Bereitstellen und Konfigurieren des Containers für den SAP-Datenconnector-Agent
Dieser Artikel zeigt Ihnen, wie Sie den Container bereitstellen, der den SAP-Datenkonnektoragent hostet, und wie Sie ihn zum Erstellen von Verbindungen zu Ihren SAP-Systemen verwenden. Dieser zweistufige Prozess ist erforderlich, um SAP-Daten im Rahmen der Microsoft Sentinel-Lösung für SAP-Anwendungen in Microsoft Sentinel zu erfassen.
Die empfohlene Methode zum Bereitstellen des Containers und zum Erstellen von Verbindungen mit SAP-Systemen ist über das Azure-Portal. Diese Methode wird im Artikel erläutert und auch in diesem Video auf YouTube demonstriert. In diesem Artikel wird auch gezeigt, wie Sie diese Ziele erreichen können, indem Sie ein Kickstart-Skript über die Befehlszeile aufrufen.
Alternativ können Sie den Datenkonnektoragent für den Docker-Container manuell bereitstellen, z. B. in einem Kubernetes-Cluster. Um weitere Informationen zu erhalten, öffnen Sie ein Supportticket.
Wichtig
Das Bereitstellen des Containers und das Erstellen von Verbindungen mit SAP-Systemen über das Azure-Portal befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die einheitlichen Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Bereitstellungsmeilensteine
Die Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen ist in die folgenden Abschnitte unterteilt:
Mit der Lösung über mehrere Arbeitsbereiche hinweg arbeiten (VORSCHAU)
Bereitstellen der Microsoft Sentinel-Lösung für SAP®-Anwendungen aus dem Inhaltshub
Bereitstellen des Datenkonnektoragents (Sie sind hier)
Konfigurieren der Microsoft Sentinel-Lösung für SAP®-Anwendungen
Optionale Bereitstellungsschritte
Übersicht zur Bereitstellung des Datenconnector-Agents
Damit die Microsoft Sentinel-Lösung für SAP-Anwendungen ordnungsgemäß funktioniert, müssen Sie zuerst Ihre SAP-Daten in Microsoft Sentinel übertragen. Zu diesem Zweck müssen Sie den SAP-Datenconnector-Agent der Lösung bereitstellen.
Der Datenconnector-Agent wird als Container auf einem virtuellen Linux-Computer (VM) ausgeführt. Diese VM kann entweder in Azure, in der Cloud eines Drittanbieters oder lokal gehostet werden. Wir empfehlen Ihnen, diesen Container mithilfe des Azure-Portals (in der VORSCHAU) zu installieren und zu konfigurieren, Sie können ihn jedoch auch mit einem Kickstart-Skript bereitstellen. Wenn Sie den Datenkonnektoragent für den Docker-Container manuell bereitstellen möchten, z. B. in einem Kubernetes-Cluster, öffnen Sie ein Supportticket, um weitere Details zu erhalten.
Der Agent stellt eine Verbindung mit Ihrem SAP-System her, um die Protokolle und andere Daten daraus abzurufen, und sendet diese Protokolle dann an Ihren Microsoft Sentinel-Arbeitsbereich. Dazu muss sich der Agent bei Ihrem SAP-System authentifizieren – deshalb haben Sie im vorherigen Schritt einen Benutzer und eine Rolle für den Agent in Ihrem SAP-System erstellt.
Sie haben einige Auswahlmöglichkeiten, wie und wo die Konfigurationsinformationen Ihres Agents gespeichert werden sollen, einschließlich Ihrer SAP-Authentifizierungsschlüssel. Die Entscheidung, welche der Möglichkeiten Sie verwenden möchten, kann davon beeinflusst werden, wo Sie Ihre VM bereitstellen und welchen SAP-Authentifizierungsmechanismus Sie verwenden möchten. Dies sind die Optionen in absteigender Reihenfolge der Eignung:
- Ein Azure Key Vault, auf den durch eine systemseitig zugewiesene verwaltete Azure-Identität zugegriffen wird
- Eine Azure Key Vault-Instanz, auf die über einen registrierten Microsoft Entra ID-Anwendungsdienstprinzipal zugegriffen wird.
