Az SAP-adatösszekötő-ügynököt üzemeltető tároló üzembe helyezése és konfigurálása
Ez a cikk bemutatja, hogyan helyezheti üzembe az SAP-adatösszekötő-ügynököt üzemeltető tárolót. Ezt az SAP-adatok Microsoft Sentinelbe való betöltéséhez teszi, az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás részeként.
Üzembehelyezési mérföldkövek
A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezése a következő szakaszokra oszlik
A megoldás használata több munkaterületen (ELŐZETES VERZIÓ)
Adatösszekötő-ügynök üzembe helyezése (Ön itt van)
Microsoft Sentinel-megoldás konfigurálása SAP-alkalmazásokhoz®
Nem kötelező üzembe helyezési lépések
Az adatösszekötő-ügynök üzembe helyezésének áttekintése
Ahhoz, hogy az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás megfelelően működjön, először be kell szereznie az SAP-adatokat a Microsoft Sentinelbe. Ehhez üzembe kell helyeznie a megoldás SAP-adatösszekötő-ügynökét.
Az adatösszekötő-ügynök tárolóként fut egy Linux rendszerű virtuális gépen (VM). Ez a virtuális gép üzemeltethető az Azure-ban, egy külső felhőben vagy a helyszínen. Javasoljuk, hogy telepítse és konfigurálja ezt a tárolót egy indítási szkripttel; azonban dönthet úgy, hogy manuálisan telepíti a tárolót.
Az ügynök csatlakozik az SAP-rendszerhez, és naplókat és más adatokat kér le belőle, majd elküldi ezeket a naplókat a Microsoft Sentinel-munkaterületre. Ehhez az ügynöknek hitelesítenie kell magát az SAP-rendszerben – ezért hozott létre egy felhasználót és egy szerepkört az ügynök számára az SAP-rendszerben az előző lépésben.
Az SAP hitelesítési infrastruktúrája és a virtuális gép üzembe helyezésének helye határozza meg, hogy az ügynök konfigurációs adatai , beleértve az SAP-hitelesítési titkos kulcsokat is, hogyan és hol vannak tárolva. Ezek a lehetőségek, csökkenő sorrendben:
- Azure-Key Vault, amely egy Azure rendszer által hozzárendelt felügyelt identitáson keresztül érhető el
- Egy Azure AD regisztrált alkalmazás-szolgáltatásnévvel elérhető Azure-Key Vault
- Egyszerű szövegkonfigurációs fájl
Ha az SAP-hitelesítési infrastruktúra SNC-n alapul , X.509-tanúsítványok használatával, az egyetlen lehetőség egy konfigurációs fájl használata. Az ügynöktároló üzembe helyezésére vonatkozó utasításokért válassza az alábbi Konfigurációs fájl fület.
Ha nem SNC-t használ, akkor az SAP konfigurációs és hitelesítési titkos kódjait egy Azure-Key Vault lehet és kell tárolni. A kulcstartó elérésének módjától függ, hogy a virtuális gép hol van üzembe helyezve:
Az Azure-beli virtuális gépek tárolóiazure-beli rendszer által hozzárendelt felügyelt identitással zökkenőmentesen hozzáférhetnek az Azure Key Vault. Válassza az alábbi Felügyelt identitás lapot az ügynöktároló felügyelt identitással történő üzembe helyezésére vonatkozó utasításokhoz.
Ha a rendszer által hozzárendelt felügyelt identitás nem használható, a tároló az Azure Key Vault is hitelesíthető egy Azure AD regisztrált alkalmazás szolgáltatásnévvel, vagy végső megoldásként egy konfigurációs fájllal.
Egy helyszíni virtuális gépen vagyegy külső felhőkörnyezetben lévő virtuális gépen lévő tárolók nem használhatják az Azure által felügyelt identitást, de hitelesítést végezhetnek az Azure Key Vault egy Azure AD regisztrált alkalmazás-szolgáltatásnév használatával. Az ügynöktároló üzembe helyezésére vonatkozó utasításokért kattintson az alábbi Regisztrált alkalmazás fülre.
