Подключение системы SAP путем развертывания контейнера агента соединителя данных

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Чтобы решение Microsoft Sentinel для приложений SAP работало правильно, необходимо сначала получить данные SAP в Microsoft Sentinel. Для этого необходимо развернуть агент соединителя данных SAP решения.

В этой статье описывается, как развернуть контейнер, на котором размещен агент соединителя данных SAP и подключиться к системе SAP, и это третий шаг при развертывании решения Microsoft Sentinel для приложений SAP. Выполните действия, описанные в этой статье, в том порядке, в который они представлены.

Содержимое этой статьи относится к группам безопасности, инфраструктуры и SAP BASIS .

Необходимые компоненты

Перед развертыванием агента соединителя данных:

• Убедитесь, что все необходимые компоненты развертывания выполнены. Дополнительные сведения см. в статье "Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP".

• Убедитесь, что у вас есть решение Microsoft Sentinel для приложений SAP, установленных в рабочей области Microsoft Sentinel.

• Убедитесь, что система SAP полностью подготовлена к развертыванию. Если вы развертываете агент соединителя данных для взаимодействия с Microsoft Sentinel через SNC, убедитесь, что вы завершили настройку системы для использования SNC для безопасных подключений.

Посмотрите демонстрационное видео

Просмотрите одно из следующих видео демонстраций процесса развертывания, описанного в этой статье.

Подробные сведения о параметрах портала:

Содержит дополнительные сведения об использовании Azure KeyVault. Нет звука, демонстрация только с субтитрами:

Создание виртуальной машины и настройка доступа к учетным данным

Рекомендуется создать выделенную виртуальную машину для контейнера агента соединителя данных, чтобы обеспечить оптимальную производительность и избежать потенциальных конфликтов. Дополнительные сведения см. в разделе "Предварительные требования к системе".

Рекомендуется хранить секреты SAP и проверки подлинности в хранилище ключей Azure. Доступ к хранилищу ключей зависит от того, где развернута виртуальная машина:

Метод развертывания	Метод Access
Контейнер на виртуальной машине Azure	Мы рекомендуем использовать управляемое удостоверение, назначаемое системой Azure, для доступа к Azure Key Vault. Если управляемое удостоверение, назначаемое системой, нельзя использовать, контейнер также может пройти проверку подлинности в Azure Key Vault с помощью субъекта-службы зарегистрированного приложения Microsoft Entra ID или в качестве последнего способа, файла конфигурации.
Контейнер на локальной виртуальной машине или виртуальной машине в сторонней облачной среде	Проверка подлинности в Azure Key Vault с помощью субъекта-службы зарегистрированного приложения идентификатора Microsoft Entra.

Если вы не можете использовать зарегистрированное приложение или субъект-службу, используйте файл конфигурации для управления учетными данными, хотя этот метод не является предпочтительным. Дополнительные сведения см. в статье "Развертывание соединителя данных с помощью файла конфигурации".

Дополнительные сведения см. в разделе:

• Проверка подлинности в Azure Key Vault
• Что такое удостоверений для ресурсов Azure?
• Сведения об объектах приложения и субъекта-службы в Microsoft Entra ID

Ваша виртуальная машина обычно создается командой инфраструктуры . Настройка доступа к учетным данным и управление хранилищами ключей обычно выполняется командой безопасности .

Управляемое удостоверение

Создание управляемого удостоверения с помощью виртуальной машины Azure

1. Выполните следующую команду, чтобы создать виртуальную машину в Azure, подставив фактические имена из среды для следующих значений <placeholders>:

   az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
   
   

   Дополнительные сведения см. в статье Краткое руководство. Создание виртуальной машины Linux с помощью Azure CLI.

   Внимание

   После создания виртуальной машины обязательно примените все требования к безопасности и процедуры защиты, действующие в вашей организации.

   Эта команда создает ресурс виртуальной машины, создавая выходные данные, которые выглядят следующим образом:

   {
     "fqdns": "",
     "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
     "identity": {
       "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
       "userAssignedIdentities": {}
     },
     "location": "westeurope",
     "macAddress": "00-11-22-33-44-55",
     "powerState": "VM running",
     "privateIpAddress": "192.168.136.5",
     "publicIpAddress": "",
     "resourceGroup": "resourcegroupname",
     "zones": ""
   }
   

2. Скопируйте идентификатор GUID systemAssignedIdentity, так как он будет использоваться на дальнейших этапах. Это управляемое удостоверение.

Зарегистрированное приложение

Регистрация приложения для создания удостоверения приложения

1. Выполните следующую команду из командной строки Azure, чтобы создать и зарегистрировать приложение:

   az ad sp create-for-rbac
   

   Эта команда создает приложение, создавая выходные данные, которые выглядят следующим образом:

   {
     "appId": "aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa",
     "displayName": "azure-cli-2022-01-28-17-59-06",
     "password": "ssssssssssssssssssssssssssssssssss",
     "tenant": "bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb"
   }
   

   Дополнительные сведения см. в справочной документации по Azure CLI.

2. Скопируйте значения appId, tenant и password из выходных данных. Они необходимы для назначения политики доступа к хранилищу ключей и запуска скрипта развертывания в ближайших шагах.

3. Прежде чем продолжить, создайте виртуальную машину, на которой будет развернут агент. Этот компьютер можно создать в Azure, в другом облаке или локальной среде.

Создание хранилища ключей

В этой процедуре описывается создание хранилища ключей для хранения сведений о конфигурации агента, включая секреты проверки подлинности SAP. Если вы используете существующее хранилище ключей, перейдите непосредственно к шагу 2.

Чтобы создать хранилище ключей, выполните приведенные действия.

1. Выполните следующие команды, заменив фактические имена значений <placeholder> .

   az keyvault create \
     --name <KeyVaultName> \
     --resource-group <KeyVaultResourceGroupName>
   

2. Скопируйте имя хранилища ключей и имя своей группы ресурсов. Они потребуются при назначении разрешений доступа к хранилищу ключей и запуске скрипта развертывания на следующих шагах.

Назначение разрешений доступа к хранилищу ключей

1. В хранилище ключей назначьте следующие разрешения политики доступа на основе ролей Azure или политики доступа к хранилищу для области секретов удостоверению, созданному и скопированном ранее.

   Модель разрешения	Требуемые разрешения
   Управление доступом на основе ролей в Azure	Пользователь секретов хранилища ключей
   Политика доступа к хранилищу	get, list

   Используйте параметры на портале, чтобы назначить разрешения или выполнить одну из следующих команд, чтобы назначить удостоверениям разрешения секретов хранилища ключей, заменив фактические имена <placeholder> значений. Выберите вкладку для типа созданного удостоверения.

   Политика, указанная в командах, позволяет виртуальной машине перечислять и считывать секреты из хранилища ключей.

   • Модель разрешений на основе ролей Azure:

     Управляемое удостоверение

     az role assignment create --assignee-object-id <ManagedIdentityId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName> /providers/Microsoft.KeyVault/vaults/<KeyVaultName>
     

     Зарегистрированное приложение

     az role assignment create --assignee-object-id <ServicePrincipalObjectId> --role "Key Vault Secrets User" --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>
     

     Чтобы найти идентификатор объекта субъекта-службы регистрации приложения, перейдите на страницу корпоративных приложений портала Microsoft Entra ID. Найдите имя регистрации приложения и скопируйте значение идентификатора объекта.

     Внимание

     Не путайте идентификатор объекта на странице "Корпоративные приложения" с идентификатором объекта регистрации приложения, найденным на странице Регистрация приложений. Будет работать только идентификатор объекта на странице корпоративных приложений .

