Menyebarkan dan mengonfigurasi kontainer yang menghosting agen konektor data SAP

Artikel ini menunjukkan cara menyebarkan kontainer yang menghosting agen konektor data SAP. Anda melakukan ini untuk menyerap data SAP ke dalam Microsoft Sentinel, sebagai bagian dari Solusi Microsoft Sentinel untuk SAP.

Milestone penyebaran

Penyebaran Solusi Microsoft Sentinel untuk SAP dibagi menjadi beberapa bagian berikut

  1. Ringkasan penyebaran

  2. Prasyarat penyebaran

  3. Menyiapkan lingkungan SAP

  4. Menyebarkan agen konektor data(Anda di sini)

  5. Menyebarkan konten keamanan SAP

  6. Mengonfigurasi Solusi Microsoft Sentinel untuk SAP

  7. Langkah-langkah penyebaran opsional

Ringkasan penyebaran agen konektor data

Agar Solusi Microsoft Sentinel untuk SAP dapat beroperasi dengan benar, Anda harus terlebih dahulu memasukkan data SAP Anda ke dalam Microsoft Sentinel. Untuk mencapai ini, Anda perlu menggunakan agen konektor data SAP solusi.

Agen konektor data berjalan sebagai kontainer di mesin virtual (VM) Linux. VM ini dapat dihosting baik di Azure, di cloud pihak ketiga, atau lokal. Sebaiknya instal dan konfigurasi kontainer ini menggunakan skrip kickstart ; namun, Anda dapat memilih untuk menyebarkan kontainer secara manual.

Agen terhubung ke sistem SAP Anda untuk menarik log dan data lain darinya, lalu mengirimkan log tersebut ke ruang kerja Microsoft Sentinel Anda. Untuk melakukannya, agen harus melakukan autentikasi ke sistem SAP Anda - itulah sebabnya Anda membuat pengguna dan peran untuk agen di sistem SAP Anda di langkah sebelumnya.

Infrastruktur autentikasi SAP, dan tempat Anda menyebarkan VM, akan menentukan bagaimana dan di mana informasi konfigurasi agen, termasuk rahasia autentikasi SAP Anda, disimpan. Berikut opsinya dalam urutan preferensi menurun:

  • Azure Key Vault, diakses melalui identitas terkelola yang ditetapkan sistem Azure
  • Azure Key Vault, diakses melalui perwakilan layanan aplikasi terdaftar Azure AD
  • File konfigurasi teks biasa

Jika infrastruktur autentikasi SAP Anda didasarkan pada SNC, menggunakan sertifikat X.509, satu-satunya pilihan Anda adalah menggunakan file konfigurasi. Pilih tab File konfigurasi di bawah untuk petunjuk penggunaan penampung agen Anda.

Jika Anda tidak menggunakan SNC, konfigurasi SAP dan rahasia autentikasi Anda dapat dan harus disimpan di Azure Key Vault. Cara Anda mengakses brankas kunci bergantung pada tempat VM Anda disebarkan:

  • Kontainer di Azure VM dapat menggunakan identitas terkelola yang ditetapkan sistem Azure untuk mengakses Azure Key Vault dengan lancar. Pilih tab Identitas terkelola di bawah untuk petunjuk penyebaran kontainer agen Anda menggunakan identitas terkelola.

    Jika identitas terkelola yang ditetapkan sistem tidak dapat digunakan, kontainer juga dapat melakukan autentikasi ke Azure Key Vault menggunakan perwakilan layanan aplikasi terdaftar Azure AD, atau, sebagai upaya terakhir, file konfigurasi.

  • Kontainer di VM lokal, atau VM di lingkungan cloud pihak ketiga, tidak dapat menggunakan identitas terkelola Azure, tetapi dapat melakukan autentikasi ke Azure Key Vault menggunakan perwakilan layanan aplikasi terdaftar Azure AD. Pilih tab Aplikasi terdaftar di bawah untuk petunjuk penyebaran kontainer agen Anda.

