Informations de référence sur le script Kickstart
Vue d’ensemble du script
Simplifiez le déploiement du conteneur hébergeant le connecteur de données SAP à l’aide du script Kickstart fourni (disponible dans la solution Microsoft Sentinel pour les applications SAP® GitHub), qui peut également activer différents modes de stockage de secrets, configurer les communications réseau sécurisées (SNC), etc.
Référence de paramètre
Les paramètres suivants sont configurables. Vous pouvez voir des exemples de l’utilisation de ces paramètres dans Déployer et configurer le conteneur hébergeant l’agent de connecteur de données SAP.
Emplacement de stockage des secrets
Nom du paramètre : --keymode
Valeurs de paramètre : kvmi
, kvsi
, cfgf
Obligatoire : Non. kvmi
est supposé par défaut.
Explication : spécifie si les secrets (nom d’utilisateur, mot de passe, ID Log Analytics et clé partagée) doivent être stockés dans un fichier de configuration local ou dans Azure Key Vault. Contrôle également si l’authentification auprès d’Azure Key Vault est effectuée à l’aide de l’identité managée affectée par le système Azure de la machine virtuelle ou d’une identité d’application inscrite Microsoft Entra.
Si la valeur est définie sur kvmi
, Azure Key Vault est utilisé pour stocker des secrets et l’authentification auprès d’Azure Key Vault est effectuée à l’aide de l’identité managée affectée par le système Azure de la machine virtuelle.
Si la valeur est définie sur kvsi
, Azure Key Vault est utilisé pour stocker des secrets et l’authentification auprès d’Azure Key Vault est effectuée à l’aide d’une identité d’application inscrite Microsoft Entra. L’utilisation du kvsi
mode nécessite --appid
, --appsecret
et --tenantid
des valeurs.
Si la valeur est définie cfgf
, le fichier de configuration stocké localement est utilisé pour stocker les secrets.
Mode de connexion au serveur ABAP
Nom du paramètre : --connectionmode
Valeurs des paramètres : abap
, mserv
Obligatoire : Non. Si aucune valeur n’est spécifiée, la valeur par défaut est abap
.
Explication : définit si l’agent de collecteur de données doit se connecter directement au serveur ABAP ou via un serveur de messages. Utilisez abap
l’agent pour que l’agent se connecte directement au serveur ABAP, dont le nom vous pouvez définir à l’aide du --abapserver
paramètre (si ce n’est pas le cas, vous y êtes toujours invité). Utilisez mserv
pour vous connecter via un serveur de messages, auquel cas vous devez spécifier les paramètres --messageserverhost
, --messageserverport
et --logongroup
.
Emplacement du dossier de configuration
Nom du paramètre : --configpath
Valeurs des paramètres : <path>
Obligatoire : Non, /opt/sapcon/<SID>
est supposé s’il n’est pas spécifié.
Explication : par défaut, Kickstart initialise le fichier de configuration, l’emplacement des métadonnées vers /opt/sapcon/<SID>
. Pour définir un autre emplacement de configuration et de métadonnées, utilisez le paramètre --configpath
.
Adresse du serveur DNS
Nom du paramètre : --abapserver
Valeurs des paramètres : <servername>
Obligatoire : Non. Si le paramètre n’est pas spécifié et si le paramètre de mode de connexion du serveur ABAP est défini abap
sur , vous êtes invité à entrer le nom d’hôte/l’adresse IP du serveur.
Explication : utilisé uniquement si le mode de connexion est défini sur abap
, ce paramètre contient le nom de domaine complet (FQDN), le nom court ou l’adresse IP du serveur ABAP auquel se connecter.
Numéro d’instance du système
Nom du paramètre : --systemnr
Valeurs des paramètres : <system number>
Obligatoire : Non. S’il n’est pas spécifié, l’utilisateur est invité à entrer le numéro système.
Explication : spécifie le numéro d’instance du système SAP auquel se connecter.
ID système
Nom du paramètre : --sid
Valeurs des paramètres : <SID>
Obligatoire : Non. S’il n’est pas spécifié, l’utilisateur est invité à entrer l’ID système.
Explication : spécifie l’ID système SAP auquel se connecter.
