Implementar um agente do conector de dados SAP a partir da linha de comandos

Este artigo fornece opções de linha de comandos para implementar um agente do conector de dados SAP. Para implementações típicas, recomendamos que utilize o portal em vez da linha de comandos, uma vez que os agentes do conector de dados instalados através da linha de comandos só podem ser geridos através da linha de comandos.

No entanto, se estiver a utilizar um ficheiro de configuração para armazenar as suas credenciais em vez de Azure Key Vault ou se for um utilizador avançado que pretenda implementar o conector de dados manualmente, como num cluster do Kubernetes, utilize os procedimentos neste artigo.

Embora possa executar vários agentes do conector de dados num único computador, recomendamos que comece apenas com um, monitorize o desempenho e, em seguida, aumente o número de conectores lentamente. Também recomendamos que a sua equipa de segurança efetue este procedimento com a ajuda da equipa SAP BASIS .

Nota

Este artigo é relevante apenas para o agente do conector de dados e não é relevante para o conector de dados sem agente SAP.

Importante

Todas as funcionalidades Microsoft Sentinel serão oficialmente descontinuadas no Azure operado pela região 21Vianet em 18 de agosto de 2026, de acordo com o anúncio publicado pela 21Vianet. Devido a esta descontinuação futura, os clientes já não conseguem integrar novas subscrições no serviço.

Recomendamos que os clientes trabalhem com os seus representantes de conta da Microsoft Azure operados pela 21Vianet para avaliar o impacto desta descontinuação nas suas próprias operações.

Pré-requisitos

• Antes de implementar o conector de dados, certifique-se de que cria uma máquina virtual e configura o acesso às suas credenciais.

• Se estiver a utilizar o SNC para ligações seguras, certifique-se de que o sistema SAP está configurado corretamente e, em seguida, prepare o script kickstart para uma comunicação segura com o SNC antes de implementar o agente do conector de dados.

Para obter mais informações, veja a documentação do SAP e Introdução ao SAP SNC para integrações de RFC – blogue SAP.

Implementar o agente do conector de dados com uma identidade gerida ou uma aplicação registada

Este procedimento descreve como criar um novo agente e ligá-lo ao seu sistema SAP através da linha de comandos, autenticando com uma identidade gerida ou uma aplicação registada Microsoft Entra ID.

• Se estiver a utilizar o SNC, certifique-se de que concluiu Preparar primeiro o script de início kickstart para uma comunicação segura com o SNC .

• Se estiver a utilizar um ficheiro de configuração para armazenar as suas credenciais, veja Implementar o conector de dados com um ficheiro de configuração .

Para implementar o agente do conector de dados:

1. Transfira e execute o script de início kickstart de implementação:

   • Para uma identidade gerida, utilize uma das seguintes opções de comando:

     • Para a cloud comercial pública Azure:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • Para o Microsoft Azure operado pela 21Vianet, adicione --cloud mooncake ao fim do comando copiado.

     • Para Azure Government - E.U.A., adicione --cloud fairfax ao fim do comando copiado.

   • Para uma aplicação registada, utilize o seguinte comando para transferir o script de início kickstart de implementação do Microsoft Sentinel repositório do GitHub e marcá-lo como executável:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     Execute o script, especificando o ID da aplicação, o segredo (a "palavra-passe"), o ID do inquilino e o nome do cofre de chaves que copiou nos passos anteriores. Por exemplo:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • Para configurar a configuração SNC segura, especifique os seguintes parâmetros base:

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     Se o certificado de cliente estiver no formato .crt ou .key , utilize os seguintes parâmetros:

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     Se o certificado de cliente estiver no formato .pfx ou .p12 , utilize os seguintes parâmetros:

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     Se o certificado de cliente tiver sido emitido por uma AC empresarial, adicione o seguinte comutador para cada AC na cadeia de fidedignidade:

     • --cacert <path to ca certificate>

     Por exemplo:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   O script atualiza os componentes do SO, instala a CLI Azure e o software docker e outros utilitários necessários (jq, netcat, curl) e pede-lhe valores de parâmetros de configuração. Forneça parâmetros adicionais ao script para minimizar o número de pedidos ou personalizar a implementação do contentor. Para obter mais informações sobre as opções de linha de comandos disponíveis, veja Referência do script kickstart.

2. Siga as instruções apresentadas no ecrã para introduzir os detalhes do SAP e do cofre de chaves e concluir a implementação. Quando a implementação estiver concluída, é apresentada uma mensagem de confirmação:

   The process has been successfully completed, thank you!
   

   Anote o nome do contentor do Docker na saída do script. Para ver a lista de contentores do Docker na VM, execute:

   docker ps -a
   

   Irá utilizar o nome do contentor do Docker no próximo passo.

3. A implementação do agente do conector de dados SAP requer que conceda a identidade da VM do agente com permissões específicas para a área de trabalho do Log Analytics ativada para Microsoft Sentinel, utilizando as funções operador de agente e leitorde Aplicações empresariais do Microsoft Sentinel.

   Para executar o comando neste passo, tem de ser proprietário de um grupo de recursos na área de trabalho do Log Analytics ativada para Microsoft Sentinel. Se não for proprietário de um grupo de recursos na área de trabalho, este procedimento também pode ser efetuado mais tarde.

   Atribua as funções de Operador de Agente e Leitor de Aplicações Empresariais Microsoft Sentinel à identidade da VM:

   1. Obtenha o ID do agente ao executar o seguinte comando, substituindo o <container_name> marcador de posição pelo nome do contentor do Docker que criou com o script kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      Por exemplo, um ID de agente devolvido pode ser 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Atribua as funções de Operador de Agente e Leitor de Aplicações Empresariais do Microsoft Sentinel ao executar os seguintes comandos:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Substitua os valores dos marcadores de posição da seguinte forma:

   Marcador de Posição	Valor
   <OBJ_ID>	O ID do objeto de identidade da VM. Para localizar o ID do objeto de identidade da VM no Azure: - Para uma identidade gerida, o ID do objeto está listado na página Identidade da VM. - Para um principal de serviço, aceda a Aplicação empresarial no Azure. Selecione Todas as aplicações e, em seguida, selecione a sua VM. O ID do objeto é apresentado na página Descrição geral .
   <SUB_ID>	O ID de subscrição da área de trabalho do Log Analytics ativado para Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	O nome do grupo de recursos da área de trabalho do Log Analytics ativado para Microsoft Sentinel
   <WS_NAME>	O nome da área de trabalho do Log Analytics ativado para Microsoft Sentinel
   <AGENT_IDENTIFIER>	O ID do agente apresentado depois de executar o comando no passo anterior.

4. Para configurar o contentor do Docker para iniciar automaticamente, execute o seguinte comando, substituindo o <container-name> marcador de posição pelo nome do contentor:

   docker update --restart unless-stopped <container-name>
   

O procedimento de implementação gera um ficheiro systemconfig.json que contém os detalhes de configuração do agente do conector de dados SAP. O ficheiro está localizado no diretório da /sapcon-app/sapcon/config/system VM.

Implementar o conector de dados com um ficheiro de configuração

Azure Key Vault é o método recomendado para armazenar as credenciais de autenticação e os dados de configuração. Se for impedido de utilizar Azure Key Vault, este procedimento descreve como pode implementar o contentor do agente do conector de dados com um ficheiro de configuração.

• Se estiver a utilizar o SNC, certifique-se de que concluiu Preparar primeiro o script de início kickstart para uma comunicação segura com o SNC .

• Se estiver a utilizar uma identidade gerida ou uma aplicação registada, veja Implementar o agente do conector de dados com uma identidade gerida ou uma aplicação registada .

Para implementar o agente do conector de dados:

1. Crie uma máquina virtual na qual pretende implementar o agente.

2. Transfira o SDK sap NetWeaver para o computador no qual pretende instalar o agente.

3. Execute os seguintes comandos para transferir o script kickstart de implementação a partir do Microsoft Sentinel repositório do GitHub e marcá-lo como executável:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. Execute o script:

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   O script atualiza os componentes do SO, instala a CLI Azure e o software docker e outros utilitários necessários (jq, netcat, curl) e pede-lhe valores de parâmetros de configuração. Forneça parâmetros adicionais para o script, conforme necessário, para minimizar o número de pedidos ou para personalizar a implementação do contentor. Para obter mais informações, veja a referência do script Kickstart.

5. Siga as instruções apresentadas no ecrã para introduzir os detalhes pedidos e concluir a implementação. Quando a implementação estiver concluída, é apresentada uma mensagem de confirmação:

   The process has been successfully completed, thank you!
   

   Anote o nome do contentor do Docker na saída do script. Para ver a lista de contentores do Docker na VM, execute:

   docker ps -a
   

   Irá utilizar o nome do contentor do Docker no próximo passo.

