Referência de script do Kickstart

Visão geral do script

Simplifique a implantação do contêiner que hospeda o conector de dados SAP usando o script Kickstart fornecido (disponível na solução Microsoft Sentinel para aplicativos SAP® GitHub), que também pode habilitar diferentes modos de armazenamento de segredos, configurar SNC (Secure Network Communications) e muito mais.

Referência do parâmetro

Os seguintes parâmetros são configuráveis. Você pode ver exemplos de como esses parâmetros são usados em Implantar e configurar o contêiner que hospeda o agente do conector de dados SAP.

Local de armazenamento secreto

Nome do parâmetro:--keymode

Valores dos parâmetros:kvmi, kvsi, cfgf

Obrigatório: Não. kvmi é assumida por defeito.

Explicação: Especifica se os segredos (nome de usuário, senha, ID de análise de log e chave compartilhada) devem ser armazenados no arquivo de configuração local ou no Cofre de Chaves do Azure. Também controla se a autenticação no Cofre de Chaves do Azure é feita usando a identidade gerenciada atribuída pelo sistema Azure da VM ou uma identidade de aplicativo registrado do Microsoft Entra.

Se definido como kvmi, o Cofre da Chave do Azure é usado para armazenar segredos e a autenticação no Cofre da Chave do Azure é feita usando a identidade gerenciada atribuída ao sistema do Azure da máquina virtual.

Se definido como kvsi, o Azure Key Vault é usado para armazenar segredos e a autenticação no Azure Key Vault é feita usando uma identidade de aplicativo registrado do Microsoft Entra. O uso do kvsi modo requer --appid, --appsecrete --tenantid valores.

Se definido como cfgf, o arquivo de configuração armazenado localmente é usado para armazenar segredos.

Modo de conexão do servidor ABAP

Nome do parâmetro:--connectionmode

Valores dos parâmetros:abap, mserv

Obrigatório: Não. Se não for especificado, o padrão será abap.

Explicação: Define se o agente do coletor de dados deve se conectar ao servidor ABAP diretamente ou por meio de um servidor de mensagens. Use abap para que o agente se conecte diretamente ao servidor ABAP, cujo nome você pode definir usando o --abapserver parâmetro (embora, se não o fizer, ainda será solicitado). Use mserv para se conectar através de um servidor de mensagens, caso em que você deve especificar o --messageserverhost, --messageserverporte --logongroup parâmetros.

Localização da pasta de configuração

Nome do parâmetro:--configpath

Valores dos parâmetros:<path>

Obrigatório: Não, /opt/sapcon/<SID> é assumido se não for especificado.

Explicação: Por padrão, o kickstart inicializa o arquivo de configuração, o local dos metadados para /opt/sapcon/<SID>. Para definir um local alternativo de configuração e metadados, use o --configpath parâmetro.

Endereço do servidor ABAP

Nome do parâmetro:--abapserver

Valores dos parâmetros:<servername>

Obrigatório: Não. Se o parâmetro não for especificado e se o parâmetro do modo de conexão do servidor ABAP estiver definido como abap, será solicitado o nome do host/endereço IP do servidor.

Explicação: Usado somente se o modo de conexão estiver definido como abap, este parâmetro contém o FQDN (Nome de Domínio Totalmente Qualificado), nome abreviado ou endereço IP do servidor ABAP ao qual se conectar.

Número da instância do sistema

Nome do parâmetro:--systemnr

Valores dos parâmetros:<system number>

Obrigatório: Não. Se não for especificado, o usuário será solicitado para o número do sistema.

Explicação: Especifica o número da instância do sistema SAP ao qual se conectar.

ID do Sistema

Nome do parâmetro:--sid

Valores dos parâmetros:<SID>

Obrigatório: Não. Se não for especificado, o usuário será solicitado a fornecer o ID do sistema.

Explicação: Especifica o ID do sistema SAP ao qual se conectar.

Número de cliente

Nome do parâmetro:--clientnumber

Valores dos parâmetros:<client number>

Obrigatório: Não. Se não for especificado, o usuário será solicitado para o número do cliente.

Explicação: Especifica o número do cliente ao qual se conectar.

Host do Servidor de Mensagens

Nome do parâmetro:--messageserverhost

Valores dos parâmetros:<servername>

Obrigatório: Sim, se o modo de conexão do servidor ABAP estiver definido como mserv.

Explicação: Especifica o nome do host/endereço ip do servidor de mensagens ao qual se conectar. Só pode ser usado se o modo de conexão do servidor ABAP estiver definido como mserv.

Porta do servidor de mensagens

Nome do parâmetro:--messageserverport

Valores dos parâmetros:<portnumber>

Obrigatório: Sim, se o modo de conexão do servidor ABAP estiver definido como mserv.

Explicação: Especifica o nome do serviço (porta) do servidor de mensagens ao qual se conectar. Só pode ser usado se o modo de conexão do servidor ABAP estiver definido como mserv.

Grupo de início de sessão

Nome do parâmetro:--logongroup

Valores dos parâmetros:<logon group>

Obrigatório: Sim, se o modo de conexão do servidor ABAP estiver definido como mserv.

Explicação: Especifica o grupo de entrada a ser usado ao se conectar a um servidor de mensagens. Pode ser usado somente se o modo de conexão do servidor ABAP estiver definido como mserv. Se o nome do grupo de logon contiver espaços, eles devem ser passados entre aspas duplas, como no exemplo --logongroup "my logon group".

Nome de utilizador de início de sessão

Nome do parâmetro:--sapusername

Valores dos parâmetros:<username>

Obrigatório: Não. Se não for fornecido, o usuário será solicitado a fornecer o nome de usuário se não estiver usando SNC (X.509) para autenticação.

Explicação: Nome de usuário usado para autenticar no servidor ABAP.

Palavra-passe de início de sessão

Nome do parâmetro:--sappassword

Valores dos parâmetros:<password>

Obrigatório: Não. Se não for fornecido, o usuário será solicitado a fornecer a senha, se ele não estiver usando SNC (X.509) para autenticação. A entrada de senha é mascarada.

Explicação: Senha usada para autenticar no servidor ABAP.

Localização do arquivo SDK do NetWeaver

Nome do parâmetro:--sdk

Valores dos parâmetros:<filename>

Obrigatório: Não. O script tenta localizar o arquivo nwrfc*.zip na pasta atual. Se não for encontrado, o usuário será solicitado a fornecer um arquivo válido do NetWeaver SDK.

Explicação: Caminho do arquivo NetWeaver SDK. Um SDK válido é necessário para que o coletor de dados opere. Para obter mais informações, consulte Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®.

ID do aplicativo corporativo

Nome do parâmetro:--appid

Valores dos parâmetros:<guid>

Necessário: Sim, se Local de armazenamento secreto estiver definido como kvsi.

Explicação: Quando o modo de autenticação do Cofre de Chaves do Azure é definido como kvsi, a autenticação no cofre de chaves é feita usando uma identidade de aplicativo empresarial (entidade de serviço). Este parâmetro especifica a ID do aplicativo.

Segredo do aplicativo corporativo

Nome do parâmetro:--appsecret

Valores dos parâmetros:<secret>

Necessário: Sim, se Local de armazenamento secreto estiver definido como kvsi.

Explicação: Quando o modo de autenticação do Cofre de Chaves do Azure é definido como kvsi, a autenticação no cofre de chaves é feita usando uma identidade de aplicativo empresarial (entidade de serviço). Este parâmetro especifica o segredo do aplicativo.

ID de Inquilino do

Nome do parâmetro:--tenantid

Valores dos parâmetros:<guid>

Necessário: Sim, se Local de armazenamento secreto estiver definido como kvsi.

Explicação: Quando o modo de autenticação do Cofre de Chaves do Azure é definido como kvsi, a autenticação no cofre de chaves é feita usando uma identidade de aplicativo empresarial (entidade de serviço). Este parâmetro especifica a ID do locatário do Microsoft Entra.