Numéro de client
Nom du paramètre : --clientnumber
Valeurs des paramètres : <client number>
Obligatoire : Non. S’il n’est pas spécifié, l’utilisateur est invité à entrer le numéro du client.
Explication : spécifie le numéro de client auquel se connecter.
Hôte de serveur de message
Nom du paramètre : --messageserverhost
Valeurs des paramètres : <servername>
Obligatoire: Oui, si Mode de connexion au serveur ABAP est défini sur mserv
.
Explication : spécifie le nom d’hôte/l’adresse IP du serveur de messages à connecter. Peut uniquement être utilisé si Mode de connexion au serveur ABAP est défini sur mserv
.
Port du serveur de messages
Nom du paramètre : --messageserverport
Valeurs des paramètres : <portnumber>
Obligatoire: Oui, si Mode de connexion au serveur ABAP est défini sur mserv
.
Explication : spécifie le nom du service (port) du serveur de messages auquel se connecter. Peut uniquement être utilisé si Mode de connexion au serveur ABAP est défini sur mserv
.
Groupe d’ouverture de session
Nom du paramètre : --logongroup
Valeurs des paramètres : <logon group>
Obligatoire: Oui, si Mode de connexion au serveur ABAP est défini sur mserv
.
Explication : spécifie le groupe de connexion à utiliser lors de la connexion à un serveur de messages. Peut uniquement être utilisé si Mode de connexion au serveur ABAP est défini sur mserv
. Si le nom du groupe d’ouverture de session contient des espaces, ils doivent être placés entre guillemets doubles, comme dans l’exemple --logongroup "my logon group"
.
Nom d’utilisateur d’ouverture de session
Nom du paramètre : --sapusername
Valeurs des paramètres : <username>
Obligatoire : Non. S’il n’est pas fourni, l’utilisateur est invité à entrer le nom d’utilisateur s’il n’utilise pas SNC (X.509) pour l’authentification.
Explication : Nom d’utilisateur utilisé pour s’authentifier auprès du serveur ABAP.
Mot de passe d’ouverture de session
Nom du paramètre : --sappassword
Valeurs des paramètres : <password>
Obligatoire : Non. S’il n’est pas fourni, l’utilisateur est invité à entrer le mot de passe s’il n’utilise pas SNC (X.509) pour l’authentification. L’entrée de mot de passe est masquée.
Explication : Mot de passe utilisé pour s’authentifier auprès du serveur ABAP.
Emplacement du fichier SDK NetWeaver
Nom du paramètre : --sdk
Valeurs des paramètres : <filename>
Obligatoire : Non. Le script tente de localiser le fichier nwrfc*.zip dans le dossier actif. S’il n’est pas trouvé, l’utilisateur est invité à fournir un fichier d’archive du Kit de développement logiciel (SDK) NetWeaver valide.
Explication : chemin d’accès au fichier du SDK NetWeaver. Un SDK valide est requis pour que le collecteur de données fonctionne. Pour plus d’informations, consultez Prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP®.
ID d’application d’entreprise
Nom du paramètre : --appid
Valeurs des paramètres : <guid>
Obligatoire : Oui, si Emplacement de stockage des secrets est défini sur kvsi
.
Explication : quand le mode d’authentification Azure Key Vault est défini sur kvsi
, l’authentification au coffre de clés est effectuée à l’aide d’une identité d’application d’entreprise (principal de service). Ce paramètre spécifie l’ID d’application.
Secret de l’application d’entreprise
Nom du paramètre : --appsecret
Valeurs des paramètres : <secret>
Obligatoire : Oui, si Emplacement de stockage des secrets est défini sur kvsi
.
Explication : quand le mode d’authentification Azure Key Vault est défini sur kvsi
, l’authentification au coffre de clés est effectuée à l’aide d’une identité d’application d’entreprise (principal de service). Ce paramètre spécifie le secret d’application.
Tenant ID
Nom du paramètre : --tenantid
Valeurs des paramètres : <guid>
Obligatoire : Oui, si Emplacement de stockage des secrets est défini sur kvsi
.
Explication : quand le mode d’authentification Azure Key Vault est défini sur kvsi
, l’authentification au coffre de clés est effectuée à l’aide d’une identité d’application d’entreprise (principal de service). Ce paramètre spécifie l’ID de locataire Microsoft Entra.
Nom du coffre de clés
Nom du paramètre : --kvaultname
Valeurs des paramètres : <key vaultname>
Obligatoire : Non. Si l’emplacement de stockage secret est défini kvsi
sur ou kvmi
, le script demande la valeur s’il n’est pas fourni.
Explication : Si l’emplacement de stockage secret est défini kvsi
ou kvmi
si le nom du coffre de clés (au format FQDN) doit être entré ici.
ID d’espace de travail Log Analytics
Nom du paramètre : --loganalyticswsid
Valeurs des paramètres : <id>
Obligatoire : Non. S’il n’est pas fourni, le script demande l’ID de l’espace de travail.
Explication : ID d’espace de travail Log Analytics auquel le collecteur de données envoie les données. Pour localiser l’ID de l’espace de travail, recherchez l’espace de travail Log Analytics dans le portail Azure : ouvrez Microsoft Sentinel, sélectionnez Paramètres dans la section Configuration, sélectionnez Paramètres de l’espace de travail, puis sélectionnez Gestion des agents.
Clé Log Analytics
Nom du paramètre : --loganalyticskey
Valeurs des paramètres : <key>
Obligatoire : Non. S’il n’est pas fourni, le script demande la clé d’espace de travail. L’entrée est masquée.
Explication : clé primaire ou secondaire de l’espace de travail Log Analytics dans lequel le collecteur de données envoie les données. Pour localiser la clé principale ou secondaire de l’espace de travail, recherchez l’espace de travail Log Analytics dans le portail Azure : ouvrez Microsoft Sentinel, sélectionnez Paramètres dans la section Configuration, sélectionnez Paramètres de l’espace de travail, puis sélectionnez Gestion des agents.
Utiliser X.509 (SNC) pour l’authentification
Nom du paramètre : --use-snc
Valeurs du paramètres : aucune
Obligatoire : Non. S’il n’est pas spécifié, le nom d’utilisateur et le mot de passe sont utilisés pour l’authentification. S’ils sont spécifiés, --cryptolib
, --sapgenpse
, une combinaison de --client-cert
et --client-key
, ou --client-pfx
et --client-pfx-passwd
ainsi que --server-cert
, et dans certains cas les commutateurs --cacert
, cela est requis.
Explication : spécifie que l’authentification X.509 est utilisée pour se connecter au serveur ABAP, plutôt que l’authentification par nom d’utilisateur/mot de passe. Pour plus d’informations, consultez Déployer le connecteur de données Microsoft Sentinel pour SAP avec SNC.
Chemin de la bibliothèque de chiffrement SAP
Nom du paramètre : --cryptolib
Valeurs des paramètres : <sapcryptolibfilename>
Obligatoire : oui, si --use-snc
est spécifié.
Explication : emplacement et nom de fichier de la bibliothèque de chiffrement SAP (libsapcrypto.so).
Chemin de l’outil SAPGENPSE
Nom du paramètre : --sapgenpse
Valeurs des paramètres : <sapgenpsefilename>
Obligatoire : oui, si --use-snc
est spécifié.
Explication : emplacement et nom de fichier de l’outil sapgenpse pour la création et la gestion des fichiers PSE et des informations d’identification SSO.
Chemin d’accès à la clé publique du certificat client
Nom du paramètre : --client-cert
Valeurs des paramètres : <client certificate filename>
Obligatoire : Oui, si et le --use-snc
certificat est au format .crt/.key au format base 64.
Explication : emplacement et nom de fichier du certificat public de client base-64. Si le certificat client est au format .pfx, utilisez le commutateur --client-pfx
à la place.
Chemin d’accès à la clé privée du certificat client
Nom du paramètre : --client-key
Valeurs des paramètres : <client key filename>
Obligatoire : oui, si --use-snc
est spécifié et la clé est au format base-64 .crt/.key.
Explication : emplacement et nom de fichier de la clé privée du client base-64. Si le certificat client est au format .pfx, utilisez le commutateur --client-pfx
à la place.
