Déployer et configurer le conteneur hébergeant l’agent de connecteur de données SAP

Article
12/05/2022
10 minutes de lecture

Cet article explique comment déployer le conteneur qui héberge l’agent de connecteur de données SAP. Ceci vous permet d’ingérer des données SAP dans Microsoft Sentinel, dans le cadre de la solution Microsoft Sentinel pour SAP.

Jalons de déploiement

Le déploiement de la solution Microsoft Sentinel pour SAP est réparti sur différentes sections

Vue d’ensemble du déploiement
Conditions préalables au déploiement
Préparer l’environnement SAP
Déployer l’agent de connecteur de données (Vous êtes ici)
Déployer le contenu de sécurité SAP
Configurer la solution Microsoft Sentinel pour SAP
Étapes de déploiement facultatives
- Configurer l’audit
- Configurer le connecteur de données SAP pour utiliser SNC

Vue d’ensemble du déploiement de l’agent du connecteur de données

Pour que la solution Microsoft Sentinel pour SAP fonctionne correctement, vous devez d’abord transférer vos données SAP dans Microsoft Sentinel. Pour ce faire, vous devez déployer l’agent de connecteur de données SAP de la solution.

L’agent de connecteur de données s’exécute en tant que conteneur sur une machine virtuelle Linux. Cette machine virtuelle peut être hébergée dans Azure, dans un cloud tiers ou localement. Nous vous recommandons d’installer et de configurer ce conteneur à l’aide d’un script kickstart ; toutefois, vous pouvez choisir de déployer le conteneur manuellement.

L’agent se connecte à votre système SAP pour extraire les journaux et d’autres données, puis envoie ces journaux à votre espace de travail Microsoft Sentinel. Pour ce faire, l’agent doit s’authentifier auprès de votre système SAP, c’est pourquoi vous avez créé un utilisateur et un rôle pour l’agent dans votre système SAP à l’étape précédente.

Votre infrastructure d’authentification SAP et l’emplacement où vous déployez votre machine virtuelle déterminent comment et où vos informations de configuration de l’agent, y compris vos secrets d’authentification SAP, sont stockées. Voici les options, dans l’ordre décroissant de préférence :

Un coffre Azure Key Vault, accessible via une identité managée affectée par le système Azure
Un coffre Azure Key Vault, accessible via un principal de service d’application inscrite Azure AD
Un fichier de configuration en texte clair

Si votre infrastructure d’authentification SAP est basée sur SNC, à l’aide de certificats X.509, votre seule option consiste à utiliser un fichier de configuration. Sélectionnez l’onglet Fichier de configuration ci-dessous pour obtenir les instructions pour déployer votre conteneur d’agent.

Si vous n’utilisez pas SNC, vos secrets de configuration et d’authentification SAP peuvent et doivent être stockés dans un coffre de clés Azure Key Vault. La façon dont vous accédez à votre coffre de clés dépend de l’emplacement où votre machine virtuelle est déployée :

Un conteneur sur une machine virtuelle Azure peut utiliser une identité managée affectée par le système Azure pour accéder en toute transparence à Azure Key Vault. Sélectionnez l’onglet Identité managée ci-dessous pour obtenir les instructions de déploiement de votre conteneur d’agent à l’aide de l’identité managée.

Si une identité managée affectée par le système ne peut pas être utilisée, le conteneur peut également s’authentifier auprès d’Azure Key Vault à l’aide d’un principal de service d’application inscrite Azure AD ou, en dernier recours, d’un fichier de configuration.
Un conteneur sur une machine virtuelle locale ou une machine virtuelle dans un environnement cloud tiers ne peut pas utiliser l’identité managée Azure, mais peut s’authentifier auprès d’Azure Key Vault à l’aide d’un principal de service d’application inscrite Azure AD. Sélectionnez l’onglet Application inscrite ci-dessous pour obtenir les instructions de déploiement de votre conteneur d’agent.

Si, pour une raison quelconque, un principal de service d’application inscrite ne peut pas être utilisé, vous pouvez utiliser un fichier de configuration, bien que cela soit déconseillé.

Déployer le conteneur de l’agent du connecteur de données

Transférez le SDK SAP NetWeaver sur la machine sur laquelle vous souhaitez installer l’agent.

Exécutez la commande suivante pour créer une machine virtuelle dans Azure (remplacez les noms réels de <placeholders>) :

az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

Pour plus d’informations, consultez Démarrage rapide : Créer une machine virtuelle Linux avec Azure CLI.

