Condividi tramite

Distribuire un agente del connettore dati SAP dalla riga di comando

  • Articolo

Questo articolo fornisce le opzioni della riga di comando per la distribuzione di un agente del connettore dati SAP. Per le distribuzioni tipiche è consigliabile usare il portale anziché la riga di comando, poiché gli agenti del connettore dati installati tramite la riga di comando possono essere gestiti solo tramite la riga di comando.

Tuttavia, se si usa un file di configurazione per archiviare le credenziali anziché Azure Key Vault o se si è un utente avanzato che vuole distribuire manualmente il connettore dati, ad esempio in un cluster Kubernetes, usare le procedure descritte in questo articolo.

Anche se è possibile eseguire più agenti del connettore dati in un singolo computer, è consigliabile iniziare con un solo, monitorare le prestazioni e quindi aumentare lentamente il numero di connettori. È anche consigliabile che il team di sicurezza esegua questa procedura con l'aiuto del team SAP BASIS .

Nota

Questo articolo è rilevante solo per l'agente del connettore dati e non è rilevante per la soluzione SAP senza agente (anteprima limitata).

Prerequisiti

Distribuire l'agente del connettore dati usando un'identità gestita o un'applicazione registrata

Questa procedura descrive come creare un nuovo agente e connetterlo al sistema SAP tramite la riga di comando, eseguendo l'autenticazione con un'identità gestita o un'applicazione registrata da Microsoft Entra ID.

Per distribuire l'agente del connettore dati:

  1. Scaricare ed eseguire lo script kickstart per la distribuzione:

    • Per un'identità gestita, usare una delle opzioni di comando seguenti:

      • Per il cloud commerciale pubblico di Azure:

        wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh

      • Per Microsoft Azure gestito da 21Vianet, aggiungere --cloud mooncake alla fine del comando copiato.

      • Per Azure per enti pubblici - Stati Uniti, aggiungere --cloud fairfax alla fine del comando copiato.

    • Per un'applicazione registrata, usare il comando seguente per scaricare lo script kickstart della distribuzione dal repository GitHub di Microsoft Sentinel e contrassegnarlo come eseguibile:

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh

      Eseguire lo script, specificando l'ID applicazione, il segreto (la "password"), l'ID tenant e il nome dell'insieme di credenziali delle chiavi copiati nei passaggi precedenti. Ad esempio:

      ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>

    • Per configurare la configurazione SNC sicura, specificare i parametri di base seguenti:

      • --use-snc
      • --cryptolib <path to sapcryptolib.so>
      • --sapgenpse <path to sapgenpse>
      • --server-cert <path to server certificate public key>

      Se il certificato client è in formato crt o .key , usare le opzioni seguenti:

      • --client-cert <path to client certificate public key>
      • --client-key <path to client certificate private key>

      Se il certificato client è in formato pfx o p12 , usare le opzioni seguenti:

      • --client-pfx <pfx filename>
      • --client-pfx-passwd <password>

      Se il certificato client è stato emesso da una CA aziendale, aggiungere il commutatore seguente per ogni CA nella catena di attendibilità:

      • --cacert <path to ca certificate>

      Ad esempio:

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt

    Lo script aggiorna i componenti del sistema operativo, installa l'interfaccia della riga di comando di Azure e il software Docker e altre utilità necessarie (jq, netcat, curl), quindi richiede i valori dei parametri di configurazione. Fornire parametri aggiuntivi allo script per ridurre al minimo il numero di richieste o per personalizzare la distribuzione del contenitore. Per altre informazioni sulle opzioni della riga di comando disponibili, vedere Informazioni di riferimento sullo script Kickstart.

  2. Seguire le istruzioni visualizzate per immettere i dettagli SAP e dell'insieme di credenziali delle chiavi, quindi completare la distribuzione. Al termine della distribuzione, viene visualizzato un messaggio di conferma:

    The process has been successfully completed, thank you!

    Prendere nota del nome del contenitore Docker nell'output dello script. Per visualizzare l'elenco dei contenitori Docker nella VM, eseguire:

    docker ps -a

    Nel passaggio successivo si userà il nome del contenitore Docker.

  3. Per distribuire l'agente del connettore dati SAP è necessario concedere all'identità della macchina virtuale dell'agente autorizzazioni specifiche per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel, usando i ruoli Operatore agente applicazioni aziendali e lettore di Microsoft Sentinel.

