Implantar e configurar a hospedagem de contêiner do agente do conector de dados do SAP
Este artigo mostra como implantar o contêiner que hospeda o agente do conector de dados do SAP e como usá-lo para crias conexões com seus sistemas SAP. Este processo de duas etapas é necessário para ingerir dados do SAP no Microsoft Sentinel, como parte da Solução do Microsoft Sentinel para aplicativos SAP.
O método recomendado para implantar o contêiner e criar conexões com sistemas SAP é através do portal do Azure. Esse método é explicado no artigo e também demonstrado neste vídeo do YouTube. Também é mostrada neste artigo uma forma de alcançar esses objetivos chamando um script de início da linha de comando.
Como alternativa, você pode implantar o agente de contêiner do Docker do conector de dados manualmente, como em um cluster do Kubernetes. Para obter mais informações, abra um tíquete de suporte.
Importante
Atualmente, a implantação do contêiner e a criação de conexões com sistemas SAP por meio do portal do Azure estão em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O Microsoft Sentinel está disponível como parte da visualização pública da plataforma de operações de segurança unificada no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Marcos de implantação
A implantação da Solução do Microsoft Sentinel para aplicativos SAP® é dividida nas seções a seguir:
Trabalhar com a solução em vários workspaces (VERSÃO PRÉVIA)
Implantar a solução do Microsoft Sentinel para aplicativos SAP® do hub de conteúdo
Implantar o agente do conector de dados (Você está aqui)
Configuração dos aplicativos da solução do Microsoft Sentinel para SAP®
Etapas de implantação opcionais
Visão geral da implantação do agente do conector de dados
Para que a Solução do Microsoft Sentinel para aplicativos SAP funcionem corretamente, primeiro você deve trazer seus dados do SAP para o Microsoft Sentinel. Para fazer isso, você precisa implantar o agente do conector de dados do SAP da solução.
O agente do conector de dados é executado como um contêiner em uma VM (máquina virtual) Linux. Essa VM pode ser hospedada no Azure, em uma nuvem de terceiros ou local. Recomendamos que você instale e configure esse contêiner usando o portal do Azure (em Versão Prévia); no entanto, você pode optar por implantar o contêiner usando um script de início. Você pode implantar o agente do contêiner do Docker do conector de dados manualmente, como em um cluster do Kubernetes. Abra um tíquete de suporte para mais detalhes.
O agente se conecta ao sistema SAP para extrair logs e outros dados dele e, em seguida, enviar esses logs para o espaço de trabalho do Microsoft Sentinel. Para fazer isso, o agente precisa se autenticar em seu sistema SAP. É por isso que você criou um usuário e uma função para o agente em seu sistema SAP na etapa anterior.
Você tem algumas opções de como e onde armazenar as informações de configuração do agente, incluindo os segredos de autenticação do SAP. A decisão de qual usar pode ser influenciada pelo local em que você implanta sua VM e por qual mecanismo de autenticação SAP você decide usar. Estas são as opções, em ordem decrescente de preferência:
- Um Azure Key Vault, acessado por meio de uma identidade gerenciada atribuída pelo sistema do Azure
- Um Azure Key Vault, acessado por meio de uma entidade de serviço de aplicativo registrado do Microsoft Entra ID
- Um arquivo de configuração de texto não criptografado
Para qualquer um desses cenários, você tem a opção adicional de autenticar usando os certificados X.509 e SNC (Secure Network Communication) do SAP. Essa opção fornece um nível mais alto de segurança de autenticação, mas é apenas uma opção prática em um conjunto limitado de cenários.
A implantação do contêiner do agente do conector de dados inclui as seguintes etapas:
Criar a máquina virtual e configurar o acesso às suas credenciais do sistema SAP. Esse procedimento pode precisar ser executado por outra equipe em sua organização, mas deve ser executado antes dos outros procedimentos neste artigo.
Pré-requisitos
Antes de implantar o agente do conector de dados, verifique se todos os pré-requisitos de implantação estão em vigor. Para mais informações, consulte Pré-requisitos para implantar a Solução do Microsoft Sentinel para aplicativos SAP®.