Certificat de l'autorité de certification racine/émetteur standard
Nom du paramètre : --cacert
Valeurs des paramètres : <trusted ca cert>
Obligatoire : oui, si --use-snc
est spécifié et que le certificat est émis par une autorité de certification d’entreprise.
Explication : Si le certificat est auto-signé, il n’a pas d’autorité de certification émettrice. Il n’existe donc aucune chaîne d’approbation qui doit être validée. Si le certificat est émis par une autorité de certification d’entreprise, le certificat de l’autorité de certification émettrice et tous les certificats d’autorité de certification de niveau supérieur doivent être validés. Utilisez des instances distinctes du commutateur --cacert
pour chaque autorité de certification dans la chaîne d’approbation et fournissez les noms de fichiers complets des certificats publics des autorités de certification d’entreprise.
Chemin d’accès du certificat PFX client
Nom du paramètre : --client-pfx
Valeurs des paramètres : <pfx filename>
Obligatoire : Oui, si --use-snc
et la clé sont au format .pfx/.p12.
Explication : emplacement et nom de fichier du certificat client pfx.
Mot de passe du certificat PFX client
Nom du paramètre : --client-pfx-passwd
Valeurs des paramètres : <password>
Obligatoire : oui, si --use-snc
est utilisé, le certificat est au format .pfx/.p12 et le certificat est protégé par un mot de passe.
Explication : mot de passe du fichier PFX/P12.
Certificat serveur
Nom du paramètre : --server-cert
Valeurs des paramètres : <server certificate filename>
Obligatoire : oui, si --use-snc
est utilisé.
Explication : nom et chemin d’accès complet du certificat de serveur ABAP.
URL du serveur proxy HTTP
Nom du paramètre : --http-proxy
Valeurs des paramètres : <proxy url>
Obligatoire : Non
Explication : Les conteneurs qui ne peuvent pas établir de connexion directement aux services Microsoft Azure et nécessitent une connexion via un serveur proxy nécessitent --http-proxy
un commutateur pour définir l’URL du proxy pour le conteneur. Le format de l’URL du proxy est http://hostname:port
.
Mise en réseau basée sur l’hôte
Nom du paramètre : --hostnetwork
Obligatoire : Non.
Explication : si ce commutateur est spécifié, l’agent utilise la configuration de mise en réseau basée sur l’hôte. Cela peut résoudre les problèmes de résolution DNS internes dans certains cas.
Confirmer toutes les invites
Nom du paramètre : --confirm-all-prompts
Valeurs du paramètres : aucune
Obligatoire : Non
Explication : si le --confirm-all-prompts
commutateur est spécifié, le script ne s’interrompt pas pour les confirmations utilisateur et invite uniquement si l’entrée utilisateur est requise. Utilisez le commutateur --confirm-all-prompts
pour obtenir un déploiement sans contact.
Utiliser la préversion du conteneur
Nom du paramètre : --preview
Valeurs du paramètres : aucune
Obligatoire : Non
Explication : par défaut, le script kickstart de déploiement de conteneur déploie le conteneur avec la :latest
balise. Les fonctionnalités de préversion publique sont publiées sur la :latest-preview
balise. Pour garantir que le script de déploiement de conteneur utilise la préversion publique du conteneur, spécifiez le commutateur --preview
.
Étapes suivantes
En savoir plus sur les applications Solution Microsoft Sentinel pour SAP® :
- Déployer des applications Solution Microsoft Sentinel pour SAP®
- Prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP®
- Déployer des demandes de modification SAP (CR) et configurer l’autorisation
- Déployer le contenu de la solution depuis le hub de contenu
- Déployer et configurer le conteneur hébergeant l’agent de connecteur de données SAP
- Déployer le connecteur de données Microsoft Sentinel pour SAP avec SNC
- Surveiller l’intégrité de votre système SAP
- Activer et configurer l’audit SAP
- Collecter les journaux d’audit SAP HANA
Résolution des problèmes :
Fichiers de référence :
- Référence de données des applications Solution Microsoft Sentinel pour SAP®
- Applications Solution Microsoft Sentinel pour SAP® : référence relative au contenu de sécurité
- Mettre à jour la référence de script
- Informations de référence sur le fichier Systemconfig.ini
Pour plus d’informations, consultez Solutions Microsoft Sentinel.