6. A implementação do agente do conector de dados SAP requer que conceda a identidade da VM do agente com permissões específicas para a área de trabalho do Log Analytics ativada para Microsoft Sentinel, utilizando as funções operador de agente e leitorde Aplicações empresariais do Microsoft Sentinel.

   Para executar os comandos neste passo, tem de ser um proprietário do grupo de recursos na área de trabalho. Se não for proprietário de um grupo de recursos na área de trabalho, este passo também pode ser executado mais tarde.

   Atribua as funções de Operador de Agente e Leitor de Aplicações Empresariais Microsoft Sentinel à identidade da VM:

   1. Obtenha o ID do agente ao executar o seguinte comando, substituindo o <container_name> marcador de posição pelo nome do contentor do Docker que criou com o script Kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      Por exemplo, um ID de agente devolvido pode ser 234fba02-3b34-4c55-8c0e-e6423ceb405b.

   2. Atribua as funções de Operador de Agente e Leitor de Aplicações Empresariais do Microsoft Sentinel ao executar os seguintes comandos:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      Substitua os valores dos marcadores de posição da seguinte forma:

      Marcador de Posição	Valor
      <OBJ_ID>	O ID do objeto de identidade da VM. Para localizar o ID do objeto de identidade da VM no Azure: para uma identidade gerida, o ID do objeto está listado na página Identidade da VM. Para um principal de serviço, aceda a Aplicação empresarial no Azure. Selecione Todas as aplicações e, em seguida, selecione a sua VM. O ID do objeto é apresentado na página Descrição geral .
      <SUB_ID>	O ID da subscrição da área de trabalho do Log Analytics ativado para Microsoft Sentinel
      <RESOURCE_GROUP_NAME>	O nome do grupo de recursos da área de trabalho do Log Analytics ativado para Microsoft Sentinel
      <WS_NAME>	O nome da área de trabalho do Log Analytics ativado para Microsoft Sentinel
      <AGENT_IDENTIFIER>	O ID do agente apresentado depois de executar o comando no passo anterior.

7. Execute o seguinte comando para configurar o contentor do Docker para iniciar automaticamente.

   docker update --restart unless-stopped <container-name>
   

O procedimento de implementação gera um ficheiro systemconfig.json que contém os detalhes de configuração do agente do conector de dados SAP. O ficheiro está localizado no diretório da /sapcon-app/sapcon/config/system VM.

Preparar o script kickstart para uma comunicação segura com o SNC

Este procedimento descreve como preparar o script de implementação para configurar definições para comunicações seguras com o seu sistema SAP com o SNC. Se estiver a utilizar o SNC, tem de efetuar este procedimento antes de implementar o agente do conector de dados.

Para configurar o contentor para uma comunicação segura com o SNC:

1. Transfira os ficheiros libsapcrypto.so e sapgenpse para o sistema onde está a criar o contentor.

2. Transfira o certificado de cliente, incluindo chaves privadas e públicas para o sistema onde está a criar o contentor.

   O certificado de cliente e a chave podem estar no formato .p12, .pfx ou Base64 .crt e .key .

3. Transfira o certificado de servidor (apenas chave pública) para o sistema onde está a criar o contentor.

   O certificado de servidor tem de estar no formato .crt Base64.

4. Se o certificado de cliente tiver sido emitido por uma autoridade de certificação empresarial, transfira a AC emissora e os certificados de AC de raiz para o sistema onde está a criar o contentor.

5. Obtenha o script kickstart a partir do repositório Microsoft Sentinel GitHub:

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. Altere as permissões do script para torná-lo executável:

   chmod +x ./sapcon-sentinel-kickstart.sh
   

Para obter mais informações, veja Referência do script de implementação kickstart para o Microsoft Sentinel do agente do conector de dados das aplicações SAP.

Otimizar a monitorização de tabelas SAP PAHI (recomendado)

Para obter resultados ideais na monitorização da tabela SAP PAHI, abra o ficheiro systemconfig.json para edição e, na [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) secção , ative os PAHI_FULL parâmetros e PAHI_INCREMENTAL .

Para obter mais informações, consulte Systemconfig.json referência de ficheiro e Verificar se a tabela PAHI é atualizada em intervalos regulares.

Verificar a conectividade e o estado de funcionamento

Depois de implementar o agente do conector de dados SAP, verifique o estado de funcionamento e a conectividade do agente. Para obter mais informações, veja Monitorizar o estado de funcionamento e a função dos seus sistemas SAP.

Passo seguinte

Assim que o conector for implementado, implemente Microsoft Sentinel solução para o conteúdo das aplicações SAP:

Ativar deteções SAP e proteção contra ameaças