Além disso, para ingerir logs do NetWeaver/ABAP em uma conexão segura usando o SNC (Secure Network Communications), siga as etapas preparatórias relevantes. Para saber mais, confira Implantar o conector de dados do Microsoft Sentinel para SAP usando o SNC.
Criar uma máquina virtual e configurar o acesso às suas credenciais
De preferência, os segredos de configuração e autenticação do SAP podem e devem ser armazenados em um Azure Key Vault. A forma como você acessa o cofre de chaves depende do local em que sua VM está implantada:
Um contêiner em uma VM do Azure pode usar uma identidade gerenciada atribuída pelo sistema do Azure para acessar diretamente o Azure Key Vault.
Caso uma identidade gerenciada atribuída pelo sistema não possa ser usada, o contêiner também poderá se autenticar no Azure Key Vault usando uma entidade de serviço de aplicativo registrado do Microsoft Entra ID ou, como último recurso, um arquivo de configuração.
Um contêiner em uma VM local ou uma VM em um ambiente de nuvem de terceiros não pode usar a identidade gerenciada do Azure, mas pode se autenticar no Azure Key Vault usando uma entidade de serviço de aplicativo registrado do Microsoft Entra ID.
Se, por algum motivo, uma entidade de serviço de aplicativo registrado não puder ser usada, você poderá usar um arquivo de configuração, embora essa não seja a melhor opção.
Observação
Esse procedimento pode precisar ser executado por outra equipe em sua organização, mas deve ser executado antes dos outros procedimentos neste artigo.
Selecione uma das guias a seguir, dependendo de como você planeja armazenar e acessar seus dados de configuração e credenciais de autenticação.
Criar uma identidade gerenciada com uma VM do Azure
Execute o comando a seguir para Criar uma VM no Azure (substitua os nomes reais do seu ambiente por
<placeholders>):az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>Para obter mais informações, confira Guia de início rápido: criar uma máquina virtual do Linux com a CLI do Azure.
Importante
Depois que a VM for criada, aplique os requisitos de segurança e procedimentos de proteção necessários em sua organização.
O comando acima criará o recurso de VM, produzindo uma saída semelhante a esta:
{ "fqdns": "", "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname", "identity": { "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy", "userAssignedIdentities": {} }, "location": "westeurope", "macAddress": "00-11-22-33-44-55", "powerState": "VM running", "privateIpAddress": "192.168.136.5", "publicIpAddress": "", "resourceGroup": "resourcegroupname", "zones": "" }Copie o GUID systemAssignedIdentity, pois ele será usado nas próximas etapas. Essa é sua identidade gerenciada.
Criar um cofre de chave
Este procedimento descreve como criar um cofre de chaves para armazenar suas informações de configuração do agente, incluindo seus segredos de autenticação do SAP. Se você estiver usando um cofre de chaves existente, vá diretamente para a etapa 2.
Para criar seu cofre de chaves:
Execute os comandos a seguir, substituindo os nomes reais pelos valores
<placeholder>.az keyvault create \ --name <KeyVaultName> \ --resource-group <KeyVaultResourceGroupName>Copie o nome do seu cofre de chaves e o nome do seu grupo de recursos. Você precisará deles quando atribuir as permissões de acesso do cofre de chaves e executar o script de implantação nas próximas etapas.
Atribuir permissões de acesso ao cofre de chaves
No cofre de chaves, atribua o seguinte controle de acesso baseado em função do Azure ou permissões de política de acesso do cofre no escopo de segredos à identidade que você criou e copiou anteriormente.
Modelo de permissão Permissões exigidas Controle de acesso baseado em função do Azure Usuário de segredos do Key Vault Política de acesso ao cofre get,listUse as opções no portal para atribuir as permissões ou execute um dos comandos a seguir para atribuir permissões de segredos do cofre de chaves à sua identidade, substituindo nomes reais pelos valores
<placeholder>. Selecione a guia do tipo de identidade que você criou.Execute um dos comandos a seguir, dependendo do modelo de permissão preferencial do Key Vault, para atribuir permissões de segredos do cofre de chaves à identidade gerenciada atribuída pelo sistema da VM. A política especificada nos comandos permite que a VM liste e leia segredos do cofre de chaves.
Modelo de permissão do controle de acesso baseado em função do Azure:
az role assignment create --assignee-object-id <ManagedIdentityId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName> /providers/Microsoft.KeyVault/vaults/<KeyVaultName>Modelo de permissão da política de acesso do cofre:
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <ManagedIdentityId> --secret-permissions get list
No mesmo cofre de chaves, atribua o seguinte controle de acesso baseado em função do Azure ou permissões de política de acesso do cofre no escopo de segredos ao usuário que está configurando o agente do conector de dados:
Modelo de permissão Permissões exigidas Controle de acesso baseado em função do Azure Responsável pelos segredos do Key Vault Política de acesso ao cofre get,list,set,deleteUse as opções no portal para atribuir as permissões ou execute um dos comandos a seguir para atribuir permissões de segredos do cofre de chaves ao usuário, substituindo nomes reais pelos valores
<placeholder>:Modelo de permissão do controle de acesso baseado em função do Azure:
az role assignment create --role "Key Vault Secrets Officer" --assignee <UserPrincipalName> --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>Modelo de permissão da política de acesso do cofre:
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --upn <UserPrincipalName>--secret-permissions get list set delete
Implantar o agente do conector de dados
Agora que você criou uma VM e um Key Vault, a próxima etapa é criar um agente e se conectar a um de seus sistemas SAP.
Entre na VM recém-criada na qual você está instalando o agente como um usuário com privilégios sudo.
Baixe ou transfira o SDK do SAP NetWeaver para o computador.
Use um dos seguintes conjuntos de procedimentos, dependendo se você está usando uma identidade gerenciada ou um aplicativo registrado para acessar seu cofre de chaves e se você está usando o portal do Azure ou a linha de comando para implantar o agente:
Dica
O portal do Azure só pode ser usado com um Azure Key Vault. Se você estiver usando um arquivo de configuração, use a opção de linha de comando relevante.
Opções do portal do Azure (versão prévia)
Selecione uma das guias a seguir, dependendo do tipo de identidade que você está usando para acessar o cofre de chaves.
Observação
Se você instalou os agentes do conector SAP manualmente ou usando os scripts de início, não poderá configurar ou gerenciar esses agentes no portal do Azure. Se você quiser usar o portal para configurar e atualizar os agentes, será necessário reinstalar seus agentes existentes usando o portal.
Este procedimento descreve como criar um agente por meio do portal do Azure, autenticando-se com uma identidade gerenciada:
No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.
Na barra de pesquisa, insira SAP.
Selecione Microsoft Sentinel para SAP nos resultados da pesquisa e selecione Abrir página do conector.
Para coletar dados de um sistema SAP, siga estas duas etapas:
Criar um novo agente
Na área Configuração, selecione Adicionar um novo agente (versão prévia).
À direita, em Criar um agente coletor, defina os detalhes do agente:
Nome Descrição Nome do agente Insira um nome de agente, incluindo qualquer um dos seguintes caracteres: - a-z
- A-Z
- 0-9
- _ (sublinhado)
- . (ponto)
- - (traço)
Assinatura / Key Vault Selecione Assinatura e Key Vault em suas respectivas listas suspensas. Caminho de arquivo zip do SDK do NWRFC na VM do agente Insira o caminho na sua VM que contenha o arquivo (arquivo .zip) do SDK (Software Development Kit) do RFC (Chamada de Função Remota) do SAP NetWeaver.
Verifique se esse caminho inclui o número de versão do SDK na seguinte sintaxe:<path>/NWRFC<version number>.zip. Por exemplo:/src/test/nwrfc750P_12-70002726.zip.Habilitar o suporte à conexão SNC Selecione para ingerir logs do NetWeaver/ABAP em uma conexão segura usando o SNC (Secure Network Communications).
Se você selecionar essa opção, insira o caminho que contém o bináriosapgenpsee a bibliotecalibsapcrypto.so, no Caminho da Biblioteca Criptográfica SAP na VM do agente.Autenticação para o Azure Key Vault Para autenticar no cofre de chaves usando uma identidade gerenciada, deixe a opção padrão Identidade Gerenciada selecionada.
