コマンド ラインから SAP データ コネクタ エージェントをデプロイする

この記事では、SAP データ コネクタ エージェントをデプロイするためのコマンド ライン オプションについて説明します。 一般的なデプロイでは、コマンド ライン経由でインストールされたデータ コネクタ エージェントはコマンド ラインでのみ管理できるため、コマンド ラインの代わりに ポータル を使用することをお勧めします。

ただし、構成ファイルを使用してAzure Key Vaultではなく資格情報を格納している場合、または Kubernetes クラスターなどのデータ コネクタを手動でデプロイする上級ユーザーの場合は、代わりにこの記事の手順を使用してください。

1 台のコンピューターで複数のデータ コネクタ エージェントを実行できますが、最初は 1 つだけで開始し、パフォーマンスを監視してから、コネクタの数を徐々に増やすことをお勧めします。 また、 セキュリティ チームは 、SAP BASIS チームの助けを借りてこの手順を実行することをお勧めします。

前提条件

• データ コネクタをデプロイする前に、 仮想マシンを作成し、資格情報へのアクセスを構成してください。

• セキュリティで保護された接続に SNC を使用している場合は、SAP システムが正しく構成されていることを確認し、データ コネクタ エージェントをデプロイする前に 、SNC との安全な通信のためにキックスタート スクリプトを準備 します。

詳細については、 SAP ドキュメント と SAP SNC for RFC 統合の概要 - SAP ブログを参照してください。

マネージド ID または登録済みアプリケーションを使用してデータ コネクタ エージェントをデプロイする

この手順では、新しいエージェントを作成し、コマンド ラインを使用して SAP システムに接続し、マネージド ID またはMicrosoft Entra ID登録されたアプリケーションを使用して認証する方法について説明します。

• SNC を使用している場合は、最初に SNC との安全な通信のためのキックスタート スクリプトの準備 が完了していることを確認してください。

• 構成ファイルを使用して資格情報を格納する場合は、「代わりに 構成ファイルを使用してデータ コネクタをデプロイ する」を参照してください。

データ コネクタ エージェントをデプロイするには:

1. デプロイ キックスタート スクリプトをダウンロードして実行します。

   • マネージド ID の場合は、次のいずれかのコマンド オプションを使用します。

     • Azureパブリック 商用クラウドの場合:

       wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
       

     • 21Vianet が操作Azure Microsoft の場合は、コピーしたコマンドの末尾に--cloud mooncakeを追加します。

     • [Azure Government - 米国] の場合は、コピーしたコマンドの末尾に--cloud fairfaxを追加します。

   • 登録済みアプリケーションの場合は、次のコマンドを使用して、Microsoft Sentinel GitHub リポジトリからデプロイキックスタート スクリプトをダウンロードし、実行可能ファイルとしてマークします。

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh
     

     前の手順でコピーしたアプリケーション ID、シークレット ("パスワード")、テナント ID、キー コンテナー名を指定して、スクリプトを実行します。 例:

     ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
     

   • セキュリティで保護された SNC 構成を構成するには、次の基本パラメーターを指定します。

     • --use-snc
     • --cryptolib <path to sapcryptolib.so>
     • --sapgenpse <path to sapgenpse>
     • --server-cert <path to server certificate public key>

     クライアント証明書が .crt 形式または .key 形式の場合は、次のスイッチを使用します。

     • --client-cert <path to client certificate public key>
     • --client-key <path to client certificate private key>

     クライアント証明書が .pfx または .p12 形式の場合は、次のスイッチを使用します。

     • --client-pfx <pfx filename>
     • --client-pfx-passwd <password>

     クライアント証明書がエンタープライズ CA によって発行された場合は、信頼チェーン内の CA ごとに次のスイッチを追加します。

     • --cacert <path to ca certificate>

     例:

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
     chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
     

   このスクリプトは、OS コンポーネントを更新し、Azure CLI と Docker ソフトウェアおよびその他の必要なユーティリティ (jq、netcat、curl) をインストールし、構成パラメーター値の入力を求めます。 プロンプトの数を最小限に抑えたり、コンテナーのデプロイをカスタマイズしたりするために、スクリプトに追加のパラメーターを指定します。 使用可能なコマンド ライン オプションの詳細については、「 Kickstart スクリプト リファレンス」を参照してください。

2. 画面の指示に従って SAP とキー コンテナーの詳細を入力し、デプロイを完了します。 デプロイが完了すると、確認メッセージが表示されます。

   The process has been successfully completed, thank you!
   

