Implementación de un agente de conector de datos de SAP desde la línea de comandos

En este artículo se proporcionan opciones de línea de comandos para implementar un agente de conector de datos de SAP. En el caso de las implementaciones típicas, se recomienda usar el portal en lugar de la línea de comandos, ya que los agentes del conector de datos instalados a través de la línea de comandos solo se pueden administrar a través de la línea de comandos.

Sin embargo, si usa un archivo de configuración para almacenar sus credenciales en lugar de Azure Key Vault, o si es un usuario avanzado que quiere implementar manualmente el conector de datos, como en un clúster de Kubernetes, use los procedimientos de este artículo en su lugar.

Aunque puede ejecutar varios agentes de conector de datos en una sola máquina, se recomienda empezar con uno solo, supervisar el rendimiento y, a continuación, aumentar el número de conectores lentamente. También se recomienda que el equipo de seguridad realice este procedimiento con la ayuda del equipo de SAP BASIS .

Nota:

Este artículo solo es relevante para el agente del conector de datos y no es relevante para el conector de datos sin agente de SAP.

Importante

Todas las características Microsoft Sentinel se retirarán oficialmente en el Azure operado por la región de 21Vianet el 18 de agosto de 2026, según el anuncio publicado por 21Vianet. Debido a esta próxima retirada, los clientes ya no pueden incorporar nuevas suscripciones al servicio.

Se recomienda que los clientes trabajen con sus representantes de cuenta para Microsoft Azure operados por 21Vianet para evaluar el impacto de esta retirada en sus propias operaciones.

Requisitos previos

Para obtener más información, consulte la documentación de SAP y el blog Introducción a SAP SNC for RFC integrations - SAP .

Implementación del agente del conector de datos mediante una identidad administrada o una aplicación registrada

En este procedimiento se describe cómo crear un nuevo agente y conectarlo al sistema SAP a través de la línea de comandos, autenticando con una identidad administrada o una aplicación registrada Microsoft Entra ID.

Para implementar el agente del conector de datos:

  1. Descargue y ejecute el script de inicio de implementación:

    • Para una identidad administrada, use una de las siguientes opciones de comando:

      • Para la nube comercial pública Azure:

        wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh

      • Para Microsoft Azure operado por 21Vianet, agregue --cloud mooncake al final del comando copiado.

      • Para Azure Government : EE. UU., agregue --cloud fairfax al final del comando copiado.

    • Para una aplicación registrada, use el siguiente comando para descargar el script de inicio de implementación desde el repositorio de GitHub Microsoft Sentinel y marcarlo como ejecutable:

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh

      Ejecute el script, especificando el identificador de la aplicación, el secreto (la "contraseña"), el identificador de inquilino y el nombre del almacén de claves que copió en los pasos anteriores. Por ejemplo:

      ./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>

    • Para configurar la configuración segura de SNC, especifique los siguientes parámetros base:

      • --use-snc
      • --cryptolib <path to sapcryptolib.so>
      • --sapgenpse <path to sapgenpse>
      • --server-cert <path to server certificate public key>

      Si el certificado de cliente está en formato .crt o .key , use los siguientes modificadores:

      • --client-cert <path to client certificate public key>
      • --client-key <path to client certificate private key>

      Si el certificado de cliente está en formato .pfx o .p12 , use los siguientes modificadores:

      • --client-pfx <pfx filename>
      • --client-pfx-passwd <password>

      Si una entidad de certificación empresarial emitió el certificado de cliente, agregue el siguiente modificador para cada ca en la cadena de confianza:

      • --cacert <path to ca certificate>

      Por ejemplo:

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh    --use-snc     --cryptolib /home/azureuser/libsapcrypto.so     --sapgenpse /home/azureuser/sapgenpse     --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt    --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt

    El script actualiza los componentes del sistema operativo, instala la CLI de Azure y el software de Docker y otras utilidades necesarias (jq, netcat, curl) y le pide valores de parámetros de configuración. Proporcione parámetros adicionales al script para minimizar el número de mensajes o para personalizar la implementación del contenedor. Para obtener más información sobre las opciones de línea de comandos disponibles, vea Referencia de script de inicio de kick.

  2. Siga las instrucciones en pantalla para especificar los detalles de SAP y el almacén de claves y completar la implementación. Una vez completada la implementación, se muestra un mensaje de confirmación:

    The process has been successfully completed, thank you!

    Anote el nombre del contenedor de Docker en la salida del script. Para ver la lista de contenedores de Docker en la máquina virtual, ejecute:

    docker ps -a

    Usará el nombre del contenedor de Docker en el paso siguiente.