Important

Une fois la machine virtuelle créée, veillez à appliquer les exigences de sécurité et les procédures de renforcement applicables dans votre organisation.

La commande ci-dessus crée la ressource de machine virtuelle, en produisant une sortie semblable à celle-ci :

{
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

Copiez le GUID systemAssignedIdentity, car il sera utilisé dans les étapes à venir.
Exécutez les commandes suivantes pour créer un coffre de clés dans Azure (remplacez les noms réels de <placeholders>). Si vous utilisez un coffre de clés existant, ignorez cette étape :
```
az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>
```
Copiez le nom du coffre de clés (nouvellement créé ou existant) et le nom de son groupe de ressources. Vous en aurez besoin lorsque vous exécuterez le script de déploiement dans les étapes à venir.
Exécutez la commande suivante pour affecter une stratégie d’accès au coffre de clés à l’identité affectée par le système de la machine virtuelle que vous avez copiée ci-dessus (remplacez les noms réels de <placeholders>) :
```
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <VM system-assigned identity> --secret-permissions get list set
```
Cette stratégie permet à la machine virtuelle de répertorier, lire et écrire des secrets depuis/vers le coffre de clés.
Connectez-vous à la machine nouvellement créée avec un utilisateur disposant de privilèges sudo.
Téléchargez et exécutez le script Kickstart de déploiement : pour le cloud public, la commande est :
```
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
```
Pour Azure China 21Vianet, la commande est :
```
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh --cloud mooncake
```
Pour Azure Government - États-Unis, la commande est :
```
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh --cloud fairfax
```
Le script met à jour les composants du système d’exploitation, installe l’interface de ligne de commande Azure et le logiciel Docker et d’autres utilitaires requis (jq, netcat, curl) et vous invite à entrer des valeurs de paramètres de configuration. Vous pouvez fournir des paramètres supplémentaires au script pour réduire la quantité d’invites ou personnaliser le déploiement du conteneur. Pour plus d’informations sur les options de ligne de commande disponibles, consultez référence du script kickstart.
Suivez les instructions à l’écran pour entrer les détails de votre instance SAP et de votre coffre Key Vault, et effectuez le déploiement. Une fois le déploiement terminé, un message de confirmation s’affiche :
```
The process has been successfully completed, thank you!
```
Notez le nom du conteneur Docker dans la sortie du script. Vous l’utiliserez à l’étape suivante.
Exécutez la commande suivante pour configurer le conteneur Docker de fàçon à ce qu’il démarre automatiquement.
```
docker update --restart unless-stopped <container-name>
```
Pour afficher la liste des conteneurs disponibles, utilisez la commande docker ps -a.

Transférez le SDK SAP NetWeaver sur la machine sur laquelle vous souhaitez installer l’agent.

Exécutez la commande suivante pour créer et inscrire une application :

az ad sp create-for-rbac

La commande ci-dessus crée l’application, en produisant une sortie semblable à celle-ci :

{
  "appId": "aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa",
  "displayName": "azure-cli-2022-01-28-17-59-06",
  "password": "ssssssssssssssssssssssssssssssssss",
  "tenant": "bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb"
}

Copiez l’ID d’application, le locataire et le mot de passe à partir de la sortie. Vous en aurez besoin pour affecter la stratégie d’accès au coffre de clés et exécuter le script de déploiement dans les étapes à venir.
Exécutez les commandes suivantes pour créer un coffre de clés dans Azure (remplacez les noms réels de <placeholders>). Si vous utilisez un coffre de clés existant, ignorez cette étape :
```
az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>
```
Copiez le nom du coffre de clés (nouvellement créé ou existant) et le nom de son groupe de ressources. Vous en aurez besoin pour affecter la stratégie d’accès au coffre de clés et exécuter le script de déploiement dans les étapes à venir.
Exécutez la commande suivante pour affecter une stratégie d’accès au coffre de clés à l’ID d’application inscrite que vous avez copié ci-dessus (remplacez les noms ou valeurs réels pour <placeholders>) :
```
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --spn <appId> --secret-permissions get list set
```
Par exemple :
```
az keyvault set-policy -n sentinelkeyvault -g sentinelresourcegroup --application-id aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --secret-permissions get list set
```
Cette stratégie permet à la machine virtuelle de répertorier, lire et écrire des secrets depuis/vers le coffre de clés.
Exécutez les commandes suivantes pour télécharger le script Kickstart de déploiement à partir du dépôt Microsoft Sentinel GitHub et le marquer comme exécutable :
```
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh
```
Exécutez le script, en spécifiant l’ID d’application, le secret (le mot de passe), l’ID de locataire et le nom du coffre de clés que vous avez copiés aux étapes précédentes.
```
./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
```
Le script met à jour les composants du système d’exploitation, installe l’interface de ligne de commande Azure et le logiciel Docker et d’autres utilitaires requis (jq, netcat, curl) et vous invite à entrer des valeurs de paramètres de configuration. Vous pouvez fournir des paramètres supplémentaires au script pour réduire la quantité d’invites ou personnaliser le déploiement du conteneur. Pour plus d’informations sur les options de ligne de commande disponibles, consultez référence du script kickstart.
Suivez les instructions à l’écran pour entrer les détails de votre instance SAP et de votre coffre Key Vault, et effectuez le déploiement. Une fois le déploiement terminé, un message de confirmation s’affiche :
```
The process has been successfully completed, thank you!
```
Notez le nom du conteneur Docker dans la sortie du script. Vous l’utiliserez à l’étape suivante.
Exécutez la commande suivante pour configurer le conteneur Docker de fàçon à ce qu’il démarre automatiquement.
```
docker update --restart unless-stopped <container-name>
```
Pour afficher la liste des conteneurs disponibles, utilisez la commande docker ps -a.

Transférez le SDK SAP NetWeaver sur la machine sur laquelle vous souhaitez installer l’agent.
Exécutez les commandes suivantes pour télécharger le script Kickstart de déploiement à partir du dépôt Microsoft Sentinel GitHub et le marquer comme exécutable :
```
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh
```
Exécutez le script :
```
./sapcon-sentinel-kickstart.sh --keymode cfgf
```
Le script met à jour les composants du système d’exploitation, installe l’interface de ligne de commande Azure et le logiciel Docker et d’autres utilitaires requis (jq, netcat, curl) et vous invite à entrer des valeurs de paramètres de configuration. Vous pouvez fournir des paramètres supplémentaires au script pour réduire la quantité d’invites ou personnaliser le déploiement du conteneur. Pour plus d’informations sur les options de ligne de commande disponibles, consultez référence du script kickstart.
Suivez les instructions à l’écran pour entrer les détails de votre instance SAP et de votre coffre Key Vault, et effectuez le déploiement. Une fois le déploiement terminé, un message de confirmation s’affiche :
```
The process has been successfully completed, thank you!
```
Notez le nom du conteneur Docker dans la sortie du script. Vous l’utiliserez à l’étape suivante.
Exécutez la commande suivante pour configurer le conteneur Docker de fàçon à ce qu’il démarre automatiquement.
```
docker update --restart unless-stopped <container-name>
```
Pour afficher la liste des conteneurs disponibles, utilisez la commande docker ps -a.

Transférez le SDK SAP NetWeaver sur la machine sur laquelle vous souhaitez installer l’agent.
Installez Docker sur la machine virtuelle, en suivant les étapes de déploiement recommandées pour le système d’exploitation choisi.
Utilisez les commandes suivantes (en remplaçant le <SID> par le nom de l’instance SAP) pour créer un dossier pour stocker la configuration et les métadonnées du conteneur, et pour télécharger un exemple de fichier systemconfig.ini dans ce dossier.
```
sid=<SID>
mkdir -p /opt/sapcon/$sid
cd /opt/sapcon/$sid
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini 
```
Modifiez le fichier systemconfig.ini pour configurer les paramètres appropriés.

Exécutez les commandes suivantes (en remplaçant le <SID> par le nom de l’instance SAP) pour récupérer la dernière image conteneur, créer un conteneur et le configurer pour démarrer automatiquement.

sid=<SID>
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest
docker create -d --restart unless-stopped -v /opt/sapcon/$sid/:/sapcon-app/sapcon/config/system --name sapcon-$sid sapcon

Exécutez la commande suivante pour copier le kit de développement logiciel (SDK) dans le conteneur. Remplacez le <SID> par le nom de l’instance SAP et <sdkfilename> par le nom complet du SDK SAP NetWeaver.
```
sdkfile=<sdkfilename> 
sid=<SID>
docker cp $sdkfile sapcon-$sid:/sapcon-app/inst/
```
Exécutez la commande suivante (en remplaçant le <SID> par le nom de l’instance SAP) pour démarrer le conteneur.
```
sid=<SID>
docker start sapcon-$sid
```

Étapes suivantes

Une fois le connecteur déployé, passez au déploiement le contenu de la solution Microsoft Sentinel pour SAP :

Déployer le contenu de sécurité SAP