مشاركة عبر

توصيل نظام SAP الخاص بك عن طريق نشر حاوية عامل موصل البيانات

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

لكي يعمل حل Microsoft Sentinel لتطبيقات SAP بشكل صحيح، يجب أولا الحصول على بيانات SAP الخاصة بك في Microsoft Sentinel. لتحقيق ذلك، تحتاج إلى توزيع عامل موصل بيانات SAP للحل.

توضح هذه المقالة كيفية نشر الحاوية التي تستضيف عامل موصل بيانات SAP والاتصال بنظام SAP الخاص بك، وهي الخطوة الثالثة في نشر حل Microsoft Sentinel لتطبيقات SAP. تأكد من تنفيذ الخطوات الواردة في هذه المقالة بالترتيب الذي يتم تقديمها به.

رسم تخطيطي لتدفق توزيع حل SAP، مع تمييز خطوة نشر حاوية عامل البيانات.

المحتوى في هذه المقالة ذو صلة بفرق الأمان والبنية الأساسية وSAP BASIS .

المتطلبات الأساسية

قبل نشر عامل موصل البيانات:

مشاهدة فيديو تجريبي

شاهد أحد عروض الفيديو التوضيحية التالية لعملية النشر الموضحة في هذه المقالة.

تعمق في خيارات المدخل:

يتضمن المزيد من التفاصيل حول استخدام Azure KeyVault. لا صوت، العرض التوضيحي فقط مع التسميات التوضيحية:

إنشاء جهاز ظاهري وتكوين الوصول إلى بيانات الاعتماد الخاصة بك

نوصي بإنشاء جهاز ظاهري مخصص لحاوية عامل موصل البيانات لضمان الأداء الأمثل وتجنب التعارضات المحتملة. لمزيد من المعلومات، راجع متطلبات النظام الأساسية.

نوصي بتخزين أسرار SAP والمصادقة في مخزن مفاتيح Azure. تعتمد كيفية الوصول إلى خزنة المفاتيح الخاصة بك على مكان نشر الجهاز الظاهري (VM):

أسلوب النشر طريقة الوصول
حاوية على جهاز Azure الظاهري نوصي باستخدام هوية مدارة معينة من قبل نظام Azure للوصول إلى Azure Key Vault.

إذا تعذر استخدام هوية مدارة معينة من قبل النظام، يمكن للحاوية أيضا المصادقة على Azure Key Vault باستخدام أساس خدمة التطبيق المسجل لمعرف Microsoft Entra، أو كملف تكوين كملاذ أخير.
حاوية على جهاز ظاهري محلي أو جهاز ظاهري في بيئة سحابية تابعة لجهة خارجية المصادقة على Azure Key Vault باستخدام Microsoft Entra ID registered-application service principal.

إذا لم تتمكن من استخدام تطبيق مسجل أو كيان خدمة، فاستخدم ملف تكوين لإدارة بيانات الاعتماد الخاصة بك، على الرغم من أن هذا الأسلوب غير مفضل. لمزيد من المعلومات، راجع نشر موصل البيانات باستخدام ملف تكوين.

لمزيد من المعلومات، راجع:

عادة ما يتم إنشاء جهازك الظاهري بواسطة فريق البنية الأساسية. عادة ما يتم تكوين الوصول إلى بيانات الاعتماد وإدارة خزائن المفاتيح من قبل فريق الأمان الخاص بك.

إنشاء هوية مدارة باستخدام Azure VM

  1. قم بتشغيل الأمر التالي لإنشاء جهاز ظاهري في Azure، واستبدال الأسماء الفعلية من البيئة الخاصة بك ل <placeholders>:

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

    لمزيد من المعلومات، راجع التشغيل السريع: إنشاء الأجهزة الافتراضية الخاصة بــ Linux باستخدام Azure CLI.

    هام

    بعد إنشاء الجهاز الظاهري، تأكد من تطبيق أي متطلبات أمان وإجراءات تقوية قابلة للتطبيق في مؤسستك.

    ينشئ هذا الأمر مورد الجهاز الظاهري، وينتج إخراجا يبدو كما يلي:

    {
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

  2. انسخ systemAssignedIdentity GUID، حيث سيتم استخدامه في الخطوات القادمة. هذه هي هويتك المدارة.

إنشاء مخزن رئيسي

يصف هذا الإجراء كيفية إنشاء مخزن مفاتيح لتخزين معلومات تكوين العامل، بما في ذلك أسرار مصادقة SAP. إذا كنت تستخدم مخزن مفاتيح موجود، فانتقل مباشرة إلى الخطوة 2.

لإنشاء خزنة المفاتيح الخاصة بك:

  1. قم بتشغيل الأوامر التالية، واستبدال الأسماء الفعلية للقيم <placeholder> .

    az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

  2. انسخ اسم مخزن المفاتيح واسم مجموعة الموارد الخاصة به. ستحتاج إلى هذه عند تعيين أذونات الوصول إلى مخزن المفاتيح وتشغيل البرنامج النصي للتوزيع في الخطوات التالية.

تعيين أذونات الوصول إلى مخزن المفاتيح

  1. في مخزن المفاتيح الخاص بك، قم بتعيين أذونات نهج الوصول المستندة إلى دور Azure التالية أو نهج الوصول إلى المخزن في نطاق الأسرار إلى الهوية التي قمت بإنشائها ونسخها سابقا.

    نموذج الأذن الأذونات المطلوبة
    التحكم في الوصول المستند إلى الدور في Azure مستخدم بيانات Key Vault السرية
    نهج الوصول إلى المخزن get, list

    استخدم الخيارات في المدخل لتعيين الأذونات، أو قم بتشغيل أحد الأوامر التالية لتعيين أذونات أسرار المخزن الرئيسي لهويتك، واستبدال الأسماء الفعلية للقيم <placeholder> . حدد علامة التبويب لنوع الهوية التي أنشأتها.

    يسمح النهج المحدد في الأوامر للجهاز الظاهري بإدراج البيانات السرية وقراءتها من مخزن المفاتيح.

    • نموذج إذن التحكم في الوصول المستند إلى الدور في Azure:

      az role assignment create --assignee-object-id <ManagedIdentityId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName> /providers/Microsoft.KeyVault/vaults/<KeyVaultName>

    • نموذج إذن نهج الوصول إلى المخزن:

      az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <ManagedIdentityId> --secret-permissions get list

  2. في نفس مخزن المفاتيح، قم بتعيين أذونات نهج الوصول المستندة إلى دور Azure التالية أو نهج الوصول إلى المخزن على نطاق الأسرار للمستخدم الذي يقوم بتكوين عامل موصل البيانات:

    نموذج الأذن الأذونات المطلوبة
    التحكم في الوصول المستند إلى الدور في Azure مسؤول بيانات Key Vault السرية
    نهج الوصول إلى المخزن get، ، list، setdelete

    استخدم الخيارات الموجودة في المدخل لتعيين الأذونات، أو قم بتشغيل أحد الأوامر التالية لتعيين أذونات أسرار المخزن الرئيسي للمستخدم، واستبدال الأسماء الفعلية للقيم <placeholder> :

    • نموذج إذن التحكم في الوصول المستند إلى الدور في Azure:

      az role assignment create --role "Key Vault Secrets Officer" --assignee <UserPrincipalName> --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>

    • نموذج إذن نهج الوصول إلى المخزن:

      az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --upn <UserPrincipalName>--secret-permissions get list set delete

نشر عامل موصل البيانات من المدخل (معاينة)

الآن بعد أن قمت بإنشاء جهاز ظاهري وKey Vault، فإن خطوتك التالية هي إنشاء عامل جديد والاتصال بأحد أنظمة SAP الخاصة بك. بينما يمكنك تشغيل عوامل موصل بيانات متعددة على جهاز واحد، نوصي بالبدء بواحد فقط، ومراقبة الأداء، ثم زيادة عدد الموصلات ببطء.

يصف هذا الإجراء كيفية إنشاء عامل جديد وتوصيله بنظام SAP الخاص بك باستخدام مداخل Azure أو Defender. نوصي بأن يقوم فريق الأمان الخاص بك بتنفيذ هذا الإجراء بمساعدة من فريق SAP BASIS.

يتم دعم نشر عامل موصل البيانات من المدخل من كل من مدخل Microsoft Azure، ومدخل Defender إذا قمت بإلحاق مساحة العمل الخاصة بك بالنظام الأساسي لعمليات الأمان الموحدة.

بينما يتم دعم النشر أيضا من سطر الأوامر، نوصي باستخدام المدخل لإجراء عمليات توزيع نموذجية. يمكن إدارة عوامل موصل البيانات المنشورة باستخدام سطر الأوامر فقط عبر سطر الأوامر، وليس عبر المدخل. لمزيد من المعلومات، راجع نشر عامل موصل بيانات SAP من سطر الأوامر.

هام

نشر الحاوية وإنشاء اتصالات بأنظمة SAP من المدخل حاليا في PREVIEW. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

المتطلبات الأساسية:

  • لنشر عامل موصل البيانات عبر المدخل، تحتاج إلى:

    • المصادقة عبر هوية مدارة أو تطبيق مسجل
    • بيانات الاعتماد المخزنة في Azure Key Vault

    إذا لم يكن لديك هذه المتطلبات الأساسية، فوزع عامل موصل بيانات SAP من سطر الأوامر بدلا من ذلك.

  • لنشر عامل موصل البيانات، تحتاج أيضا إلى امتيازات sudo أو الجذر على جهاز عامل موصل البيانات.

  • إذا كنت ترغب في استيعاب سجلات Netweaver/ABAP عبر اتصال آمن باستخدام اتصالات الشبكة الآمنة (SNC)، فأنت بحاجة إلى:

    • المسار إلى المكتبة sapgenpse الثنائية libsapcrypto.so
    • تفاصيل شهادة العميل

    لمزيد من المعلومات، راجع تكوين النظام لاستخدام SNC للاتصالات الآمنة.

لنشر عامل موصل البيانات:

  1. سجل الدخول إلى الجهاز الظاهري الذي تم إنشاؤه حديثا والذي تقوم بتثبيت العامل عليه، كمستخدم لديه امتيازات sudo.

  2. قم بتنزيل و/أو نقل SAP NetWeaver SDK إلى الجهاز.

  3. في Microsoft Sentinel، حدد موصلات بيانات التكوين>.

  4. في شريط البحث، أدخل SAP. حدد Microsoft Sentinel ل SAP من نتائج البحث ثم افتح صفحة الموصل.

  5. في منطقة التكوين ، حدد إضافة عامل جديد (معاينة).

    لقطة شاشة للإرشادات لإضافة عامل مجمع يستند إلى SAP API.

  6. في جزء Create a collector agent أدخل تفاصيل العامل التالية:

    Name ‏‏الوصف
    اسم العامل أدخل اسم عامل ذي معنى لمؤسستك. لا نوصي بأي اصطلاح تسمية محدد، باستثناء أن الاسم يمكن أن يتضمن فقط الأنواع التالية من الأحرف:
    • a-z
    • A-Z
    • 0-9
    • _ (شرطة سفلية)
    • . (الفترة)
    • - (شرطة)
    مخزن مفتاح الاشتراك / حدد Subscription وKey vault من القوائم المنسدلة الخاصة بهم.
    مسار ملف مضغوط NWRFC SDK على الجهاز الظاهري للعامل أدخل المسار في الجهاز الظاهري الذي يحتوي على أرشيف SAP NetWeaver Remote Function Call (RFC) Software Development Kit (SDK) (ملف .zip).

    تأكد من أن هذا المسار يتضمن رقم إصدار SDK في بناء الجملة التالي: <path>/NWRFC<version number>.zip. على سبيل المثال: /src/test/nwrfc750P_12-70002726.zip.
    تمكين دعم اتصال SNC حدد لاستيعاب سجلات NetWeaver/ABAP عبر اتصال آمن باستخدام SNC.

    إذا قمت بتحديد هذا الخيار، أدخل المسار الذي يحتوي على sapgenpse الثنائي والمكتبة libsapcrypto.so ، ضمن مسار مكتبة تشفير SAP على الجهاز الظاهري للعامل.

    إذا كنت تريد استخدام اتصال SNC، فتأكد من تحديد تمكين دعم اتصال SNC في هذه المرحلة حيث لا يمكنك العودة وتمكين اتصال SNC بعد الانتهاء من نشر العامل. إذا كنت تريد تغيير هذا الإعداد بعد ذلك، نوصي بإنشاء عامل جديد بدلا من ذلك.
    المصادقة على Azure Key Vault للمصادقة على مخزن المفاتيح الخاص بك باستخدام هوية مدارة، اترك خيار الهوية المدارة الافتراضي محددا. للمصادقة على مخزن المفاتيح الخاص بك باستخدام تطبيق مسجل، حدد هوية التطبيق.

    يجب أن يكون لديك الهوية المدارة أو التطبيق المسجل الذي تم إعداده مسبقا. لمزيد من المعلومات، راجع إنشاء جهاز ظاهري وتكوين الوصول إلى بيانات الاعتماد الخاصة بك.

    على سبيل المثال:

    لقطة شاشة لمنطقة إنشاء عامل مجمع.

  7. حدد Create وراجع التوصيات قبل إكمال النشر:

    لقطة شاشة للمرحلة النهائية من توزيع العامل.

  8. يتطلب نشر عامل موصل بيانات SAP منح هوية الجهاز الظاهري للعامل الخاص بك بأذونات محددة لمساحة عمل Microsoft Sentinel، باستخدام أدوار عامل عامل تطبيقات الأعمال Microsoft Sentinel وأدوار القارئ .

    لتشغيل الأوامر في هذه الخطوة، يجب أن تكون مالك مجموعة موارد على مساحة عمل Microsoft Sentinel. إذا لم تكن مالك مجموعة موارد في مساحة العمل الخاصة بك، يمكن أيضا تنفيذ هذا الإجراء بعد اكتمال نشر العامل.

    ضمن بضع خطوات إضافية فقط قبل أن ننتهي، انسخ أوامر تعيين الدور من الخطوة 1 وقم بتشغيلها على الجهاز الظاهري للعامل الخاص بك، واستبدال [Object_ID] العنصر النائب بمعرف كائن هوية الجهاز الظاهري. على سبيل المثال:

    لقطة شاشة لأيقونة Copy للأمر من الخطوة 1.

    للعثور على معرف كائن هوية الجهاز الظاهري في Azure:

    • بالنسبة للهوية المدارة، يتم سرد معرف الكائن في صفحة هوية الجهاز الظاهري.

    • بالنسبة إلى كيان الخدمة، انتقل إلى تطبيق المؤسسة في Azure. حدد جميع التطبيقات ثم حدد الجهاز الظاهري الخاص بك. يتم عرض معرف الكائن في صفحة نظرة عامة .

    تعين هذه الأوامر عامل Microsoft Sentinel Business Applications Agent وأدوار Reader Azure إلى هوية الجهاز الظاهري المدارة أو التطبيق، بما في ذلك نطاق بيانات العامل المحدد فقط في مساحة العمل.

    هام

    تعيين عامل Microsoft Sentinel Business Applications Agent وأدوار القارئ عبر CLI يعين الأدوار فقط على نطاق بيانات العامل المحدد في مساحة العمل. هذا هو الخيار الأكثر أمانا، وبالتالي يوصى به.

    إذا كان يجب تعيين الأدوار عبر مدخل Microsoft Azure، نوصي بتعيين الأدوار على نطاق صغير، مثل مساحة عمل Microsoft Sentinel فقط.

  9. حدد نسخ لقطة شاشة لرمز النسخ بجوار أمر نشر العامل. بجوار أمر نشر العامل في الخطوة 2. على سبيل المثال:

    لقطة شاشة لأمر العامل للنسخ في الخطوة 2.

  10. انسخ سطر الأوامر إلى موقع منفصل ثم حدد إغلاق.

    يتم نشر معلومات العامل ذات الصلة في Azure Key Vault، والعامل الجديد مرئي في الجدول ضمن إضافة عامل مجمع يستند إلى واجهة برمجة التطبيقات.

    في هذه المرحلة، الحالة الصحية للعامل هي "تثبيت غير مكتمل. يرجى اتباع التعليمات". بمجرد تثبيت العامل بنجاح، تتغير الحالة إلى Agent healthy. قد يستغرق هذا التحديث ما يصل إلى 10 دقائق. على سبيل المثال:

    لقطة شاشة للحالات الصحية لوكلاء المجمع المستندين إلى واجهة برمجة التطبيقات في صفحة موصل بيانات SAP.

    إشعار

    يعرض الجدول اسم العامل والحالة الصحية فقط للوكلاء الذين تنشرهم عبر مدخل Microsoft Azure. لا يتم عرض العوامل التي تم نشرها باستخدام سطر الأوامر هنا. لمزيد من المعلومات، راجع علامة التبويب سطر الأوامر بدلا من ذلك.

  11. على الجهاز الظاهري حيث تخطط لتثبيت العامل، افتح محطة طرفية وقم بتشغيل أمر نشر العامل الذي نسخته في الخطوة السابقة. تتطلب هذه الخطوة امتيازات sudo أو الجذر على جهاز عامل موصل البيانات.