  3. La implementación del agente del conector de datos de SAP requiere que conceda a la identidad de máquina virtual del agente permisos específicos para el área de trabajo de Log Analytics habilitada para Microsoft Sentinel, mediante los roles de operador y lectorde agente de aplicaciones empresariales de Microsoft Sentinel.

    Para ejecutar el comando en este paso, debe ser propietario de un grupo de recursos en el área de trabajo de Log Analytics habilitada para Microsoft Sentinel. Si no es propietario de un grupo de recursos en el área de trabajo, este procedimiento también se puede realizar más adelante.

    Asigne los roles operador y lector del agente de aplicaciones empresariales Microsoft Sentinel a la identidad de la máquina virtual:

    1. Para obtener el identificador del agente, ejecute el siguiente comando y reemplace el <container_name> marcador de posición por el nombre del contenedor de Docker que ha creado con el script kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+

      Por ejemplo, un identificador de agente devuelto podría ser 234fba02-3b34-4c55-8c0e-e6423ceb405b.

    2. Asigne los roles de operador y lector del agente de aplicaciones empresariales Microsoft Sentinel mediante la ejecución de los siguientes comandos:

    az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

    Reemplace los valores de marcador de posición como se indica a continuación:

    Marcador de posición Valor
    <OBJ_ID> El identificador de objeto de identidad de la máquina virtual.

    Para buscar el identificador de objeto de identidad de máquina virtual en Azure:
    - En el caso de una identidad administrada, el identificador de objeto aparece en la página Identidad de la máquina virtual.
    - Para una entidad de servicio, vaya a Aplicación empresarial en Azure. Seleccione Todas las aplicaciones y, a continuación, seleccione la máquina virtual. El identificador de objeto se muestra en la página Información general .
    <SUB_ID> El identificador de suscripción del área de trabajo de Log Analytics habilitada para Microsoft Sentinel
    <RESOURCE_GROUP_NAME> Nombre del grupo de recursos del área de trabajo de Log Analytics habilitada para Microsoft Sentinel
    <WS_NAME> Nombre del área de trabajo de Log Analytics habilitada para Microsoft Sentinel
    <AGENT_IDENTIFIER> El identificador del agente que se muestra después de ejecutar el comando en el paso anterior.

  4. Para configurar el contenedor de Docker para que se inicie automáticamente, ejecute el siguiente comando y reemplace el <container-name> marcador de posición por el nombre del contenedor:

    docker update --restart unless-stopped <container-name>

El procedimiento de implementación genera un archivo systemconfig.json que contiene los detalles de configuración del agente del conector de datos de SAP. El archivo se encuentra en el directorio de la /sapcon-app/sapcon/config/system máquina virtual.

Implementación del conector de datos mediante un archivo de configuración

Azure Key Vault es el método recomendado para almacenar las credenciales de autenticación y los datos de configuración. Si se le impide usar Azure Key Vault, en este procedimiento se describe cómo implementar el contenedor del agente del conector de datos mediante un archivo de configuración en su lugar.

Para implementar el agente del conector de datos:

  1. Cree una máquina virtual en la que implementar el agente.

  2. Transfiera el SDK de SAP NetWeaver a la máquina en la que desea instalar el agente.

  3. Ejecute los comandos siguientes para descargar el script kickstart de implementación del repositorio de GitHub Microsoft Sentinel y marcarlo como ejecutable:

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
chmod +x ./sapcon-sentinel-kickstart.sh

  4. Ejecute el script:

    ./sapcon-sentinel-kickstart.sh --keymode cfgf

    El script actualiza los componentes del sistema operativo, instala la CLI de Azure y el software de Docker y otras utilidades necesarias (jq, netcat, curl) y le pide valores de parámetros de configuración. Proporcione parámetros adicionales al script según sea necesario para minimizar el número de mensajes o para personalizar la implementación del contenedor. Para obtener más información, consulte la referencia de script kickstart.

  5. Siga las instrucciones en pantalla para especificar los detalles solicitados y completar la implementación. Una vez completada la implementación, se muestra un mensaje de confirmación:

    The process has been successfully completed, thank you!

    Anote el nombre del contenedor de Docker en la salida del script. Para ver la lista de contenedores de Docker en la máquina virtual, ejecute:

    docker ps -a

    Usará el nombre del contenedor de Docker en el paso siguiente.

  6. La implementación del agente del conector de datos de SAP requiere que conceda a la identidad de máquina virtual del agente permisos específicos para el área de trabajo de Log Analytics habilitada para Microsoft Sentinel, mediante los roles de operador y lectorde agente de aplicaciones empresariales de Microsoft Sentinel.

    Para ejecutar los comandos en este paso, debe ser propietario de un grupo de recursos en el área de trabajo. Si no es propietario de un grupo de recursos en el área de trabajo, este paso también se puede realizar más adelante.

    Asigne los roles operador y lector del agente de aplicaciones empresariales Microsoft Sentinel a la identidad de la máquina virtual:

    1. Para obtener el identificador del agente, ejecute el siguiente comando y reemplace el <container_name> marcador de posición por el nombre del contenedor de Docker que creó con el script kickstart:

      docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'

      Por ejemplo, un identificador de agente devuelto podría ser 234fba02-3b34-4c55-8c0e-e6423ceb405b.

    2. Asigne los roles de operador y lector del agente de aplicaciones empresariales Microsoft Sentinel mediante la ejecución de los siguientes comandos:

      az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>

      Reemplace los valores de marcador de posición como se indica a continuación:

      Marcador de posición Valor
      <OBJ_ID> El identificador de objeto de identidad de la máquina virtual.

      Para buscar el identificador de objeto de identidad de máquina virtual en Azure: para una identidad administrada, el identificador de objeto aparece en la página Identidad de la máquina virtual. Para una entidad de servicio, vaya a Aplicación empresarial en Azure. Seleccione Todas las aplicaciones y, a continuación, seleccione la máquina virtual. El identificador de objeto se muestra en la página Información general .
      <SUB_ID> El identificador de suscripción del área de trabajo de Log Analytics habilitada para Microsoft Sentinel
      <RESOURCE_GROUP_NAME> Nombre del grupo de recursos del área de trabajo de Log Analytics habilitada para Microsoft Sentinel
      <WS_NAME> Nombre del área de trabajo de Log Analytics habilitada para Microsoft Sentinel
      <AGENT_IDENTIFIER> El identificador del agente que se muestra después de ejecutar el comando en el paso anterior.

  7. Ejecute el siguiente comando para configurar el contenedor de Docker para que se inicie automáticamente.

    docker update --restart unless-stopped <container-name>

El procedimiento de implementación genera un archivo systemconfig.json que contiene los detalles de configuración del agente del conector de datos de SAP. El archivo se encuentra en el directorio de la /sapcon-app/sapcon/config/system máquina virtual.

Preparación del script de inicio de inicio para una comunicación segura con SNC

En este procedimiento se describe cómo preparar el script de implementación para configurar los valores de las comunicaciones seguras con el sistema SAP mediante SNC. Si usa SNC, debe realizar este procedimiento antes de implementar el agente del conector de datos.

Para configurar el contenedor para una comunicación segura con SNC:

  1. Transfiera los archivos libsapcrypto.so y sapgenpse al sistema donde va a crear el contenedor.

  2. Transfiera el certificado de cliente, incluidas las claves privadas y públicas al sistema donde va a crear el contenedor.

    El certificado de cliente y la clave pueden estar en formato .p12, .pfx o Base64 .crt y .key .

  3. Transfiera el certificado de servidor (solo clave pública) al sistema donde va a crear el contenedor.

    El certificado de servidor debe estar en formato .crt base64.

  4. Si el certificado de cliente lo emitió una entidad de certificación empresarial, transfiera la entidad de certificación emisora y los certificados de entidad de certificación raíz al sistema donde va a crear el contenedor.

  5. Obtenga el script kickstart del repositorio de GitHub de Microsoft Sentinel:

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh

  6. Cambie los permisos del script para que sea ejecutable:

    chmod +x ./sapcon-sentinel-kickstart.sh

Para obtener más información, consulte Referencia del script de implementación de Kickstart para el agente del conector de datos de Microsoft Sentinel para aplicaciones SAP.

Para obtener resultados óptimos en la supervisión de la tabla PAHI de SAP, abra el archivo systemconfig.json para su edición y, en la [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) sección , habilite los PAHI_FULL parámetros y PAHI_INCREMENTAL .

Para obtener más información, vea Systemconfig.json referencia de archivo y Comprobar que la tabla PAHI se actualiza a intervalos regulares.

Comprobación de la conectividad y el estado

Después de implementar el agente del conector de datos de SAP, compruebe el estado y la conectividad del agente. Para obtener más información, consulte Supervisión del estado y el rol de los sistemas SAP.

Paso siguiente

Una vez implementado el conector, continúe con la implementación de Microsoft Sentinel solución para el contenido de las aplicaciones sap:

Habilitación de detecciones de SAP y protección contra amenazas

  • Last updated on