Condividi tramite


Informazioni di riferimento sullo script di distribuzione kickstart per l'agente del connettore dati delle applicazioni SAP di Microsoft Sentinel

Questo articolo fornisce un riferimento ai parametri configurabili disponibili nello script kickstart usato per distribuire l'agente del connettore dati di Microsoft Sentinel per le applicazioni SAP.

Per altre informazioni, vedere Connettere il sistema SAP a Microsoft Sentinel.

Il contenuto di questo articolo è destinato ai team SAP BASIS .

Percorso di archiviazione dei segreti

Nome parametro: --keymode

Valori dei parametri: kvmi, kvsi, cfgf

Obbligatorio: No. Per impostazione predefinita viene usatokvmi .

Descrizione: specifica se i segreti (nome utente, password, ID di Log Analytics e chiave condivisa) devono essere archiviati nel file di configurazione locale o in Azure Key Vault. Controlla anche se l'autenticazione in Azure Key Vault viene eseguita usando l'identità gestita assegnata dal sistema della macchina virtuale o un'identità dell'applicazione registrata di Microsoft Entra.

Se impostato su kvmi, Azure Key Vault viene usato per archiviare i segreti e l'autenticazione in Azure Key Vault viene eseguita usando l'identità gestita assegnata dal sistema di Azure della macchina virtuale.

Se è impostato su kvsi, Azure Key Vault viene usato per archiviare i segreti e l'autenticazione in Azure Key Vault viene eseguita usando un'identità dell'applicazione registrata di Microsoft Entra. L'utilizzo della kvsi modalità richiede i --appidvalori , --appsecrete --tenantid .

Se impostato su cfgf, il file di configurazione archiviato in locale viene usato per archiviare i segreti.

Modalità di connessione al server ABAP

Nome parametro: --connectionmode

Valori dei parametri: abap, mserv

Obbligatorio: No. Se non è specificato, il valore predefinito è abap.

Descrizione: definisce se l'agente dell'agente di raccolta dati deve connettersi direttamente al server ABAP o tramite un server di messaggi. Usare abap per fare in modo che l'agente si connetta direttamente al server ABAP, il cui nome è possibile definire usando il --abapserver parametro . Se non si definisce il nome in anticipo, lo script richiede di specificarlo. Usare mserv per connettersi tramite un server di messaggi, nel qual caso è necessario specificare i --messageserverhostparametri , --messageserverporte --logongroup .

Percorso della cartella di configurazione

Nome parametro: --configpath

Valori dei parametri: <path>

Obbligatorio: no, /opt/sapcon/<SID> viene utilizzato se non specificato.

Descrizione: per impostazione predefinita kickstart inizializza il file di configurazione, il percorso dei metadati in /opt/sapcon/<SID>. Per impostare un percorso alternativo di configurazione e metadati, usare il --configpath parametro .

Indirizzo del server ABAP

Nome parametro: --abapserver

Valori dei parametri: <servername>

Obbligatorio: No. Se il parametro non è specificato e se il parametro della modalità di connessione del server ABAP è impostato su abap, lo script richiede il nome host/indirizzo IP del server.

Descrizione: usato solo se la modalità di connessione è impostata su abap, questo parametro contiene il nome di dominio completo (FQDN), il nome breve o l'indirizzo IP del server ABAP a cui connettersi.

Numero di istanza di sistema

Nome parametro: --systemnr

Valori dei parametri: <system number>

Obbligatorio: No. Se non specificato, all'utente viene richiesto il numero di sistema.

Descrizione: specifica il numero di istanza di sistema SAP a cui connettersi.

ID sistema

Nome parametro: --sid

Valori dei parametri: <SID>

Obbligatorio: No. Se non specificato, all'utente viene richiesto l'ID di sistema.

Descrizione: specifica l'ID di sistema SAP a cui connettersi.

Numero client

Nome parametro: --clientnumber

Valori dei parametri: <client number>

Obbligatorio: No. Se non specificato, all'utente viene richiesto di specificare il numero del client.

Descrizione: specifica il numero client a cui connettersi.

Host server messaggi

Nome parametro: --messageserverhost

Valori dei parametri: <servername>

Obbligatorio: Sì, se la modalità di connessione al server ABAP è impostata su mserv.

Descrizione: specifica il nome host/indirizzo ip del server messaggi a cui connettersi. Può essere usato solo se la modalità di connessione al server ABAP è impostata su mserv.

Porta del server di messaggi

Nome parametro: --messageserverport

Valori dei parametri: <portnumber>

Obbligatorio: Sì, se la modalità di connessione al server ABAP è impostata su mserv.

Descrizione: specifica il nome del servizio (porta) del server messaggi a cui connettersi. Può essere usato solo se la modalità di connessione al server ABAP è impostata su mserv.

Gruppo di accesso

Nome parametro: --logongroup

Valori dei parametri: <logon group>

Obbligatorio: Sì, se la modalità di connessione al server ABAP è impostata su mserv.

Descrizione: specifica il gruppo di accesso da usare per la connessione a un server messaggi. Può essere usato solo se la modalità di connessione del server ABAP è impostata su mserv. Se il nome del gruppo di accesso contiene spazi, devono essere passati tra virgolette doppie, come nell'esempio --logongroup "my logon group".

Nome utente di accesso

Nome parametro: --sapusername

Valori dei parametri: <username>

Obbligatorio: No. Se non viene specificato, all'utente viene richiesto di specificare il nome utente se non usa SNC (X.509) per l'autenticazione.

Descrizione: nome utente usato per eseguire l'autenticazione al server ABAP.

Password di accesso

Nome parametro: --sappassword

Valori dei parametri: <password>

Obbligatorio: No. Se non viene specificato, all'utente viene richiesta la password, se non usa SNC (X.509) per l'autenticazione. L'input della password è mascherato.

Descrizione: password usata per l'autenticazione nel server ABAP.

Percorso del file netWeaver SDK

Nome parametro: --sdk

Valori dei parametri: <filename>

Obbligatorio: No. Lo script tenta di individuare il file nwrfc*.zip nella cartella corrente. Se non viene trovato, all'utente viene richiesto di fornire un file di archivio NetWeaver SDK valido.

Descrizione: percorso del file netWeaver SDK. Per il funzionamento dell'agente di raccolta dati è necessario un SDK valido. Per altre informazioni, vedere Prerequisiti SAP.

ID applicazione aziendale

Nome parametro: --appid

Valori dei parametri: <guid>

Obbligatorio: Sì, se la posizione di archiviazione dei segreti è impostata su kvsi.

Descrizione: quando la modalità di autenticazione di Azure Key Vault è impostata su kvsi, l'autenticazione all'insieme di credenziali delle chiavi viene eseguita usando un'identità dell'applicazione aziendale (entità servizio). Questo parametro specifica l'ID applicazione.

Segreto dell'applicazione aziendale

Nome parametro: --appsecret

Valori dei parametri: <secret>

Obbligatorio: Sì, se la posizione di archiviazione dei segreti è impostata su kvsi.

Descrizione: quando la modalità di autenticazione di Azure Key Vault è impostata su kvsi, l'autenticazione all'insieme di credenziali delle chiavi viene eseguita usando un'identità dell'applicazione aziendale (entità servizio). Questo parametro specifica il segreto dell'applicazione.

ID tenant

Nome parametro: --tenantid

Valori dei parametri: <guid>

Obbligatorio: Sì, se la posizione di archiviazione dei segreti è impostata su kvsi.

Descrizione: quando la modalità di autenticazione di Azure Key Vault è impostata su kvsi, l'autenticazione all'insieme di credenziali delle chiavi viene eseguita usando un'identità dell'applicazione aziendale (entità servizio). Questo parametro specifica l'ID tenant di Microsoft Entra.

Nome dell'insieme di credenziali delle chiavi

Nome parametro: --kvaultname

Valori dei parametri: <key vaultname>

Obbligatorio: No. Se il percorso di archiviazione dei segreti è impostato su kvsi o kvmi, lo script richiede il valore se non specificato.

Descrizione: se il percorso di archiviazione dei segreti è impostato su kvsi o kvmi, il nome dell'insieme di credenziali delle chiavi (in formato FQDN) deve essere immesso qui.

ID dell'area di lavoro Log Analytics

Nome parametro: --loganalyticswsid

Valori dei parametri: <id>

Obbligatorio: No. Se non viene specificato, lo script richiede l'ID dell'area di lavoro.

Descrizione: ID dell'area di lavoro Log Analytics a cui l'agente di raccolta dati invia i dati. Per individuare l'ID dell'area di lavoro, individuare l'area di lavoro Log Analytics nel portale di Azure: aprire Microsoft Sentinel, selezionare Impostazioni nella sezione Configurazione, selezionare Impostazioni area di lavoro e quindi Gestione agenti.

Chiave di Log Analytics

Nome parametro: --loganalyticskey

Valori dei parametri: <key>

Obbligatorio: No. Se non viene specificato, lo script richiede la chiave dell'area di lavoro. L'input è mascherato.

Descrizione: chiave primaria o secondaria dell'area di lavoro Log Analytics in cui l'agente di raccolta dati invia i dati. Per individuare l'area di lavoro Chiave primaria o secondaria, individuare l'area di lavoro Log Analytics in portale di Azure: aprire Microsoft Sentinel, selezionare Impostazioni nella sezione Configurazione, selezionare Impostazioni area di lavoro e quindi Gestione agenti.