    Jika karena alasan tertentu perwakilan layanan aplikasi terdaftar tidak dapat digunakan, Anda dapat menggunakan file konfigurasi, meskipun opsi ini tidak disukai.

Menyebarkan kontainer agen konektor data

  1. Transfer SAP NetWeaver SDK ke mesin tempat Anda ingin menginstal agen.

  2. Jalankan perintah berikut untuk Membuat VM di Azure (ganti nama aktual untuk <placeholders>):

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
    
    

    Untuk informasi selengkapnya, lihat Mulai cepat: Membuat komputer virtual Linux dengan CLI Azure.

    Penting

    Setelah VM dibuat, pastikan untuk menerapkan persyaratan keamanan dan prosedur penguatan apa pun yang berlaku di organisasi Anda.

    Perintah di atas akan membuat sumber daya VM, yang menghasilkan output yang terlihat seperti ini:

    {
      "fqdns": "",
      "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
      "identity": {
        "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
        "userAssignedIdentities": {}
      },
      "location": "westeurope",
      "macAddress": "00-11-22-33-44-55",
      "powerState": "VM running",
      "privateIpAddress": "192.168.136.5",
      "publicIpAddress": "",
      "resourceGroup": "resourcegroupname",
      "zones": ""
    }
    
  3. Salin GUID systemAssignedIdentity, karena akan digunakan pada langkah-langkah selanjutnya.

  4. Jalankan perintah berikut untuk membuat brankas kunci (ganti nama aktual untuk <placeholders>). Jika Anda akan menggunakan brankas kunci yang ada, abaikan langkah ini:

    az keyvault create \
      --name <KeyVaultName> \
      --resource-group <KeyVaultResourceGroupName>
    
  5. Salin nama brankas kunci (yang baru dibuat atau yang sudah ada) dan nama grup sumber dayanya. Anda akan memerlukannya saat menjalankan skrip penyebaran pada langkah-langkah selanjutnya.

  6. Jalankan perintah berikut untuk menetapkan kebijakan akses brankas kunci ke identitas yang ditetapkan sistem VM yang Anda salin di atas (ganti nama aktual untuk <placeholders>):

    az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <VM system-assigned identity> --secret-permissions get list set
    

    Kebijakan ini akan memungkinkan VM mencantumkan, membaca, dan menulis rahasia dari/ke brankas kunci.

  7. Masuk ke mesin yang baru dibuat dengan pengguna dengan hak istimewa sudo.

  8. unduh dan jalankan skrip Kickstart penyebaran: Untuk cloud publik, perintahnya adalah:

    wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
    

    Untuk Azure Tiongkok, perintahnya adalah:

    wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh --cloud mooncake
    

    Untuk Azure Government - AS, perintahnya adalah:

    wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh --cloud fairfax
    

    Skrip memperbarui komponen OS, menginstal perangkat lunak Azure CLI dan Docker dan utilitas yang diperlukan lainnya (jq, netcat, curl), dan meminta Anda memasukkan nilai parameter konfigurasi. Anda dapat menyediakan parameter tambahan ke skrip untuk meminimalkan jumlah perintah atau menyesuaikan penyebaran kontainer. Untuk informasi selengkapnya tentang opsi baris perintah yang tersedia, lihat Referensi skrip Kickstart.

  9. Ikuti petunjuk di layar untuk memasukkan detail SAP serta brankas kunci Anda dan selesaikan penyebaran. Saat penyebaran selesai, pesan konfirmasi ditampilkan:

    The process has been successfully completed, thank you!
    

    Catat nama kontainer Docker dalam output skrip. Anda akan menggunakannya di langkah berikutnya.

  10. Jalankan perintah berikut untuk mengonfigurasi kontainer Docker untuk memulai secara otomatis.

    docker update --restart unless-stopped <container-name>
    

    Untuk melihat daftar kontainer yang tersedia, gunakan perintah: docker ps -a.

Langkah berikutnya

Setelah konektor disebarkan, lanjutkan untuk menyebarkan Solusi Microsoft Sentinel untuk konten SAP: