Referencia del script kickstart

Información general del script

Simplifique la implementación del contenedor que hospeda el conector de datos de SAP mediante el script kickstart proporcionado (disponible en la solución microsoft Sentinel para aplicaciones de SAP® GitHub), que también puede habilitar diferentes modos de almacenamiento de secretos, configurar comunicaciones de red segura (SNC) y mucho más.

Referencia de parámetros

Los parámetros siguientes son configurables. Puede ver ejemplos de cómo se usan estos parámetros en Implementación y configuración del contenedor que hospeda el agente de conector de datos de SAP.

Ubicación del almacenamiento de secretos

Nombre del parámetro:--keymode

Valores del parámetro:kvmi, kvsi, cfgf

Obligatorio: no. De forma predeterminada, se da por supuesto que eskvmi .

Explicación: especifica si los secretos (nombre de usuario, contraseña, identificador de Log Analytics y clave compartida) deben almacenarse en el archivo de configuración local o en Azure Key Vault. También controla si la autenticación en Azure Key Vault se realiza mediante la identidad administrada asignada por el sistema de Azure de la máquina virtual o una identidad de aplicación registrada en Microsoft Entra.

Si se establece en kvmi, se usa Azure Key Vault para almacenar los secretos y la autenticación en Azure Key Vault se realiza mediante la identidad administrada asignada por el sistema de Azure de la máquina virtual.

Si se establece en kvsi, se usa Azure Key Vault para almacenar los secretos y la autenticación en Azure Key Vault se realiza mediante una identidad de aplicación registrada en Microsoft Entra. El uso del kvsi modo requiere --appidvalores , --appsecrety --tenantid .

Si se establece en cfgf, el archivo de configuración almacenado localmente se usa para almacenar secretos.

Modo de conexión de servidor de ABAP

Nombre del parámetro:--connectionmode

Valores del parámetro:abap, mserv

Obligatorio: no. Si no se especifica, el valor predeterminado es abap.

Explicación: define si el agente del recopilador de datos debe conectarse directamente al servidor de ABAP o mediante un servidor de mensajes. Use abap para que el agente se conecte directamente al servidor ABAP, cuyo nombre puede definir mediante el --abapserver parámetro (aunque si no lo hace, todavía se le pedirá). Use mserv para conectarse mediante un servidor de mensajes, en cuyo caso debe especificar los parámetros --messageserverhost, --messageserverport y --logongroup.

Ubicación de la carpeta de configuración

Nombre del parámetro:--configpath

Valores del parámetro:<path>

Obligatorio: No, se da por supuesto /opt/sapcon/<SID> si no se especifica.

Explicación: de manera predeterminada, kickstart inicializa el archivo de configuración y la ubicación de los metadatos en /opt/sapcon/<SID>. Para establecer una ubicación alternativa de configuración y metadatos, use el parámetro --configpath.

Dirección del servidor de ABAP

Nombre del parámetro:--abapserver

Valores del parámetro:<servername>

Obligatorio: no. Si no se especifica el parámetro y si el parámetro del modo de conexión del servidor ABAP está establecido abapen , se le pedirá el nombre de host o la dirección IP del servidor.

Explicación: se usa solo si el modo de conexión está establecido en abap; este parámetro contiene el nombre de dominio completo (FQDN), el nombre corto o la dirección IP del servidor de ABAP al que conectarse.

Número de instancia del sistema

Nombre del parámetro:--systemnr

Valores del parámetro:<system number>

Obligatorio: no. Si no se especifica, se solicita al usuario el número del sistema.

Explicación: especifica el número de instancia del sistema SAP al que conectarse.

Identificador del sistema

Nombre del parámetro:--sid

Valores del parámetro:<SID>

Obligatorio: no. Si no se especifica, se solicita al usuario el identificador del sistema.

Explicación: especifica el identificador del sistema SAP al que conectarse.

Número de cliente

Nombre del parámetro:--clientnumber

Valores del parámetro:<client number>

Obligatorio: no. Si no se especifica, se solicita al usuario el número de cliente.

Explicación: especifica el número de cliente al que conectarse.

Host del servidor de mensajes

Nombre del parámetro:--messageserverhost

Valores del parámetro:<servername>

Obligatorio: sí, cuando el modo de conexión del servidor de ABAP está establecido en mserv.

Explicación: especifica el nombre de host o la dirección IP del servidor de mensajes al que conectarse. Solo se puede usar si el modo de conexión del servidor de ABAP está establecido en mserv.

Puerto del servidor de mensajes

Nombre del parámetro:--messageserverport

Valores del parámetro:<portnumber>

Obligatorio: sí, cuando el modo de conexión del servidor de ABAP está establecido en mserv.

Explicación: especifica el nombre de servicio (puerto) del servidor de mensajes al que conectarse. Solo se puede usar si el modo de conexión del servidor de ABAP está establecido en mserv.

Grupo de inicio de sesión

Nombre del parámetro:--logongroup

Valores del parámetro:<logon group>

Obligatorio: sí, cuando el modo de conexión del servidor de ABAP está establecido en mserv.

Explicación: especifica el grupo de inicio de sesión que se va a usar al conectarse a un servidor de mensajes. Solo se puede usar si el modo de conexión del servidor de ABAP está establecido en mserv. Si el nombre del grupo de inicio de sesión contiene espacios, se debe pasar entre comillas dobles, como en el ejemplo --logongroup "my logon group".

Nombre de usuario de inicio de sesión

Nombre del parámetro:--sapusername

Valores del parámetro:<username>

Obligatorio: no. Si no se proporciona, se solicita al usuario el nombre de usuario si no usa SNC (X.509) para la autenticación.

Explicación: nombre de usuario usado para autenticarse en el servidor ABAP.

Contraseña de inicio de sesión

Nombre del parámetro:--sappassword

Valores del parámetro:<password>

Obligatorio: no. Si no se proporciona, se solicita al usuario la contraseña, si no usa SNC (X.509) para la autenticación. La entrada de contraseña está enmascarada.

Explicación: contraseña usada para autenticarse en el servidor ABAP.

Ubicación del archivo del SDK de NetWeaver

Nombre del parámetro:--sdk

Valores del parámetro:<filename>

Obligatorio: no. El script intenta localizar el archivo nwrfc*.zip en la carpeta actual. Si no se encuentra, se le pedirá al usuario que proporcione un archivo de archivo válido del SDK de NetWeaver.

Explicación: ruta de acceso del archivo del SDK de NetWeaver. Se requiere un SDK válido para que el recopilador de datos funcione. Para obtener más información, consulte Requisitos previos para implementar la solución de Microsoft Sentinel para aplicaciones SAP®.

Identificador de la aplicación empresarial

Nombre del parámetro:--appid

Valores del parámetro:<guid>

Obligatorio: sí, cuando la ubicación de almacenamiento de secretos está establecida en kvsi.

Explicación: cuando el modo de autenticación de Azure Key Vault se establece en kvsi, la autenticación en el almacén de claves se realiza mediante una identidad de aplicación empresarial (entidad de servicio). Este parámetro especifica el identificador de aplicación.

Secreto de la aplicación empresarial

Nombre del parámetro:--appsecret

Valores del parámetro:<secret>

Obligatorio: sí, cuando la ubicación de almacenamiento de secretos está establecida en kvsi.

Explicación: cuando el modo de autenticación de Azure Key Vault se establece en kvsi, la autenticación en el almacén de claves se realiza mediante una identidad de aplicación empresarial (entidad de servicio). Este parámetro especifica el secreto de la aplicación.

Id. de inquilino

Nombre del parámetro:--tenantid

Valores del parámetro:<guid>

Obligatorio: sí, cuando la ubicación de almacenamiento de secretos está establecida en kvsi.

Explicación: cuando el modo de autenticación de Azure Key Vault se establece en kvsi, la autenticación en el almacén de claves se realiza mediante una identidad de aplicación empresarial (entidad de servicio). Este parámetro especifica el identificador de inquilino de Microsoft Entra.

Nombre de Key Vault

Nombre del parámetro:--kvaultname

Valores del parámetro:<key vaultname>

Obligatorio: no. Si la ubicación del almacenamiento secreto está establecida kvsi en o kvmi, el script solicita el valor si no se proporciona.

Explicación: Si la ubicación del almacenamiento secreto está establecida kvsi en o kvmi, el nombre del almacén de claves (en formato FQDN) debe escribirse aquí.

Identificador del área de trabajo de Log Analytics

Nombre del parámetro:--loganalyticswsid

Valores del parámetro:<id>

Obligatorio: no. Si no se proporciona, el script solicita el identificador del área de trabajo.

Explicación: identificador del área de trabajo de Log Analytics a la que el recopilador de datos envía los datos. Para buscar el identificador del área de trabajo, busque el área de trabajo de Log Analytics en Azure Portal, abra Microsoft Sentinel, seleccione Settings en la sección Configuration, seleccione Workspace settings y, a continuación, seleccione Agents Management.

Clave de Log Analytics

Nombre del parámetro:--loganalyticskey

Valores del parámetro:<key>

Obligatorio: no. Si no se proporciona, el script solicita la clave del área de trabajo. La entrada está enmascarada.

Explicación: clave principal o secundaria del área de trabajo de Log Analytics a la que el recopilador de datos envía los datos. Para buscar la clave principal o secundaria del área de trabajo, busque el área de trabajo de Log Analytics en Azure Portal, abra Microsoft Sentinel, seleccione Settings en la sección Configuration, seleccione Workspace settings y, a continuación, seleccione Agents Management.

Uso de X.509 (SNC) para la autenticación

Nombre del parámetro:--use-snc

Valores del parámetro: ninguno

Obligatorio: no. Si no se especifica, se usa el nombre de usuario y la contraseña para la autenticación. Si se especifican --cryptolib, --sapgenpse y la combinación de --client-cert u --client-key, o --client-pfx y --client-pfx-passwd, así como --server-cert, y en determinados casos --cacert, el modificador es obligatorio.

Explicación: especifica que se usa la autenticación X.509 para conectarse al servidor ABAP, en lugar de la autenticación de nombre de usuario y contraseña. Para obtener más información, consulte Implementación del conector de datos de Microsoft Sentinel para SAP mediante SNC.

Ruta de acceso de la biblioteca criptográfica de SAP

Nombre del parámetro:--cryptolib

Valores del parámetro:<sapcryptolibfilename>

Obligatorio: si, en caso de que se especifique --use-snc.

Explicación: ubicación y nombre de archivo de la biblioteca criptográfica de SAP (libsapcrypto.so).

Ruta de acceso de la herramienta SAPGENPSE

Nombre del parámetro:--sapgenpse

Valores del parámetro:<sapgenpsefilename>

Obligatorio: si, en caso de que se especifique --use-snc.

Explicación: ubicación y nombre de archivo de la herramienta sapgenpse para crear y administrar archivos de PSE y credenciales de SSO.

Ruta de acceso de la clave pública del certificado de cliente

Nombre del parámetro:--client-cert

Valores del parámetro:<client certificate filename>

Obligatorio: sí, cuando --use-sncy el certificado están en formato base 64 .crt/.key.

Explicación: ubicación y nombre de archivo del certificado público de cliente en base 64. Si el certificado de cliente está en formato .pfx, use el modificador --client-pfx en su lugar.

Ruta de acceso de la clave privada del certificado de cliente

Nombre del parámetro:--client-key

Valores del parámetro:<client key filename>

Obligatorio: sí, cuando se especifica --use-sncy la clave está en formato base 64 .crt/.key.

Explicación: ubicación y nombre de archivo de la clave privada de cliente en base 64. Si el certificado de cliente está en formato .pfx, use el modificador --client-pfx en su lugar.

Emisión y certificados de entidad de certificación raíz

Nombre del parámetro:--cacert

Valores del parámetro:<trusted ca cert>

Obligatorio: sí, cuando se especifica --use-sncy el certificado lo emite una entidad de certificación empresarial.

Explicación: Si el certificado está autofirmado, no tiene ninguna entidad de certificación emisora, por lo que no hay ninguna cadena de confianza que deba validarse. Si un certificado lo emite una entidad de certificación empresarial, es necesario validar el certificado de la CA emisora y cualquier certificado de CA de nivel superior. Use instancias independientes del modificador --cacert para cada entidad de certificación de la cadena de confianza y proporcione los nombres de archivo completos de los certificados públicos de las entidades de certificación empresariales.

Ruta de acceso del certificado PFX de cliente

Nombre del parámetro:--client-pfx

Valores del parámetro:<pfx filename>

Obligatorio: sí, cuando --use-sncy la clave están en formato .pfx/.p12.

Explicación: ubicación y nombre de archivo del certificado pfx de cliente.

Contraseña del certificado PFX de cliente

Nombre del parámetro:--client-pfx-passwd

Valores del parámetro:<password>

Obligatorio: sí, cuando se usa --use-snc, el certificado está en formato .pfx/.p12 y el certificado está protegido por una contraseña.

Explicación: contraseña del archivo PFX/P12.

Certificado de servidor

Nombre del parámetro:--server-cert

Valores del parámetro:<server certificate filename>

Obligatorio: sí, cuando se usa --use-snc.

Explicación: nombre y ruta de acceso completa del certificado del servidor de ABAP.

Dirección URL del servidor proxy HTTP

Nombre del parámetro:--http-proxy

Valores del parámetro:<proxy url>

Obligatorio: No

Explicación: Los contenedores que no pueden establecer la conexión a los servicios de Microsoft Azure directamente y requieren conexión a través de un servidor proxy requieren --http-proxy un modificador para definir la dirección URL del proxy para el contenedor. El formato de la dirección URL del proxy es http://hostname:port.

Redes basadas en host

Nombre del parámetro:--hostnetwork

Obligatorio: no.

Explicación: si se especifica este modificador, el agente usa la configuración de red basada en host. Esto puede resolver problemas internos de resolución de DNS en algunos casos.

Confirm all prompts

Nombre del parámetro:--confirm-all-prompts

Valores del parámetro: ninguno

Obligatorio: No

Explicación: si se especifica el modificador, el --confirm-all-prompts script no se pausa para las confirmaciones del usuario y solo solicita si se requiere la entrada del usuario. Use el modificador --confirm-all-prompts para lograr una implementación sin intervención del usuario.

Uso de la compilación en versión preliminar del contenedor

Nombre del parámetro:--preview

Valores del parámetro: ninguno

Obligatorio: No

Explicación: De forma predeterminada, el script kickstart de implementación del contenedor implementa el contenedor con la :latest etiqueta . Las características de versión preliminar pública se publican en la :latest-preview etiqueta . Para asegurarse de que el script de implementación del contenedor usa la versión preliminar pública del contenedor, especifique el modificador --preview.

Pasos siguientes

Obtenga más información sobre la solución Microsoft Sentinel para aplicaciones SAP®:

• Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
• Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones de SAP®
• Implementación de solicitudes de cambio de SAP y configuración de la autorización
• Implementar el contenido de la solución desde el centro de contenido
• Implementación y configuración del contenedor del agente de conector de datos de SAP
• Implementación del conector de datos de Microsoft Sentinel para SAP con SNC
• Supervisar el estado del sistema SAP
• Habilitación y configuración de la auditoría para SAP para Microsoft Sentinel
• Recopilación de registros de auditoría de SAP HANA

Solución del problema:

• Solución de problemas de implementación de la solución Microsoft Sentinel para aplicaciones de SAP®

Archivos de referencia:

• Referencia de datos de la solución Microsoft Sentinel para aplicaciones SAP®
• Solución Microsoft Sentinel para aplicaciones SAP®: referencia de contenido de seguridad
• Referencia del script de actualización
• Referencia del archivo systemconfig.ini

Para obtener más información, consulte soluciones de Microsoft Sentinel.