SAP データ コネクタ エージェントをホストするコンテナーをデプロイして構成する

このアーティクルでは、SAP データ コネクタ エージェントをホストするコンテナーをデプロイする方法について説明します。 これは、SAP® 向け Microsoft Sentinel ソリューション アプリケーションの一部として、SAP データを Microsoft Sentinel に取り込むために行います。

デプロイのマイルストーン

SAP® 向け Microsoft Sentinel ソリューション アプリケーションのデプロイは、次のセクションに分かれています

1. デプロイの概要

2. デプロイの前提条件

3. 複数のワークスペースでソリューションを操作する (プレビュー)

4. SAP 環境を準備する

5. データ コネクタ エージェントをデプロイする (現在はここです)

6. SAP セキュリティ コンテンツをデプロイする

7. SAP 向け Microsoft Sentinel ソリューション® アプリケーションを構成する

8. オプションのデプロイ手順

   • 監査の構成
   • SNC を使用するように SAP データ コネクタを構成する

データ コネクタ エージェントのデプロイの概要

SAP® 向け Microsoft Sentinel ソリューション アプリケーションが正しく動作するためには、最初に SAP データを Microsoft Sentinel に取り込む必要があります。 これを達成するために、ソリューションの SAP データ コネクタ エージェントをデプロイする必要があります。

データ コネクタ エージェントは、Linux 仮想マシン (VM) 上でコンテナーとして実行されます。 この VM は、Azure、サード パーティのクラウド、またはオンプレミスのいずれかでホストできます。 kickstart スクリプトを使用して、このコンテナーをインストールして構成することをお勧めします。ただし、コンテナーを手動でデプロイすることもできます。

エージェントは、SAP システムに接続してそこからログとその他のデータをプルし、次にそれらのログを Microsoft Sentinel ワークスペースに送信します。 これを行うために、エージェントは SAP システムに対して認証を行う必要があります。これが、前の手順で SAP システムにエージェントのユーザーとロールを作成した理由です。

SAP 認証インフラストラクチャと VM のデプロイ先によって、SAP 認証シークレットを含むエージェント構成情報の格納方法と場所が決まります。 オプションは次のとおりです (優先順位の高いものから順に示しています)。

• Azure Key Vault (Azure システム割り当てマネージド ID を介してアクセス)
• Azure Key Vault (Azure AD 登録済みアプリケーション サービス プリンシパルを介してアクセス)
• プレーンテキストの構成ファイル

SAP 認証インフラストラクチャが SNC に基づいていて、X.509 証明書を使用している場合、唯一のオプションは構成ファイルを使用することです。 エージェント コンテナーをデプロイする手順については、下の「構成ファイル」というタブを選択します。

SNC を使用していない場合は、SAP の構成と認証のシークレットを Azure Key Vault に格納してください。 キー コンテナーへのアクセス方法は、VM がデプロイされている場所によって異なります。

• Azure VM 上のコンテナーでは、Azure システム割り当てマネージド ID を使用して、Azure Key Vault にシームレスにアクセスできます。 マネージド ID を使用してエージェント コンテナーをデプロイする手順については、下の「マネージド ID」というタブを選択します。

  システム割り当てマネージド ID を使用できない場合、コンテナーでは Azure Key Vault に対する認証を行うために、Azure AD 登録済みアプリケーション サービス プリンシパル、または最後の手段として構成ファイルも使用できます。

• オンプレミス VM 上のコンテナー、またはサードパーティのクラウド環境内の VM では Azure マネージド ID を使用できませんが、Azure AD 登録済みアプリケーション サービス プリンシパルを使用して Azure Key Vault に対して認証を行うことができます。 エージェント コンテナーをデプロイする手順については、下の「登録済みアプリケーション」というタブを選択します。

  何らかの理由で登録済みアプリケーション サービス プリンシパルを使用できない場合、構成ファイルを使用できますがお勧めしていません。

データ コネクタ エージェント コンテナーをデプロイする

管理対象 ID

1. エージェントをインストールするマシンに SAP NetWeaver SDK を転送します。

2. 次のコマンドを実行して Azure で VM を作成します (<placeholders> は実際の名前に置き換えます)。

   az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
   
   

   詳細については、「クイック スタート: Azure CLI を使用して Linux 仮想マシンを作成する」を参照してください。

   重要

   VM を作成したら、必ず、組織に適切なセキュリティ要件とセキュリティ強化手順を適用してください。

   上記のコマンドを実行すると、VM リソースが作成され、次のような出力が生成されます。

   {
     "fqdns": "",
     "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
     "identity": {
       "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
       "userAssignedIdentities": {}
     },
     "location": "westeurope",
     "macAddress": "00-11-22-33-44-55",
     "powerState": "VM running",
     "privateIpAddress": "192.168.136.5",
     "publicIpAddress": "",
     "resourceGroup": "resourcegroupname",
     "zones": ""
   }
   

3. systemAssignedIdentity GUID をコピーします。これは後の手順で使用します。

4. 次のコマンドを実行してキー コンテナーを作成します (<placeholders> は実際の名前に置き換えます)。 既存のキー コンテナーを使用する場合は、この手順を無視してください。

   az keyvault create \
     --name <KeyVaultName> \
     --resource-group <KeyVaultResourceGroupName>
   

5. (新規作成または既存の) キー コンテナーの名前とそのリソース グループの名前をコピーします。 これらは、後の手順でデプロイ スクリプトの実行時に必要になります。

6. 次のコマンドを実行して、上記でコピーした VM のシステム割り当て ID にキー コンテナー アクセス ポリシーを割り当てます (<placeholders> は実際の名前に置き換えます)。

   az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <VM system-assigned identity> --secret-permissions get list set
   

   このポリシーを使用すると、VM ではキー コンテナーとの間でシークレットの一覧表示、読み取り、書き込みを実行できます。

7. sudo 特権を持つユーザーを使用して、新しく作成したマシンにサインインします。

8. デプロイ Kickstart スクリプトをダウンロードして実行します。パブリック クラウドの場合、コマンドは次のようになります。

   wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
   

   Azure China 21Vianet の場合、コマンドは次のとおりです。

   wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh --cloud mooncake
   

   Azure Government - US の場合、コマンドは次のとおりです。

   wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh --cloud fairfax
   

   このスクリプトを使用して、OS コンポーネントを更新し、Azure CLI と Docker ソフトウェアおよびその他の必要なユーティリティ (jq、netcat、curl) をインストールし、構成パラメーター値のプロンプトが表示されるようにします。 スクリプトに追加のパラメーターを指定して、プロンプトの数を最小限に抑えたり、コンテナーのデプロイをカスタマイズしたりできます。 使用可能なコマンド ライン オプションの詳細については、「Kickstart スクリプト リファレンス」を参照してください。

9. 画面の指示に従って SAP とキー コンテナーの詳細を入力し、デプロイを完了します。 デプロイが完了すると、次の確認メッセージが表示されます。

   The process has been successfully completed, thank you!
   

   スクリプト出力の Docker コンテナー名を書き留めます。 これは、次の手順で使用します。

10. 次のコマンドを実行して、自動的に起動するように Docker コンテナーを構成します。

    docker update --restart unless-stopped <container-name>
    

    使用できるコンテナーの一覧を表示するには、コマンド docker ps -a を使用します。

登録済みアプリケーション

1. エージェントをインストールするマシンに SAP NetWeaver SDK を転送します。

2. 次のコマンドを実行し、アプリケーションを作成して登録します。

   az ad sp create-for-rbac
   

   上記のコマンドを実行すると、アプリケーションが作成され、次のような出力が生成されます。

   {
     "appId": "aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa",
     "displayName": "azure-cli-2022-01-28-17-59-06",
     "password": "ssssssssssssssssssssssssssssssssss",
     "tenant": "bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb"
   }
   

3. 出力から "appId"、"tenant"、"password" をコピーします。 これらは、後の手順でキー コンテナー アクセス ポリシーを割り当て、デプロイ スクリプトを実行するために必要になります。

4. 次のコマンドを実行してキー コンテナーを作成します (<placeholders> は実際の名前に置き換えます)。 既存のキー コンテナーを使用する場合は、この手順を無視してください。

   az keyvault create \
     --name <KeyVaultName> \
     --resource-group <KeyVaultResourceGroupName>
   

5. (新規作成または既存の) キー コンテナーの名前とそのリソース グループの名前をコピーします。 これらは、後の手順でキー コンテナー アクセス ポリシーを割り当て、デプロイ スクリプトを実行するために必要になります。

6. 次のコマンドを実行して、上記でコピーした登録済みアプリケーション ID にキー コンテナー アクセス ポリシーを割り当てます (<placeholders> は実際の名前または値に置き換えます)。

   az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --spn <appId> --secret-permissions get list set
   

   次に例を示します。

   az keyvault set-policy -n sentinelkeyvault -g sentinelresourcegroup --application-id aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --secret-permissions get list set
   

