Implementar e configurar o contentor que aloja o agente do conector de dados SAP
This article shows you how to deploy the container that hosts the SAP data connector agent. You do this to ingest SAP data into Microsoft Sentinel, as part of the Microsoft Sentinel solution for SAP® applications.
Marcos de implementação
A implementação da solução Do Microsoft Sentinel para aplicações SAP® está dividida nas secções seguintes
Implementar o agente do conector de dados (está aqui)
Configurar a solução do Microsoft Sentinel para aplicações SAP®
Passos de implementação opcionais
Descrição geral da implementação do agente do conector de dados
Para que a solução Do Microsoft Sentinel para as aplicações SAP® funcionem corretamente, primeiro tem de obter os seus dados SAP no Microsoft Sentinel. Para tal, tem de implementar o agente do conector de dados SAP da solução.
O agente do conector de dados é executado como um contentor numa máquina virtual (VM) do Linux. Esta VM pode ser alojada no Azure, numa cloud de terceiros ou no local. Recomendamos que instale e configure este contentor com um script kickstart ; no entanto, pode optar por implementar o contentor manualmente.
O agente liga-se ao seu sistema SAP para solicitar registos e outros dados do mesmo e, em seguida, envia esses registos para a área de trabalho do Microsoft Sentinel. Para tal, o agente tem de se autenticar no seu sistema SAP. Foi por isso que criou um utilizador e uma função para o agente no seu sistema SAP no passo anterior.
A sua infraestrutura de autenticação SAP e onde implementa a VM determinará como e onde as informações de configuração do agente, incluindo os segredos de autenticação SAP, são armazenadas. Estas são as opções, por ordem descendente de preferência:
- Um Key Vault do Azure, acedido através de uma identidade gerida atribuída pelo sistema do Azure
- Um Key Vault do Azure, acedido através de um Azure AD principal de serviço de aplicação registada
- Um ficheiro de configuração de texto simples
Se a sua infraestrutura de autenticação SAP for baseada no SNC, com certificados X.509, a única opção é utilizar um ficheiro de configuração. Selecione o separador Ficheiro de configuração abaixo para obter as instruções para implementar o contentor do agente.
Se não estiver a utilizar o SNC, os segredos de configuração e autenticação do SAP podem e devem ser armazenados num Key Vault do Azure. A forma como acede ao cofre de chaves depende de onde a VM é implementada:
Um contentor numa VM do Azure pode utilizar uma identidade gerida atribuída pelo sistema do Azure para aceder facilmente ao Azure Key Vault. Selecione o separador Identidade gerida abaixo para obter as instruções para implementar o contentor do agente com a identidade gerida.
Caso não seja possível utilizar uma identidade gerida atribuída pelo sistema, o contentor também pode autenticar-se no Azure Key Vault através de um Azure AD principal de serviço de aplicação registada ou, como último recurso, um ficheiro de configuração.
Um contentor numa VM no local ou numa VM num ambiente de cloud de terceiros não pode utilizar a identidade gerida do Azure, mas pode autenticar-se no Azure Key Vault com um principal de serviço de aplicação registada Azure AD. Selecione o separador Aplicação registada abaixo para obter as instruções para implementar o contentor do agente.
Se, por algum motivo, não for possível utilizar um principal de serviço de aplicação registada, pode utilizar um ficheiro de configuração, embora não seja preferível.
Implementar o contentor do agente do conector de dados
Transfira o SDK SAP NetWeaver para o computador no qual pretende instalar o agente.
Execute o seguinte comando para Criar uma VM no Azure (substitua os nomes reais de
<placeholders>
):az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
Para obter mais informações, veja Início Rápido: Criar uma máquina virtual do Linux com a CLI do Azure.
Importante
Após a criação da VM, certifique-se de que aplica quaisquer requisitos de segurança e procedimentos de proteção aplicáveis na sua organização.
O comando acima irá criar o recurso da VM, produzindo um resultado semelhante ao seguinte:
{ "fqdns": "", "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname", "identity": { "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy", "userAssignedIdentities": {} }, "location": "westeurope", "macAddress": "00-11-22-33-44-55", "powerState": "VM running", "privateIpAddress": "192.168.136.5", "publicIpAddress": "", "resourceGroup": "resourcegroupname", "zones": "" }
Copie o GUID systemAssignedIdentity , uma vez que será utilizado nos próximos passos.
Execute os seguintes comandos para criar um cofre de chaves (substitua os nomes reais pelo
<placeholders>
). Se estiver a utilizar um cofre de chaves existente, ignore este passo:az keyvault create \ --name <KeyVaultName> \ --resource-group <KeyVaultResourceGroupName>
Copie o nome do cofre de chaves (recentemente criado ou existente) e o nome do respetivo grupo de recursos. Irá precisar destes quando executar o script de implementação nos próximos passos.
Execute o seguinte comando para atribuir uma política de acesso do cofre de chaves à identidade atribuída pelo sistema da VM que copiou acima (substitua os nomes reais do
<placeholders>
):az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <VM system-assigned identity> --secret-permissions get list set
Esta política permitirá que a VM liste, leia e escreva segredos de/para o cofre de chaves.
Inicie sessão no computador recém-criado com um utilizador com privilégios sudo.
transfira e execute o script Kickstart de implementação: para a cloud pública, o comando é:
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
Para o Azure China 21Vianet, o comando é:
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh --cloud mooncake
Para Azure Government - E.U.A., o comando é:
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh --cloud fairfax
O script atualiza os componentes do SO, instala a CLI do Azure e o software docker e outros utilitários necessários (jq, netcat, curl) e pede-lhe valores de parâmetros de configuração. Pode fornecer parâmetros adicionais ao script para minimizar a quantidade de pedidos ou personalizar a implementação do contentor. Para obter mais informações sobre as opções de linha de comandos disponíveis, veja Referência do script kickstart.
Siga as instruções apresentadas no ecrã para introduzir os detalhes do SAP e do cofre de chaves e concluir a implementação. Quando a implementação estiver concluída, é apresentada uma mensagem de confirmação:
The process has been successfully completed, thank you!
Anote o nome do contentor do Docker na saída do script. Irá utilizá-lo no próximo passo.
Execute o seguinte comando para configurar o contentor do Docker para iniciar automaticamente.
docker update --restart unless-stopped <container-name>
Para ver uma lista dos contentores disponíveis, utilize o comando :
docker ps -a
.
Passos seguintes
Assim que o conector for implementado, avance para a implementação da solução do Microsoft Sentinel para conteúdos de aplicações SAP®: