藉由部署數據連接器代理程式容器來連線 SAP 系統
若要讓適用於 SAP 應用程式的 Microsoft Sentinel 解決方案正確運作,您必須先將 SAP 資料放入 Microsoft Sentinel 中。 若要達成此目的,您需要部署解決方案的 SAP 資料連接器代理程式。
本文說明如何部署裝載 SAP 數據連接器代理程式並連線至 SAP 系統的容器,這是部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案的第三個步驟。 請務必依照所呈現的順序執行本文中的步驟。
本文中的內容與您的 安全性、 基礎結構和 SAP BASIS 小組相關。
必要條件
部署資料連接器代理程式之前:
請確定所有部署必要條件都已就緒。 如需詳細資訊,請參閱部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案的必要條件。
請確定您在 Microsoft Sentinel 工作區中已安裝適用於 SAP 應用程式的 Microsoft Sentinel 解決方案。
請確定您的 SAP 系統已針對部署做好完整準備。 如果您要部署資料連接器代理程式以透過 SNC 與 Microsoft Sentinel 通訊,請確定您已完成 設定系統以使用 SNC 進行安全連線。
觀看示範影片
觀看本文所述部署程式的下列其中一個影片示範。
入口網站選項的深入探討:
包含更多有關使用 Azure KeyVault 的詳細數據。 沒有音訊,只有輔助字幕示範:
建立虛擬機器並設定認證的存取權
建議您為數據連接器代理程式容器建立專用的虛擬機,以確保最佳效能並避免潛在的衝突。 如需詳細資訊,請參閱 系統必要條件。
建議您將 SAP 和驗證秘密儲存在 Azure 金鑰保存庫中。 存取金鑰儲存庫的方式取決於您部署虛擬機 (VM) 的位置:
部署方法 | Access 方法 |
---|---|
Azure VM 上的容器 | 建議您使用 Azure 系統指派的受控識別來存取 Azure 金鑰保存庫。 如果無法使用系統指派的受控識別,容器也可以使用 Microsoft Entra ID registera application Service Principal 向 Azure 金鑰保存庫 進行驗證,或作為組態檔的最後手段。 |
內部部署 VM 上的容器,或 第三方雲端環境中的 VM | 使用 Microsoft Entra ID registered-application service principal 向 Azure 金鑰保存庫 進行驗證。 |
如果您無法使用已註冊的應用程式或服務主體,請使用組態檔來管理您的認證,但不建議使用此方法。 如需詳細資訊,請參閱 使用組態檔部署數據連接器。
如需詳細資訊,請參閱
您的虛擬機通常是由 基礎結構 小組所建立。 設定認證和管理金鑰保存庫的存取通常是由您的 安全性 小組完成。
使用 Azure VM 建立受控識別
執行下列命令以 在 Azure 中建立 VM ,並以 您的環境
<placeholders>
的實際名稱取代 為 :az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
如需詳細資訊,請參閱快速入門:使用 Azure CLI 快速建立 Linux 虛擬機器。
重要
建立 VM 之後,請務必套用組織中適用的任何安全性需求和強化程序。
此指令會建立 VM 資源,產生如下所示的輸出:
{ "fqdns": "", "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname", "identity": { "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy", "userAssignedIdentities": {} }, "location": "westeurope", "macAddress": "00-11-22-33-44-55", "powerState": "VM running", "privateIpAddress": "192.168.136.5", "publicIpAddress": "", "resourceGroup": "resourcegroupname", "zones": "" }
複製 systemAssignedIdentity GUID,因為會將其用於後續步驟。 這是您的受控識別。
建立金鑰保存庫
此程序說明如何建立金鑰保存庫來儲存代理程式設定資訊,包括您的 SAP 驗證秘密。 如果您使用現有的金鑰保存庫,請直接跳至 步驟 2。
若要建立金鑰保存庫:
執行下列命令 (請將
<placeholder>
值替換為實際名稱)。az keyvault create \ --name <KeyVaultName> \ --resource-group <KeyVaultResourceGroupName>
指派金鑰保存庫存取權限
在您的金鑰保存庫中,將秘密範圍內的下列 Azure 角色型存取控制或保存庫存取原則權限指派給您先前建立和複製的身分識別。
權限模型 需要的權限 Azure 角色型存取控制 \(部分機器翻譯\) Key Vault 祕密使用者 保存庫存取原則 get
,list
使用入口網站中的選項來指派權限,或執行下列其中一個命令,將金鑰保存庫秘密權限指派給您的身分識別 (請將
<placeholder>
值替換為實際名稱)。 選取您所建立身分識別類型的索引標籤。在命令中指定的原則,可讓 VM 列出及讀取金鑰保存庫中的秘密。
Azure 角色型存取控制權限模型:
保存庫存取原則權限模型:
在相同的金鑰保存庫中,將秘密範圍內的下列 Azure 角色型存取控制或保存庫存取原則權限指派給設定資料連接器代理程式的使用者:
權限模型 需要的權限 Azure 角色型存取控制 \(部分機器翻譯\) Key Vault 祕密人員 保存庫存取原則 get
、 、list
、set
delete
使用入口網站中的選項來指派權限,或執行下列其中一個命令,將金鑰保存庫秘密權限指派給使用者 (請將
<placeholder>
值替換為實際名稱):Azure 角色型存取控制權限模型:
az role assignment create --role "Key Vault Secrets Officer" --assignee <UserPrincipalName> --scope /subscriptions/<KeyVaultSubscriptionId>/resourceGroups/<KeyVaultResourceGroupName>/providers/Microsoft.KeyVault/vaults/<KeyVaultName>
保存庫存取原則權限模型:
az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --upn <UserPrincipalName>--secret-permissions get list set delete
從入口網站部署資料連接器代理程式 (預覽)
既然您已建立 VM 和 金鑰保存庫,下一個步驟是建立新的代理程式並連線到其中一個 SAP 系統。 雖然您可以在單一計算機上執行多個數據連接器代理程式,但我們建議您從一部計算機開始,監視效能,然後慢慢增加連接器數目。
此程序說明如何建立新的代理程式,並使用 Azure 或 Defender 入口網站將其連線到您的 SAP 系統。 建議您的安全性小組在 SAP BASIS 小組的協助下執行此程式。
如果您將工作區上線至統一的安全性作業平臺,則可從入口網站 Azure 入口網站 支援從入口網站部署數據連接器代理程式。
雖然命令行也支援部署,但建議您使用入口網站進行一般部署。 使用命令行部署的數據連接器代理程式只能透過命令行來管理,而不是透過入口網站進行管理。 如需詳細資訊,請參閱 從命令行部署 SAP 資料連接器代理程式。
重要
從入口網站部署容器並建立 SAP 系統的連線目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
先決條件:
若要透過入口網站部署您的資料連接器代理程式,您需要:
- 透過受控識別或已註冊的應用程式進行驗證
- 儲存在 Azure 金鑰保存庫 中的認證
如果您沒有這些必要條件, 請改為從命令行 部署 SAP 資料連接器代理程式。
若要部署資料連接器代理程式,您也需要數據連接器代理程式電腦上的 sudo 或 root 許可權。
如果您想要使用安全網路通訊 (SNC) 透過安全連線內嵌 Netweaver/ABAP 記錄,您需要:
- 二進位和
libsapcrypto.so
連結庫的路徑sapgenpse
- 用戶端憑證的詳細數據
如需詳細資訊,請參閱 將系統設定為使用SNC進行安全連線。
- 二進位和
若要部署資料連接器代理程式:
以具有 sudo 許可權的使用者身分登入您要安裝代理程式的新建立 VM。
下載和/或將 SAP NetWeaver SDK 傳輸到計算機。
在 [Microsoft Sentinel] 中,選取 [ 組態 > 數據連接器]。
在搜尋列中,輸入 SAP。 從搜尋結果中選取 [Microsoft Sentinel for SAP ],然後 選取 [開啟連接器] 頁面。
在 [設定] 區域中,選取 [新增代理程式 (預覽)]。
在 [ 建立收集器代理程式 ] 窗格中,輸入下列代理程序詳細數據:
名稱 描述 代理程式名稱 為您的組織輸入有意義的代理程序名稱。 我們不建議使用任何特定的命名慣例,不同之處在於名稱只能包含下列類型的字元: - a-z
- A-Z
- 0-9
- _ (底線)
- . (period)
- - (虛線)
訂用帳戶 / 金鑰保存庫 從各自的下拉式清單中選取 [訂用帳戶] 和 [金鑰保存庫]。 代理程式 VM 上的 NWRFC SDK zip 檔案路徑 輸入 VM 中包含 SAP NetWeaver 遠端函式呼叫 (RFC) 軟體開發套件 (SDK) 封存 (.zip 檔案) 的路徑。
請確定此路徑包含下列語法的 SDK 版本號碼:<path>/NWRFC<version number>.zip
。 例如:/src/test/nwrfc750P_12-70002726.zip
。啟用 SNC 連線支援 選取以使用SNC透過安全連線內嵌 NetWeaver/ABAP 記錄。
如果您選取此選項,請在 [代理程式 VM 上的 SAP 密碼編譯程式庫路徑] 底下,輸入包含sapgenpse
二進位檔和libsapcrypto.so
程式庫的路徑。
如果您想要使用 SNC 連線,請務必在此階段選取 [啟用 SNC 連線支援],因為您無法在代理程式部署完成後再回過頭啟用 SNC 連線。 如果您想要之後變更此設定,建議您改為建立新的代理程式。對 Azure Key Vault 進行驗證 若要使用受控識別對金鑰保存庫進行驗證,請保留已選取的預設 [受控識別] 選項。 若要使用已註冊的應用程式對金鑰保存庫進行驗證,請選取 [應用程式身分識別]。
您必須事先設定受控識別或已註冊的應用程式。 如需詳細資訊,請參閱建立虛擬機器並設定認證的存取權。例如:
選取 [建立] 並檢閱建議,然後再完成部署:
部署 SAP 資料連接器代理程式時,您必須使用 Microsoft Sentinel Business Applications 代理程式操作員和讀者角色,為代理程式的 VM 身分識別授與 Microsoft Sentinel 工作區的特定權限。
若要執行此步驟中的命令,您必須是 Microsoft Sentinel 工作區上的資源群組擁有者。 如果您不是工作區上的資源群組擁有者,也可以在代理程式部署完成後執行此程序。
在 [ 稍加幾個步驟完成之前,複製 步驟 1 的角色指派命令 ,並在代理程式 VM 上執行,並以
[Object_ID]
您的 VM 身分識別物件識別元取代佔位符。 例如:若要在 Azure 中尋找您的 VM 身分識別物件識別碼:
針對受控識別,對象標識碼會列在 VM 的 [身分 識別] 頁面上。
針對服務主體,請移至 Azure 中的企業應用程式 。 選取 [所有應用程式 ],然後選取您的 VM。 物件識別碼會顯示在 [ 概觀 ] 頁面上。
這些命令會將 Microsoft Sentinel Business Applications Agent 操作員 和 讀取器 Azure 角色指派給 VM 的受控或應用程式身分識別,包括工作區中指定代理程式數據的範圍。
重要
透過 CLI 指派 Microsoft Sentinel Business Applications 代理程式操作員和讀者角色時,只會在工作區中指定代理程式的資料範圍內指派該角色。 這是最安全的選項,因此建議使用。
如果您必須透過 Azure 入口網站指派角色,建議在小範圍內指派角色,例如,僅在 Microsoft Sentinel 工作區上指派。
選取步驟 2 中的代理程式部署命令旁的 [複製 ] 。 例如:
將命令行複製到個別的位置,然後選取 [ 關閉]。
相關的代理程式資訊會部署到 Azure Key Vault 中,且新的代理程式會顯示在 [新增 API 型收集器代理程式] 底下的資料表中。
在此階段中,代理程式的 [健全狀態] 為 [未完成安裝。請依照指示操作]。 代理程式成功安裝後,狀態會變更為 [代理程式狀況良好]。 此更新可能需要 10 分鐘的時間。 例如:
注意
資料表中僅針對您透過 Azure 入口網站部署的代理程式顯示其代理程式名稱和健全狀態。 此處不會顯示使用命令列部署的代理程式。 如需詳細資訊,請參閱命令行索引標籤。
在您打算安裝代理程式的 VM 上,開啟終端機,然後執行 您在上一個步驟中複製的 Agent 部署命令 。 此步驟需要數據連接器代理程序電腦上的 sudo 或根許可權。
指令碼會更新 OS 元件,並安裝 Azure CLI、Docker 軟體和其他必要的公用程式,例如 jq、netcat 和 curl。
視需要提供額外的參數給腳本,以自定義容器部署。 如需可用命令列選項的詳細資訊,請參閱 Kickstart 指令碼參考。
如果您需要再次複製命令,請選取 [健康情況] 資料行右側的 [檢視] ,並複製右下方的代理程式部署命令旁的命令。
在 SAP 應用程式資料連接器的 [Microsoft Sentinel 解決方案] 頁面中,選取 [設定] 區域中的 [新增系統][預覽],然後輸入下列詳細數據:
在 [選取代理程式] 下,選取您稍早建立的代理程式。
在 [系統識別碼] 下,選取伺服器類型:
- ABAP 伺服器
- 訊息伺服器使用訊息伺服器 做為 ABAP SAP 中央服務 (ASCS) 的一部分。
繼續定義伺服器類型的相關詳細資料:
- 針對 ABAP 伺服器,輸入 ABAP 應用程式伺服器 IP 位址/FQDN、系統識別碼和號碼,以及用戶端識別碼。
- 針對訊息伺服器,輸入訊息伺服器 IP 位址/FQDN、埠號碼或服務名稱,以及登入群組
完成後,請選取 [下一步:驗證]。
例如:
在 [ 驗證] 索引標籤上,輸入下列詳細資料:
- 針對基本身份驗證,輸入用戶和密碼。
- 如果您在設定代理程式時選取了 SNC 連線,請選取 [SNC],然後輸入憑證詳細數據。
完成時,請選取 [下一步:記錄]。
在 [ 記錄] 索引標籤上,選取您想要從 SAP 擷取的記錄,然後選取 [ 下一步:檢閱並建立]。 例如:
(選擇性)如需監視 SAP PAHI 數據表的最佳結果,請選取 [ 設定歷程記錄]。 如需詳細資訊,請參閱 確認PAHI資料表會定期更新。
檢閱您定義的設定。 選取 [上一步] 以修改任何設定,或選取 [部署] 以部署系統。
您定義的系統組態會部署到您在部署期間定義的 Azure 金鑰儲存庫。 您現在可以在 [設定 SAP 系統並將其指派給收集器代理程式] 底下的資料表中查看系統詳細資料。 下表會顯示您透過入口網站新增之系統的相關聯代理程式名稱、SAP 系統識別碼(SID)和健全狀況狀態。
在此階段中,系統的 [健全狀態] 為 [擱置]。 如果代理程式成功更新,則會從 Azure Key Vault 中提取設定,而狀態會變更為 [系統狀況良好]。 此更新可能需要 10 分鐘的時間。
檢查連線能力和健康情況
部署 SAP 數據連接器代理程式之後,請檢查代理程式的健康情況和連線能力。 如需詳細資訊,請參閱 監視 SAP 系統的健康情況和角色。
後續步驟
部署連接器之後,請繼續為 SAP 應用程式內容設定Microsoft Sentinel 解決方案。 具體而言,在關注清單中設定詳細數據是啟用偵測和威脅防護的重要步驟。