Compartilhar via


Implantar e configurar a hospedagem de contêiner do agente do conector de dados do SAP

Este artigo mostra como implantar o contêiner que hospeda o agente do conector de dados do SAP e como usá-lo para crias conexões com seus sistemas SAP. Este processo de duas etapas é necessário para ingerir dados do SAP no Microsoft Sentinel, como parte da Solução do Microsoft Sentinel para aplicativos SAP.

O método recomendado para implantar o contêiner e criar conexões com sistemas SAP é através do portal do Azure. Esse método é explicado no artigo e também demonstrado neste vídeo do YouTube. Também é mostrada neste artigo uma forma de alcançar esses objetivos chamando um script de início da linha de comando.

Como alternativa, você pode implantar o agente de contêiner do Docker do conector de dados manualmente, como em um cluster do Kubernetes. Para obter mais informações, abra um tíquete de suporte.

Importante

Atualmente, a implantação do contêiner e a criação de conexões com sistemas SAP por meio do portal do Azure estão em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O Microsoft Sentinel está disponível como parte da plataforma de operações de segurança unificada no portal do Microsoft Defender. O Microsoft Sentinel no portal do Defender agora tem suporte para uso em produção. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Marcos de implantação

A implantação da Solução do Microsoft Sentinel para aplicativos SAP® é dividida nas seções a seguir:

  1. Visão geral da implantação

  2. Pré-requisitos de implantação

  3. Trabalhar com a solução em vários workspaces (VERSÃO PRÉVIA)

  4. Preparar o ambiente SAP

  5. Configurar a auditoria

  6. Implantar o agente do conector de dados (Você está aqui)

  7. Implantar a solução do Microsoft Sentinel para aplicativos SAP® do hub de conteúdo

  8. Configuração dos aplicativos da solução do Microsoft Sentinel para SAP®

  9. Etapas de implantação opcionais

Visão geral da implantação do agente do conector de dados

Para que a Solução do Microsoft Sentinel para aplicativos SAP funcionem corretamente, primeiro você deve trazer seus dados do SAP para o Microsoft Sentinel. Para fazer isso, você precisa implantar o agente do conector de dados do SAP da solução.

O agente do conector de dados é executado como um contêiner em uma VM (máquina virtual) Linux. Essa VM pode ser hospedada no Azure, em uma nuvem de terceiros ou local. Recomendamos que você instale e configure esse contêiner usando o portal do Azure (em Versão Prévia); no entanto, você pode optar por implantar o contêiner usando um script de início. Você pode implantar o agente do contêiner do Docker do conector de dados manualmente, como em um cluster do Kubernetes. Abra um tíquete de suporte para mais detalhes.

O agente se conecta ao sistema SAP para extrair logs e outros dados dele e, em seguida, enviar esses logs para o espaço de trabalho do Microsoft Sentinel. Para fazer isso, o agente precisa se autenticar em seu sistema SAP. É por isso que você criou um usuário e uma função para o agente em seu sistema SAP na etapa anterior.

Você tem algumas opções de como e onde armazenar as informações de configuração do agente, incluindo os segredos de autenticação do SAP. A decisão de qual usar pode ser influenciada pelo local em que você implanta sua VM e por qual mecanismo de autenticação SAP você decide usar. Estas são as opções, em ordem decrescente de preferência:

  • Um Azure Key Vault, acessado por meio de uma identidade gerenciada atribuída pelo sistema do Azure
  • Um Azure Key Vault, acessado por meio de uma entidade de serviço de aplicativo registrado do Microsoft Entra ID
  • Um arquivo de configuração de texto não criptografado

Para qualquer um desses cenários, você tem a opção adicional de autenticar usando os certificados X.509 e SNC (Secure Network Communication) do SAP. Essa opção fornece um nível mais alto de segurança de autenticação, mas é apenas uma opção prática em um conjunto limitado de cenários.

A implantação do contêiner do agente do conector de dados inclui as seguintes etapas:

  1. Criar a máquina virtual e configurar o acesso às suas credenciais do sistema SAP. Esse procedimento pode precisar ser executado por outra equipe em sua organização, mas deve ser executado antes dos outros procedimentos neste artigo.

  2. Configurar e implantar o agente do conector de dados.

  3. Configurar o agente para se conectar a um sistema SAP.

Pré-requisitos

Antes de implantar o agente do conector de dados, verifique se todos os pré-requisitos de implantação estão em vigor. Para mais informações, consulte Pré-requisitos para implantar a Solução do Microsoft Sentinel para aplicativos SAP®.

Além disso, para ingerir logs do NetWeaver/ABAP em uma conexão segura usando o SNC (Secure Network Communications), siga as etapas preparatórias relevantes. Para saber mais, confira Implantar o conector de dados do Microsoft Sentinel para SAP usando o SNC.

Criar uma máquina virtual e configurar o acesso às suas credenciais

De preferência, os segredos de configuração e autenticação do SAP podem e devem ser armazenados em um Azure Key Vault. A forma como você acessa o cofre de chaves depende do local em que sua VM está implantada:

Observação

Esse procedimento pode precisar ser executado por outra equipe em sua organização, mas deve ser executado antes dos outros procedimentos neste artigo.

Selecione uma das guias a seguir, dependendo de como você planeja armazenar e acessar seus dados de configuração e credenciais de autenticação.

Criar uma identidade gerenciada com uma VM do Azure

  1. Execute o comando a seguir para Criar uma VM no Azure (substitua os nomes reais do seu ambiente por <placeholders>):

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
    
    

    Para obter mais informações, confira Guia de início rápido: criar uma máquina virtual do Linux com a CLI do Azure.

    Importante

    Depois que a VM for criada, aplique os requisitos de segurança e procedimentos de proteção necessários em sua organização.

    O comando acima criará o recurso de VM, produzindo uma saída semelhante a esta:

    {
      "fqdns": "",
      "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
      "identity": {
        "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
        "userAssignedIdentities": {}
      },
      "location": "westeurope",
      "macAddress": "00-11-22-33-44-55",
      "powerState": "VM running",
      "privateIpAddress": "192.168.136.5",
      "publicIpAddress": "",
      "resourceGroup": "resourcegroupname",
      "zones": ""
    }
    
  2. Copie o GUID systemAssignedIdentity, pois ele será usado nas próximas etapas. Essa é sua identidade gerenciada.

Criar um cofre de chave

Este procedimento descreve como criar um cofre de chaves para armazenar suas informações de configuração do agente, incluindo seus segredos de autenticação do SAP. Se você estiver usando um cofre de chaves existente, vá diretamente para a etapa 2.

Para criar seu cofre de chaves:

  1. Execute os comandos a seguir, substituindo os nomes reais pelos valores <placeholder>.

    az keyvault create \
      --name <KeyVaultName> \
      --resource-group <KeyVaultResourceGroupName>
    
  2. Copie o nome do seu cofre de chaves e o nome do seu grupo de recursos. Você precisará deles quando atribuir as permissões de acesso do cofre de chaves e executar o script de implantação nas próximas etapas.

Atribuir permissões de acesso ao cofre de chaves

  1. No cofre de chaves, atribua o seguinte controle de acesso baseado em função do Azure ou permissões de política de acesso do cofre no escopo de segredos à identidade que você criou e copiou anteriormente.

    Modelo de permissão Permissões exigidas
    Controle de acesso baseado em função do Azure Usuário de segredos do Key Vault
    Política de acesso ao cofre get, list

    Use as opções no portal para atribuir as permissões ou execute um dos comandos a seguir para atribuir permissões de segredos do cofre de chaves à sua identidade, substituindo nomes reais pelos valores <placeholder>. Selecione a guia do tipo de identidade que você criou.

    Execute um dos comandos a seguir, dependendo do modelo de permissão preferencial do Key Vault, para atribuir permissões de segredos do cofre de chaves à identidade gerenciada atribuída pelo sistema da VM. A política especificada nos comandos permite que a VM liste e leia segredos do cofre de chaves.