   スクリプト出力の Docker コンテナー名を書き留めます。 VM 上の Docker コンテナーの一覧を表示するには、次を実行します。

   docker ps -a
   

   次の手順では、docker コンテナーの名前を使用します。

3. SAP データ コネクタ エージェントをデプロイするには、Microsoft Sentinel Business Applications エージェントオペレーターロールと閲覧者ロールを使用して、Microsoft Sentinelが有効になっている Log Analytics ワークスペースに対する特定のアクセス許可を持つエージェントの VM ID を付与する必要があります。

   この手順でコマンドを実行するには、Microsoft Sentinelが有効になっている Log Analytics ワークスペースのリソース グループ所有者である必要があります。 ワークスペースのリソース グループ所有者でない場合は、後でこの手順を実行することもできます。

   Microsoft Sentinel Business Applications エージェントオペレーターロールと閲覧者ロールを VM の ID に割り当てます。

   1. 次のコマンドを実行してエージェント ID を取得し、 <container_name> プレースホルダーを、作成した docker コンテナーの名前にキックスタート スクリプトで置き換えます。

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
      

      たとえば、返されるエージェント ID が 234fba02-3b34-4c55-8c0e-e6423ceb405bされる場合があります。

   2. 次のコマンドを実行して、Microsoft Sentinel Business Applications エージェントオペレーターロールと閲覧者ロールを割り当てます。

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   プレースホルダーの値を次のように置き換えます。

   プレースホルダー	値
   <OBJ_ID>	VM ID オブジェクト ID。 Azureで VM ID オブジェクト ID を見つけるには: - マネージド ID の場合、オブジェクト ID は VM の [ID] ページに一覧表示されます。 - サービス プリンシパルについては、Azureの Enterprise アプリケーションに移動します。 [ すべてのアプリケーション] を 選択し、VM を選択します。 オブジェクト ID が [概要 ] ページに表示されます。
   <SUB_ID>	Microsoft Sentinelで有効になっている Log Analytics ワークスペースのサブスクリプション ID
   <RESOURCE_GROUP_NAME>	Microsoft Sentinelに対して有効になっている Log Analytics ワークスペースのリソース グループ名
   <WS_NAME>	Microsoft Sentinelに対して有効になっている Log Analytics ワークスペースの名前
   <AGENT_IDENTIFIER>	前の手順でコマンドを実行した後に表示されるエージェント ID。

4. Docker コンテナーを自動的に開始するように構成するには、次のコマンドを実行し、 <container-name> プレースホルダーをコンテナーの名前に置き換えます。

   docker update --restart unless-stopped <container-name>
   

デプロイ手順 では、SAP データ コネクタ エージェントの構成の詳細を含むsystemconfig.json ファイルが生成されます。 ファイルは、VM 上の /sapcon-app/sapcon/config/system ディレクトリにあります。

構成ファイルを使用してデータ コネクタをデプロイする

Azure Key Vaultは、認証資格情報と構成データを格納するための推奨される方法です。 Azure Key Vaultを使用できない場合は、代わりに構成ファイルを使用してデータ コネクタ エージェント コンテナーをデプロイする方法について説明します。

• SNC を使用している場合は、最初に SNC との安全な通信のためのキックスタート スクリプトの準備 が完了していることを確認してください。

• マネージド ID または登録済みアプリケーションを使用している場合は、「代わりに マネージド ID または登録済みアプリケーションを使用してデータ コネクタ エージェントをデプロイ する」を参照してください。

データ コネクタ エージェントをデプロイするには:

1. エージェントをデプロイする仮想マシンを作成します。

2. エージェントをインストールするマシンに SAP NetWeaver SDK を転送します。

3. 次のコマンドを実行して、Microsoft Sentinel GitHub リポジトリからデプロイ Kickstart スクリプトをダウンロードし、実行可能ファイルとしてマークします。

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   chmod +x ./sapcon-sentinel-kickstart.sh
   

4. スクリプトを実行します。

   ./sapcon-sentinel-kickstart.sh --keymode cfgf
   

   このスクリプトは、OS コンポーネントを更新し、Azure CLI と Docker ソフトウェアおよびその他の必要なユーティリティ (jq、netcat、curl) をインストールし、構成パラメーター値の入力を求めます。 プロンプトの数を最小限に抑えたり、コンテナーのデプロイをカスタマイズしたりするために、必要に応じてスクリプトに追加のパラメーターを指定します。 詳細については、「 Kickstart スクリプトリファレンス」を参照してください。

5. 画面の指示に従って 、要求された詳細を入力し、デプロイを完了します。 デプロイが完了すると、確認メッセージが表示されます。

   The process has been successfully completed, thank you!
   

