Conexión del sistema SAP mediante la implementación del contenedor del agente del conector de datos

Artículo
10/29/2024
Se aplica a:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A fin de que la solución Microsoft Sentinel para aplicaciones SAP funcione correctamente, primero debe llevar los datos de SAP a Microsoft Sentinel. Para ello, debe implementar el agente del conector de datos de SAP de la solución.

En este artículo se describe cómo implementar el contenedor que hospeda el agente del conector de datos de SAP y cómo conectarse al sistema SAP y es el tercer paso para implementar la solución Microsoft Sentinel para aplicaciones SAP. Asegúrese de realizar los pasos de este artículo en el orden en que se presentan.

Diagrama del flujo de implementación de la solución de SAP, en el que se resalta el paso Implementar el contenedor del agente de datos.

El contenido de este artículo es relevante para los equipos de seguridad, infraestructura y SAP BASIS.

Requisitos previos

Antes de implementar el agente del conector de datos:

Asegúrese de que se cumplen todos los requisitos previos de implementación. Para más información, vea Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones SAP.
Asegúrese de que tiene la solución Microsoft Sentinel para aplicaciones SAP instaladas en el área de trabajo de Microsoft Sentinel.
Asegúrese de que el sistema SAP está totalmente preparado para la implementación. Si va a implementar el agente del conector de datos para comunicarse con Microsoft Sentinel a través de SNC, asegúrese de que ha completado Configuración del sistema para usar SNC para conexiones seguras.

Vea un vídeo de demostración

Vea una de las siguientes demostraciones de vídeo del proceso de implementación descrito en este artículo.

Una profundización en las opciones del portal:

Incluye más detalles sobre el uso de Azure KeyVault. Sin audio, demostración solo con subtítulos:

Creación de una máquina virtual y configuración del acceso a las credenciales

Se recomienda crear una máquina virtual dedicada para el contenedor del agente del conector de datos para garantizar un rendimiento óptimo y evitar posibles conflictos. Para obtener más información, consulte Requisitos previos del sistema.

Se recomienda almacenar los secretos de SAP y de autenticación enAzure key vault. La forma de acceder al almacén de claves depende de dónde se implemente la máquina virtual:

Método de implementación	Método de acceso
Contenedor en una máquina virtual de Azure	Se recomienda usar una identidad administrada asignada por el sistema de Azure para acceder a Azure Key Vault. Si no se puede usar una identidad administrada asignada por el sistema, el contenedor también se puede autenticar en Azure Key Vault mediante una entidad de servicio de aplicación registrada de Id. de Microsoft Entra o, como último recurso, un archivo de configuración.
Un contenedor en una máquina virtuallocal o una máquina virtual en un entorno de nube de terceros	Autentíquese en Azure Key Vault mediante una entidad de servicio de aplicación registrada de Id. de Microsoft Entra.

Si no puede usar una aplicación registrada o una entidad de servicio, use un archivo de configuración para administrar las credenciales, aunque no se prefiere este método. Para obtener más información, consulte Implementación del conector de datos mediante un archivo de configuración.

Para más información, vea:

Normalmente, la máquina virtual se crea mediante el equipo de la infraestructura. La configuración del acceso a las credenciales y la administración de almacenes de claves se suele realizar mediante el equipo de seguridad.

Identidad administrada
Aplicación registrada

Creación de una identidad administrada con una máquina virtual de Azure

Ejecute el comando siguiente para Crear una máquina virtual en Azure, sustituyendo los nombres reales del entorno por el <placeholders>:

az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

Para más información, consulte Inicio rápido: Creación rápida de una máquina virtual con la CLI de Azure.

Importante

Una vez creada la máquina virtual, asegúrese de aplicar los requisitos de seguridad y los procedimientos de protección aplicables en su organización.

Este comando crea el recurso de máquina virtual, lo que genera un resultado similar al siguiente:

{
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

Copie el GUID systemAssignedIdentity , ya que se usará en los pasos siguientes. Esta es su identidad administrada.

Registro de una aplicación para crear una identidad de aplicación

Ejecute el siguiente comando desde la línea de comandos de Azure para crear y registrar una aplicación:
```
az ad sp create-for-rbac
```
Este comando crea la aplicación, lo que genera un resultado similar al siguiente:
```
{
  "appId": "aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa",
  "displayName": "azure-cli-2022-01-28-17-59-06",
  "password": "ssssssssssssssssssssssssssssssssss",
  "tenant": "bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb"
}
```
Para más información, consulte la documentación de referencia de la CLI de Azure.
Copie los valores de appId, tenant y password de la salida. Los necesita para asignar la directiva de acceso del almacén de claves y ejecutar el script de implementación en los pasos siguientes.
Antes de continuar, cree una máquina virtual en la que implementar el agente. Puede crear esta máquina en Azure, en otra nube o en el entorno local.

Creación de un Almacén de claves

Este procedimiento describe cómo crear un almacén de claves para almacenar la información de configuración de su agente, incluidos sus secretos de autenticación de SAP. Si usa un almacén de claves existente, vaya directamente a paso 2.

Para crear el almacén de claves:

Ejecute los comandos siguientes, sustituyendo los nombres reales por los valores de <placeholder>.
```
az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>
```
Copie el nombre del almacén de claves y el nombre de su grupo de recursos. Los necesitará al asignar los permisos de acceso del almacén de claves y ejecutar el script de implementación en los pasos siguientes.

Asignación de permisos de acceso del almacén de claves

En el almacén de claves, asigne los siguientes permisos de directiva de acceso basado en rol o almacén de Azure en el ámbito de secretos a la identidad que creó y copió anteriormente.

Nombre del permiso Permisos necesarios

Control de acceso basado en rol Usuario de secretos de Key Vault

Directiva de acceso de Key Vault get, list

Use las opciones del portal para asignar los permisos o ejecute uno de los siguientes comandos para asignar permisos de secretos del almacén de claves a la identidad, sustituyendo los nombres reales de los valores de <placeholder>. Seleccione la pestaña para el tipo de identidad que creó.

La directiva especificada en los comandos permite a la máquina virtual enumerar y leer secretos del almacén de claves.
- Modelo de permisos de control de acceso basado en roles de Azure:
  - Identidad administrada
  - Aplicación registrada
```
az role assignment create --assignee-object-id <ManagedIdentityId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName> /providers/Microsoft.KeyVault/vaults/<KeyVaultName>
```
```
az role assignment create --assignee-object-id <ServicePrincipalObjectId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>
```
  Para buscar el identificador de objeto de la entidad de servicio del registro de la aplicación, vaya a la página Aplicaciones empresariales del portal de Microsoft Entra ID. Busque allí el nombre del registro de la aplicación y copie el valor de Id. de objeto.
  
  Importante
  
  No confunda el id. de objeto de la página Aplicaciones empresariales con el id. de objeto del registro de la aplicación que se encuentra en la página Registros de aplicaciones. Solo funcionará el id. del objeto de la página Aplicaciones empresariales.
- Modelo de permisos de la directiva de acceso al almacén:
  - Identidad administrada
  - Aplicación registrada
```
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <ManagedIdentityId> --secret-permissions get list
```
```
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --spn <ApplicationId> --secret-permissions get list
```
  Para buscar el identificador de objeto del registro de la aplicación, vaya a la página Registros de aplicaciones del portal de Microsoft Entra ID. Busque el nombre del registro de la aplicación y copie el valor Id. de aplicación (cliente).
En el mismo almacén de claves, asigne los siguientes permisos de directiva de acceso basado en rol o almacén de Azure en el ámbito de secretos al usuario que configura el agente del conector de datos:

Nombre del permiso Permisos necesarios

Control de acceso basado en rol Agente de secretos de Key Vault

Directiva de acceso de Key Vault get, list, set, delete

Use las opciones del portal para asignar los permisos, o ejecute uno de los siguientes comandos para asignar permisos de secretos de almacén de claves al usuario, sustituyendo los valores <placeholder> por nombres reales:
- Modelo de permisos de control de acceso basado en roles de Azure:
```
az role assignment create --role "Key Vault Secrets Officer" --assignee <UserPrincipalName> --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>
```
- Modelo de permisos de la directiva de acceso al almacén:
```
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --upn <UserPrincipalName>--secret-permissions get list set delete
```

Nombre del permiso	Permisos necesarios
Control de acceso basado en rol	Usuario de secretos de Key Vault
Directiva de acceso de Key Vault	`get`, `list`

Nombre del permiso	Permisos necesarios
Control de acceso basado en rol	Agente de secretos de Key Vault
Directiva de acceso de Key Vault	`get`, `list`, `set`, `delete`

Implementación del agente del conector de datos desde el portal (versión preliminar)

Ahora que ha creado una máquina virtual y una instancia de Key Vault, el siguiente paso es crear un nuevo agente y conectarse a uno de los sistemas SAP. Aunque puede ejecutar varios agentes de conector de datos en una sola máquina, se recomienda empezar con un solo, supervisar el rendimiento y, a continuación, aumentar el número de conectores lentamente.

En este procedimiento se describe cómo crear un nuevo agente y conectarlo al sistema SAP mediante los portales de Azure o Defender. Se recomienda que el equipo de seguridad realice este procedimiento con ayuda del equipo de SAP BASIS.

La implementación del agente del conector de datos desde el portal se admite tanto desde Azure Portal como desde el portal de Defender si ha incorporado el área de trabajo a la plataforma unificada de operaciones de seguridad.

Aunque también se admite la implementación desde la línea de comandos, se recomienda usar el portal para implementaciones típicas. Los agentes del conector de datos implementados mediante la línea de comandos solo se pueden administrar a través de la línea de comandos y no a través del portal. Para obtener más información, consulteImplementación de un agente de conector de datos de SAP desde la línea de comandos.

Importante

La implementación del contenedor y la creación de conexiones a sistemas SAP desde el portal se encuentra actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Requisitos previos:

Para implementar el agente del conector de datos a través del portal, necesita lo siguiente:
- Autenticación a través de una identidad administrada o una aplicación registrada
- Credenciales almacenadas en una instancia de Azure Key Vault
Si no tiene estos requisitos previos, implemente el agente del conector de datos de SAP desde la línea de comandos en su lugar.
Para implementar el agente del conector de datos, también necesita privilegios de sudo o raíz en la máquina del agente del conector de datos.
Si desea ingerir registros de Netweaver/ABAP a través de una conexión segura mediante Comunicaciones de red segura (SNC), necesita lo siguiente:
- La ruta de acceso al archivo binario sapgenpse y la bibliotecalibsapcrypto.so
- Detalles del certificado de cliente
Para obtener más información, consulte Configuración del sistema para usar SNC para conexiones seguras.

Para implementar el agente del conector de datos:

Inicie sesión en la máquina virtual recién creada en la que va a instalar el agente, como usuario con privilegios de sudo.
Descargue o transfiera el SDK de SAP NetWeaver a la máquina.
En Microsoft Sentinel, seleccione la Configuración >Conectores de datos.
En la barra de búsqueda, escriba SAP. Seleccione Microsoft Sentinel para SAP en los resultados de la búsqueda y, a continuación, Abra la página del conector.
En el área Configuración, seleccione Agregar agente nuevo (versión preliminar).