- Eine Konfigurationsdatei in Klartext
Für jedes dieser Szenarien haben Sie die zusätzliche Möglichkeit, sich mit SNC (Secure Network Communication) von SAP und X.509-Zertifikaten zu authentifizieren. Diese Option bietet eine höhere Ebene der Authentifizierungssicherheit, ist aber nur in einer begrenzten Gruppe von Szenarien eine praktikable Option.
Die Bereitstellung des Containers für den Datenkonnektoragent umfasst die folgenden Schritte:
Erstellen der VM und Einrichten des Zugriffs auf Ihre SAP-Systemanmeldeinformationen. Diese Prozedur muss möglicherweise von einem anderen Team in Ihrer Organisation, aber vor den anderen Prozeduren in diesem Artikel ausgeführt werden.
Richten Sie den Datenkonnektoragent ein, und stellen Sie ihn bereit.
Konfigurieren Sie den Agent, um eine Verbindung mit einem SAP-System herzustellen.
Voraussetzungen
Bevor Sie den Datenkonnektoragent bereitstellen, stellen Sie sicher, dass alle Bereitstellungsvoraussetzungen vorhanden sind. Weitere Informationen finden Sie unter Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen.
Wenn Sie außerdem beabsichtigen, NetWeaver/ABAP-Protokolle über eine sichere Verbindung mithilfe von Secure Network Communications (SNC) zu erfassen, führen Sie die entsprechenden Vorbereitungsschritte aus. Weitere Informationen finden Sie unter Bereitstellen des Microsoft Sentinel für SAP-Datenkonnektors mithilfe von SNC.
Erstellen einer VM und Konfigurieren des Zugriffs auf Ihre Anmeldeinformationen
Idealerweise können und sollten Ihre SAP-Konfigurations- und Authentifizierungsgeheimnisse in einem Azure Key Vault gespeichert werden. Wie Sie auf Ihren Schlüsseltresor zugreifen, hängt davon ab, wo Ihre VM bereitgestellt wird:
Ein Container auf einer Azure-VM kann eine systemseitig zugewiesene verwaltete Azure-Identität verwenden, um nahtlos auf Azure Key Vault zuzugreifen.
Wenn keine systemseitig zugewiesene verwaltete Identität verwendet werden kann, kann sich der Container auch mit einem in Microsoft Entra ID registrierten Anwendungsdienstprinzipal oder, als letzte Möglichkeit, mit einer Konfigurationsdatei bei Azure Key Vault authentifizieren.
Ein Container auf einer lokalen VM oder eine VM in einer Drittanbieter-Cloudumgebung kann keine von Azure verwaltete Identität verwenden, sich aber mit einem in Microsoft Entra ID registrierten Anwendungsdienstprinzipal bei Azure Key Vault authentifizieren.
Wenn aus irgendeinem Grund kein registrierter Anwendungsdienstprinzipal verwendet werden kann, können Sie eine Konfigurationsdatei verwenden, obwohl dies keine bevorzugte Lösung ist.
Hinweis
Diese Prozedur muss möglicherweise von einem anderen Team in Ihrer Organisation, aber vor den anderen Prozeduren in diesem Artikel ausgeführt werden.
Wählen Sie eine der folgenden Registerkarten aus, je nachdem, wie Sie Ihre Authentifizierungsanmeldeinformationen und Konfigurationsdaten speichern und darauf zugreifen möchten.
Erstellen einer verwalteten Identität mit einer Azure-VM
Führen Sie den folgenden Befehl aus, um in Azure eine VM zu erstellen (ersetzen Sie die
<placeholders>durch die tatsächlichen Namen aus Ihrer Umgebung):az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>Weitere Informationen finden Sie unter Schnellstart: Erstellen einer Linux-VM mit der Azure CLI.
Wichtig
Achten Sie nach dem Erstellen der VM unbedingt darauf, alle Sicherheitsanforderungen und Härtungsverfahren anzuwenden, die in Ihrer Organisation gültig sind.
Der Befehl oben erstellt die VM-Ressource, wodurch die folgende Ausgabe erzeugt wird:
{ "fqdns": "", "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname", "identity": { "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy", "userAssignedIdentities": {} }, "location": "westeurope", "macAddress": "00-11-22-33-44-55", "powerState": "VM running", "privateIpAddress": "192.168.136.5", "publicIpAddress": "", "resourceGroup": "resourcegroupname", "zones": "" }Kopieren Sie die systemAssignedIdentity-GUID, da sie in den kommenden Schritten verwendet wird. Dies ist Ihre verwaltete Identität.
Erstellen eines Schlüsseltresors
Diese Prozedur beschreibt, wie Sie einen Schlüsseltresor zum Speichern der Konfigurationsinformationen Ihres Agents erstellen, einschließlich Ihrer SAP-Authentifizierungsgeheimnisse. Wenn Sie einen vorhandenen Schlüsseltresor verwenden, fahren Sie direkt mit Schritt 2 fort.
So erstellen Sie Ihren Schlüsseltresor:
Führen Sie die folgenden Befehle aus, und ersetzen Sie die
<placeholder>-Werte mit tatsächlichen Namen.az keyvault create \ --name <KeyVaultName> \ --resource-group <KeyVaultResourceGroupName>Kopieren Sie den Namen Ihres Schlüsseltresors und den Namen seiner Ressourcengruppe. Sie benötigen diese, wenn Sie die Zugriffsberechtigungen für den Schlüsseltresor zuweisen und das Bereitstellungsskript in den nächsten Schritten ausführen.
Schlüsseltresor-Zugriffsberechtigungen zuweisen
Weisen Sie in Ihrem Schlüsseltresor der Identität, die Sie zuvor erstellt und kopiert haben, die folgenden Berechtigungen für die rollenbasierte Zugriffssteuerung in Azure oder die Tresorzugriffsrichtlinie für den Geheimnisbereich zu.
Berechtigungsmodell Erforderliche Berechtigungen Rollenbasierte Zugriffssteuerung (Azure) Key Vault-Geheimnisbenutzer Tresorzugriffsrichtlinie get,listVerwenden Sie die Optionen im Portal, um die Berechtigungen zuzuweisen, oder führen Sie einen der folgenden Befehle aus, um Ihrer Identität Berechtigungen für die Schlüsseltresorgeheimnisse zuzuweisen, und ersetzen Sie die
<placeholder>-Werte mit tatsächlichen Namen. Wählen Sie die Registerkarte für den Identitätstyp aus, den Sie erstellt haben.- Berechtigungen für die verwaltete Identität zuweisen
- Berechtigungen für die registrierte Anwendung zuweisen
Führen Sie einen der folgenden Befehle aus, abhängig von Ihrem bevorzugten Key Vault-Berechtigungsmodell, um der systemseitig zugewiesenen verwalteten Identität Ihrer VM Berechtigungen für Schlüsseltresorgeheimnisse zuzuweisen. Mit der in den Befehlen angegebenen Richtlinie kann die VM Geheimnisse aus dem Schlüsseltresor auflisten und lesen.
Berechtigungsmodell für die rollenbasierte Zugriffssteuerung in Azure:
az role assignment create --assignee-object-id <ManagedIdentityId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName> /providers/Microsoft.KeyVault/vaults/<KeyVaultName>Berechtigungsmodell für die Tresorzugriffsrichtlinie:
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <ManagedIdentityId> --secret-permissions get list
Weisen Sie im gleichen Schlüsseltresor dem Benutzer, der den Datenkonnektoragent konfiguriert, die folgenden Berechtigungen für die rollenbasierte Zugriffssteuerung in Azure oder die Tresorzugriffsrichtlinie für den Geheimnisbereich zu:
Berechtigungsmodell Erforderliche Berechtigungen Rollenbasierte Zugriffssteuerung (Azure) Key Vault-Geheimnisbeauftragter Tresorzugriffsrichtlinie get,list,set,deleteVerwenden Sie die Optionen im Portal, um die Berechtigungen zuzuweisen, oder führen Sie einen der folgenden Befehle aus, um dem Benutzer Berechtigungen für die Schlüsseltresorgeheimnisse zuzuweisen, und ersetzen Sie die
<placeholder>-Werte mit tatsächlichen Namen:Berechtigungsmodell für die rollenbasierte Zugriffssteuerung in Azure:
az role assignment create --role "Key Vault Secrets Officer" --assignee <UserPrincipalName> --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>Berechtigungsmodell für die Tresorzugriffsrichtlinie:
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --upn <UserPrincipalName>--secret-permissions get list set delete
Bereitstellen des Agenten für den Datenconnector
Nachdem Sie nun eine VM und einen Key Vault erstellt haben, besteht der nächste Schritt darin, einen neuen Agent zu erstellen und eine Verbindung mit einem Ihrer SAP-Systeme herzustellen.