    يقوم البرنامج النصي بتحديث مكونات نظام التشغيل وتثبيت Azure CLI وبرنامج Docker وغيرها من الأدوات المساعدة المطلوبة، مثل jq وnetcat و curl.

    توفير معلمات إضافية للبرنامج النصي حسب الحاجة لتخصيص نشر الحاوية. لمزيد من المعلومات حول خيارات سطر الأوامر المتوفرة، راجع مرجع البرنامج النصي لـ Kickstart.

    إذا كنت بحاجة إلى نسخ الأمر مرة أخرى، فحدد عرض لقطة شاشة لرمز View بجوار عمود Health. إلى يمين العمود Health وانسخ الأمر بجوار أمر نشر العامل في أسفل اليمين.

  12. في صفحة موصل بيانات حل Microsoft Sentinel لتطبيق SAP، في منطقة التكوين ، حدد إضافة نظام جديد (معاينة) وأدخل التفاصيل التالية:

    • ضمن تحديد عامل، حدد العامل الذي أنشأته سابقا.

    • ضمن معرف النظام، حدد نوع الخادم:

      • خادم ABAP
      • خادم الرسائل لاستخدام خادم رسائل كجزء من خدمات ABAP SAP المركزية (ASCS).

    • تابع عن طريق تحديد التفاصيل ذات الصلة لنوع الخادم الخاص بك:

      • بالنسبة لخادم ABAP، أدخل عنوان IP/FQDN لخادم تطبيق ABAP، ومعرف النظام ورقمه، ومعرف العميل.
      • بالنسبة لخادم الرسائل، أدخل عنوان IP/FQDN لخادم الرسائل ورقم المنفذ أو اسم الخدمة ومجموعة تسجيل الدخول

    عند الانتهاء، حدد Next: Authentication.

    على سبيل المثال:

    لقطة شاشة لعلامة التبويب Add new system settings في منطقة النظام.

  13. في علامة التبويب Authentication ، أدخل التفاصيل التالية:

    • للمصادقة الأساسية، أدخل المستخدم وكلمة المرور.
    • إذا حددت اتصال SNC عند إعداد العامل، فحدد SNC وأدخل تفاصيل الشهادة.

    عند الانتهاء، حدد Next: Logs.

  14. في علامة التبويب سجلات ، حدد السجلات التي تريد استيعابها من SAP، ثم حدد التالي: مراجعة وإنشاء. على سبيل المثال:

    لقطة شاشة لعلامة التبويب Logs في جزء Add new system side.

  15. (اختياري) للحصول على أفضل النتائج في مراقبة جدول SAP PAHI، حدد Configuration History. لمزيد من المعلومات، راجع التحقق من تحديث جدول PAHI على فترات منتظمة.

  16. راجع الإعدادات التي حددتها. حدد السابق لتعديل أي إعدادات، أو حدد نشر لنشر النظام.

يتم نشر تكوين النظام الذي قمت بتعريفه في مخزن مفاتيح Azure الذي قمت بتعريفه أثناء النشر. يمكنك الآن رؤية تفاصيل النظام في الجدول ضمن تكوين نظام SAP وتعيينه إلى عامل مجمع. يعرض هذا الجدول اسم العامل المقترن ومعرف نظام SAP (SID) والحالة الصحية للأنظمة التي أضفتها عبر المدخل أو غير ذلك.

في هذه المرحلة، الحالة الصحية للنظام معلقة. إذا تم تحديث العامل بنجاح، فإنه يسحب التكوين من Azure Key vault، وتتغير الحالة إلى النظام السليم. قد يستغرق هذا التحديث ما يصل إلى 10 دقائق.

التحقق من الاتصال والصحة

بعد نشر عامل موصل بيانات SAP، تحقق من صحة الوكيل والاتصال. لمزيد من المعلومات، راجع مراقبة صحة ودور أنظمة SAP الخاصة بك.

الخطوة التالية

بمجرد نشر الموصل، تابع لتكوين حل Microsoft Sentinel لمحتوى تطبيقات SAP. على وجه التحديد، يعد تكوين التفاصيل في قوائم المراقبة خطوة أساسية في تمكين عمليات الكشف والحماية من التهديدات.

تمكين اكتشافات SAP والحماية من التهديدات