Implementación y configuración del contenedor del agente de conector de datos de SAP
En este artículo se muestra cómo implementar el contenedor que hospeda el agente del conector de datos de SAP y cómo usarlo para crear conexiones a los sistemas SAP. Este proceso de dos pasos es necesario para ingerir datos de SAP en Microsoft Sentinel, como parte de la solución de Microsoft Sentinel para aplicaciones SAP.
El método recomendado para implementar el contenedor y crear conexiones a sistemas SAP es a través de Azure Portal. Este método se explica en el artículo y también se muestra en este vídeo en YouTube. También se muestra en este artículo una manera de lograr estos objetivos mediante una llamada a un script kickstart desde la línea de comandos.
Como alternativa, puede implementar manualmente el agente de contenedor de Docker del conector de datos, como en un clúster de Kubernetes. Para más información, abra una incidencia de soporte técnico.
Importante
La implementación del contenedor y la creación de conexiones a sistemas SAP a través de Azure Portal se encuentra actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Hitos de la implementación
La implementación de la solución Microsoft Sentinel para aplicaciones SAP® se divide en las secciones siguientes:
Trabajar con la solución en varias áreas de trabajo (VERSIÓN PRELIMINAR)
Implementar la solución Microsoft Sentinel para aplicaciones de SAP® desde el centro de contenido
Implementación del agente del conector de datos (usted está aquí)
Configuración de la solución Microsoft Sentinel para aplicaciones SAP®
Pasos de implementación opcionales
Introducción a la implementación del agente del conector de datos
A fin de que la solución Microsoft Sentinel para aplicaciones SAP funcione correctamente, primero debe llevar los datos de SAP a Microsoft Sentinel. Para ello, debe implementar el agente del conector de datos de SAP de la solución.
El agente del conector de datos se ejecuta como un contenedor en una máquina virtual Linux. Esta máquina virtual se puede hospedar en Azure, en una nube de terceros o en un entorno local. Le recomendamos que instale y configure este contenedor usando Azure Portal (en VERSIÓN PRELIMINAR); no obstante, puede optar por implementar el contenedor usando un script kickstart. Si desea implementar manualmente el agente de contenedor de Docker del conector de datos, como en un clúster de Kubernetes, abra una incidencia de soporte técnico para obtener más detalles.
El agente se conecta al sistema SAP para extraer los registros y otros datos de él y, luego, envía esos registros al área de trabajo de Microsoft Sentinel. Para ello, el agente debe autenticarse en el sistema SAP, que es por lo que ha creado un usuario y un rol para el agente en el sistema SAP en el paso anterior.
Tiene algunas opciones de cómo y dónde almacenar la información de configuración del agente, incluidos los secretos de autenticación de SAP. La decisión de qué usar puede verse afectada por dónde se implementa la máquina virtual y por qué mecanismo de autenticación de SAP decide usar. Estas son las opciones, en orden descendente de preferencia:
- Una instancia de Azure Key Vault a la que se accede mediante una identidad administrada asignada por el sistema de Azure
- Una instancia de Azure Key Vault a la que se accede mediante una entidad de servicio de aplicación registrada de Microsoft Entra ID
- Un archivo de configuración de texto no cifrado.
Para cualquiera de estos escenarios, tiene la opción adicional de autenticarse mediante los certificados X.509 y Comunicación de red segura (SNC) de SAP. Esta opción proporciona un mayor nivel de seguridad de autenticación, pero solo es una opción práctica en un conjunto limitado de escenarios.
La implementación del contenedor del agente del conector de datos incluye los pasos siguientes:
Creación de la máquina virtual y configuración del acceso a las credenciales del sistema SAP. Es posible que otro equipo de la organización deba realizar este procedimiento, pero debe realizarse antes de los demás procedimientos de este artículo.
Requisitos previos
Antes de implementar el agente del conector de datos, asegúrese de que tiene todos los requisitos previos de implementación implementados. Para más información, vea Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones SAP.
Además, si planea ingerir registros de NetWeaver/ABAP a través de una conexión segura mediante Comunicaciones de red segura (SNC), realice los pasos preparatorios pertinentes. Para obtener información adicional, consulte Implementación del conector de datos SAP de Microsoft Sentinel con SNC.
Creación de una máquina virtual y configuración del acceso a las credenciales
Lo ideal es que secretos de autenticación y la configuración de SAP puedan almacenarse en una instancia de Azure Key Vault. La forma de acceder al almacén de claves depende de dónde se implemente la máquina virtual:
Un contenedor en una máquina virtual de Azure puede usar una identidad administrada asignada por el sistema de Azure para acceder fácilmente a Azure Key Vault.
En caso de que no se pueda usar una identidad administrada asignada por el sistema, el contenedor también se puede autenticar en Azure Key Vault mediante una entidad de servicio de aplicación registrada de Microsoft Entra ID o, como último recurso, un archivo de configuración.
Un contenedor en una máquina virtual local o una máquina virtual en un entorno de nube de terceros no puede usar la identidad administrada de Azure, pero se puede autenticar en Azure Key Vault mediante una entidad de servicio de aplicación registrada de Microsoft Entra ID.
Si por algún motivo no se puede usar una entidad de servicio de aplicación registrada, puede usar un archivo de configuración, aunque no es lo más aconsejable.
Nota:
Es posible que otro equipo de la organización deba realizar este procedimiento, pero debe realizarse antes de los demás procedimientos de este artículo.
Seleccione una de las pestañas siguientes, en función de cómo planee almacenar y acceder a sus credenciales de autenticación y a los datos de configuración.
Creación de una identidad administrada con una máquina virtual de Azure
Ejecute el siguiente comando para Crear una máquina virtual en Azure (sustituya los
<placeholders>por nombres reales de su entorno):az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>Para más información, consulte Inicio rápido: Creación rápida de una máquina virtual con la CLI de Azure.
Importante
Una vez creada la máquina virtual, asegúrese de aplicar los requisitos de seguridad y los procedimientos de protección aplicables en su organización.
El comando anterior creará el recurso de máquina virtual y generará una salida similar a la siguiente:
{ "fqdns": "", "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname", "identity": { "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy", "userAssignedIdentities": {} }, "location": "westeurope", "macAddress": "00-11-22-33-44-55", "powerState": "VM running", "privateIpAddress": "192.168.136.5", "publicIpAddress": "", "resourceGroup": "resourcegroupname", "zones": "" }Copie el GUID systemAssignedIdentity , ya que se usará en los pasos siguientes. Esta es su identidad administrada.
Creación de un Almacén de claves
Este procedimiento describe cómo crear un almacén de claves para almacenar la información de configuración de su agente, incluidos sus secretos de autenticación de SAP. Si va a usar un almacén de claves existente, vaya directamente al paso 2.
Para crear el almacén de claves:
Ejecute los comandos siguientes, sustituyendo los nombres reales por los valores de
<placeholder>.az keyvault create \ --name <KeyVaultName> \ --resource-group <KeyVaultResourceGroupName>Copie el nombre del almacén de claves y el nombre de su grupo de recursos. Los necesitará al asignar los permisos de acceso del almacén de claves y ejecutar el script de implementación en los pasos siguientes.
Asignación de permisos de acceso del almacén de claves
En el almacén de claves, asigne los siguientes permisos de directiva de acceso basado en rol o almacén de Azure en el ámbito de secretos a la identidad que creó y copió anteriormente.
Nombre del permiso Permisos necesarios Control de acceso basado en rol Usuario de secretos de Key Vault Directiva de acceso de Key Vault get,listUse las opciones del portal para asignar los permisos o ejecute uno de los siguientes comandos para asignar permisos de secretos del almacén de claves a la identidad, sustituyendo los nombres reales de los valores de
<placeholder>. Seleccione la pestaña para el tipo de identidad que ha creado.Ejecute uno de los siguientes comandos, en función del modelo de permisos de Key Vault preferido, para asignar permisos de secretos del almacén de claves a la identidad administrada asignada por el sistema de la máquina virtual. La directiva especificada en los comandos permite a la máquina virtual enumerar y leer secretos del almacén de claves.