Melden Sie sich bei der neu erstellten VM, auf der Sie den Agent installieren, als Benutzer mit sudo-Berechtigungen an.
Laden Sie das SAP NetWeaver SDK auf den Computer herunter, oder übertragen Sie es.
Verwenden Sie eine der folgenden Prozeduren, je nachdem, ob Sie eine verwaltete Identität oder eine registrierte Anwendung verwenden, um auf Ihren Schlüsseltresor zuzugreifen, und ob Sie das Azure-Portal oder die Befehlszeile für die Bereitstellung des Agenten verwenden:
Tipp
Das Azure-Portal kann nur mit einem Azure-Schlüsseltresor verwendet werden. Wenn Sie stattdessen eine Konfigurationsdatei verwenden, verwenden Sie die entsprechende Befehlszeilenoption.
Optionen im Azure-Portal (Vorschau)
Wählen Sie eine der folgenden Registerkarten aus, abhängig vom Identitätstyp, den Sie für den Zugriff auf Ihren Schlüsseltresor verwenden.
Hinweis
Wenn Sie zuvor SAP-Konnektoragenten manuell oder mithilfe der Kickstartskripts installiert haben, können Sie diese Agents im Azure-Portal nicht konfigurieren oder verwalten. Wenn Sie das Portal zum Konfigurieren und Aktualisieren von Agents verwenden möchten, müssen Sie Ihre vorhandenen Agents über das Portal neu installieren.
Diese Prozedur beschreibt, wie Sie einen neuen Agent über das Azure-Portal erstellen und mit einer verwalteten Identität authentifizieren:
Wählen Sie im Microsoft Sentinel-Navigationsmenü die Option Datenconnectors aus.
Geben Sie in der Suchleiste SAP ein.
Wählen Sie Microsoft Sentinel für SAP aus den Suchergebnissen und dann die Seite „Konnektor öffnen aus.
Um Daten aus einem SAP-System zu sammeln, müssen Sie diese beiden Schritte ausführen:
Erstellen eines neuen Agents
Wählen Sie im Bereich Konfiguration die Option Neuen Agent hinzufügen (Vorschau) aus.
Definieren Sie unter Erstellen eines Collector-Agents auf der rechten Seite die Agentdetails:
Name Beschreibung Agentname Geben Sie einen Agentnamen ein, einschließlich eines der folgenden Zeichen: - a – z
- A – Z
- 0-9
- _ (Unterstrich)
- . (period)
- - (Bindestrich)
Abonnement / Schlüsseltresor Wählen Sie das Abonnement und den Schlüsseltresor aus den jeweiligen Dropdownlisten aus. NWRFC SDK ZIP-Dateipfad auf der Agent-VM Geben Sie den Pfad in Ihrer VM ein, der das Software Development Kit (SDK)-Archiv (ZIP-Datei) für den SAP NetWeaver-Remote-Funktionsaufruf (Remote Function Call, RFC) enthält.
Stellen Sie sicher, dass dieser Pfad die SDK-Versionsnummer in der folgenden Syntax enthält:<path>/NWRFC<version number>.zip. Beispiel:/src/test/nwrfc750P_12-70002726.zipAktivieren der SNC-Verbindungsunterstützung Wählen Sie aus, dass NetWeaver/ABAP-Protokolle über eine sichere Verbindung mit Secure Network Communications (SNC) erfasst werden sollen.
Wenn Sie diese Option auswählen, geben Sie unter dem SAP Cryptographic Library-Pfad auf der Agent-VM den Pfad an, der diesapgenpse-Binärdatei und dielibsapcrypto.so-Bibliothek enthält.Authentifizierung beim Azure Key Vault Um sich mit einer verwalteten Identität bei Ihrem Schlüsseltresor zu authentifizieren, lassen Sie die Standardoption Verwaltete Identität ausgewählt.
Sie müssen die verwaltete Identität vorab eingerichtet haben. Weitere Informationen finden Sie unter Erstellen einer VM und Konfigurieren des Zugriffs auf Ihre Anmeldeinformationen.Hinweis
Wenn Sie eine SNC-Verbindung verwenden möchten, stellen Sie sicher, dass Sie in dieser Phase die SNC-Verbindungsunterstützung aktivieren, da Sie nicht zurückkehren und eine SNC-Verbindung aktivieren können, nachdem Sie die Bereitstellung des Agents abgeschlossen haben. Weitere Informationen finden Sie unter Bereitstellen des Microsoft Sentinel für SAP-Datenkonnektors mithilfe von SNC.
Zum Beispiel:
Wählen Sie Erstellen aus, und überprüfen Sie die Empfehlungen, bevor Sie die Bereitstellung abschließen:
Für die Bereitstellung des SAP-Datenkonnektoragents müssen Sie der VM-Identität Ihres Agents bestimmte Berechtigungen für den Microsoft Sentinel-Arbeitsbereich gewähren, indem Sie die Rolle Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen verwenden.
Um den Befehl in diesem Schritt auszuführen, müssen Sie ein Ressourcengruppenbesitzer in Ihrem Microsoft Sentinel-Arbeitsbereich sein. Wenn Sie kein Ressourcengruppenbesitzer in Ihrem Arbeitsbereich sind, kann diese Prozedur auch ausgeführt werden, nachdem die Bereitstellung des Agents abgeschlossen ist.
Kopieren Sie den Rollenzuweisungsbefehl aus Schritt 1, und führen Sie ihn auf Ihrer Agent-VM aus, und ersetzen Sie den
Object_ID-Platzhalter durch die Objekt-ID Ihrer VM-Identität. Zum Beispiel:
Um die Objekt-ID Ihrer VM-Identität in Azure zu finden, wechseln Sie zu Unternehmensanwendung>Alle Anwendungen, und wählen Sie Ihren VM-Namen aus. Kopieren Sie den Wert des Felds Objekt-ID, das mit dem kopierten Befehl verwendet werden soll.
Mit diesem Befehl wird die Azure-Rolle Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen der verwalteten Identität Ihrer VM zugewiesen, wobei nur der Bereich der Daten des angegebenen Agenten im Arbeitsbereich eingeschlossen wird.
Wichtig
Durch Zuweisen der Rolle Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen über die CLI wird die Rolle nur für den Bereich der Daten des angegebenen Agents im Arbeitsbereich zugewiesen. Dies ist die sicherste und daher die empfohlene Option.
Wenn Sie die Rolle über das Azure-Portal zuweisen müssen, empfehlen wir die Zuweisung der Rolle in einem kleinen Bereich, z. B. nur im Microsoft Sentinel-Arbeitsbereich.
Wählen Sie Kopieren
neben dem Befehl „Agent“ in Schritt 2 aus. Zum Beispiel:
Nachdem Sie die Befehlszeile kopiert haben, wählen Sie Schließen aus.
Die relevanten Agentinformationen werden in Azure Key Vault bereitgestellt, und der neue Agent ist in der Tabelle unter Hinzufügen eines API-basierten Collector-Agents sichtbar.
In dieser Phase lautet der Integritätsstatus des Agents „Unvollständige Installation. Bitte folgen Sie den Anweisungen“. Wenn der Agent erfolgreich hinzugefügt wurde, ändert sich der Status in Agent fehlerfrei. Diese Aktualisierung kann bis zu zehn Minuten dauern. Zum Beispiel:
Hinweis
Die Tabelle zeigt den Agentnamen und den Integritätsstatus nur für die Agents, die Sie über das Azure-Portal bereitstellen. Agents, die über die Befehlszeile bereitgestellt werden, werden hier nicht angezeigt.
Öffnen Sie auf der VM, auf der Sie den Agent installieren wollen, ein Terminal, und führen Sie den Befehl „Agent“ aus, den Sie im vorherigen Schritt kopiert haben.
Das Skript aktualisiert die Betriebssystemkomponenten und installiert die Azure CLI, Docker-Software und andere erforderliche Dienstprogramme, z. B. jq, netcat und curl.
Stellen Sie dem Skript nach Bedarf zusätzliche Parameter bereit, um die Containerbereitstellung anzupassen. Weitere Informationen zu verfügbaren Befehlszeilenoptionen finden Sie unter Kickstart-Skriptreferenz.
Wenn Sie Ihren Befehl erneut kopieren müssen, wählen Sie Ansicht
rechts neben der Spalte Integrität aus, und kopieren Sie den Befehl neben dem Agent-Befehl rechts unten.
Herstellen einer Verbindung mit einem neuen SAP-System
Jeder, der eine neue Verbindung zu einem SAP-System hinzufügt, muss über Schreibberechtigungen verfügen für den Schlüsseltresor, in dem die SAP-Anmeldeinformationen gespeichert sind. Weitere Informationen finden Sie unter Erstellen einer VM und Konfigurieren des Zugriffs auf Ihre Anmeldeinformationen.
Wählen Sie im Bereich Konfiguration die Option Neues System hinzufügen (Vorschau) aus.
Wählen Sie unter Agent auswählen den Agent, den Sie im vorherigen Schritt erstellt haben.
Wählen Sie unter Systembezeichner den Servertyp aus, und geben Sie die Serverdetails an.
Wählen Sie Weiter: Authentifizierung aus.
Geben Sie für die Standardauthentifizierung den Benutzer und das Kennwort an. Wenn Sie beim Einrichten des Agents eine SNC-Verbindung ausgewählt haben, wählen Sie SNC aus, und geben Sie die Zertifikatdetails an.
Wählen Sie Weiter: Protokolle aus.
Wählen Sie aus, welche Protokolle Sie aus SAP pullen wollen, und wählen Sie Weiter: Überprüfen und Erstellen aus.
Überprüfen Sie die von Ihnen definierten Einstellungen. Wählen Sie Zurück aus, um Einstellungen zu ändern, oder wählen Sie Bereitstellen aus, um das System bereitzustellen.
Die von Ihnen definierte Systemkonfiguration wird in Azure Key Vault bereitgestellt. Die Systemdetails werden jetzt in der Tabelle unter Konfigurieren eines SAP-Systems und Zuweisen zu einem Collector-Agent angezeigt. Diese Tabelle zeigt den zugehörigen Agentnamen, die SAP-System-ID (SID) und den Integritätsstatus für Systeme angezeigt, die Sie über das Azure-Portal oder über andere Methoden hinzugefügt haben.
In dieser Phase ist der Integritätsstatus des Systems Ausstehend. Wenn der Agent erfolgreich aktualisiert wurde, pullt er die Konfiguration aus dem Azure Key Vault, und der Status ändert sich in System fehlerfrei. Diese Aktualisierung kann bis zu zehn Minuten dauern.
Erfahren Sie mehr darüber, wie Sie die Integrität Ihres SAP-Systems überwachen.
Befehlszeilenoptionen
Wählen Sie eine der folgenden Registerkarten aus, abhängig vom Identitätstyp, den Sie für den Zugriff auf Ihren Schlüsseltresor verwenden:
- Bereitstellen mit einer verwaltete Identität
- Bereitstellen mit einer registrierten Anwendung
- Bereitstellen mit einer Konfigurationsdatei
Erstellen Sie einen neuen Agent mithilfe der Befehlszeile, und authentifizieren Sie sich mit einer verwalteten Identität:
Laden Sie das Kickstart-Skript der Bereitstellung herunter, und führen Sie es aus:
Für die öffentliche kommerzielle Azure-Cloud lautet der Befehl wie folgt:
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.shFür Microsoft Azure, betrieben von 21Vianet, fügen Sie
--cloud mooncakean das Ende des kopierten Befehls hinzu.Für Azure Government – USA fügen Sie
--cloud fairfaxan das Ende des kopierten Befehls hinzu.