Ha valamilyen okból egy regisztrált alkalmazás-szolgáltatásnév nem használható, használhat konfigurációs fájlt, bár ez nem ajánlott.
Az adatösszekötő-ügynök tárolójának üzembe helyezése
Helyezze át az SAP NetWeaver SDK-t arra a gépre, amelyre telepíteni szeretné az ügynököt.
Futtassa a következő parancsot a virtuális gép azure-beli létrehozásához (cserélje ki a tényleges neveket a
<placeholders>következőre):az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>További információ : Rövid útmutató: Linux rendszerű virtuális gép létrehozása az Azure CLI-vel.
Fontos
A virtuális gép létrehozása után mindenképpen alkalmazza a szervezetében érvényes biztonsági követelményeket és megerősítési eljárásokat.
A fenti parancs létrehozza a virtuálisgép-erőforrást, és a következőhöz hasonló kimenetet hoz létre:
{ "fqdns": "", "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname", "identity": { "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy", "userAssignedIdentities": {} }, "location": "westeurope", "macAddress": "00-11-22-33-44-55", "powerState": "VM running", "privateIpAddress": "192.168.136.5", "publicIpAddress": "", "resourceGroup": "resourcegroupname", "zones": "" }Másolja ki a systemAssignedIdentity GUID azonosítót, mivel az a következő lépésekben lesz felhasználva.
Az alábbi parancsok futtatásával hozzon létre egy kulcstartót (helyettesítse a tényleges neveket a
<placeholders>következővel: ). Ha meglévő kulcstartót használ, hagyja figyelmen kívül ezt a lépést:az keyvault create \ --name <KeyVaultName> \ --resource-group <KeyVaultResourceGroupName>Másolja ki az (újonnan létrehozott vagy meglévő) kulcstartó nevét és az erőforráscsoport nevét. Ezekre akkor lesz szüksége, ha az üzembehelyezési szkriptet a következő lépésekben futtatja.
A következő parancs futtatásával rendeljen hozzá egy kulcstartó hozzáférési szabályzatot a virtuális gép fent másolt rendszer által hozzárendelt identitásához (helyettesítse a tényleges neveket a
<placeholders>következővel):az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <VM system-assigned identity> --secret-permissions get list setEz a szabályzat lehetővé teszi, hogy a virtuális gép titkos kulcsokat listázhasson, olvasson és írjon a kulcstartóból vagy a kulcstartóba.
Jelentkezzen be az újonnan létrehozott gépre egy sudo jogosultságokkal rendelkező felhasználóval.
töltse le és futtassa az üzembe helyezési kickstart szkriptet: Nyilvános felhő esetén a parancs a következő:
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.shAz Azure China 21Vianet esetében a parancs a következő:
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh --cloud mooncakeAz Azure Government – USA esetében a parancs a következő:
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh --cloud fairfaxA szkript frissíti az operációs rendszer összetevőit, telepíti az Azure CLI- és Docker-szoftvert, valamint más szükséges segédprogramokat (jq, netcat, curl), és konfigurációs paraméterértékeket kér. További paramétereket adhat meg a szkriptnek a kérések számának minimalizálása vagy a tároló üzembe helyezésének testreszabása érdekében. Az elérhető parancssori lehetőségekről további információt a Kickstart-szkript referenciája című témakörben talál.
Kövesse a képernyőn megjelenő utasításokat az SAP és a key vault részleteinek megadásához és az üzembe helyezés befejezéséhez. Ha az üzembe helyezés befejeződött, megjelenik egy megerősítést kérő üzenet:
The process has been successfully completed, thank you!Jegyezze fel a Docker-tároló nevét a szkript kimenetében. A következő lépésben használni fogja.
Futtassa a következő parancsot a Docker-tároló automatikus indításának konfigurálásához.
docker update --restart unless-stopped <container-name>Az elérhető tárolók listájának megtekintéséhez használja a következő parancsot:
docker ps -a.
Következő lépések
Az összekötő üzembe helyezése után folytassa a Microsoft Sentinel-megoldás üzembe helyezését AZ SAP-alkalmazások® tartalmához: