Az SAP-adatösszekötő-ügynököt üzemeltető tároló üzembe helyezése és konfigurálása

  • Cikk

Ez a cikk bemutatja, hogyan helyezheti üzembe az SAP-adatösszekötő-ügynököt futtató tárolót, és hogyan hozhat létre kapcsolatokat az SAP-rendszerekkel. Ez a kétlépéses folyamat szükséges az SAP-adatok Microsoft Sentinelbe való betöltéséhez az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás részeként.

A tároló üzembe helyezésének és az SAP-rendszerekhez való kapcsolatok létrehozásának ajánlott módszere az Azure Portalon keresztül történik. Ezt a módszert a cikkben ismertetik, és ebben a videóban is bemutatjuk a YouTube-on. A cikkben is látható, hogy hogyan lehet elérni ezeket a célkitűzéseket úgy, hogy meghívunk egy kickstart szkriptet a parancssorból.

Másik lehetőségként manuálisan is üzembe helyezheti az adatösszekötő Docker-tárolóügynökét, például egy Kubernetes-fürtön. További információkért nyisson meg egy támogatási jegyet.

Fontos

A tároló üzembe helyezése és az SAP-rendszerekhez való csatlakozás az Azure Portalon keresztül jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Üzembe helyezési mérföldkövek

Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás üzembe helyezése a következő szakaszokra oszlik:

  1. Az üzembe helyezés áttekintése

  2. Üzembe helyezési előfeltételek

  3. A megoldás használata több munkaterületen (ELŐZETES VERZIÓ)

  4. SAP-környezet előkészítése

  5. Naplózás konfigurálása

  6. A Microsoft Sentinel megoldás üzembe helyezése SAP-alkalmazásokhoz® a tartalomközpontból

  7. Az adatösszekötő-ügynök üzembe helyezése (Ön itt van)

  8. Microsoft Sentinel-megoldás konfigurálása SAP-alkalmazásokhoz®

  9. Nem kötelező üzembe helyezési lépések

Az adatösszekötő-ügynök üzembe helyezése – áttekintés

Ahhoz, hogy az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás megfelelően működjön, először be kell szereznie az SAP-adatokat a Microsoft Sentinelbe. Ehhez telepítenie kell a megoldás SAP-adatösszekötő-ügynökét.

Az adatösszekötő-ügynök tárolóként fut egy Linux rendszerű virtuális gépen (VM). Ez a virtuális gép üzemeltethető az Azure-ban, egy külső felhőben vagy a helyszínen. Javasoljuk, hogy telepítse és konfigurálja ezt a tárolót az Azure Portalon (előzetes verzióban); Azonban dönthet úgy, hogy egy indítási szkripttel telepíti a tárolót. Ha manuálisan szeretné üzembe helyezni az adatösszekötő Docker-tárolóügynökét, például egy Kubernetes-fürtön, nyisson meg egy támogatási jegyet a további részletekért.

Az ügynök az SAP-rendszerhez csatlakozva lekéri a naplókat és más adatokat, majd elküldi ezeket a naplókat a Microsoft Sentinel-munkaterületre. Ehhez az ügynöknek hitelesítenie kell magát az SAP-rendszerben – ezért hozott létre egy felhasználót és egy szerepkört az ügynök számára az SAP-rendszerben az előző lépésben.

Az ügynökkonfigurációs információk, köztük az SAP-hitelesítési titkos kulcsok tárolásának módjáról és hol való tárolásáról számos lehetősége van. Annak eldöntése, hogy melyiket használja, befolyásolhatja a virtuális gép üzembe helyezésének helye és a használni kívánt SAP-hitelesítési mechanizmus. Ezek a lehetőségek, csökkenő sorrendben:

  • Azure Key Vault, amely egy Azure rendszer által hozzárendelt felügyelt identitáson keresztül érhető el
  • Egy Azure Key Vault, amely egy Regisztrált Alkalmazás szolgáltatásnév Microsoft Entra-azonosítójával érhető el
  • Egyszerű szöveges konfigurációs fájl

Ezen forgatókönyvek bármelyike esetén lehetősége van az SAP biztonságos hálózati kommunikációjának (SNC) és X.509-tanúsítványainak használatával történő hitelesítésre. Ez a beállítás magasabb szintű hitelesítésbiztonságot biztosít, de ez csak néhány esetben praktikus megoldás.

Az adatösszekötő-ügynök tárolójának üzembe helyezése a következő lépéseket tartalmazza:

  1. A virtuális gép létrehozása és az SAP-rendszer hitelesítő adataihoz való hozzáférés beállítása. Előfordulhat, hogy ezt az eljárást egy másik csapatnak kell elvégeznie a szervezetben, de a jelen cikkben szereplő többi eljárás előtt kell elvégeznie.

  2. Az adatösszekötő-ügynök beállítása és üzembe helyezése.

  3. Konfigurálja az ügynököt egy SAP-rendszerhez való csatlakozáshoz.

Előfeltételek

Az adatösszekötő-ügynök üzembe helyezése előtt győződjön meg arról, hogy az összes üzembe helyezési előfeltétel teljesül. További információ: A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz való üzembe helyezésének előfeltételei.

Ha a NetWeaver/ABAP-naplókat biztonságos kapcsolaton keresztül szeretné betöltésre a Secure Network Communications (SNC) használatával, végezze el a megfelelő előkészítő lépéseket. További információ: Az SAP-adatösszekötőhöz készült Microsoft Sentinel üzembe helyezése az SNC használatával.

Virtuális gép létrehozása és a hitelesítő adatokhoz való hozzáférés konfigurálása

Ideális esetben az SAP konfigurációs és hitelesítési titkos kulcsait egy Azure Key Vaultban lehet és kell tárolni. A kulcstartó elérése attól függ, hogy a virtuális gép hol van üzembe helyezve:

  • Az Azure-beli virtuális gépek tárolói azure-beli rendszer által hozzárendelt felügyelt identitással zökkenőmentesen elérhetik az Azure Key Vaultot.

    Abban az esetben, ha a rendszer által hozzárendelt felügyelt identitás nem használható, a tároló a Microsoft Entra ID regisztráltalkalmazás-szolgáltatásnévvel vagy végső megoldásként konfigurációs fájllal is hitelesíthető az Azure Key Vaultban.

  • A helyszíni virtuális gépen vagy külső felhőkörnyezetben lévő virtuális gépen lévő tárolók nem használhatják az Azure-beli felügyelt identitásokat, de microsoft Entra-azonosítójú regisztrált alkalmazásszolgáltatásnévvel hitelesíthetők az Azure Key Vaultban.

  • Ha valamilyen okból nem használható regisztrált alkalmazásszolgáltatásnév, használhat konfigurációs fájlt, bár ez nem ajánlott.

Feljegyzés

Előfordulhat, hogy ezt az eljárást egy másik csapatnak kell elvégeznie a szervezetben, de a jelen cikkben szereplő többi eljárás előtt kell elvégeznie.

A hitelesítési hitelesítő adatok és a konfigurációs adatok tárolásának és elérésének módjától függően válassza az alábbi lapok egyikét.

Felügyelt identitás létrehozása Azure-beli virtuális géppel

  1. Futtassa a következő parancsot egy virtuális gép Azure-beli létrehozásához (cserélje le a környezet tényleges nevét a <placeholders>következőre):

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

    További információ : Rövid útmutató: Linux rendszerű virtuális gép létrehozása az Azure CLI-vel.

    Fontos

    A virtuális gép létrehozása után mindenképpen alkalmazza a szervezetében alkalmazható biztonsági követelményeket és megerősítési eljárásokat.

    A fenti parancs létrehozza a virtuálisgép-erőforrást, amely így néz ki:

    {
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

  2. Másolja ki a systemAssignedIdentity GUID azonosítót, mivel az a következő lépésekben lesz használva. Ez a felügyelt identitás.

Kulcstartó létrehozása

Ez az eljárás azt ismerteti, hogyan hozhat létre kulcstartót az ügynök konfigurációs adatainak tárolásához, beleértve az SAP hitelesítési titkos kulcsait is. Ha meglévő kulcstartót használ, ugorjon közvetlenül a 2. lépésre.

A kulcstartó létrehozása:

  1. Futtassa a következő parancsokat, és helyettesítse az <placeholder> értékek tényleges nevét.

    az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

  2. Másolja ki a kulcstartó nevét és az erőforráscsoport nevét. Ezekre akkor lesz szüksége, ha hozzárendeli a kulcstartó hozzáférési engedélyeit, és futtatja az üzembehelyezési szkriptet a következő lépésekben.

Kulcstartó hozzáférési engedélyeinek hozzárendelése

  1. A kulcstartóban rendelje hozzá a titkos kulcsok hatóköréhez tartozó következő Azure-szerepköralapú hozzáférés-vezérlési vagy -tároló-hozzáférési szabályzat-engedélyeket a korábban létrehozott és másolt identitáshoz.

    Engedélymodell A szükséges engedélyek
    Azure szerepkör-alapú hozzáférés Key Vault titkos kulcsok felhasználója
    Tároló hozzáférési szabályzata get, list

    A portál beállításaival rendelje hozzá az engedélyeket, vagy futtassa az alábbi parancsok egyikét a kulcstartó titkos kulcsainak engedélyeinek identitáshoz való hozzárendeléséhez, és helyettesítse az <placeholder> értékek tényleges nevét. Válassza ki a létrehozott identitástípus lapját.

    Az előnyben részesített Key Vault-engedélymodelltől függően futtassa az alábbi parancsok egyikét a kulcstartó titkos kulcsainak engedélyeinek a virtuális gép rendszer által hozzárendelt felügyelt identitásához való hozzárendeléséhez. A parancsokban megadott szabályzat lehetővé teszi a virtuális gép számára a titkos kulcsok listázását és olvasását a kulcstartóból.

    • Azure szerepköralapú hozzáférés-vezérlési engedélymodell:

      az role assignment create --assignee-object-id <ManagedIdentityId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName> /providers/Microsoft.KeyVault/vaults/<KeyVaultName>

    • Tároló-hozzáférési szabályzat engedélymodellje:

      az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <ManagedIdentityId> --secret-permissions get list

  2. Ugyanabban a kulcstartóban rendelje hozzá az alábbi Azure szerepköralapú hozzáférés-vezérlési vagy tárolóhozzáférési szabályzat engedélyeit a titkos kódok hatóköréhez az adatösszekötő-ügynököt konfiguráló felhasználóhoz:

    Engedélymodell A szükséges engedélyek
    Azure szerepkör-alapú hozzáférés Key Vault titkos kulcsok tisztviselője
    Tároló hozzáférési szabályzata get, list, setdelete

    A portál beállításaival rendelje hozzá az engedélyeket, vagy futtassa az alábbi parancsok egyikét a key vault titkos kulcsengedélyeinek a felhasználóhoz való hozzárendeléséhez, az <placeholder> értékek tényleges nevének helyettesítésével:

    • Azure szerepköralapú hozzáférés-vezérlési engedélymodell:

      az role assignment create --role "Key Vault Secrets Officer" --assignee <UserPrincipalName> --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>

    • Tároló-hozzáférési szabályzat engedélymodellje:

      az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --upn <UserPrincipalName>--secret-permissions get list set delete

Az adatösszekötő-ügynök üzembe helyezése

Most, hogy létrehozott egy virtuális gépet és egy Key Vaultot, a következő lépés egy új ügynök létrehozása és az egyik SAP-rendszerhez való csatlakozás.

  1. Jelentkezzen be az újonnan létrehozott virtuális gépre , amelyre az ügynököt telepíti, sudo jogosultságokkal rendelkező felhasználóként.

  2. Töltse le vagy vigye át az SAP NetWeaver SDK-t a gépre.

Az alábbi eljárások egyikét használhatja attól függően, hogy felügyelt identitást vagy regisztrált alkalmazást használ-e a kulcstartó eléréséhez, és hogy az Azure Portalt vagy a parancssort használja-e az ügynök üzembe helyezéséhez:

Tipp.

Az Azure Portal csak Azure-kulcstartóval használható. Ha ehelyett konfigurációs fájlt használ, használja a megfelelő parancssori lehetőséget.

Az Azure Portal beállításai (előzetes verzió)

A kulcstartó eléréséhez használt identitás típusától függően válassza az alábbi lapok egyikét.

Feljegyzés

Ha korábban manuálisan telepítette az SAP-összekötő-ügynököket, vagy az indítási szkripteket használta, ezeket az ügynököket nem konfigurálhatja vagy kezelheti az Azure Portalon. Ha a portál használatával szeretné konfigurálni és frissíteni az ügynököket, újra kell telepítenie a meglévő ügynököket a portál használatával.

Ez az eljárás azt ismerteti, hogyan hozhat létre új ügynököt az Azure Portalon, és hogyan hitelesíthet felügyelt identitással:

  1. A Microsoft Sentinel navigációs menüjében válassza az Adatösszekötők lehetőséget.

  2. A keresősávon adja meg az SAP-t.

  3. A keresési eredmények közül válassza a Microsoft Sentinel for SAP lehetőséget, majd válassza az Összekötő megnyitása lapot.

  4. Ha sap-rendszerből szeretne adatokat gyűjteni, kövesse az alábbi két lépést:

    1. Új ügynök létrehozása
    2. az ügynök Csatlakozás egy új SAP-rendszerbe

Új ügynök létrehozása

  1. A Konfiguráció területen válassza az Új ügynök hozzáadása (előzetes verzió) lehetőséget.

    Képernyőkép az SAP API-alapú gyűjtőügynök hozzáadására vonatkozó utasításokról.

  2. A jobb oldali Gyűjtőügynök létrehozása csoportban adja meg az ügynök részleteit:

    Név Leírás
    Ügynök neve Adjon meg egy ügynöknevet, beleértve a következő karakterek bármelyikét:
    • a-z
    • A–Z
    • 0–9
    • _ (aláhúzás)
    • . (időszak)
    • - (kötőjel)
    Előfizetési / kulcstartó Válassza ki az előfizetést és a Key Vaultot a megfelelő legördülő listából.
    NWRFC SDK zip-fájl elérési útja az ügynök virtuális gépen Adja meg az SAP NetWeaver Távoli függvényhívás (RFC) szoftverfejlesztői készlet (SDK) archívumát (.zip fájlt) tartalmazó virtuális gép elérési útját.

    Győződjön meg arról, hogy ez az elérési út tartalmazza az SDK verziószámát a következő szintaxisban: <path>/NWRFC<version number>.zip. Például: /src/test/nwrfc750P_12-70002726.zip
    SNC-kapcsolat támogatásának engedélyezése Válassza ki a NetWeaver/ABAP-naplók biztonságos kapcsolaton keresztüli betöltéséhez a Secure Network Communications (SNC) használatával.

    Ha ezt a lehetőséget választja, adja meg a bináris és a sapgenpse kódtárat tartalmazó elérési utat az ÜGYNÖK virtuális gépen található SAP titkosítási kódtár elérési útja alatt.libsapcrypto.so
    Hitelesítés az Azure Key Vaultba Ha felügyelt identitással szeretne hitelesíteni a kulcstartóban, hagyja bejelölve az alapértelmezett Felügyelt identitás beállítást.

    Előre be kell állítania a felügyelt identitást. További információ: Virtuális gép létrehozása és a hitelesítő adatokhoz való hozzáférés konfigurálása.

    Feljegyzés

    Ha SNC-kapcsolatot szeretne használni, ebben a szakaszban mindenképpen válassza az SNC-kapcsolat támogatásának engedélyezése lehetőséget, mivel az ügynök üzembe helyezése után nem tud visszatérni és engedélyezni egy SNC-kapcsolatot. További információ: Az SAP-adatösszekötőhöz készült Microsoft Sentinel üzembe helyezése az SNC használatával.

    Példa:

    Képernyőkép a Gyűjtőügynök létrehozása területről.

  3. Az üzembe helyezés előtt válassza a Létrehozás lehetőséget, és tekintse át a javaslatokat:

    Képernyőkép az ügynök üzembe helyezésének utolsó szakaszáról.

  4. Az SAP-adatösszekötő-ügynök üzembe helyezéséhez meg kell adnia az ügynök virtuálisgép-identitását adott engedélyekkel a Microsoft Sentinel-munkaterületen a Microsoft Sentinel üzleti alkalmazások ügynökének operátori szerepkörével.

    A parancs ebben a lépésben való futtatásához erőforráscsoport-tulajdonosnak kell lennie a Microsoft Sentinel-munkaterületen. Ha ön nem erőforráscsoport-tulajdonos a munkaterületen, ezt az eljárást az ügynök üzembe helyezése után is végrehajthatja.

    Másolja ki a szerepkör-hozzárendelés parancsot az 1. lépésből, és futtassa az ügynök virtuális gépen, és cserélje le a helyőrzőt a Object_ID virtuális gép identitásobjektum-azonosítójára. Példa:

    Képernyőkép a parancs Másolás ikonjáról az 1. lépésből.

    Ha meg szeretné keresni a virtuálisgép-identitásobjektum-azonosítót az Azure-ban, lépjen a Minden alkalmazás nagyvállalati alkalmazásba>, és válassza ki a virtuális gép nevét. Másolja ki az Objektumazonosító mező értékét a másolt paranccsal való használathoz.

    Ez a parancs hozzárendeli a Microsoft Sentinel Business Applications Agent Operator Azure-szerepkört a virtuális gép felügyelt identitásához, beleértve csak a munkaterületen megadott ügynök adatainak hatókörét.

    Fontos

    A Microsoft Sentinel Business Applications Agent Operator szerepkör cli-n keresztüli hozzárendelése csak a munkaterületen megadott ügynök adatainak hatóköréhez rendeli hozzá a szerepkört. Ez a legbiztonságosabb, ezért ajánlott lehetőség.

    Ha a szerepkört az Azure Portalon kell hozzárendelnie, javasoljuk, hogy a szerepkört egy kis hatókörben, például csak a Microsoft Sentinel-munkaterületen rendelje hozzá.

  5. Válassza a MásolásKépernyőkép a Másolás ikonról. lehetőséget az Ügynök parancs mellett a 2. lépésben. Példa:

    Képernyőkép a 2. lépésben másolandó Ügynök parancsról.

  6. Miután átmásolta a parancssort, válassza a Bezárás lehetőséget.

    A vonatkozó ügynökadatok az Azure Key Vaultban lesznek üzembe helyezve, és az új ügynök az API-alapú gyűjtőügynök hozzáadása csoportban látható.

    Ebben a szakaszban az ügynök állapota "Hiányos telepítés" állapotú . Kövesse az utasításokat". Az ügynök sikeres telepítése után az állapot kifogástalan állapotúra változik. Ez a frissítés akár 10 percet is igénybe vehet. Példa:

    Képernyőkép az API-alapú gyűjtőügynökök állapotáról az SAP-adatösszekötő oldalán.

    Feljegyzés

    A táblázat csak az Azure Portalon üzembe helyezhető ügynökök nevét és állapotát jeleníti meg. A parancssorban üzembe helyezett ügynökök itt nem jelennek meg.

  7. Azon a virtuális gépen, ahol telepíteni szeretné az ügynököt, nyisson meg egy terminált, és futtassa az előző lépésben másolt Ügynök parancsot .

    A szkript frissíti az operációs rendszer összetevőit, és telepíti az Azure CLI-t, a Docker-szoftvert és más szükséges segédprogramokat, például a jq-t, a netcatet és a curl-t.

    Adjon meg további paramétereket a szkriptnek a tároló üzembe helyezésének testreszabásához. Az elérhető parancssori lehetőségekről további információt a Kickstart-szkriptek hivatkozásában talál.

    Ha ismét át szeretné másolni a parancsot, válassza az Állapot oszloptól jobbra lévő Nézet lehetőségetKépernyőkép a Nézet ikonról., és másolja a parancsot a jobb alsó sarokban található Ügynök parancs mellett.

Csatlakozás új SAP-rendszerre

Bárki, aki új kapcsolatot ad hozzá egy SAP-rendszerhez, írási engedéllyel kell rendelkeznie ahhoz a kulcstartóhoz, ahol az SAP-hitelesítő adatokat tárolják. További információ: Virtuális gép létrehozása és a hitelesítő adatokhoz való hozzáférés konfigurálása.

  1. A Konfiguráció területen válassza az Új rendszer hozzáadása (előzetes verzió) lehetőséget.

    Képernyőkép az Új rendszer hozzáadása területről.

  2. Az Ügynök kiválasztása csoportban válassza ki az előző lépésben létrehozott ügynököt.

  3. A Rendszerazonosító területen válassza ki a kiszolgáló típusát, és adja meg a kiszolgáló adatait.

  4. Válassza a Következő: Hitelesítés lehetőséget.

  5. Az alapszintű hitelesítéshez adja meg a felhasználót és a jelszót. Ha az ügynök beállításakor SNC-kapcsolatot választott, válassza ki az SNC-t, és adja meg a tanúsítvány részleteit.

  6. Válassza a Következő: Naplók lehetőséget.

  7. Válassza ki az SAP-ból lekérni kívánt naplókat, majd válassza a Tovább: Áttekintés és létrehozás lehetőséget.

  8. Tekintse át a megadott beállításokat. A beállítások módosításához válassza az Előző lehetőséget, vagy válassza az Üzembe helyezés lehetőséget a rendszer üzembe helyezéséhez.

  9. A megadott rendszerkonfiguráció az Azure Key Vaultban lesz üzembe helyezve. Most már láthatja a rendszer részleteit az SAP-rendszer konfigurálása és gyűjtőügynökhöz rendelése című táblázatban. Ez a táblázat az Azure Portalon vagy más módszereken keresztül hozzáadott rendszerek társított ügynöknevét, SAP-rendszerazonosítóját (SID- és állapotállapotát) jeleníti meg.

    Ebben a szakaszban a rendszer állapota függőben van. Ha az ügynök frissítése sikeresen megtörtént, lekéri a konfigurációt az Azure Key Vaultból, és a rendszer állapota kifogástalan állapotúra változik. Ez a frissítés akár 10 percet is igénybe vehet.

    További információ az SAP-rendszer állapotának monitorozásáról.

Parancssori beállítások

A kulcstartó eléréséhez használt identitás típusától függően válassza az alábbi lapok egyikét:

Hozzon létre egy új ügynököt a parancssor használatával, felügyelt identitással hitelesítve:

  1. Töltse le és futtassa az üzembe helyezési Kickstart-szkriptet:

    Az Azure nyilvános kereskedelmi felhő esetében a parancs a következő:

    wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh

    • A 21Vianet által üzemeltetett Microsoft Azure esetében adja hozzá --cloud mooncake a másolt parancs végéhez.