Modelo de permisos de control de acceso basado en roles de Azure:
az role assignment create --assignee-object-id <ManagedIdentityId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName> /providers/Microsoft.KeyVault/vaults/<KeyVaultName>Modelo de permisos de la directiva de acceso al almacén:
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <ManagedIdentityId> --secret-permissions get list
En el mismo almacén de claves, asigne los siguientes permisos de directiva de acceso basado en rol o almacén de Azure en el ámbito de secretos al usuario que configura el agente del conector de datos:
Nombre del permiso Permisos necesarios Control de acceso basado en rol Agente de secretos de Key Vault Directiva de acceso de Key Vault get,list,set,deleteUse las opciones del portal para asignar los permisos, o ejecute uno de los siguientes comandos para asignar permisos de secretos de almacén de claves al usuario, sustituyendo los valores
<placeholder>por nombres reales:Modelo de permisos de control de acceso basado en roles de Azure:
az role assignment create --role "Key Vault Secrets Officer" --assignee <UserPrincipalName> --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>Modelo de permisos de la directiva de acceso al almacén:
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --upn <UserPrincipalName>--secret-permissions get list set delete
Implementación del agente del conector de datos
Ahora que ha creado una máquina virtual y una instancia de Key Vault, el siguiente paso es crear un nuevo agente y conectarse a uno de los sistemas SAP.
Inicie sesión en la máquina virtual recién creada en la que va a instalar el agente, como usuario con privilegios sudo.
Descargue o transfiera el SDK de SAP NetWeaver a la máquina.
Use uno de los siguientes conjuntos de procedimientos, en función de si usa una identidad administrada o una aplicación registrada para acceder al almacén de claves y si usa Azure Portal o la línea de comandos para implementar el agente:
Sugerencia
Azure Portal solo se puede usar con un almacén de claves de Azure. Si en su lugar está usando un archivo de configuración, use la opción de línea de comando correspondiente.
Opciones de Azure Portal (versión preliminar)
Seleccione una de las pestañas siguientes, en función del tipo de identidad que use para acceder al almacén de claves.
Nota:
Si instaló previamente los agentes del conector de SAP manualmente o mediante los scripts kickstart, no puede configurar ni administrar esos agentes en Azure Portal. Si desea usar el portal para configurar y actualizar agentes, debe volver a instalar los agentes existentes mediante el portal.
En este procedimiento se describe cómo crear un nuevo agente a través de Azure Portal, autenticando con una identidad administrada:
En el menú de navegación de Microsoft Sentinel, seleccione Conectores de datos.
En la barra de búsqueda, escriba SAP.
Seleccione Microsoft Sentinel para SAP en los resultados de búsqueda y seleccione Abrir página del conector.
Para recopilar datos de un sistema SAP, debe seguir estos dos pasos:
Crear un agente nuevo
En el área Configuración, seleccione Agregar agente nuevo (versión preliminar).
En Crear un agente recopilador a la derecha, defina los detalles del agente:
Nombre Descripción Nombre del agente Escriba un nombre de agente, incluyendo cualquiera de los caracteres siguientes: - a-z
- A-Z
- 0-9
- _ (carácter de subrayado)
- . (punto)
- - (guión)
Suscripción / Almacén de claves Seleccione Suscripción y el Almacén de claves de sus respectivas listas desplegables. Ruta de acceso del archivo ZIP del SDK de NWRFC en la máquina virtual del agente Escriba la ruta de acceso en la máquina virtual que contiene el archivo del kit de desarrollo de software (SDK) de SAP NetWeaver Remote Function Call (RFC) (archivo .zip).
Asegúrese de que esta ruta de acceso incluya el número de versión del SDK en la sintaxis siguiente:<path>/NWRFC<version number>.zip. Por ejemplo:/src/test/nwrfc750P_12-70002726.zip.Habilitación de la compatibilidad con la conexión SNC Seleccione esta opción para ingerir registros de NetWeaver/ABAP a través de una conexión segura mediante Comunicaciones de red segura (SNC).
Si selecciona esta opción, escriba la ruta que contiene el binariosapgenpsey la bibliotecalibsapcrypto.so, en Ruta de acceso a la biblioteca criptográfica de SAP en la máquina virtual del agente.Autenticación en Azure Key Vault Para autenticarse en el almacén de claves mediante una identidad administrada, deje seleccionada la opción predeterminada Identidad administrada.
Debe tener la identidad administrada configurada con antelación. Para más información, consulte Creación de una máquina virtual y configuración del acceso a las credenciales.Nota:
Si quiere usar una conexión SNC, asegúrese de seleccionar Habilitar compatibilidad con conexión SNC en esta fase, ya que no puede volver atrás y habilitar una conexión SNC después de finalizar la implementación del agente. Para obtener información adicional, consulte Implementación del conector de datos SAP de Microsoft Sentinel con SNC.
Por ejemplo:
Seleccione Crear y revise las recomendaciones antes de completar la implementación:
La implementación del agente del conector de datos de SAP requiere que conceda a la identidad de máquina virtual del agente permisos específicos para el área de trabajo de Microsoft Sentinel mediante el rol Operador del agente de aplicaciones empresariales de Microsoft Sentinel.
Para ejecutar el comando en este paso, debe ser propietario del grupo de recursos en el área de trabajo de Microsoft Sentinel. Si no es propietario del grupo de recursos en el área de trabajo, este procedimiento también se puede realizar una vez completada la implementación del agente.
Copie el comando de asignación de rol del paso 1 y ejecútelo en la máquina virtual del agente, reemplazando el marcador de posición
Object_IDpor el id. del objeto de identidad de su máquina virtual. Por ejemplo:
Para encontrar el id. del objeto de identidad de su máquina virtual en Azure, vaya a Aplicación empresarial>Todas las aplicaciones, y seleccione el nombre de su máquina virtual. Copie el valor del campo Id. de objeto para usarlo con su comando copiado.
Este comando asigna el rol Operador del agente de aplicaciones empresariales de Microsoft Sentinel de Azure a la identidad administrada de su máquina virtual, incluyendo solo el ámbito de los datos del agente especificado en el área de trabajo.
Importante
La asignación del rol Operador del agente de aplicaciones empresariales de Microsoft Sentinel a través de la CLI asigna el rol solo en el ámbito de los datos del agente especificado en el área de trabajo. Esta es la opción más segura y, por tanto, recomendada.
Si debe asignar el rol a través de Azure Portal, recomendamos asignar el rol en un ámbito reducido, como solo en el área de trabajo de Microsoft Sentinel.
Seleccione Copiar
junto al comando de agente del paso 2. Por ejemplo:
Después de copiar la línea de comandos, seleccione Cerrar.
La información pertinente del agente se implementa en Azure Key Vault y el nuevo agente está visible en la tabla en Agregar un agente recopilador basado en API.
En esta fase, el estado de mantenimiento del agente es "Instalación incompleta. Siga las instrucciones". Una vez instalado correctamente el agente, el estado cambia a Agente correcto. La actualización puede tardar hasta 10 minutos. Por ejemplo:
Nota:
La tabla muestra el nombre del agente y su estado de mantenimiento solo para aquellos agentes que implemente a través de Azure Portal. Los agentes implementados mediante la línea de comandos no se muestran aquí.
En la máquina virtual en la que planea instalar el agente, abra un terminal y ejecute el comando de agente que había copiado en el paso anterior.
El script actualiza los componentes del sistema operativo e instala la CLI de Azure, el software de Docker y otras utilidades necesarias, como jq, netcat y curl.
Proporcione parámetros adicionales al script según sea necesario para personalizar la implementación del contenedor. Para más información sobre las opciones de línea de comandos disponibles, vea Referencia del script kickstart.
Si necesita volver a copiar el comando, seleccione Vista
a la derecha de la columna Estado y copie el comando junto a Comando del agente en la esquina inferior derecha.
Conexión a un nuevo sistema SAP
Cualquier persona que agregue una nueva conexión a un sistema SAP debe tener permiso de escritura en el almacén de claves donde se almacenan las credenciales de SAP. Para más información, consulte Creación de una máquina virtual y configuración del acceso a las credenciales.
En el área Configuración, seleccione Agregar sistema nuevo (versión preliminar).
En Seleccionar un agente, seleccione el agente que creó en el paso anterior.
En Identificador del sistema, seleccione el tipo de servidor y proporcione los detalles del servidor.
Seleccione Siguiente: Autenticación.
Para la autenticación básica, proporcione el usuario y la contraseña. Si seleccionó una conexión SNC al configurar el agente, seleccione SNC y proporcione los detalles del certificado.
Seleccione Siguiente: registros.
Seleccione los registros que desea extraer de SAP y seleccione Siguiente: revisar y crear.
Revise la configuración que ha definido. Seleccione Anterior para modificar cualquier valor o seleccione Implementar para implementar el sistema.
La configuración del sistema definida se implementa en Azure Key Vault. Ahora puede ver los detalles del sistema en la tabla en Configurar un sistema SAP y asignarlo a un agente recopilador. En esta tabla se muestra el nombre del agente asociado, el identificador del sistema SAP (SID) y el estado de mantenimiento de los sistemas que agregó a través de Azure Portal o a través de otros métodos.
