SAP veri bağlayıcısı aracısını barındıran kapsayıcıyı dağıtma ve yapılandırma (kullanıcı arabirimi aracılığıyla)

Bu makalede SAP veri bağlayıcısı aracısını barındıran kapsayıcının nasıl dağıtılacağı gösterilmektedir. SAP uygulamaları için Microsoft Sentinel çözümünün bir parçası olarak SAP verilerini Microsoft Sentinel'e almak için® bunu yaparsınız.

Bu makalede, kapsayıcıyı dağıtma ve kullanıcı arabirimi aracılığıyla SAP sistemleri oluşturma gösterilmektedir. Ayrıca kullanıcı arabirimi aracılığıyla aracı dağıtım işlemini gösteren bu videoya bakın.

Alternatif olarak, veri bağlayıcısı aracısını diğer yöntemleri kullanarak dağıtabilirsiniz: Yönetilen kimlik, kayıtlı bir uygulama, yapılandırma dosyası veya doğrudan VM'de.

Önemli

Kapsayıcıyı dağıtma ve kullanıcı arabirimi aracılığıyla SAP sistemleri oluşturma şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Dağıtım kilometre taşları

SAP® uygulamaları için Microsoft Sentinel çözümünün dağıtımı aşağıdaki bölümlere ayrılmıştır

1. Dağıtıma genel bakış

2. Dağıtım önkoşulları

3. Birden çok çalışma alanında çözümle çalışma (ÖNİzLEME)

4. SAP ortamını hazırlama

5. Denetimi yapılandırma

6. İÇERIK hub'ından SAP uygulamaları® için Microsoft Sentinel çözümünü dağıtma

7. Veri bağlayıcısı aracısı dağıtma (Buradasınız)

8. SAP® uygulamaları için Microsoft Sentinel çözümünü yapılandırma

9. İsteğe bağlı dağıtım adımları

   • Veri bağlayıcısını SNC kullanacak şekilde yapılandırma
   • SAP HANA denetim günlüklerini toplama
   • Denetim günlüğü izleme kurallarını yapılandırma
   • SAP bağlayıcıyı el ile dağıtma
   • SAP alım profillerini seçme

Veri bağlayıcısı aracısı dağıtımına genel bakış

SAP® uygulamalarının düzgün çalışması için Microsoft Sentinel çözümünün önce SAP verilerinizi Microsoft Sentinel'e almanız gerekir. Bunu başarmak için çözümün SAP veri bağlayıcısı aracısını dağıtmanız gerekir.

Veri bağlayıcısı aracısı, Linux sanal makinesinde (VM) kapsayıcı olarak çalışır. Bu VM Azure'da, üçüncü taraf bulutta veya şirket içinde barındırılabilir. Bu kapsayıcıyı bir başlangıç betiği kullanarak yükleyip yapılandırmanızı öneririz; ancak kapsayıcıyı el ile dağıtmayı seçebilirsiniz.

Aracı, günlükleri ve diğer verileri çekmek için SAP sisteminize bağlanır, ardından bu günlükleri Microsoft Sentinel çalışma alanınıza gönderir. Bunu yapmak için aracının SAP sisteminizde kimlik doğrulaması yapması gerekir. Bu nedenle önceki adımda SAP sisteminizde bir kullanıcı ve aracı için bir rol oluşturdunuz.

SAP kimlik doğrulama mekanizmanız ve VM'nizi dağıtacağınız yer, SAP kimlik doğrulama gizli dizileriniz dahil olmak üzere aracı yapılandırma bilgilerinizin nasıl ve nerede depolandığını belirler. Tercih sırasına göre azalan sırada seçenekler şunlardır:

• Azure sistem tarafından atanan yönetilen kimlik aracılığıyla erişilen bir Azure Key Vault
• Microsoft Entra ID kayıtlı-uygulama hizmet sorumlusu aracılığıyla erişilen bir Azure Key Vault
• Düz metin yapılandırma dosyası

SAP kimlik doğrulamanız SNC ve X.509 sertifikaları kullanılarak yapılırsa tek seçeneğiniz bir yapılandırma dosyası kullanmaktır. Aracı kapsayıcınızı dağıtma yönergeleri için aşağıdaki Yapılandırma dosyası sekmesini seçin.

SNC kullanmıyorsanız SAP yapılandırmanız ve kimlik doğrulama gizli dizileriniz bir Azure Key Vault'ta depolanabilir ve depolanmalıdır. Anahtar kasanıza nasıl erişeceğiniz, VM'nizin dağıtıldığı yere bağlıdır:

• Azure VM'sinde bir kapsayıcı, Azure Key Vault'a sorunsuz bir şekilde erişmek için Azure sistem tarafından atanan yönetilen kimliği kullanabilir. Yönetilen kimlik kullanarak aracı kapsayıcınızı dağıtma yönergeleri için Yönetilen kimlik sekmesini seçin.

  Sistem tarafından atanan yönetilen kimliğin kullanılamadığı durumlarda kapsayıcı, Microsoft Entra kayıtlı uygulama hizmet sorumlusu veya son çare olarak bir yapılandırma dosyası kullanarak Azure Key Vault'ta kimlik doğrulaması yapabilir.

• Şirket içi VM'deki bir kapsayıcı veya üçüncü taraf bulut ortamındaki bir VM, Azure yönetilen kimliğini kullanamaz, ancak Microsoft Entra kayıtlı-uygulama hizmet sorumlusu kullanarak Azure Key Vault'ta kimlik doğrulaması yapabilir. Aracı kapsayıcınızı dağıtma yönergeleri için aşağıdaki Kayıtlı uygulama sekmesini seçin.

  Bir nedenle bir kayıtlı uygulama hizmet sorumlusu kullanılamıyorsa, bu tercih edilmese de bir yapılandırma dosyası kullanabilirsiniz.

Kullanıcı arabirimi aracılığıyla veri bağlayıcısı aracı kapsayıcısını dağıtma

Bu bölümde veri bağlayıcısı aracısını dağıtacaksınız. Aracıyı dağıttığınızda, aracıyı bir SAP sistemine bağlanacak şekilde yapılandırabilirsiniz.

Önkoşullar

• SAP dağıtımı önkoşulları için Microsoft Sentinel Çözümü'ne bakın.
• Güvenli Ağ İletişimi (SNC) kullanarak güvenli bir bağlantı üzerinden NetWeaver/ABAP günlüklerini almayı planlıyorsanız SNC ile SAP veri bağlayıcısı için Microsoft Sentinel'i dağıtın.
• Yönetilen kimlik veya kayıtlı bir uygulama ayarlayın. Bu seçenekler hakkında daha fazla bilgi için genel bakış bölümüne bakın.

Yönetilen kimlik

1. SAP NetWeaver SDK'sını aracısını yüklemek istediğiniz makineye aktarın.

2. Azure'da VM oluşturmak için aşağıdaki komutu çalıştırın (yerine gerçek adları yazın<placeholders>):

   az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
   
   

   Daha fazla bilgi için bkz . Hızlı Başlangıç: Azure CLI ile Linux sanal makinesi oluşturma.

   Önemli

   VM oluşturulduktan sonra, kuruluşunuzda geçerli olan tüm güvenlik gereksinimlerini ve sağlamlaştırma yordamlarını uyguladığınızdan emin olun.

   Yukarıdaki komut vm kaynağını oluşturacak ve şuna benzer bir çıkış oluşturacaktır:

   {
     "fqdns": "",
     "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
     "identity": {
       "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
       "userAssignedIdentities": {}
     },
     "location": "westeurope",
     "macAddress": "00-11-22-33-44-55",
     "powerState": "VM running",
     "privateIpAddress": "192.168.136.5",
     "publicIpAddress": "",
     "resourceGroup": "resourcegroupname",
     "zones": ""
   }
   

3. SystemAssignedIdentity GUID değerini, gelecek adımlarda kullanılacağı için kopyalayın.

4. Bir anahtar kasası oluşturmak için aşağıdaki komutları çalıştırın (yerine gerçek adları yazın<placeholders>). Mevcut bir anahtar kasası kullanıyorsanız şu adımı yoksayın:

   az keyvault create \
     --name <KeyVaultName> \
     --resource-group <KeyVaultResourceGroupName>
   

5. (yeni oluşturulan veya var olan) anahtar kasasının adını ve kaynak grubunun adını kopyalayın. Önümüzdeki adımlarda dağıtım betiğini çalıştırdığınızda bunlara ihtiyacınız olacaktır.

6. Yukarıda kopyaladığınız VM'nin sistem tarafından atanan kimliğine bir anahtar kasası erişim ilkesi atamak için aşağıdaki komutu çalıştırın (yerine gerçek adları yazın<placeholders>):

   az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <VM system-assigned identity> --secret-permissions get list set
   

   Bu ilke, VM'nin anahtar kasasından/kasaya gizli dizileri listelemesine, okumasına ve yazmasına olanak sağlar.

Kayıtlı uygulama

1. SAP NetWeaver SDK'sını aracısını yüklemek istediğiniz makineye aktarın.

2. Uygulama oluşturmak ve kaydetmek için aşağıdaki komutu çalıştırın:

   az ad sp create-for-rbac
   

   Yukarıdaki komut, aşağıdakine benzer bir çıkış oluşturarak uygulamayı oluşturur:

   {
     "appId": "aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa",
     "displayName": "azure-cli-2022-01-28-17-59-06",
     "password": "ssssssssssssssssssssssssssssssssss",
     "tenant": "bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb"
   }
   

3. Çıkıştan appId, kiracı ve parolayı kopyalayın. Sonraki adımlarda anahtar kasası erişim ilkesini atamak ve dağıtım betiğini çalıştırmak için bunlara ihtiyacınız olacaktır.

4. Bir anahtar kasası oluşturmak için aşağıdaki komutları çalıştırın (yerine gerçek adları yazın<placeholders>). Mevcut bir anahtar kasası kullanıyorsanız şu adımı yoksayın:

   az keyvault create \
     --name <KeyVaultName> \
     --resource-group <KeyVaultResourceGroupName>
   

5. (yeni oluşturulan veya var olan) anahtar kasasının adını ve kaynak grubunun adını kopyalayın. Sonraki adımlarda anahtar kasası erişim ilkesini atamak ve dağıtım betiğini çalıştırmak için bunlara ihtiyacınız olacaktır.

6. Yukarıda kopyaladığınız kayıtlı uygulama kimliğine bir anahtar kasası erişim ilkesi atamak için <placeholders>aşağıdaki komutu çalıştırın (yerine gerçek adlar veya değerler ekleyin):

   az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --spn <appId> --secret-permissions get list set
   

   Örneğin:

   az keyvault set-policy -n sentinelkeyvault -g sentinelresourcegroup --application-id aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --secret-permissions get list set
   

   Bu ilke, VM'nin anahtar kasasından/kasaya gizli dizileri listelemesine, okumasına ve yazmasına olanak sağlar.

Veri bağlayıcısı aracısını dağıtma

1. Microsoft Sentinel portalından Veri bağlayıcıları'nı seçin.

2. Arama çubuğuna SAP için Microsoft Sentinel yazın.

3. SAP bağlayıcısı için Microsoft Sentinel'i ve ardından Bağlayıcıyı aç'ı seçin.

   Yapılandırma > API tabanlı toplayıcı aracısı ekleme alanı altında bir aracı ve SAP sistemi oluşturursunuz.

   

4. Aracıyı dağıtın. Sistem eklemek için önce bir aracı eklemeniz gerekir.

   1. Yeni aracı oluşturma
   2. Aracıyı yeni bir SAP sistemine Bağlan

Yeni aracı oluşturma

1. Yapılandırma alanında Yeni aracı ekle (Önizleme) öğesini seçin.

   

2. Sağdaki Toplayıcı aracısı oluştur'un altında aracı ayrıntılarını tanımlayın:

   • Aracı adını yazın. Aracı adı şu karakterleri içerebilir:
     • a-z
     • A-Z
     • 0-9
     • _
     • .
     • -
   • Aboneliği ve anahtar kasasını seçin.
   • Aracı VM'sinde NWRFC SDK zip dosya yolu altında SAP NetWeaver Uzak İşlev Çağrısı (RFC), Yazılım Geliştirme Seti (SDK) arşivi (.zip dosyası) içeren bir yol yazın. Örneğin, /src/test/NWRFC.zip.
   • Güvenli Ağ İletişimleri (SNC) kullanarak güvenli bir bağlantı üzerinden NetWeaver/ABAP günlüklerini almak için SNC bağlantı desteğini etkinleştir'i seçin. Bu seçeneği seçerseniz, aracı VM'sinde SAP Şifreleme Kitaplığı yolu altında ikili ve libsapcrypto.so kitaplığı içeren sapgenpse yolu sağlayın.

   Dekont

   SNC bağlantısı kullanmak istiyorsanız bu aşamada SNC bağlantı desteğini etkinleştir'i seçtiğinizden emin olun. Aracıyı dağıtmayı bitirdikten sonra geri dönüp SNC bağlantısını etkinleştiremezsiniz.

   Bağlayıcıyı SNC bağlantısı üzerinden dağıtma hakkında daha fazla bilgi edinin.

   • Kapsayıcıyı dağıtmak ve yönetilen kimlik aracılığıyla SAP sistemleri oluşturmak için Yönetilen Kimlik varsayılan seçeneğini seçili bırakın. Kapsayıcıyı dağıtmak ve kayıtlı bir uygulama aracılığıyla SAP sistemleri oluşturmak için Uygulama Kimliği'ni seçin. Yönetilen kimliği veya kayıtlı uygulamayı (uygulama kimliği) önkoşullarda ayarlarsınız.

3. Dağıtımı tamamlamadan önce Oluştur'u seçin ve önerileri gözden geçirin:

   

4. Bitirmeden önce yalnızca bir adım altında Aracı komutunun yanındaki Kopyala'yı seçin.

   Betik işletim sistemi bileşenlerini güncelleştirir, Azure CLI ve Docker yazılımını ve diğer gerekli yardımcı programları (jq, netcat, curl) yükler. Kapsayıcı dağıtımını özelleştirmek için betik için ek parametreler sağlayabilirsiniz. Kullanılabilir komut satırı seçenekleri hakkında daha fazla bilgi için bkz . Kickstart betik başvurusu.

5. Hedef VM'nizde (aracıyı yüklemeyi planladığınız VM), bir terminal açın ve önceki adımda kopyaladığınız komutu çalıştırın.

   İlgili aracı bilgileri Azure Key Vault'a dağıtılır ve yeni aracı API tabanlı toplayıcı aracısı ekleme altındaki tabloda görünür.

   Bu aşamada aracının Sistem durumu Tamamlanmamış yükleme olur . Lütfen yönergeleri izleyin. Aracı başarıyla eklenirse, durum Aracı iyi durumda olarak değişir. Bu güncelleştirme 10 dakika kadar sürebilir.

   

   Tabloda yalnızca kullanıcı arabirimi aracılığıyla dağıttığınız aracıların adı ve sistem durumu görüntülenir.

   Komutunuzu yeniden kopyalamanız gerekiyorsa, Sistem Durumu sütununun sağındaki Görünüm'ü seçin ve sağ alttaki Aracı komutunun yanındaki komutu kopyalayın.

Yeni bir SAP sistemine Bağlan

1. Yapılandırma alanında Yeni sistem ekle (Önizleme) öğesini seçin.

   

2. Bir aracı seçin altında, önceki adımda oluşturduğunuz aracıyı seçin.

3. Sistem tanımlayıcısı'nın altında sunucu türünü seçin ve sunucu ayrıntılarını sağlayın.

4. İleri: Kimlik Doğrulaması'ı seçin.

5. Temel kimlik doğrulaması için kullanıcı ve parolayı belirtin. Aracıyı ayarlarken bir SNC bağlantısı seçtiyseniz SNC'yi seçin ve sertifika ayrıntılarını sağlayın.

6. İleri: Günlükler'i seçin.

7. SAP'den çekmek istediğiniz günlükleri seçin ve İleri: Gözden geçir ve oluştur'u seçin.

8. Tanımladığınız ayarları gözden geçirin. Ayarları değiştirmek için Önceki'ni veya sistemi dağıtmak için Dağıt'ı seçin.1.

   Tanımladığınız sistem yapılandırması Azure Key Vault'a dağıtılır. Artık SAP sistemi yapılandırma ve bir toplayıcı aracısına atama altındaki tabloda sistem ayrıntılarını görebilirsiniz. Bu tabloda, kullanıcı arabirimi veya diğer yöntemler aracılığıyla eklediğiniz sistemler için ilişkili aracı adı, SAP Sistem Kimliği (SID) ve sistem durumu görüntülenir.

   Bu aşamada sistemin Sistem Durumu Beklemede olur. Aracı başarıyla güncelleştirilirse, Azure Key Vault'tan yapılandırmayı çeker ve sistem durumu sistem durumu olarak değişir. Bu güncelleştirme 10 dakika kadar sürebilir.

   SAP sistem durumunuzu izleme hakkında daha fazla bilgi edinin.

Sonraki adımlar

Bağlayıcı dağıtıldıktan sonra SAP® uygulamaları içeriği için Microsoft Sentinel çözümünü dağıtmaya devam edin:

Çözüm içeriğini içerik hub'ından dağıtma