    • Az Azure Government – USA esetén adja hozzá --cloud fairfax a másolt parancs végéhez.

    A szkript frissíti az operációs rendszer összetevőit, telepíti az Azure CLI- és Docker-szoftvert, valamint egyéb szükséges segédprogramokat (jq, netcat, curl), és konfigurációs paraméterértékeket kér. További paramétereket is megadhat a szkriptnek a kérések számának minimalizálása vagy a tároló üzembe helyezésének testreszabása érdekében. Az elérhető parancssori lehetőségekről további információt a Kickstart-szkriptek hivatkozásában talál.

  2. Kövesse a képernyőn megjelenő utasításokat az SAP és a Key Vault adatainak megadásához és az üzembe helyezés befejezéséhez. Ha az üzembe helyezés befejeződött, megjelenik egy megerősítést kérő üzenet:

    The process has been successfully completed, thank you!

    Jegyezze fel a Docker-tároló nevét a szkript kimenetében. A docker-tárolók listájának megtekintéséhez futtassa a következőt:

    docker ps -a

    A következő lépésben a docker-tároló nevét fogja használni.

  3. Az SAP-adatösszekötő-ügynök üzembe helyezéséhez meg kell adnia az ügynök virtuálisgép-identitását adott engedélyekkel a Microsoft Sentinel-munkaterületen a Microsoft Sentinel üzleti alkalmazások ügynökének operátori szerepkörével.

    A parancs ebben a lépésben való futtatásához erőforráscsoport-tulajdonosnak kell lennie a Microsoft Sentinel-munkaterületen. Ha ön nem erőforráscsoport-tulajdonos a munkaterületen, ezt az eljárást később is végrehajthatja.

    Rendelje hozzá a Microsoft Sentinel üzletialkalmazás-ügynök operátori szerepkörét a virtuális gép identitásához:

    1. Az ügynök azonosítójának lekéréséhez futtassa a következő parancsot, és cserélje le a <container_name> helyőrzőt a létrehozott Docker-tároló nevére a Kickstart-szkripttel:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+

      Például egy visszaadott ügynökazonosító lehet 234fba02-3b34-4c55-8c0e-e6423ceb405b.

    2. Rendelje hozzá a Microsoft Sentinel üzletialkalmazás-ügynök operátorát az alábbi parancs futtatásával:

    az role assignment create --assignee <OBJ_ID> --role "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

    Cserélje le a helyőrző értékeket az alábbiak szerint:

    Helyőrző Érték
    <OBJ_ID> A virtuális gép identitásobjektum-azonosítója.

    Ha meg szeretné keresni a virtuálisgép-identitásobjektum-azonosítót az Azure-ban, lépjen a Minden alkalmazás nagyvállalati alkalmazásba>, és válassza ki a virtuális gép nevét. Másolja ki az Objektumazonosító mező értékét a másolt paranccsal való használathoz.
    <SUB_ID> A Microsoft Sentinel-munkaterület előfizetés-azonosítója
    <RESOURCE_GROUP_NAME> A Microsoft Sentinel-munkaterület erőforráscsoportjának neve
    <WS_NAME> A Microsoft Sentinel-munkaterület neve
    <AGENT_IDENTIFIER> Az ügynök azonosítója az előző lépésben a parancs futtatása után jelenik meg.

  4. A Docker-tároló automatikus indításának konfigurálásához futtassa a következő parancsot, és cserélje le a <container-name> helyőrzőt a tároló nevére:

    docker update --restart unless-stopped <container-name>

Következő lépések

Az összekötő üzembe helyezése után folytassa a Microsoft Sentinel-megoldás üzembe helyezését az SAP-alkalmazások® tartalmához:

A megoldás tartalmának üzembe helyezése a tartalomközpontból

Az SAP-összekötő állapotának és kapcsolatának ellenőrzéséhez tekintse meg ezt a YouTube-videót a Microsoft Security Community YouTube-csatornáján.