En esta fase, el estado de mantenimiento del sistema es Pendiente. Si el agente se actualiza correctamente, extrae la configuración de Azure Key Vault y el estado cambia a Estado correcto del sistema. La actualización puede tardar hasta 10 minutos.
Obtenga más información sobre cómo supervisar el estado del sistema SAP.
Opciones de línea de comandos
Seleccione una de las pestañas siguientes, en función del tipo de identidad que use para acceder al almacén de claves:
- Implementación con una identidad administrada
- Implementación con una aplicación registrada
- Implementación con un archivo de configuración
Cree un nuevo agente mediante la línea de comandos y autentique con una identidad administrada:
Descargue y ejecute el script Kickstart de implementación:
Para la nube comercial pública de Azure, el comando es:
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.shPara Microsoft Azure operado por 21Vianet, agregue
--cloud mooncakeal final del comando copiado.Para Azure Government: EE. UU., agregue
--cloud fairfaxal final del comando copiado.
El script actualiza los componentes del sistema operativo, instala la CLI de Azure y el software de Docker y otras utilidades necesarias (jq, netcat, curl) y le pide los valores de los parámetros de configuración. Puede proporcionar parámetros adicionales al script para minimizar la cantidad de solicitudes o personalizar la implementación del contenedor. Para más información sobre las opciones de línea de comandos disponibles, vea Referencia del script kickstart.
Siga las instrucciones en pantalla para escribir los detalles de SAP y de Key Vault y completar la implementación. Aparece un mensaje de confirmación cuando se completa la implementación:
The process has been successfully completed, thank you!Anote el nombre del contenedor de Docker en la salida del script. Para ver la lista de contenedores de Docker en la máquina virtual, ejecute:
docker ps -aUsará el nombre del contenedor de Docker en el paso siguiente.
La implementación del agente del conector de datos de SAP requiere que conceda a la identidad de máquina virtual del agente permisos específicos para el área de trabajo de Microsoft Sentinel mediante el rol Operador del agente de aplicaciones empresariales de Microsoft Sentinel.
Para ejecutar el comando en este paso, debe ser propietario del grupo de recursos en el área de trabajo de Microsoft Sentinel. Si no es propietario del grupo de recursos en el área de trabajo, este procedimiento también se puede realizar más adelante.
Asigne el rol Operador del agente de aplicaciones empresariales de Microsoft Sentinel a la identidad de la máquina virtual:
Obtenga el id. del agente ejecutando el siguiente comando, reemplazando el marcador de posición
<container_name>por el nombre del contenedor de Docker que había creado con el script Kickstart:docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+Por ejemplo, un identificador de agente devuelto podría ser
234fba02-3b34-4c55-8c0e-e6423ceb405b.Asigne el Operador del agente de aplicaciones empresariales de Microsoft Sentinel ejecutando el siguiente comando:
az role assignment create --assignee <OBJ_ID> --role "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>Reemplace los valores de marcador de posición como se indica a continuación:
Marcador Valor <OBJ_ID>Identificador del objeto de identidad de la máquina virtual.
Para encontrar el id. del objeto de identidad de su máquina virtual en Azure, vaya a Aplicación empresarial>Todas las aplicaciones, y seleccione el nombre de su máquina virtual. Copie el valor del campo Id. de objeto para usarlo con su comando copiado.<SUB_ID>Identificador de suscripción del área de trabajo de Microsoft Sentinel <RESOURCE_GROUP_NAME>Nombre del grupo de recursos del área de trabajo de Microsoft Sentinel <WS_NAME>Nombre del área de trabajo de Microsoft Sentinel <AGENT_IDENTIFIER>El identificador del agente que se muestra después de ejecutar el comando en el paso anterior. Para configurar el contenedor de Docker para que se inicie automáticamente, ejecute el comando siguiente, reemplazando el marcador de posición
<container-name>por el nombre del contenedor:docker update --restart unless-stopped <container-name>
Pasos siguientes
Una vez que se implemente el conector, continúe con la implementación del contenido de la solución Microsoft Sentinel para aplicaciones SAP®:
Vea este vídeo de YouTube, en el canal de YouTube de Microsoft Security Community, para obtener orientación sobre la comprobación del mantenimiento y la conectividad del conector de SAP.