    Per eseguire il comando in questo passaggio, è necessario essere un proprietario del gruppo di risorse nell'area di lavoro Log Analytics abilitata per Microsoft Sentinel. Se non si è proprietari di un gruppo di risorse nell'area di lavoro, è possibile eseguire questa procedura anche in un secondo momento.

    Assegnare i ruoli Operatore e Lettore dell'agente di applicazioni aziendali di Microsoft Sentinel all'identità della VM:

    1. Ottenere l'ID agente eseguendo il comando seguente, sostituendo il <container_name> segnaposto con il nome del contenitore Docker creato con lo script kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+

      Ad esempio, un ID agente restituito potrebbe essere 234fba02-3b34-4c55-8c0e-e6423ceb405b.

    2. Assegnare i ruoli Operatore e Lettore dell'agente di applicazioni aziendali di Microsoft Sentinel eseguendo i seguenti comandi:

    az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

    Sostituire i valori segnaposto come segue:

    Segnaposto Valore
    <OBJ_ID> ID oggetto identità della VM.

    Per trovare l'ID oggetto identità della macchina virtuale in Azure:
    - Per un'identità gestita, l'ID oggetto è elencato nella pagina Identità della macchina virtuale.
    - Per un'entità servizio, passare a Applicazione aziendale in Azure. Selezionare Tutte le applicazioni e quindi selezionare la macchina virtuale. L'ID oggetto viene visualizzato nella pagina Panoramica .
    <SUB_ID> ID sottoscrizione abilitato per l'area di lavoro Log Analytics per Microsoft Sentinel
    <RESOURCE_GROUP_NAME> Nome del gruppo di risorse per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel
    <WS_NAME> Nome dell'area di lavoro Log Analytics abilitata per Microsoft Sentinel
    <AGENT_IDENTIFIER> ID agente visualizzato dopo l'esecuzione del comando nel passaggio precedente.

  4. Per configurare il contenitore Docker per l'avvio automatico, eseguire il comando seguente, sostituendo il segnaposto <container-name> con il nome del contenitore:

    docker update --restart unless-stopped <container-name>

La procedura di distribuzione genera un file systemconfig.json che contiene i dettagli di configurazione per l'agente del connettore dati SAP. Il file si trova nella directory della /sapcon-app/sapcon/config/system macchina virtuale.

Distribuire il connettore dati usando un file di configurazione

Azure Key Vault è il metodo consigliato per archiviare le credenziali di autenticazione e i dati di configurazione. Se non è possibile usare Azure Key Vault, questa procedura descrive come distribuire invece il contenitore dell'agente del connettore dati usando un file di configurazione.

Per distribuire l'agente del connettore dati:

  1. Creare una macchina virtuale in cui distribuire l'agente.

  2. Trasferire il SAP NetWeaver SDK al computer in cui si desidera installare l'agente.

  3. Eseguire i comandi seguenti per scaricare lo script Kickstart della distribuzione dal repository GitHub di Microsoft Sentinel e contrassegnarlo come eseguibile:

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh

  4. Eseguire lo script:

    ./sapcon-sentinel-kickstart.sh --keymode cfgf

    Lo script aggiorna i componenti del sistema operativo, installa l'interfaccia della riga di comando di Azure e il software Docker e altre utilità necessarie (jq, netcat, curl), quindi richiede i valori dei parametri di configurazione. Fornire parametri aggiuntivi allo script in base alle esigenze per ridurre al minimo il numero di richieste o per personalizzare la distribuzione del contenitore. Per altre informazioni, vedere le informazioni di riferimento sullo script Kickstart.

  5. Seguire le istruzioni visualizzate per immettere i dettagli richiesti e completare la distribuzione. Al termine della distribuzione, viene visualizzato un messaggio di conferma:

    The process has been successfully completed, thank you!

    Prendere nota del nome del contenitore Docker nell'output dello script. Per visualizzare l'elenco dei contenitori Docker nella VM, eseguire:

    docker ps -a

    Nel passaggio successivo si userà il nome del contenitore Docker.

  6. Per distribuire l'agente del connettore dati SAP è necessario concedere all'identità della macchina virtuale dell'agente autorizzazioni specifiche per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel, usando i ruoli Operatore agente applicazioni aziendali e lettore di Microsoft Sentinel.

    Per eseguire i comandi in questo passaggio, è necessario essere un proprietario del gruppo di risorse nell'area di lavoro. Se non si è proprietari di un gruppo di risorse nell'area di lavoro, è possibile eseguire questo passaggio anche in un secondo momento.

    Assegnare i ruoli Operatore e Lettore dell'agente di applicazioni aziendali di Microsoft Sentinel all'identità della VM:

    1. Ottenere l'ID agente eseguendo il comando seguente, sostituendo il <container_name> segnaposto con il nome del contenitore Docker creato con lo script Kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'

      Ad esempio, un ID agente restituito potrebbe essere 234fba02-3b34-4c55-8c0e-e6423ceb405b.

    2. Assegnare i ruoli Operatore e Lettore dell'agente di applicazioni aziendali di Microsoft Sentinel eseguendo i seguenti comandi:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

      Sostituire i valori segnaposto come segue:

      Segnaposto Valore
      <OBJ_ID> ID oggetto identità della VM.

      Per trovare l'ID oggetto identità della macchina virtuale in Azure: per un'identità gestita, l'ID oggetto è elencato nella pagina Identità della macchina virtuale. Per un'entità servizio, passare a Applicazione aziendale in Azure. Selezionare Tutte le applicazioni e quindi selezionare la macchina virtuale. L'ID oggetto viene visualizzato nella pagina Panoramica .
      <SUB_ID> ID sottoscrizione per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel
      <RESOURCE_GROUP_NAME> Nome del gruppo di risorse per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel
      <WS_NAME> Nome dell'area di lavoro Log Analytics abilitata per Microsoft Sentinel
      <AGENT_IDENTIFIER> ID agente visualizzato dopo l'esecuzione del comando nel passaggio precedente.

  7. Eseguire il comando seguente per configurare il contenitore Docker per l'avvio automatico.

    docker update --restart unless-stopped <container-name>

La procedura di distribuzione genera un file systemconfig.json che contiene i dettagli di configurazione per l'agente del connettore dati SAP. Il file si trova nella directory della /sapcon-app/sapcon/config/system macchina virtuale.

Preparare lo script kickstart per la comunicazione sicura con SNC

Questa procedura descrive come preparare lo script di distribuzione per configurare le impostazioni per comunicazioni sicure con il sistema SAP usando SNC. Se si usa SNC, è necessario eseguire questa procedura prima di distribuire l'agente del connettore dati.

Per configurare il contenitore per la comunicazione sicura con SNC:

  1. Trasferire i file libsapcrypto.so e sapgenpse nel sistema in cui si sta creando il contenitore.

  2. Trasferire il certificato client, incluse le chiavi private e pubbliche nel sistema in cui si sta creando il contenitore.

    Il certificato client e la chiave possono essere in formato .p12, pfx o Base64 .crt e .key .

  3. Trasferire il certificato del server (solo chiave pubblica) al sistema in cui si sta creando il contenitore.

    Il certificato del server deve essere in formato Base64 .crt .

  4. Se il certificato client è stato emesso da un'autorità di certificazione aziendale, trasferire i certificati CA e CA radice emittente al sistema in cui si sta creando il contenitore.

  5. Ottenere lo script kickstart dal repository GitHub di Microsoft Sentinel:

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh

  6. Modificare le autorizzazioni dello script per renderlo eseguibile:

    chmod +x ./sapcon-sentinel-kickstart.sh

Per altre informazioni, vedere Guida di riferimento per gli script di distribuzione Kickstart per l'agente del connettore dati delle applicazioni SAP di Microsoft Sentinel.

Per ottenere risultati ottimali nel monitoraggio della tabella SAP PAHI, aprire il file di systemconfig.json per la modifica e nella [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) sezione abilitare i PAHI_FULL parametri e PAHI_INCREMENTAL .

Per altre informazioni, vedere Systemconfig.json riferimento al file e Verificare che la tabella PAHI venga aggiornata a intervalli regolari.

Controllare la connettività e l'integrità

Dopo aver distribuito l'agente del connettore dati SAP, controllare l'integrità e la connettività dell'agente. Per altre informazioni, vedere Monitorare l'integrità e il ruolo dei sistemi SAP.

Passaggio successivo

Dopo aver distribuito il connettore, procedere con la distribuzione del contenuto della soluzione Microsoft Sentinel per le applicazioni SAP:

Abilitare i rilevamenti SAP e la protezione dalle minacce