   • Модель разрешений политики доступа к хранилищу:

     Управляемое удостоверение

     az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <ManagedIdentityId> --secret-permissions get list
     

     Зарегистрированное приложение

     az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --spn <ApplicationId> --secret-permissions get list
     

     Чтобы найти идентификатор объекта регистрации приложения, перейдите на страницу Регистрация приложений портала Идентификатора Майкрософт. Найдите имя регистрации приложения и скопируйте значение идентификатора приложения (клиента).

2. В том же хранилище ключей назначьте следующие разрешения на управление доступом на основе ролей Azure или политики доступа к хранилищу для области секретов пользователю, настроив агент соединителя данных:

   Модель разрешения	Требуемые разрешения
   Управление доступом на основе ролей в Azure	Специалист по секретам хранилища ключей
   Политика доступа к хранилищу	get, , listsetdelete

   Используйте параметры на портале, чтобы назначить разрешения или выполнить одну из следующих команд, чтобы назначить разрешения секретов хранилища ключей пользователю, заменив фактические имена <placeholder> значений:

   • Модель разрешений на основе ролей Azure:

     az role assignment create --role "Key Vault Secrets Officer" --assignee <UserPrincipalName> --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>
     

   • Модель разрешений политики доступа к хранилищу:

     az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --upn <UserPrincipalName>--secret-permissions get list set delete
     

Развертывание агента соединителя данных на портале (предварительная версия)

Теперь, когда вы создали виртуальную машину и Key Vault, необходимо создать новый агент и подключиться к одной из систем SAP. Хотя на одном компьютере можно запустить несколько агентов соединителя данных, рекомендуется начать только с одного, отслеживать производительность, а затем медленно увеличивать количество соединителей.

В этой процедуре описывается, как создать агент и подключить его к системе SAP с помощью порталов Azure или Defender. Рекомендуется, чтобы ваша команда безопасности выполняла эту процедуру с помощью команды SAP BASIS .

Развертывание агента соединителя данных на портале поддерживается как с портал Azure, так и на портале Defender, если вы подключены к рабочей области на унифицированную платформу операций безопасности.

Хотя развертывание также поддерживается из командной строки, рекомендуется использовать портал для типичных развертываний. Агенты соединителя данных, развернутые с помощью командной строки, можно управлять только с помощью командной строки, а не через портал. Дополнительные сведения см. в разделе "Развертывание агента соединителя данных SAP" из командной строки.

Внимание

Развертывание контейнера и создание подключений к системам SAP на портале в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Необходимые условия:

• Чтобы развернуть агент соединителя данных на портале, вам потребуется:

  • Проверка подлинности с помощью управляемого удостоверения или зарегистрированного приложения
  • Учетные данные, хранящиеся в Azure Key Vault

  Если у вас нет этих предварительных требований, разверните агент соединителя данных SAP из командной строки .

• Чтобы развернуть агент соединителя данных, на компьютере агента соединителя данных также требуются права sudo или root.

• Если вы хотите принять журналы Netweaver/ABAP через безопасное подключение с помощью secure Network Communications (SNC), вам потребуется:

  • Путь к двоичному файлу и libsapcrypto.so библиотеке sapgenpse
  • Сведения о сертификате клиента

  Дополнительные сведения см. в статье "Настройка системы для использования SNC для безопасных подключений".

Чтобы развернуть агент соединителя данных, выполните следующие действия.

1. Войдите на только что созданную виртуальную машину, на которой устанавливается агент, как пользователь с привилегиями sudo.

2. Скачайте и/или перенесите пакет SDK SAP NetWeaver на компьютер.

3. В Microsoft Sentinel выберите соединители данных конфигурации>.

4. В строке поиска введите SAP. Выберите Microsoft Sentinel для SAP из результатов поиска и откройте страницу соединителя.

5. В области конфигурации выберите "Добавить новый агент ( предварительная версия)".

   

6. В области создания агента сборщика введите следующие сведения об агенте:

   Имя	Описание
   Имя агента	Введите понятное имя агента для вашей организации. Мы не рекомендуем использовать какое-либо конкретное соглашение об именовании, за исключением того, что имя может содержать только следующие типы символов: a-z А-Я 0–9 _ (символ подчеркивания) . (точка) - (тире)
   Хранилище ключей подписки /	Выберите подписку и хранилище ключей из соответствующих раскрывающихся списков.
   Zip-файл пакета SDK NWRFC на виртуальной машине агента	Введите путь к виртуальной машине, содержащей архив пакета SDK (SDK) пакета СРЕДСТВ разработки программного обеспечения (SDK) SAP NetWeaver Remote Function Call .zip (RFC). Убедитесь, что этот путь содержит номер версии пакета SDK в следующем синтаксисе: <path>/NWRFC<version number>.zip Например: /src/test/nwrfc750P_12-70002726.zip.
   Включение поддержки подключения SNC	Выберите для приема журналов NetWeaver/ABAP через безопасное подключение с помощью SNC. Если выбрать этот параметр, введите путь, содержащий двоичный sapgenpse файл и libsapcrypto.so библиотеку, в разделе Путь к библиотеке шифрования SAP на виртуальной машине агента. Если вы хотите использовать подключение SNC, обязательно выберите включить поддержку подключения SNC на этом этапе, так как вы не сможете вернуться и включить подключение SNC после завершения развертывания агента. Если вы хотите изменить этот параметр после этого, рекомендуется создать новый агент.
   Проверка подлинности в Azure Key Vault	Чтобы пройти проверку подлинности в хранилище ключей с помощью управляемого удостоверения, оставьте параметр управляемого удостоверения по умолчанию. Чтобы пройти проверку подлинности в хранилище ключей с помощью зарегистрированного приложения, выберите "Удостоверение приложения". Необходимо заранее настроить управляемое удостоверение или зарегистрированное приложение. Дополнительные сведения см. в статье "Создание виртуальной машины" и настройка доступа к учетным данным.

   Например:

   

7. Нажмите кнопку "Создать " и просмотрите рекомендации перед завершением развертывания:

   

8. При развертывании агента соединителя данных SAP требуется предоставить удостоверение виртуальной машины агента с определенными разрешениями для рабочей области Microsoft Sentinel, используя роли агента microsoft Sentinel для бизнес-приложений и ролей читателя .

   Чтобы выполнить команды на этом шаге, необходимо быть владельцем группы ресурсов в рабочей области Microsoft Sentinel. Если вы не являетесь владельцем группы ресурсов в рабочей области, эта процедура также может выполняться после завершения развертывания агента.

   Перед завершением работы скопируйте команды назначения ролей из шага 1 и запустите их на виртуальной машине агента, заменив [Object_ID] заполнитель идентификатором объекта удостоверения виртуальной машины. Например:

   

   Чтобы найти идентификатор объекта удостоверений виртуальной машины в Azure:

   • Для управляемого удостоверения идентификатор объекта указан на странице удостоверений виртуальной машины.

   • Для субъекта-службы перейдите в приложение Enterprise в Azure. Выберите все приложения и выберите виртуальную машину. Идентификатор объекта отображается на странице обзора .

   Эти команды назначают оператору агента бизнес-приложений Microsoft Sentinel и ролям Azure читателя Azure управляемому или приложению виртуальной машины, включая только область данных указанного агента в рабочей области.

   Внимание

   Назначение ролей агента агента бизнес-приложений Microsoft Sentinel и читателя через ИНТЕРФЕЙС командной строки назначает роли только в области данных указанного агента в рабочей области. Это самый безопасный и, следовательно, рекомендуемый вариант.

   Если необходимо назначить роли через портал Azure, рекомендуется назначать роли в небольшой области, например только в рабочей области Microsoft Sentinel.

9. Выберите "Копировать" рядом с командой развертывания агента на шаге 2. Например:

   

10. Скопируйте командную строку в отдельное расположение и нажмите кнопку "Закрыть".

    Соответствующие сведения агента развертываются в Azure Key Vault, а новый агент отображается в таблице в разделе "Добавление агента сборщика на основе API".