Das Skript aktualisiert die Betriebssystemkomponenten, installiert die Azure CLI- und Docker-Software und weitere erforderliche Dienstprogramme (jq, netcat, curl) und fordert Sie dann auf, die Werte für Konfigurationsparameter einzugeben. Sie können zusätzliche Parameter für das Skript angeben, um die Anzahl der Eingabeaufforderungen zu minimieren oder die Containerbereitstellung anzupassen. Weitere Informationen zu verfügbaren Befehlszeilenoptionen finden Sie unter Kickstart-Skriptreferenz.
Befolgen Sie die Anweisungen auf dem Bildschirm, um Ihre SAP- und Key Vault-Details einzugeben und die Bereitstellung abzuschließen. Nach Abschluss der Bereitstellung wird eine Bestätigungsmeldung angezeigt:
The process has been successfully completed, thank you!Beachten Sie den Namen des Docker-Containers in der Skriptausgabe. Um die Liste der Docker-Container auf Ihrer VM anzuzeigen, führen Sie Folgendes aus:
docker ps -aSie werden den Namen des Docker-Containers im nächsten Schritt verwenden.
Für die Bereitstellung des SAP-Datenkonnektoragents müssen Sie der VM-Identität Ihres Agents bestimmte Berechtigungen für den Microsoft Sentinel-Arbeitsbereich gewähren, indem Sie die Rolle Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen verwenden.
Um den Befehl in diesem Schritt auszuführen, müssen Sie ein Ressourcengruppenbesitzer in Ihrem Microsoft Sentinel-Arbeitsbereich sein. Wenn Sie kein Ressourcengruppenbesitzer in Ihrem Arbeitsbereich sind, kann diese Prozedur auch später ausgeführt werden.
Weisen Sie die Rolle Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen der Identität der VM zu:
Rufen Sie die Agent-ID ab, indem Sie den folgenden Befehl ausführen und dabei den
<container_name>-Platzhalter durch den Namen des Docker-Containers ersetzen, den Sie mit dem Kickstartskript erstellt haben:docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+Eine zurückgegebene Agent-ID kann z. B.
234fba02-3b34-4c55-8c0e-e6423ceb405bsein.Weisen Sie den Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen zu, indem Sie den folgenden Befehl ausführen:
az role assignment create --assignee <OBJ_ID> --role "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>Ersetzen Sie Platzhalterwerte wie folgt:
Platzhalter Wert <OBJ_ID>Die Objekt-ID Ihrer VM-Identität.
Um die Objekt-ID Ihrer VM-Identität in Azure zu finden, wechseln Sie zu Unternehmensanwendung>Alle Anwendungen, und wählen Sie Ihren VM-Namen aus. Kopieren Sie den Wert des Felds Objekt-ID, das mit dem kopierten Befehl verwendet werden soll.<SUB_ID>Die Abonnement-ID für Ihren Microsoft Sentinel-Arbeitsbereich <RESOURCE_GROUP_NAME>Der Ressourcengruppenname Ihres Microsoft Sentinel-Arbeitsbereichs <WS_NAME>Der Name Ihres Microsoft Sentinel-Arbeitsbereichs <AGENT_IDENTIFIER>Die Agent-ID, die nach dem Ausführen des Befehls im vorherigen Schritt angezeigt wird. Um den Docker-Container so zu konfigurieren, dass er automatisch gestartet wird, führen Sie den folgenden Befehl aus, und ersetzen Sie dabei den
<container-name>-Platzhalter durch den Namen Ihres Containers:docker update --restart unless-stopped <container-name>
Nächste Schritte
Nachdem der Connector bereitgestellt wurde, fahren Sie mit der Bereitstellung der Inhalte für die Microsoft Sentinel-Lösung für SAP®-Anwendungen fort:
Sehen Sie sich dieses YouTube-Video im YouTube-Kanal der Microsoft Security-Community an, um Anleitungen zur Überprüfung der Integrität und Konnektivität des SAP-Konnektors zu erhalten.