterad identitet eller ett registrerat program i stället.

Så här distribuerar du dataanslutningsagenten:

1. Skapa en virtuell dator där agenten ska distribueras.

2. Överför SAP NetWeaver SDK till den dator där du vill installera agenten.

3. Kör följande kommandon för att ladda ned distributionens Kickstart-skript från Microsoft Sentinel GitHub-lagringsplatsen och markera det som körbart:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Kör skriptet:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   Skriptet uppdaterar OS-komponenterna, installerar Programvaran Azure CLI och Docker och andra nödvändiga verktyg (jq, netcat, curl) och frågar efter konfigurationsparametervärden. Ange extra parametrar till skriptet efter behov för att minimera antalet frågor eller för att anpassa containerdistributionen. Mer information finns i referensen för Kickstart-skript.

5. Följ anvisningarna på skärmen för att ange den begärda informationen och slutföra distributionen. När distributionen är klar visas ett bekräftelsemeddelande:

   The process has been successfully completed, thank you!
   

   Anteckna Docker-containernamnet i skriptutdata. Om du vill se listan över docker-containrar på den virtuella datorn kör du:

   docker ps -a
   

   Du använder namnet på docker-containern i nästa steg.

6. När du distribuerar SAP-dataanslutningsagenten måste du bevilja agentens VM-identitet med specifika behörigheter till Log Analytics-arbetsytan som är aktiverad för Microsoft Sentinel, med hjälp av agentoperator- och läsarrollerna för Microsoft Sentinel Business Applications Agent.

   Om du vill köra kommandona i det här steget måste du vara resursgruppsägare på arbetsytan. Om du inte är resursgruppsägare på arbetsytan kan det här steget också utföras senare.

   Tilldela rollerna Microsoft Sentinel Business Applications Agent Operator och Reader till den virtuella datorns identitet:

   1. Hämta agent-ID:t genom att köra följande kommando och ersätta <container_name> platshållaren med namnet på docker-containern som du skapade med Kickstart-skriptet:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Ett agent-ID som returneras kan till exempel vara 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Tilldela rollerna Microsoft Sentinel Business Applications Agent Operator och Reader genom att köra följande kommandon:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Ersätt platshållarvärden på följande sätt:

      Platshållare	Värde
      <OBJ_ID>	Objekt-ID för den virtuella datorns identitet. Så här hittar du objekt-ID:t för den virtuella datorns identitet i Azure: För en hanterad identitet visas objekt-ID:t på den virtuella datorns identitetssida. För tjänstens huvudnamn går du till Företagsprogram i Azure. Välj Alla program och välj sedan den virtuella datorn. Objekt-ID:t visas på sidan Översikt .
      <SUB_ID>	Prenumerations-ID:t för din Log Analytics-arbetsyta aktiverad för Microsoft Sentinel
      <RESOURCE_GROUP_NAME>	Resursgruppens namn för din Log Analytics-arbetsyta aktiverad för Microsoft Sentinel
      <WS_NAME>	Namnet på din Log Analytics-arbetsyta har aktiverats för Microsoft Sentinel
      <AGENT_IDENTIFIER>	Agent-ID:t visas när kommandot har körts i föregående steg.

7. Kör följande kommando för att konfigurera Docker-containern så att den startas automatiskt.

   docker update --restart unless-stopped <container-name>
   

Distributionsproceduren genererar en systemconfig.json fil som innehåller konfigurationsinformation för SAP-dataanslutningsagenten. Filen finns i katalogen på den /sapcon-app/sapcon/config/system virtuella datorn.

Förbereda kickstartskriptet för säker kommunikation med SNC

Den här proceduren beskriver hur du förbereder distributionsskriptet för att konfigurera inställningar för säker kommunikation med DITT SAP-system med hjälp av SNC. Om du använder SNC måste du utföra den här proceduren innan du distribuerar dataanslutningsagenten.

Så här konfigurerar du containern för säker kommunikation med SNC:

1. Överför libsapcrypto.so- och sapgenpse-filerna till systemet där du skapar containern.

2. Överför klientcertifikatet, inklusive både privata och offentliga nycklar till systemet där du skapar containern.

   Klientcertifikatet och nyckeln kan vara i formatet .p12, .pfx eller Base64 .crt och .key .

3. Överför servercertifikatet (endast offentlig nyckel) till det system där du skapar containern.

   Servercertifikatet måste vara i Base64 .crt-format .

4. Om klientcertifikatet har utfärdats av en företagscertifikatutfärdare överför du certifikatutfärdare och rotcertifikatutfärdarcertifikat till systemet där du skapar containern.

5. Hämta kickstartskriptet från Microsoft Sentinel GitHub-lagringsplatsen:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Ändra skriptets behörigheter så att det blir körbart:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Mer information finns i Referens för Kickstart-distributionsskript för Data Connector-agenten för Microsoft Sentinel för SAP-program.

Optimera SAP PAHI-tabellövervakning (rekommenderas)

För optimala resultat vid övervakning av SAP PAHI-tabellen öppnar du filen systemconfig.json för redigering och under [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) avsnittet aktiverar du både parametrarna PAHI_FULL PAHI_INCREMENTAL och .

Mer information finns i Systemconfig.json filreferens och Kontrollera att PAHI-tabellen uppdateras med jämna mellanrum.

Kontrollera anslutning och hälsa

När du har distribuerat SAP-dataanslutningsagenten kontrollerar du agentens hälsa och anslutning. Mer information finns i Övervaka hälsotillståndet och rollen för dina SAP-system.

Gå vidare

När anslutningsappen har distribuerats fortsätter du med att distribuera Microsoft Sentinel-lösningen för SAP-programinnehåll:

Aktivera SAP-identifieringar och skydd mot hot