Nome do Cofre de Chaves

Nome do parâmetro:--kvaultname

Valores dos parâmetros:<key vaultname>

Obrigatório: Não. Se Local de armazenamento secreto estiver definido como kvsi ou kvmi, o script solicitará o valor se não for fornecido.

Explicação: Se o local de armazenamento secreto estiver definido como kvsi ou kvmi, o nome do cofre de chaves (no formato FQDN) deve ser inserido aqui.

O ID da área de trabalho do Log Analytics

Nome do parâmetro:--loganalyticswsid

Valores dos parâmetros:<id>

Obrigatório: Não. Se não for fornecido, o script solicitará a ID do espaço de trabalho.

Explicação: ID do espaço de trabalho do Log Analytics para onde o coletor de dados envia os dados. Para localizar a ID do espaço de trabalho, localize o espaço de trabalho do Log Analytics no portal do Azure: abra o Microsoft Sentinel, selecione Configurações na seção Configuração, selecione Configurações do espaço de trabalho e selecione Gerenciamento de agentes.

Chave do Log Analytics

Nome do parâmetro:--loganalyticskey

Valores dos parâmetros:<key>

Obrigatório: Não. Se não for fornecido, o script solicitará a chave do espaço de trabalho. A entrada é mascarada.

Explicação: Chave primária ou secundária do espaço de trabalho do Log Analytics para onde o coletor de dados envia os dados. Para localizar a Chave Primária ou Secundária do espaço de trabalho, localize o espaço de trabalho do Log Analytics no portal do Azure: abra o Microsoft Sentinel, selecione Configurações na seção Configuração, selecione Configurações do espaço de trabalho e selecione Gerenciamento de agentes.

Usar X.509 (SNC) para autenticação

Nome do parâmetro:--use-snc

Valores dos parâmetros: Nenhum

Obrigatório: Não. Se não for especificado, o nome de usuário e a senha serão usados para autenticação. Se especificado, --cryptolib, , --sapgenpsea combinação de um e --client-cert--client-key, ou --client-pfx e --client-pfx-passwd bem como --server-cert, e em certos casos --cacert interruptores é necessária.

Explicação: Especifica que a autenticação X.509 é usada para se conectar ao servidor ABAP, em vez da autenticação de nome de usuário/senha. Para obter mais informações, consulte Implantar o conector de dados do Microsoft Sentinel for SAP usando SNC.

Caminho da biblioteca criptográfica SAP

Nome do parâmetro:--cryptolib

Valores dos parâmetros:<sapcryptolibfilename>

Obrigatório: Sim, se --use-snc for especificado.

Explicação: Localização e nome do arquivo da biblioteca criptográfica SAP (libsapcrypto.so).

Caminho da ferramenta SAPGENPSE

Nome do parâmetro:--sapgenpse

Valores dos parâmetros:<sapgenpsefilename>

Obrigatório: Sim, se --use-snc for especificado.

Explicação: Localização e nome do arquivo da ferramenta sapgenpse para criação e gerenciamento de arquivos PSE e credenciais SSO.

Caminho da chave pública do certificado do cliente

Nome do parâmetro:--client-cert

Valores dos parâmetros:<client certificate filename>

Obrigatório: Sim, se --use-snce o certificado estiver no formato .crt/.key base-64.

Explicação: Localização e nome do arquivo do certificado público do cliente base-64. Se o certificado do cliente estiver no formato .pfx, use --client-pfx o switch.

Caminho da chave privada do certificado do cliente

Nome do parâmetro:--client-key

Valores dos parâmetros:<client key filename>

Obrigatório: Sim, se for especificado e a --use-snc chave estiver no formato .crt/.key base-64.

Explicação: Localização e nome do ficheiro da chave privada do cliente base-64. Se o certificado do cliente estiver no formato .pfx, use --client-pfx o switch.

Emissão de certificados de Autoridade de Certificação raiz

Nome do parâmetro:--cacert

Valores dos parâmetros:<trusted ca cert>

Obrigatório: Sim, se --use-snc for especificado e o certificado for emitido por uma autoridade de certificação empresarial.

Explicação: Se o certificado for autoassinado, ele não terá nenhuma CA emissora, portanto, não há nenhuma cadeia de confiança que precise ser validada. Se o certificado for emitido por uma autoridade de certificação corporativa, o certificado da autoridade de certificação emissora e quaisquer certificados de autoridade de certificação de nível superior precisarão ser validados. Use instâncias separadas do switch para cada CA na cadeia de --cacert confiança e forneça os nomes de arquivo completos dos certificados públicos das autoridades de certificação corporativas.

Caminho do certificado PFX do cliente

Nome do parâmetro:--client-pfx

Valores dos parâmetros:<pfx filename>

Obrigatório: Sim, se --use-snce a chave estiver no formato .pfx/.p12.

Explicação: Localização e nome do arquivo do certificado do cliente pfx.

Senha do certificado PFX do cliente

Nome do parâmetro:--client-pfx-passwd

Valores dos parâmetros:<password>

Obrigatório: Sim, se --use-snc for usado, o certificado está no formato .pfx/.p12 e o certificado é protegido por uma senha.

Explicação: Senha do arquivo PFX/P12.

Certificado do servidor

Nome do parâmetro:--server-cert

Valores dos parâmetros:<server certificate filename>

Obrigatório: Sim, se --use-snc for utilizado.

Explicação: Caminho completo e nome do certificado do servidor ABAP.

URL do servidor proxy HTTP

Nome do parâmetro:--http-proxy

Valores dos parâmetros:<proxy url>

Obrigatório: não

Explicação: Os contêineres que não podem estabelecer conexão com os serviços do Microsoft Azure diretamente e exigem conexão por meio de um servidor proxy exigem --http-proxy switch para definir a URL do proxy para o contêiner. O formato do url do proxy é http://hostname:port.

Rede baseada em host

Nome do parâmetro:--hostnetwork

Obrigatório: Não.

Explicação: Se essa opção for especificada, o agente usará a configuração de rede baseada em host. Isso pode resolver problemas internos de resolução de DNS em alguns casos.

Confirme todas as solicitações

Nome do parâmetro:--confirm-all-prompts

Valores dos parâmetros: Nenhum

Obrigatório: não

Explicação: Se a opção for especificada, o script não pausará para nenhuma confirmação do usuário e só solicitará se a --confirm-all-prompts entrada do usuário for necessária. Use --confirm-all-prompts o switch para obter uma implantação sem toque.

Usar a compilação de visualização do contêiner

Nome do parâmetro:--preview

Valores dos parâmetros: Nenhum

Obrigatório: não

Explicação: Por padrão, o script kickstart de implantação de contêiner implanta o contêiner com a :latest tag . Os recursos de visualização pública são publicados na :latest-preview tag. Para garantir que o script de implantação de contêiner use a versão de visualização pública do contêiner, especifique a --preview opção.

Próximos passos

Saiba mais sobre a solução Microsoft Sentinel para aplicativos SAP®:

• Implantar a solução Microsoft Sentinel para aplicativos SAP®
• Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®
• Implantar solicitações de alteração (CRs) SAP e configurar a autorização
• Implantar o conteúdo da solução a partir do hub de conteúdo
• Implantar e configurar o contêiner que hospeda o agente do conector de dados SAP
• Implantar o conector de dados do Microsoft Sentinel for SAP com SNC
• Monitore a integridade do seu sistema SAP
• Habilitar e configurar a auditoria SAP
• Coletar logs de auditoria do SAP HANA

Resolva os problemas:

• Solucionar problemas de implantação da solução Microsoft Sentinel para aplicativos SAP®

Ficheiros de referência:

• Referência de dados da solução Microsoft Sentinel para aplicativos SAP®
• Solução Microsoft Sentinel para aplicativos SAP®: referência de conteúdo de segurança
• Referência de script de atualização
• Systemconfig.ini referência de arquivo

Para obter mais informações, consulte Soluções do Microsoft Sentinel.