Você deve ter a identidade gerenciada configurada com antecedência. Para obter mais informações, consulte Criar uma máquina virtual e configurar o acesso às suas credenciais.Observação
Se você quiser usar uma conexão SNC, selecione Habilitar o suporte à conexão SNC neste momento, pois não é possível voltar e habilitar uma conexão SNC depois de concluir a implantação do agente. Para saber mais, confira Implantar o conector de dados do Microsoft Sentinel para SAP usando o SNC.
Por exemplo:
Selecione Criar e analise as recomendações antes de concluir a implantação:
A implantação do agente do conector de dados SAP exige que você conceda à identidade da VM do agente permissões específicas para o workspace do Microsoft Sentinel, usando a função Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel.
Para executar o comando nesta etapa, você deve ser um proprietário do grupo de recursos em seu workspace do Microsoft Sentinel. Se você não for um proprietário do grupo de recursos em seu workspace, esse procedimento também poderá ser executado após a conclusão da implantação do agente.
Copie o Comando de atribuição de função da etapa 1 e execute-o na VM do agente, substituindo o espaço reservado
Object_IDpela ID do objeto de identidade da VM. Por exemplo:
Para localizar a ID do objeto de identidade da VM no Azure, acesse Aplicativo empresarial>Todos os aplicativos e selecione o nome da sua VM. Copie o valor do campo ID do objeto para usar com o comando copiado.
Esse comando atribui a função Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel do Azure à identidade gerenciada da sua VM, incluindo apenas o escopo dos dados do agente especificado no workspace.
Importante
Atribuir a função Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel através da CLI atribui a função apenas no escopo dos dados do agente especificado no workspace. Esta é a opção mais segura e recomendada.
Se você precisar atribuir a função por meio do portal do Azure, recomendamos atribuir a função em um escopo pequeno, como somente no workspace do Microsoft Sentinel.
Selecione Copiar
ao lado do comando do Agente na etapa 2. Por exemplo:
Depois de copiar a linha de comando, selecione Fechar.
As informações necessárias do agente são implantadas no Azure Key Vault e o novo agente fica visível na tabela disponível em Adicionar um agente coletor baseado em API.
Nesta fase, a status da Integridade do agente será "Instalação incompleta. Siga as instruções". Quando o agente for instalado com sucesso, o status será alterado para Agente íntegro. A atualização pode levar até 10 minutos. Por exemplo:
Observação
A tabela exibe o nome do agente e o status da integridade apenas dos agentes implantados por meio do portal do Azure. Os agentes implantados usando a linha de comando não são exibidos aqui.
Na VM em que você planeja instalar o agente, abra um terminal e execute o Comando do agente copiado na etapa anterior.
O script atualiza os componentes do sistema operacional e instala a CLI do Azure, o software do Docker e outros utilitários necessários, como jq, netcat e curl.
Forneça parâmetros adicionais ao script conforme necessário para personalizar a implantação do contêiner. Para obter mais informações sobre as opções de linha de comando disponíveis, consulte a referência do script de Início rápido.
Se precisar copiar seu comando novamente, selecione Exibir
à direita da coluna Integridade e copie o comando próximo ao comando Agente no canto inferior direito.
Conectar-se a um novo sistema SAP
Qualquer pessoa que adicione uma nova conexão a um sistema SAP deve ter permissão de gravação para o cofre de chaves em que as credenciais do SAP estão armazenadas. Para obter mais informações, consulte Criar uma máquina virtual e configurar o acesso às suas credenciais.
Na área Configuração, selecione Adicionar um novo sistema (versão prévia).
Em Selecionar um agente, selecione o agente que você criou na etapa anterior.
Em Identificador do sistema, selecione o tipo de servidor e forneça os detalhes do servidor.
Selecione Próximo: Autenticação.
Para autenticação básica, forneça o usuário e a senha. Se você selecionou uma conexão SNC ao configurar o agente, selecione SNC e forneça os detalhes do certificado.
Selecione Avançar: Logs.
Selecione quais logs você deseja extrair do SAP e selecione Avançar: Revisar e criar.
Confira as configurações que você definiu. Selecione Anterior para modificar as configurações ou selecione Implantar para implantar o sistema.