    На этом этапе состояние работоспособности агента — "Неполная установка. Следуйте инструкциям. После успешной установки агента состояние изменится на работоспособное агент. Это обновление может занять до 10 минут. Например:

    

    Примечание.

    В таблице отображается имя агента и состояние работоспособности только тех агентов, которые вы развертываете с помощью портал Azure. Агенты, развернутые с помощью командной строки, не отображаются здесь. Дополнительные сведения см. на вкладке командной строки.

11. На виртуальной машине, в которой планируется установить агент, откройте терминал и выполните команду развертывания агента, скопированную на предыдущем шаге. На этом шаге требуются права sudo или root на компьютере агента соединителя данных.

    Скрипт обновляет компоненты ОС и устанавливает Azure CLI, программное обеспечение Docker и другие необходимые служебные программы, такие как jq, netcat и curl.

    Укажите дополнительные параметры скрипту при необходимости для настройки развертывания контейнера. Дополнительные сведения о доступных параметрах командной строки см. в справочнике по скрипту Kickstart.

    Если вам нужно снова скопировать команду, выберите "Вид" справа от столбца "Работоспособность" и скопируйте команду рядом с командой развертывания агента в правом нижнем углу.

12. На странице соединителя данных приложения SAP в области конфигурации в решении Microsoft Sentinel выберите "Добавить новую систему (предварительная версия) и введите следующие сведения:

    • В разделе "Выбор агента" выберите созданный ранее агент.

    • В разделе "Системный идентификатор" выберите тип сервера:

      • ABAP Server
      • Сервер сообщений для использования сервера сообщений в составе служб SAP CENTRAL ABAP (ASCS).

    • Продолжайте определять связанные сведения для типа сервера:

      • Для сервера ABAP введите IP-адрес и полное доменное имя сервера приложений ABAP, идентификатор системы и номер клиента.
      • Для сервера сообщений введите IP-адрес или полное доменное имя сервера сообщений, номер порта или имя службы и группу входа в систему.

    После завершения нажмите кнопку "Далее: проверка подлинности".

    Например:

    

13. На вкладке "Проверка подлинности" введите следующие сведения:

    • Для базовой проверки подлинности введите пользователя и пароль.
    • Если при настройке агента выбрано подключение SNC, выберите SNC и введите сведения о сертификате.

    После завершения нажмите кнопку "Далее: журналы".

14. На вкладке "Журналы" выберите журналы , которые вы хотите принять из SAP, а затем нажмите кнопку "Далее: Проверка и создание". Например:

    

15. (Необязательно) Для оптимального мониторинга таблицы SAP PAHI выберите журнал конфигурации. Дополнительные сведения см. в статье "Проверка того, что таблица PAHI обновляется через регулярные интервалы".

16. Просмотрите заданные параметры. Выберите "Назад" , чтобы изменить любые параметры или выбрать "Развернуть ", чтобы развернуть систему.

Определяемая вами конфигурация системы развертывается в хранилище ключей Azure, определенное во время развертывания. Теперь вы можете просмотреть сведения о системе в таблице в разделе "Настройка системы SAP" и назначить его агенту сборщика. В этой таблице отображается связанное имя агента, идентификатор системы SAP (SID) и состояние работоспособности для систем, добавленных через портал или в противном случае.

На этом этапе состояние работоспособности системы ожидается. Если агент успешно обновлен, он извлекает конфигурацию из хранилища ключей Azure, а состояние изменится на работоспособность системы. Это обновление может занять до 10 минут.

Проверка подключения и работоспособности

После развертывания агента соединителя данных SAP проверьте работоспособность и подключение агента. Дополнительные сведения см. в статье "Мониторинг работоспособности и роли систем SAP".

Следующий шаг

После развертывания соединителя перейдите к настройке решения Microsoft Sentinel для содержимого приложений SAP. В частности, настройка сведений в списках наблюдения является важным шагом в включении обнаружения и защиты от угроз.

Включение обнаружения SAP и защиты от угроз