    • Modelo de permissão do controle de acesso baseado em função do Azure:

      az role assignment create --assignee-object-id <ManagedIdentityId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName> /providers/Microsoft.KeyVault/vaults/<KeyVaultName>
      
    • Modelo de permissão da política de acesso do cofre:

      az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <ManagedIdentityId> --secret-permissions get list
      
  2. No mesmo cofre de chaves, atribua o seguinte controle de acesso baseado em função do Azure ou permissões de política de acesso do cofre no escopo de segredos ao usuário que está configurando o agente do conector de dados:

    Modelo de permissão Permissões exigidas
    Controle de acesso baseado em função do Azure Responsável pelos segredos do Key Vault
    Política de acesso ao cofre get, list, set, delete

    Use as opções no portal para atribuir as permissões ou execute um dos comandos a seguir para atribuir permissões de segredos do cofre de chaves ao usuário, substituindo nomes reais pelos valores <placeholder>:

    • Modelo de permissão do controle de acesso baseado em função do Azure:

      az role assignment create --role "Key Vault Secrets Officer" --assignee <UserPrincipalName> --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>
      
    • Modelo de permissão da política de acesso do cofre:

      az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --upn <UserPrincipalName>--secret-permissions get list set delete
      

Implantar o agente do conector de dados

Agora que você criou uma VM e um Key Vault, a próxima etapa é criar um agente e se conectar a um de seus sistemas SAP.

  1. Entre na VM recém-criada na qual você está instalando o agente como um usuário com privilégios sudo.

  2. Baixe ou transfira o SDK do SAP NetWeaver para o computador.

Use um dos seguintes conjuntos de procedimentos, dependendo se você está usando uma identidade gerenciada ou um aplicativo registrado para acessar seu cofre de chaves e se você está usando o portal do Azure ou a linha de comando para implantar o agente:

Dica

O portal do Azure só pode ser usado com um Azure Key Vault. Se você estiver usando um arquivo de configuração, use a opção de linha de comando relevante.

Opções do portal do Azure (versão prévia)

Selecione uma das guias a seguir, dependendo do tipo de identidade que você está usando para acessar o cofre de chaves.

Observação

Se você instalou os agentes do conector SAP manualmente ou usando os scripts de início, não poderá configurar ou gerenciar esses agentes no portal do Azure. Se você quiser usar o portal para configurar e atualizar os agentes, será necessário reinstalar seus agentes existentes usando o portal.

Este procedimento descreve como criar um agente por meio do portal do Azure, autenticando-se com uma identidade gerenciada:

  1. No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.

  2. Na barra de pesquisa, insira SAP.

  3. Selecione Microsoft Sentinel para SAP nos resultados da pesquisa e selecione Abrir página do conector.

  4. Para coletar dados de um sistema SAP, siga estas duas etapas:

    1. Criar um novo agente
    2. Conectar o agente a um novo sistema SAP

Criar um novo agente

  1. Na área Configuração, selecione Adicionar um novo agente (versão prévia).

    Captura de tela das instruções para adicionar um agente coletor baseado em API SAP.

  2. À direita, em Criar um agente coletor, defina os detalhes do agente:

    Nome Descrição
    Nome do agente Insira um nome de agente, incluindo qualquer um dos seguintes caracteres:
    • a-z
    • A-Z
    • 0-9
    • _ (sublinhado)
    • . (ponto)
    • - (traço)
    Assinatura / Key Vault Selecione Assinatura e Key Vault em suas respectivas listas suspensas.
    Caminho de arquivo zip do SDK do NWRFC na VM do agente Insira o caminho na sua VM que contenha o arquivo (arquivo .zip) do SDK (Software Development Kit) do RFC (Chamada de Função Remota) do SAP NetWeaver.

    Verifique se esse caminho inclui o número de versão do SDK na seguinte sintaxe: <path>/NWRFC<version number>.zip. Por exemplo: /src/test/nwrfc750P_12-70002726.zip.
    Habilitar o suporte à conexão SNC Selecione para ingerir logs do NetWeaver/ABAP em uma conexão segura usando o SNC (Secure Network Communications).

    Se você selecionar essa opção, insira o caminho que contém o binário sapgenpse e a biblioteca libsapcrypto.so, no Caminho da Biblioteca Criptográfica SAP na VM do agente.
    Autenticação para o Azure Key Vault Para autenticar no cofre de chaves usando uma identidade gerenciada, deixe a opção padrão Identidade Gerenciada selecionada.

    Você deve ter a identidade gerenciada configurada com antecedência. Para obter mais informações, consulte Criar uma máquina virtual e configurar o acesso às suas credenciais.

    Observação

    Se você quiser usar uma conexão SNC, selecione Habilitar o suporte à conexão SNC neste momento, pois não é possível voltar e habilitar uma conexão SNC depois de concluir a implantação do agente. Para saber mais, confira Implantar o conector de dados do Microsoft Sentinel para SAP usando o SNC.

    Por exemplo:

    Captura de tela da área Criar um agente coletor.

  3. Selecione Criar e analise as recomendações antes de concluir a implantação:

    Captura de tela da etapa final da implantação do agente.

  4. A implantação do agente do conector de dados SAP exige que você conceda à identidade da VM do agente permissões específicas para o workspace do Microsoft Sentinel, usando as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor.

    Para executar os comandos nesta etapa, você deve ser um proprietário do grupo de recursos em seu workspace do Microsoft Sentinel. Se você não for um proprietário do grupo de recursos em seu workspace, esse procedimento também poderá ser executado após a conclusão da implantação do agente.

    Copie os Comandos de atribuição de função da etapa 1 e execute-os na VM do agente, substituindo o espaço reservado Object_ID pela ID do objeto de identidade da VM. Por exemplo:

    Captura de tela do ícone Copiar para o comando da etapa 1.

    Para localizar a ID do objeto de identidade da VM no Azure, acesse Aplicativo empresarial>Todos os aplicativos e selecione o nome da sua VM. Copie o valor do campo ID do objeto para usar com o comando copiado.

    Esses comandos atribuem as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor do Azure à identidade gerenciada pela sua VM, incluindo apenas o escopo dos dados do agente especificado no workspace.

    Importante

    Atribuir as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor através da CLI atribui as funções apenas no escopo dos dados do agente especificado no workspace. Esta é a opção mais segura e recomendada.

    Se você precisar atribuir as funções por meio do portal do Azure, recomendamos atribuir as funções em um escopo pequeno, como somente no workspace do Microsoft Sentinel.

  5. Selecione Copiar Captura de tela do ícone Copiar. ao lado do Comando de implantação do Agente na etapa 2. Por exemplo:

    Captura de tela do comando do Agente a ser copiado na etapa 2.

  6. Depois de copiar a linha de comando, selecione Fechar.

    As informações necessárias do agente são implantadas no Azure Key Vault e o novo agente fica visível na tabela disponível em Adicionar um agente coletor baseado em API.

    Nesta fase, a status da Integridade do agente será "Instalação incompleta. Siga as instruções". Quando o agente for instalado com sucesso, o status será alterado para Agente íntegro. A atualização pode levar até 10 minutos. Por exemplo:

    Captura de tela dos status de integridade de agentes coletores baseado em API da página do conector de dados SAP.

    Observação

    A tabela exibe o nome do agente e o status da integridade apenas dos agentes implantados por meio do portal do Azure. Os agentes implantados usando a linha de comando não são exibidos aqui.

  7. Na VM em que você planeja instalar o agente, abra um terminal e execute o Comando de implantação do agente copiado na etapa anterior.

    O script atualiza os componentes do sistema operacional e instala a CLI do Azure, o software do Docker e outros utilitários necessários, como jq, netcat e curl.

    Forneça parâmetros adicionais ao script conforme necessário para personalizar a implantação do contêiner. Para obter mais informações sobre as opções de linha de comando disponíveis, consulte a referência do script de Início rápido.

    Se precisar copiar seu comando novamente, selecione Exibir Captura de tela do ícone Exibir. à direita da coluna Integridade e copie o comando próximo ao comando de implantação do Agente no canto inferior direito.

Conectar-se a um novo sistema SAP

Qualquer pessoa que adicione uma nova conexão a um sistema SAP deve ter permissão de gravação para o cofre de chaves em que as credenciais do SAP estão armazenadas. Para obter mais informações, consulte Criar uma máquina virtual e configurar o acesso às suas credenciais.

  1. Na área Configuração, selecione Adicionar um novo sistema (versão prévia).

    Captura de tela da área Adicionar novo sistema.

  2. Em Selecionar um agente, selecione o agente que você criou na etapa anterior.

  3. Em Identificador do sistema, selecione o tipo de servidor e forneça os detalhes do servidor.

  4. Selecione Próximo: Autenticação.

  5. Para autenticação básica, forneça o usuário e a senha. Se você selecionou uma conexão SNC ao configurar o agente, selecione SNC e forneça os detalhes do certificado.

  6. Selecione Avançar: Logs.

  7. Selecione quais logs você deseja extrair do SAP e selecione Avançar: Revisar e criar.

  8. Confira as configurações que você definiu. Selecione Anterior para modificar as configurações ou selecione Implantar para implantar o sistema.

  9. A configuração do sistema que você definiu é implantada no Azure Key Vault. Agora você pode ver os detalhes do sistema na tabela em Configurar um sistema SAP e atribuí-lo a um agente coletor. Esta tabela mostra o nome do agente associado, a SID (ID do Sistema SAP) e o status de integridade dos sistemas que você adicionou através do portal do Azure ou por meio de outros métodos.

    Nesta fase, a status de Integridade do sistema estará Pendente. Se o agente for atualizado com sucesso, ele efetua o pull da configuração do Azure Key Vault e o status será alterado para Sistema íntegro. A atualização pode levar até 10 minutos.

    Saiba mais sobre como monitorar a integridade do sistema SAP.

Opções de linha de comando

Selecione uma das guias a seguir, dependendo do tipo de identidade que você está usando para acessar o cofre de chaves:

Crie um novo agente usando a linha de comando, autenticando com uma identidade gerenciada:

  1. Baixe e execute o script de início da implantação:

    Para a nuvem comercial pública do Azure, o comando é:

    wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
    
    • Para o Microsoft Azure operado pela 21Vianet, adicione --cloud mooncake ao final do comando copiado.

    • Para o Azure Governamental – EUA, adicione --cloud fairfax ao final do comando copiado.

    O script atualiza os componentes do sistema operacional, instala a CLI do Azure e o software do Docker e outros utilitários necessários (jq, netcat, curl) e solicita valores de parâmetro de configuração. Você pode fornecer parâmetros adicionais ao script para minimizar o número de prompts ou personalizar a implantação do contêiner. Para obter mais informações sobre as opções de linha de comando disponíveis, consulte a referência do script de Início rápido.

  2. Siga as instruções na tela para inserir seus detalhes do SAP e do cofre de chaves e concluir a implantação. Quando a implantação for concluída, uma mensagem de confirmação será exibida:

    The process has been successfully completed, thank you!
    

    Observe o nome do contêiner do Docker na saída do script. Para ver a lista de contêineres do Docker em sua VM, execute:

    docker ps -a
    

    Você usará o nome do contêiner do Docker na próxima etapa.

  3. A implantação do agente do conector de dados SAP exige que você conceda à identidade da VM do agente permissões específicas para o workspace do Microsoft Sentinel, usando as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor.

    Para executar o comando nesta etapa, você deve ser um proprietário do grupo de recursos em seu workspace do Microsoft Sentinel. Se você não for um proprietário do grupo de recursos em seu workspace, esse procedimento também poderá ser executado posteriormente.

    Atribua as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor à identidade da VM:

    1. Obtenha a ID do agente executando o seguinte comando, substituindo o espaço reservado <container_name> pelo nome do contêiner do Docker que você criou com o script de início:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Por exemplo, uma ID de agente retornada pode ser 234fba02-3b34-4c55-8c0e-e6423ceb405b.

    2. Atribua as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor executando o seguinte comando:

    az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
    
    az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
    

    Substitua os valores de espaço reservado da seguinte forma:

    Espaço reservado Valor
    <OBJ_ID> A ID do objeto da identidade da sua VM.

    Para localizar a ID do objeto de identidade da VM no Azure, acesse Aplicativo empresarial>Todos os aplicativos e selecione o nome da sua VM. Copie o valor do campo ID do objeto para usar com o comando copiado.
    <SUB_ID> A ID da assinatura do workspace do Microsoft Sentinel
    <RESOURCE_GROUP_NAME> Nome do grupo de recursos do workspace do Microsoft Sentinel
    <WS_NAME> O nome do workspace do Microsoft Sentinel
    <AGENT_IDENTIFIER> A ID do agente exibida após a execução do comando na etapa anterior.
  4. Para configurar o contêiner do Docker para iniciar automaticamente, execute o seguinte comando, substituindo o espaço reservado <container-name> pelo nome do contêiner:

    docker update --restart unless-stopped <container-name>
    

Próximas etapas

Depois que o conector for implantado, prossiga para implantar o conteúdo dos aplicativos da Solução do Microsoft Sentinel para SAP®:

Veja este vídeo do YouTube, no canal da Comunidade de Segurança da Microsoft no YouTube, para obter orientações sobre como verificar a integridade e a conectividade do conector SAP.