SAP 데이터 커넥터 에이전트를 호스트하는 컨테이너 배포 및 구성

이 문서에서는 SAP 데이터 커넥터 에이전트를 호스트하는 컨테이너를 배포하는 방법과 컨테이너를 사용하여 SAP 시스템에 대한 연결을 만드는 방법을 보여줍니다. SAP® 애플리케이션용 Microsoft Sentinel 솔루션의 일부로 이 2단계 프로세스에서 SAP 데이터를 Microsoft Sentinel에 수집해야 합니다.

컨테이너를 배포하고 SAP 시스템에 대한 연결을 만드는 권장 방법은 Azure Portal을 사용하는 방법입니다. 이 문서에서는 이 방법을 설명하고 YouTube의 이 동영상에서는 보여줍니다. 또한 이 문서에는 명령줄에서 kickstart 스크립트를 호출하여 이러한 목표를 달성하는 방법을 보여줍니다.

또는 이 문서의 설명대로 명령줄에서 개별 명령을 실행하여 데이터 커넥터 에이전트를 수동으로 배포할 수 있습니다.

Important

Azure Portal을 통해 컨테이너 배포 및 SAP 시스템에 대한 연결 만들기는 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

배포 마일스톤

SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포는 다음 섹션으로 나뉩니다.

  1. 배포 개요

  2. 배포 사전 요구 사항

  3. 여러 작업 영역에서 솔루션 작업(미리 보기)

  4. SAP 환경 준비

  5. 감사 구성

  6. 콘텐츠 허브에서 SAP 애플리케이션®용 Microsoft Sentinel 솔루션 배포

  7. 데이터 커넥터 에이전트 배포(현재 위치)

  8. SAP® 애플리케이션용 Microsoft Sentinel 솔루션 구성

  9. 선택적 배포 단계

데이터 커넥터 에이전트 배포 개요

SAP® 애플리케이션용 Microsoft Sentinel 솔루션이 올바르게 작동하려면 먼저 SAP 데이터를 Microsoft Sentinel로 가져와야 합니다. 이렇게 하려면 솔루션의 SAP 데이터 커넥터 에이전트를 배포해야 합니다.

데이터 커넥터 에이전트는 Linux VM(가상 머신)에서 컨테이너로 실행됩니다. 이 VM은 Azure, 타사 클라우드 또는 온-프레미스에서 호스트할 수 있습니다. Azure Portal(미리 보기 상태)을 사용하여 이 컨테이너를 설치하고 구성하는 것이 좋습니다. 하지만 kickstart 스크립트를 사용하여 컨테이너를 배포하거나 컨테이너를 수동으로 배포할 수 있습니다.

에이전트는 SAP 시스템에 연결하여 로그 및 기타 데이터를 가져온 다음, 이러한 로그를 Microsoft Sentinel 작업 영역에 보냅니다. 이렇게 하려면 에이전트에서 SAP 시스템에 인증해야 합니다. 이전 단계에서 에이전트에 대한 사용자와 역할을 SAP 시스템에 만들었기 때문입니다.

SAP 인증 비밀을 포함하여 에이전트 구성 정보를 저장하는 방법과 위치를 선택할 수 있습니다. VM을 배포하는 위치와 사용하기로 결정한 SAP 인증 메커니즘이 사용 결정에 영향을 미칠 수 있습니다. 내림차순으로 나열한 기본 설정 옵션은 다음과 같습니다.

  • Azure Key Vault - Azure 시스템이 할당한 관리 ID를 통해 액세스
  • Azure Key Vault - Microsoft Entra ID 등록된 애플리케이션 서비스 주체를 통해 액세스
  • 일반 텍스트 구성 파일

이러한 시나리오의 경우 SAP의 SNC(Secure Network Communication) 및 X.509 인증서를 사용하여 인증할 수 있는 추가 옵션이 있습니다. 이 옵션은 더 높은 수준의 인증 보안을 제공하지만 제한된 시나리오 집합에서만 실용적인 옵션입니다.

이상적으로 SAP 구성 및 인증 비밀은 Azure Key Vault에 저장될 수 있고 저장되어야 합니다. 키 자격 증명 모음에 액세스하는 방법은 VM이 배포된 위치에 따라 달라집니다.

필수 조건

데이터 커넥터 에이전트를 배포하기 전에 다음을 수행했는지 확인합니다.

데이터 커넥터 에이전트 컨테이너 배포

이 섹션에는 다음 세 가지 단계가 있습니다.

가상 머신 만들기 및 자격 증명에 대한 액세스 구성

Azure VM에서 관리 ID 만들기

  1. 다음 명령을 실행하여 Azure에서 VM을 만듭니다(<placeholders> 환경에서 실제 이름으로 바꿈).

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
    
    

    자세한 내용은 빠른 시작: Azure CLI를 사용하여 Linux 가상 머신 만들기를 참조하세요.

    Important

    VM이 만들어지면 조직에서 적용할 수 있는 모든 보안 요구 사항 및 강화 절차를 적용해야 합니다.

    위의 명령은 다음과 같은 출력을 생성하는 VM 리소스를 만듭니다.

    {
      "fqdns": "",
      "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
      "identity": {
        "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
        "userAssignedIdentities": {}
      },
      "location": "westeurope",
      "macAddress": "00-11-22-33-44-55",
      "powerState": "VM running",
      "privateIpAddress": "192.168.136.5",
      "publicIpAddress": "",
      "resourceGroup": "resourcegroupname",
      "zones": ""
    }
    
  2. 다음 단계에서 사용되므로 systemAssignedIdentity GUID를 복사합니다. 관리 ID입니다.

주요 자격 증명 모음 만들기

  1. 다음 명령을 실행하여 키 자격 증명 모음을 만듭니다합니다(<placeholders>를 실제 이름으로 바꿈).
    기존 키 자격 증명 모음을 사용하는 경우 이 단계를 무시합니다.

    az keyvault create \
      --name <KeyVaultName> \
      --resource-group <KeyVaultResourceGroupName>
    
  2. 새로 만든 키 자격 증명 모음 또는 기존 키 자격 증명 모음의 이름과 해당 리소스 그룹의 이름을 복사합니다. 이러한 항목은 다음 단계에서 키 자격 증명 모음 액세스 정책을 할당하고 배포 스크립트를 실행할 때 필요합니다.

키 자격 증명 모음 액세스 정책 할당

  1. 다음 명령을 실행하여 키 자격 증명 모음 액세스 정책을 위에서 만들고 복사한 ID에 할당합니다(<placeholders>를 실제 이름으로 바꿈). 만든 ID 유형에 적합한 탭을 선택하여 관련 명령을 확인합니다.

    이 명령을 실행하여 액세스 정책을 VM 시스템이 할당한 관리 ID에 할당합니다.

    az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <VM system-assigned identity> --secret-permissions get list set
    

    이 정책을 사용하면 VM이 키 자격 증명 모음에서 비밀을 나열하고, 읽고, 쓸 수 있습니다.

데이터 커넥터 에이전트 배포

이제 VM 및 Key Vault를 만들었습니다. 다음 단계는 새 에이전트를 만들고 SAP 시스템 중 하나에 연결하는 것입니다.

  1. sudo 권한이 있는 사용자로 에이전트를 설치하는 새로 만든 VM에 로그인합니다.

  2. SAP NetWeaver SDK를 다운로드하거나 컴퓨터로 전송합니다.

참고 항목

이전에 SAP 커넥터 에이전트를 수동으로 설치했거나 kickstart 스크립트를 사용하는 경우 Azure Portal에서 해당 에이전트를 구성하거나 관리할 수 없습니다. 포털을 사용하여 에이전트를 구성하고 업데이트하려면 포털을 사용하여 기존 에이전트를 다시 설치해야 합니다.

관리 ID로 인증하여 Azure Portal을 통해 새 에이전트를 만듭니다.

  1. Microsoft Sentinel 탐색 메뉴에서 데이터 커넥터를 선택합니다.

  2. 검색 창에 SAP를 입력합니다.

  3. 검색 결과에서 SAP용 Microsoft Sentinel을 선택하고 커넥터 페이지 열기를 선택합니다.

  4. SAP 시스템에서 데이터를 수집하려면 다음 두 단계를 수행해야 합니다.

    1. 새 에이전트 만들기
    2. 에이전트를 새 SAP 시스템에 연결

새 에이전트 만들기

  1. 구성 영역에서 새 에이전트 추가(미리 보기)를 선택합니다.

    Screenshot of the instructions to add an SAP API-based collector agent.

  2. 오른쪽에 있는 수집기 에이전트 만들기에서 에이전트 세부 정보를 정의합니다.

    Screenshot of the Create a collector agent area.

    • 에이전트 이름을 입력합니다. 에이전트 이름에는 다음 문자가 포함될 수 있습니다.

      • a~z
      • A-Z
      • 0-9
      • _ (밑줄)
      • . (마침표)
      • -(대시)
    • 구독을 선택하고 해당 드롭다운에서 Key Vault를 선택합니다.

    • 에이전트 VM에서 NWRFC SDK zip 파일 경로에서 SAP NetWeaver RFC(Remote Function Call) SDK(소프트웨어 개발 키트) 보관 파일(.zip 파일)이 포함된 VM에 경로를 입력합니다. 예를 들면 /src/test/NWRFC.zip입니다.

    • SNC(Secure Network Communications)를 사용하여 보안 연결을 통해 NetWeaver/ABAP 로그를 수집하려면 SNC 연결 지원 사용을 선택합니다. 이 옵션을 선택하면 에이전트 VM에서 SAP 암호화 라이브러리 경로sapgenpse 이진 및 libsapcrypto.so 라이브러리가 포함된 경로를 입력합니다.

      참고 항목

      SNC 연결을 사용하려면 이 단계에서 SNC 연결 지원 사용을 선택해야 합니다. 에이전트 배포를 완료한 후에는 다시 돌아가 SNC 연결을 사용하도록 설정할 수 없습니다.

      SNC 연결을 통해 커넥터를 배포하는 방법에 대해 자세히 알아보세요.

    • 관리 ID를 사용하여 키 자격 증명 모음에 인증하려면 관리 ID 기본 옵션을 선택한 상태로 둡니다. 사전 요구 사항의 설명대로 관리 ID를 미리 설정해야 합니다.

  3. 만들기를 선택하고 배포를 완료하기 전에 권장 사항을 검토합니다.

    Screenshot of the final stage of the agent deployment.

  4. 완료하기 전에 한 단계만에이전트 명령 옆에 있는 복사Screenshot of the Copy icon.를 선택합니다. 명령줄을 복사한 후 닫기를 선택합니다.

    관련 에이전트 정보는 Azure Key Vault에 배포되고 새 에이전트는 API 기반 수집기 에이전트 추가의 표에 표시됩니다.

    이 단계에서 에이전트 상태"불완전한 설치입니다. 지침을 따르세요.”입니다. 에이전트가 성공적으로 설치되면 상태는 에이전트 정상으로 변경됩니다. 이 업데이트에는 최대 10분 정도 걸릴 수 있습니다.

    Screenshot of the health statuses of API-based collector agents on the SAP data connector page.

    이 표에는 Azure Portal을 통해 배포하는 에이전트의 에이전트 이름과 상태만 표시됩니다. 명령줄을 통해 배포된 에이전트는 여기에 표시되지 않습니다.

  5. 대상 VM(에이전트를 설치하려는 VM)에서 터미널을 열고 이전 단계에서 복사한 명령을 실행합니다.

    스크립트에서 OS 구성 요소를 업데이트하고 Azure CLI 및 Docker 소프트웨어와 기타 필수 유틸리티(jq, netcat, curl)를 설치합니다. 스크립트에 추가 매개 변수를 제공하여 컨테이너 배포를 사용자 지정할 수 있습니다. 사용 가능한 명령줄 옵션에 대한 자세한 내용은 Kickstart 스크립트 참조를 참조하세요.

    명령을 다시 복사해야 하는 경우 상태열 오른쪽에 있는 보기Screenshot of the View icon.를 선택하고 오른쪽 아래에 있는 에이전트 명령 옆에 있는 명령을 복사합니다.

새 SAP 시스템에 연결

SAP 시스템에 새 연결을 추가하는 사람에게는 SAP 자격 증명이 저장되는 Key Vault에 대한 쓰기 권한이 있어야 합니다. 필수 조건을 참조하세요.

  1. 구성 영역에서 새 시스템 추가(미리 보기)를 선택합니다.

    Screenshot of the Add new system area.

  2. 에이전트 선택에서 이전 단계에서 만든 에이전트를 선택합니다.

  3. 시스템 식별자에서 서버 유형을 선택하고 서버 세부 정보를 제공합니다.

  4. 다음: 인증을 선택합니다.

  5. 기본 인증에 사용자와 암호를 제공합니다. 에이전트를 설정할 때 SNC 연결을 선택한 경우 SNC를 선택하고 인증서 세부 정보를 제공합니다.

  6. 다음: 로그를 선택합니다.

  7. SAP에서 끌어올 로그를 선택하고 다음: 검토 및 만들기를 선택합니다.

  8. 정의한 설정을 검토합니다. 이전을 선택하여 설정을 수정하거나 배포를 선택하여 시스템을 배포합니다.

  9. 정의한 시스템 구성이 Azure Key Vault에 배포됩니다. 이제 SAP 시스템 구성 및 수집기 에이전트에 할당에 있는 표에서 시스템 세부 정보를 확인할 수 있습니다. 이 표에는 Azure Portal 또는 다른 방법을 통해 추가한 시스템의 연결된 에이전트 이름, SID(SAP 시스템 ID) 및 상태가 표시됩니다.

    이 단계에서 시스템 상태보류 중입니다. 에이전트가 성공적으로 업데이트되면 Azure Key Vault에서 구성을 끌어오고 상태는 시스템 정상으로 변경됩니다. 이 업데이트에는 최대 10분 정도 걸릴 수 있습니다.

    SAP 시스템 상태를 모니터링하는 방법에 대해 자세히 알아보세요.

다음 단계

커넥터가 배포되면 SAP® 애플리케이션용 Microsoft Sentinel 솔루션 콘텐츠 배포를 계속 진행합니다.

SAP 커넥터의 상태 및 연결을 확인하는 방법은 Microsoft 보안 커뮤니티 YouTube 채널의 이 YouTube 동영상을 참조하세요.