En el panel Crear un agente de recopilador, escriba los siguientes detalles del agente:

Nombre	Descripción
Nombre del agente	Escriba un nombre descriptivo del agente para su organización. No se recomienda ninguna convención de nomenclatura específica, salvo que el nombre solo puede incluir los siguientes tipos de caracteres: a-z A-Z 0-9 _ (carácter de subrayado) . (punto) - (guión)
Suscripción / Almacén de claves	Seleccione Suscripción y el Almacén de claves de sus respectivas listas desplegables.
Ruta de acceso del archivo ZIP del SDK de NWRFC en la máquina virtual del agente	Escriba la ruta de acceso en la máquina virtual que contiene el archivo del kit de desarrollo de software (SDK) de SAP NetWeaver Remote Function Call (RFC) (archivo .zip). Asegúrese de que esta ruta de acceso incluya el número de versión del SDK en la sintaxis siguiente: `<path>/NWRFC<version number>.zip`. Por ejemplo: `/src/test/nwrfc750P_12-70002726.zip`.
Habilitación de la compatibilidad con la conexión SNC	Seleccione esta opción para ingerir registros de NetWeaver/ABAP a través de una conexión segura mediante SNC. Si selecciona esta opción, escriba la ruta que contiene el binario `sapgenpse` y la biblioteca `libsapcrypto.so`, en Ruta de acceso a la biblioteca criptográfica de SAP en la máquina virtual del agente. Si quiere usar una conexión SNC, asegúrese de seleccionar Habilitar compatibilidad con conexión SNC en esta fase, ya que no puede volver atrás y habilitar una conexión SNC después de finalizar la implementación del agente. Si desea cambiar esta configuración después, se recomienda crear un nuevo agente en su lugar.
Autenticación en Azure Key Vault	Para autenticarse en el almacén de claves mediante una identidad administrada, deje seleccionada la opción predeterminada Identidad administrada. Para autenticarse en el almacén de claves mediante una aplicación registrada, seleccione Identidad de aplicación. Debe tener configurada la identidad administrada o la aplicación registrada con antelación. Para más información, consulta Creación de una máquina virtual y configuración del acceso a las credenciales.

Por ejemplo:

Captura de pantalla del área Crear un agente recopilador.

Seleccione Crear y revise las recomendaciones antes de completar la implementación:
La implementación del agente del conector de datos de SAP requiere que conceda a la identidad de máquina virtual del agente permisos específicos para el área de trabajo de Microsoft Sentinel mediante los roles de Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector.

Para ejecutar los comandos en este paso, debe ser propietario del grupo de recursos en el área de trabajo de Microsoft Sentinel. Si no es propietario del grupo de recursos en el área de trabajo, este procedimiento también se puede realizar una vez completada la implementación del agente.

En Solo unos pocos pasos más antes de finalizar, copie los comandos de asignación de roles del paso 1 y ejecútelos en la máquina virtual del agente, reemplazando el marcador de posición [Object_ID] por el identificador de objeto de identidad de la máquina virtual. Por ejemplo:

Para buscar el identificador de objeto de identidad de máquina virtual en Azure:
- Para una identidad administrada, el identificador de objeto aparece en la página Identidadde la máquina virtual.
- En el caso de una entidad de servicio, vaya a la aplicación Empresarial en Azure. Seleccione Todas las aplicaciones y, a continuación, seleccione la máquina virtual. El identificador de objeto se muestra en la página Información general.
Estos comandos asignan los roles del operador de Aplicaciones empresarialesde Microsoft Sentinel y Reader Azure a la identidad gestionada o de aplicación de su VM, incluyendo solo el ámbito de los datos del agente especificado en el área de trabajo.

Importante

La asignación de los roles Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector a través de la CLI asigna los roles solo en el ámbito de los datos del agente especificado en el área de trabajo. Esta es la opción más segura y, por tanto, recomendada.

Si debe asignar los roles a través de Azure Portal, recomendamos asignar los roles en un ámbito reducido, como solo en el área de trabajo de Microsoft Sentinel.
Seleccione Copiar junto al comando de implementación del agente en el paso 2. Por ejemplo:
Copie la línea de comandos en una ubicación independiente y seleccione Cerrar.

La información pertinente del agente se implementa en Azure Key Vault y el nuevo agente está visible en la tabla en Agregar un agente recopilador basado en API.

En esta fase, el estado de mantenimiento del agente es "Instalación incompleta. Siga las instrucciones". Una vez instalado correctamente el agente, el estado cambia a Agente correcto. La actualización puede tardar hasta 10 minutos. Por ejemplo:

Nota:

La tabla muestra el nombre del agente y su estado de mantenimiento solo para aquellos agentes que implemente a través de Azure Portal. Los agentes implementados mediante la línea de comandos no se muestran aquí. Para obtener más información, consulte lapestaña Línea de comandos en su lugar.
En la máquina virtual en la que planea instalar el agente, abra un terminal y ejecute el comando de implementación del Agente que copió en el paso anterior. Este paso requiere privilegios de sudo o raíz en la máquina del agente del conector de datos.

El script actualiza los componentes del sistema operativo e instala la CLI de Azure, el software de Docker y otras utilidades necesarias, como jq, netcat y curl.

Proporcione parámetros adicionales al script según sea necesario para personalizar la implementación del contenedor. Para más información sobre las opciones de línea de comandos disponibles, vea Referencia del script kickstart.

Si necesita volver a copiar el comando, seleccione Vista a la derecha de la columna Estado y copie el comando junto al comando de implementación del agente en la parte inferior derecha.
En la página conector de datos de la Solución Microsoft Sentinel para SAP, en el área Configuración, seleccione Agregar nuevo sistema (versión preliminar) y escriba los detalles siguientes:
- En Seleccionar un agente, seleccione el agente que creó anteriormente.
- En Identificador del sistema, seleccione el tipo de servidor:
  - Servidor ABAP
  - Servidor de mensajes para usar un servidor de mensajes como parte de un ABAP SAP Central Services (ASCS).
- Continúe definiendo detalles relacionados para el tipo de servidor:
  - Para un servidor ABAP, escriba la dirección IP/FQDN del servidor de aplicaciones de ABAP, el identificador y el número del sistema y el identificador de cliente.
  - Para un servidor de mensajes, escriba la dirección IP/FQDN del servidor de mensajes, el número de puerto o el nombre del servicio y el grupo de inicio de sesión
Cuando haya terminado, seleccione Siguiente: Autenticación.

Por ejemplo:
En la pestaña Autenticación, escriba los detalles siguientes:
- Para la autenticación básica, escriba el usuario y la contraseña.
- Si seleccionó una conexión SNC al configurar el agente, seleccione SNC y escriba los detalles del certificado.
Cuando haya terminado, seleccione Siguiente: Registros.
En la pestaña Registros, seleccione los registros que desea ingerir de SAP y, a continuación, seleccione Siguiente: Revisar y crear. Por ejemplo:
(Opcional) Para obtener resultados óptimos en la supervisión de la tabla PAHI de SAP, seleccione Historial de configuración. Para obtener más información, consulte Comprobar que la tabla PAHI se actualiza a intervalos regulares.
Revise la configuración que ha definido. Seleccione Anterior para modificar cualquier valor o seleccione Implementar para implementar el sistema.

La configuración del sistema definida se implementa en el almacén de claves de Azure que definió durante la implementación. Ahora puede ver los detalles del sistema en la tabla en Configurar un sistema SAP y asignarlo a un agente recopilador. En esta tabla se muestra el nombre del agente asociado, el identificador de sistema de SAP (SID) y el estado de mantenimiento de los sistemas que agregó a través del portal o de lo contrario.

En esta fase, el estado de mantenimiento del sistema es Pendiente. Si el agente se actualiza correctamente, extrae la configuración de Azure Key Vault y el estado cambia a Estado correcto del sistema. La actualización puede tardar hasta 10 minutos.

Comprobación de la conectividad y el estado

Después de implementar el agente del conector de datos de SAP, compruebe el estado y la conectividad del agente. Para obtener más información, consulte Supervisión del estado y el rol de los sistemas SAP.

Paso siguiente

Una vez implementado el conector, continúe con la configuración de la solución de Microsoft Sentinel para el contenido de las aplicaciones de SAP. En concreto, la configuración de detalles en las listas de reproducción es un paso esencial para habilitar las detecciones y la protección contra amenazas.

Habilitar las detecciones de SAP y la protección contra amenazas

Compartir vía