   このポリシーを使用すると、VM ではキー コンテナーとの間でシークレットの一覧表示、読み取り、書き込みを実行できます。

7. 次のコマンドを実行して、Microsoft Sentinel GitHub リポジトリからデプロイの Kickstart スクリプトをダウンロードし、実行可能としてマークします。

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

8. 前の手順でコピーしたアプリケーション ID、シークレット ("password")、テナント ID、キー コンテナー名を指定して、スクリプトを実行します。

   ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
   

   このスクリプトを使用して、OS コンポーネントを更新し、Azure CLI と Docker ソフトウェアおよびその他の必要なユーティリティ (jq、netcat、curl) をインストールし、構成パラメーター値のプロンプトが表示されるようにします。 スクリプトに追加のパラメーターを指定して、プロンプトの数を最小限に抑えたり、コンテナーのデプロイをカスタマイズしたりできます。 使用可能なコマンド ライン オプションの詳細については、「Kickstart スクリプト リファレンス」を参照してください。

9. 画面の指示に従って、要求された詳細を入力し、デプロイを完了します。 デプロイが完了すると、次の確認メッセージが表示されます。

   The process has been successfully completed, thank you!
   

   スクリプト出力の Docker コンテナー名を書き留めます。 これは、次の手順で使用します。

10. 次のコマンドを実行して、自動的に起動するように Docker コンテナーを構成します。

    docker update --restart unless-stopped <container-name>
    

    使用できるコンテナーの一覧を表示するには、コマンド docker ps -a を使用します。

構成ファイル

1. エージェントをインストールするマシンに SAP NetWeaver SDK を転送します。

2. 次のコマンドを実行して、Microsoft Sentinel GitHub リポジトリからデプロイの Kickstart スクリプトをダウンロードし、実行可能としてマークします。

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

3. 次のスクリプトを実行します。

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   このスクリプトを使用して、OS コンポーネントを更新し、Azure CLI と Docker ソフトウェアおよびその他の必要なユーティリティ (jq、netcat、curl) をインストールし、構成パラメーター値のプロンプトが表示されるようにします。 スクリプトに追加のパラメーターを指定して、プロンプトの数を最小限に抑えたり、コンテナーのデプロイをカスタマイズしたりできます。 使用可能なコマンド ライン オプションの詳細については、「Kickstart スクリプト リファレンス」を参照してください。

4. 画面の指示に従って、要求された詳細を入力し、デプロイを完了します。 デプロイが完了すると、次の確認メッセージが表示されます。

   The process has been successfully completed, thank you!
   

   スクリプト出力の Docker コンテナー名を書き留めます。 これは、次の手順で使用します。

5. 次のコマンドを実行して、自動的に起動するように Docker コンテナーを構成します。

   docker update --restart unless-stopped <container-name>
   

   使用できるコンテナーの一覧を表示するには、コマンド docker ps -a を使用します。

手動による展開

1. エージェントをインストールするマシンに SAP NetWeaver SDK を転送します。

2. 選択したオペレーティング システムに推奨されるデプロイ手順に従って、VM に Docker をインストールします。

3. 次のコマンドを使用して (<SID> は SAP インスタンスの名前に置き換えます)、コンテナーの構成とメタデータを格納するフォルダーを作成し、そのフォルダーにサンプルの systemconfig.ini ファイルをダウンロードします。

   sid=<SID>
   mkdir -p /opt/sapcon/$sid
   cd /opt/sapcon/$sid
   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini 
   
   

4. systemconfig.ini ファイルを編集して、関連する設定を構成します。

5. 次のコマンドを実行して (<SID> は SAP インスタンスの名前に置き換えます)、最新のコンテナー イメージを取得し、新しいコンテナーを作成し、自動的に起動するように構成します。

   sid=<SID>
   docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest
   docker create -d --restart unless-stopped -v /opt/sapcon/$sid/:/sapcon-app/sapcon/config/system --name sapcon-$sid sapcon   
   

6. 次のコマンドを実行して、SDK をコンテナーにコピーします。 <SID> を SAP インスタンスの名前に、<sdkfilename> を SAP NetWeaver SDK の完全なファイル名に置き換えます。

   sdkfile=<sdkfilename> 
   sid=<SID>
   docker cp $sdkfile sapcon-$sid:/sapcon-app/inst/
   

7. 次のコマンドを実行して (<SID> は SAP インスタンスの名前に置き換えます)、コンテナーを起動します。

   sid=<SID>
   docker start sapcon-$sid
   

次の手順

コネクタがデプロイされたら、SAP® 向け Microsoft Sentinel ソリューション アプリケーションのコンテンツのデプロイに進みます。

SAP セキュリティ コンテンツをデプロイする