   スクリプト出力の Docker コンテナー名を書き留めます。 VM 上の Docker コンテナーの一覧を表示するには、次を実行します。

   docker ps -a
   

   次の手順では、docker コンテナーの名前を使用します。

6. SAP データ コネクタ エージェントをデプロイするには、Microsoft Sentinel Business Applications エージェントオペレーターロールと閲覧者ロールを使用して、Microsoft Sentinelが有効になっている Log Analytics ワークスペースに対する特定のアクセス許可を持つエージェントの VM ID を付与する必要があります。

   この手順でコマンドを実行するには、ワークスペースのリソース グループ所有者である必要があります。 ワークスペースのリソース グループ所有者でない場合は、後でこの手順を実行することもできます。

   Microsoft Sentinel Business Applications エージェントオペレーターロールと閲覧者ロールを VM の ID に割り当てます。

   1. 次のコマンドを実行してエージェント ID を取得し、 <container_name> プレースホルダーを、Kickstart スクリプトで作成した docker コンテナーの名前に置き換えます。

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
      

      たとえば、返されるエージェント ID が 234fba02-3b34-4c55-8c0e-e6423ceb405bされる場合があります。

   2. 次のコマンドを実行して、Microsoft Sentinel Business Applications エージェントオペレーターロールと閲覧者ロールを割り当てます。

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      
      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
      

      プレースホルダーの値を次のように置き換えます。

      プレースホルダー	値
      <OBJ_ID>	VM ID オブジェクト ID。 Azureで VM ID オブジェクト ID を見つけるには:マネージド ID の場合、オブジェクト ID は VM の [ID] ページに一覧表示されます。 サービス プリンシパルについては、Azureの Enterprise アプリケーションに移動します。 [ すべてのアプリケーション] を 選択し、VM を選択します。 オブジェクト ID が [概要 ] ページに表示されます。
      <SUB_ID>	Microsoft Sentinelに対して有効になっている Log Analytics ワークスペースのサブスクリプション ID
      <RESOURCE_GROUP_NAME>	Microsoft Sentinelに対して有効になっている Log Analytics ワークスペースのリソース グループ名
      <WS_NAME>	Microsoft Sentinelに対して有効になっている Log Analytics ワークスペースの名前
      <AGENT_IDENTIFIER>	前の手順でコマンドを実行した後に表示されるエージェント ID。

7. 次のコマンドを実行して、自動的に起動するように Docker コンテナーを構成します。

   docker update --restart unless-stopped <container-name>
   

デプロイ手順 では、SAP データ コネクタ エージェントの構成の詳細を含むsystemconfig.json ファイルが生成されます。 ファイルは、VM 上の /sapcon-app/sapcon/config/system ディレクトリにあります。

SNC との安全な通信のためにキックスタート スクリプトを準備する

この手順では、SNC を使用して SAP システムとのセキュリティで保護された通信の設定を構成するデプロイ スクリプトを準備する方法について説明します。 SNC を使用している場合は、データ コネクタ エージェントをデプロイする前に、この手順を実行する必要があります。

SNC とのセキュリティで保護された通信用にコンテナーを構成するには、次の手順を実行します。

1. libsapcrypto.so ファイルと sapgenpse ファイルを、コンテナーを作成しているシステムに転送します。

2. 秘密キーと公開キーの両方を含むクライアント証明書を、コンテナーを作成しているシステムに転送します。

   クライアント証明書とキーは 、.p12、 .pfx、または Base64 .crt で、 .key 形式にすることができます。

3. コンテナーを作成しているシステムにサーバー証明書 (公開キーのみ) を転送します。

   サーバー証明書は Base64 .crt 形式である必要があります。

4. クライアント証明書がエンタープライズ証明機関によって発行された場合は、発行元の CA 証明書とルート CA 証明書をコンテナーを作成しているシステムに転送します。

5. Microsoft Sentinel GitHub リポジトリからキックスタート スクリプトを取得します。

   wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
   

6. スクリプトのアクセス許可を変更して実行可能にします。

   chmod +x ./sapcon-sentinel-kickstart.sh
   

詳細については、「SAP アプリケーション データ コネクタ エージェントのMicrosoft Sentinelの Kickstart デプロイ スクリプト リファレンス」を参照してください。

SAP PAHI テーブルの監視を最適化する (推奨)

SAP PAHI テーブルを監視する最適な結果を得るには、編集用 のsystemconfig.json ファイルを開き、[ [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) ] セクションで、 PAHI_FULL と PAHI_INCREMENTAL パラメーターの両方を有効にします。

詳細については、「 Systemconfig.json ファイル リファレンス 」および「 PAHI テーブルが定期的に更新されることを確認する」を参照してください。

接続と正常性を確認する

SAP データ コネクタ エージェントをデプロイした後、エージェントの正常性と接続をチェックします。 詳細については、「 SAP システムの正常性と役割を監視する」を参照してください。

次の手順

コネクタがデプロイされたら、SAP アプリケーションのコンテンツMicrosoft Sentinelソリューションのデプロイに進みます。