A configuração do sistema que você definiu é implantada no Azure Key Vault. Agora você pode ver os detalhes do sistema na tabela em Configurar um sistema SAP e atribuí-lo a um agente coletor. Esta tabela mostra o nome do agente associado, a SID (ID do Sistema SAP) e o status de integridade dos sistemas que você adicionou através do portal do Azure ou por meio de outros métodos.
Nesta fase, a status de Integridade do sistema estará Pendente. Se o agente for atualizado com sucesso, ele efetua o pull da configuração do Azure Key Vault e o status será alterado para Sistema íntegro. A atualização pode levar até 10 minutos.
Saiba mais sobre como monitorar a integridade do sistema SAP.
Opções de linha de comando
Selecione uma das guias a seguir, dependendo do tipo de identidade que você está usando para acessar o cofre de chaves:
- Implantar com uma identidade gerenciada
- Implantar com um aplicativo registrado
- Implantar com um arquivo de configuração
Crie um novo agente usando a linha de comando, autenticando com uma identidade gerenciada:
Baixe e execute o script de início da implantação:
Para a nuvem comercial pública do Azure, o comando é:
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.shPara o Microsoft Azure operado pela 21Vianet, adicione
--cloud mooncakeao final do comando copiado.Para o Azure Governamental – EUA, adicione
--cloud fairfaxao final do comando copiado.
O script atualiza os componentes do sistema operacional, instala a CLI do Azure e o software do Docker e outros utilitários necessários (jq, netcat, curl) e solicita valores de parâmetro de configuração. Você pode fornecer parâmetros adicionais ao script para minimizar o número de prompts ou personalizar a implantação do contêiner. Para obter mais informações sobre as opções de linha de comando disponíveis, consulte a referência do script de Início rápido.
Siga as instruções na tela para inserir seus detalhes do SAP e do cofre de chaves e concluir a implantação. Quando a implantação for concluída, uma mensagem de confirmação será exibida:
The process has been successfully completed, thank you!Observe o nome do contêiner do Docker na saída do script. Para ver a lista de contêineres do Docker em sua VM, execute:
docker ps -aVocê usará o nome do contêiner do Docker na próxima etapa.
A implantação do agente do conector de dados do SAP exige que você conceda a identidade da VM do agente com permissões específicas para o workspace do Microsoft Sentinel, usando a função Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel.
Para executar o comando nesta etapa, você deve ser um proprietário do grupo de recursos em seu workspace do Microsoft Sentinel. Se você não for um proprietário do grupo de recursos em seu workspace, esse procedimento também poderá ser executado posteriormente.
Atribua a função Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel à identidade da VM:
Obtenha a ID do agente executando o seguinte comando, substituindo o espaço reservado
<container_name>pelo nome do contêiner do Docker que você criou com o script de início:docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+Por exemplo, uma ID de agente retornada pode ser
234fba02-3b34-4c55-8c0e-e6423ceb405b.Atribua Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel executando o seguinte comando:
az role assignment create --assignee <OBJ_ID> --role "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>Substitua os valores de espaço reservado da seguinte forma:
Espaço reservado Valor <OBJ_ID>A ID do objeto da identidade da sua VM.
Para localizar a ID do objeto de identidade da VM no Azure, acesse Aplicativo empresarial>Todos os aplicativos e selecione o nome da sua VM. Copie o valor do campo ID do objeto para usar com o comando copiado.<SUB_ID>A ID da assinatura do workspace do Microsoft Sentinel <RESOURCE_GROUP_NAME>Nome do grupo de recursos do workspace do Microsoft Sentinel <WS_NAME>O nome do workspace do Microsoft Sentinel <AGENT_IDENTIFIER>A ID do agente exibida após a execução do comando na etapa anterior. Para configurar o contêiner do Docker para iniciar automaticamente, execute o seguinte comando, substituindo o espaço reservado
<container-name>pelo nome do contêiner:docker update --restart unless-stopped <container-name>
Próximas etapas
Depois que o conector for implantado, prossiga para implantar o conteúdo dos aplicativos da Solução do Microsoft Sentinel para SAP®:
Veja este vídeo do YouTube, no canal da Comunidade de Segurança da Microsoft no YouTube, para obter orientações sobre como verificar a integridade e a conectividade do conector SAP.