Usare X.509 (SNC) per l'autenticazione

Nome parametro: --use-snc

Valori dei parametri: Nessuno

Obbligatorio: No. Se non specificato, il nome utente e la password vengono usati per l'autenticazione. Se specificato, --cryptolib, --sapgenpse, combinazione di --client-cert e --client-key, o --client-pfx e --client-pfx-passwd --server-certe , e in alcuni casi --cacert è necessaria l'opzione .

Descrizione: specifica che l'autenticazione X.509 viene usata per connettersi al server ABAP anziché all'autenticazione con nome utente/password. Per altre informazioni, vedere Configurare il sistema per l'uso di SNC per connessioni sicure.

Percorso della libreria di crittografia SAP

Nome parametro: --cryptolib

Valori dei parametri: <sapcryptolibfilename>

Obbligatorio: Sì, se --use-snc specificato.

Descrizione: percorso e nome file della libreria di crittografia SAP (libsapcrypto.so).

Percorso dello strumento SAPGENPSE

Nome parametro: --sapgenpse

Valori dei parametri: <sapgenpsefilename>

Obbligatorio: Sì, se --use-snc specificato.

Descrizione: percorso e nome file dello strumento sapgenpse per la creazione e la gestione di PSE-files e SSO-credentials.

Percorso della chiave pubblica del certificato client

Nome parametro: --client-cert

Valori dei parametri: <client certificate filename>

Obbligatorio: Sì, se --use-snc e il certificato sono in formato .crt/.key base 64.

Descrizione: percorso e nome file del certificato pubblico client base 64. Se il certificato client è in formato pfx, usare l'opzione --client-pfx .

Percorso della chiave privata del certificato client

Nome parametro: --client-key

Valori dei parametri: <client key filename>

Obbligatorio: sì, se --use-snc è specificato e la chiave è in formato base 64 crt/.key.

Descrizione: percorso e nome file della chiave privata del client base 64. Se il certificato client è in formato pfx, usare l'opzione --client-pfx .

Rilascio/certificazione radice certificati dell'autorità di certificazione

Nome parametro: --cacert

Valori dei parametri: <trusted ca cert>

Obbligatorio: Sì, se --use-snc è specificato e il certificato viene emesso da un'autorità di certificazione dell'organizzazione.

Descrizione: se il certificato è autofirmato, non ha una CA emittente, quindi non è presente alcuna catena di attendibilità che deve essere convalidata.

Se il certificato viene emesso da una CA aziendale, è necessario convalidare il certificato ca emittente e i certificati ca di livello superiore. Usare istanze separate del --cacert commutatore per ogni CA nella catena di attendibilità e specificare i nomi file completi dei certificati pubblici delle autorità di certificazione dell'organizzazione.

Percorso certificato PFX client

Nome parametro: --client-pfx

Valori dei parametri: <pfx filename>

Obbligatorio: Sì, se --use-snc e la chiave sono in formato pfx/.p12.

Descrizione: percorso e nome file del certificato client pfx.

Password del certificato PFX client

Nome parametro: --client-pfx-passwd

Valori dei parametri: <password>

Obbligatorio: Sì, se --use-snc viene usato, il certificato è in formato pfx/.p12 e il certificato è protetto da una password.

Descrizione: password del file PFX/P12.

Certificato del server

Nome parametro: --server-cert

Valori dei parametri: <server certificate filename>

Obbligatorio: Sì, se --use-snc viene usato.

Descrizione: percorso completo e nome del certificato server ABAP.

HTTP proxy server URL

Nome parametro: --http-proxy

Valori dei parametri: <proxy url>

Richiesto: no

Descrizione: i contenitori che non possono stabilire una connessione ai servizi di Microsoft Azure direttamente e richiedono una connessione tramite un server proxy, richiedono anche un'opzione --http-proxy per definire l'URL proxy per il contenitore. Il formato per l'URL proxy è http://hostname:port.

Rete basata su host

Nome parametro: --hostnetwork

Obbligatorio: No.

Descrizione: se si specifica l'opzione hostnetwork , l'agente usa una configurazione di rete basata su host. Questo può risolvere i problemi di risoluzione DNS interni in alcuni casi.

Confermare tutte le richieste

Nome parametro: --confirm-all-prompts

Valori dei parametri: Nessuno

Richiesto: no

Descrizione: se si specifica l'opzione --confirm-all-prompts , lo script non viene sospeso per le conferme dell'utente e richiede solo se è necessario l'input dell'utente. Usare l'opzione --confirm-all-prompts per una distribuzione zero-touch.

Usare la build di anteprima del contenitore

Nome parametro: --preview

Valori dei parametri: Nessuno

Richiesto: no

Descrizione: per impostazione predefinita, lo script kickstart per la distribuzione del contenitore distribuisce il contenitore con il :latest tag . Le funzionalità di anteprima pubblica vengono pubblicate nel :latest-preview tag . Per fare in modo che lo script di distribuzione del contenitore usi la versione di anteprima pubblica del contenitore, specificare l'opzione --preview .

Per altre informazioni, vedi: