Informations de référence sur le script Kickstart

Vue d’ensemble du script

Simplifiez le déploiement du conteneur hébergeant le connecteur de données SAP à l’aide du script Kickstart fourni (disponible dans la solution Microsoft Sentinel pour les applications SAP® GitHub), qui peut également activer différents modes de stockage de secrets, configurer les communications réseau sécurisées (SNC), etc.

Référence de paramètre

Les paramètres suivants sont configurables. Vous pouvez voir des exemples de l’utilisation de ces paramètres dans Déployer et configurer le conteneur hébergeant l’agent de connecteur de données SAP.

Emplacement de stockage des secrets

Nom du paramètre :--keymode

Valeurs du paramètre :kvmi, kvsi, cfgf

Obligatoire : Non. kvmi est supposé par défaut.

Explication : spécifie si les secrets (nom d’utilisateur, mot de passe, ID Log Analytics et clé partagée) doivent être stockés dans un fichier de configuration local ou dans Azure Key Vault. Contrôle également si l’authentification auprès d’Azure Key Vault est effectuée à l’aide de l’identité managée affectée par le système Azure de la machine virtuelle ou d’une identité d’application inscrite Microsoft Entra.

Si la valeur est définie sur kvmi, Azure Key Vault est utilisé pour stocker des secrets et l’authentification auprès d’Azure Key Vault est effectuée à l’aide de l’identité managée affectée par le système Azure de la machine virtuelle.

Si la valeur est définie sur kvsi, Azure Key Vault est utilisé pour stocker des secrets et l’authentification auprès d’Azure Key Vault est effectuée à l’aide d’une identité d’application inscrite Microsoft Entra. L’utilisation du kvsi mode nécessite --appid, --appsecretet --tenantid des valeurs.

Si la valeur est définie cfgf, le fichier de configuration stocké localement est utilisé pour stocker les secrets.

Mode de connexion au serveur ABAP

Nom du paramètre :--connectionmode

Valeurs du paramètre :abap, mserv

Obligatoire : Non. Si aucune valeur n’est spécifiée, la valeur par défaut est abap.

Explication : définit si l’agent de collecteur de données doit se connecter directement au serveur ABAP ou via un serveur de messages. Utilisez abap l’agent pour que l’agent se connecte directement au serveur ABAP, dont le nom vous pouvez définir à l’aide du --abapserver paramètre (si ce n’est pas le cas, vous y êtes toujours invité). Utilisez mserv pour vous connecter via un serveur de messages, auquel cas vous devez spécifier les paramètres --messageserverhost, --messageserverport et --logongroup.

Emplacement du dossier de configuration

Nom du paramètre :--configpath

Valeurs du paramètres :<path>

Obligatoire : Non, /opt/sapcon/<SID> est supposé s’il n’est pas spécifié.

Explication : par défaut, Kickstart initialise le fichier de configuration, l’emplacement des métadonnées vers /opt/sapcon/<SID>. Pour définir un autre emplacement de configuration et de métadonnées, utilisez le paramètre --configpath.

Adresse du serveur DNS

Nom du paramètre :--abapserver

Valeurs du paramètres :<servername>

Obligatoire : Non. Si le paramètre n’est pas spécifié et si le paramètre de mode de connexion du serveur ABAP est défini abapsur , vous êtes invité à entrer le nom d’hôte/l’adresse IP du serveur.

Explication : utilisé uniquement si le mode de connexion est défini sur abap, ce paramètre contient le nom de domaine complet (FQDN), le nom court ou l’adresse IP du serveur ABAP auquel se connecter.

Numéro d’instance du système

Nom du paramètre :--systemnr

Valeurs du paramètres :<system number>

Obligatoire : Non. S’il n’est pas spécifié, l’utilisateur est invité à entrer le numéro système.

Explication : spécifie le numéro d’instance du système SAP auquel se connecter.

ID système

Nom du paramètre :--sid

Valeurs du paramètres :<SID>

Obligatoire : Non. S’il n’est pas spécifié, l’utilisateur est invité à entrer l’ID système.

Explication : spécifie l’ID système SAP auquel se connecter.

Numéro de client

Nom du paramètre :--clientnumber

Valeurs du paramètres :<client number>

Obligatoire : Non. S’il n’est pas spécifié, l’utilisateur est invité à entrer le numéro du client.

Explication : spécifie le numéro de client auquel se connecter.

Hôte de serveur de message

Nom du paramètre :--messageserverhost

Valeurs du paramètres :<servername>

Obligatoire: Oui, si Mode de connexion au serveur ABAP est défini sur mserv.

Explication : spécifie le nom d’hôte/l’adresse IP du serveur de messages à connecter. Peut uniquement être utilisé si Mode de connexion au serveur ABAP est défini sur mserv.

Port du serveur de messages

Nom du paramètre :--messageserverport

Valeurs du paramètres :<portnumber>

Obligatoire: Oui, si Mode de connexion au serveur ABAP est défini sur mserv.

Explication : spécifie le nom du service (port) du serveur de messages auquel se connecter. Peut uniquement être utilisé si Mode de connexion au serveur ABAP est défini sur mserv.

Groupe d’ouverture de session

Nom du paramètre :--logongroup

Valeurs du paramètres :<logon group>

Obligatoire: Oui, si Mode de connexion au serveur ABAP est défini sur mserv.

Explication : spécifie le groupe de connexion à utiliser lors de la connexion à un serveur de messages. Peut uniquement être utilisé si Mode de connexion au serveur ABAP est défini sur mserv. Si le nom du groupe d’ouverture de session contient des espaces, ils doivent être placés entre guillemets doubles, comme dans l’exemple --logongroup "my logon group".

Nom d’utilisateur d’ouverture de session

Nom du paramètre :--sapusername

Valeurs du paramètres :<username>

Obligatoire : Non. S’il n’est pas fourni, l’utilisateur est invité à entrer le nom d’utilisateur s’il n’utilise pas SNC (X.509) pour l’authentification.

Explication : Nom d’utilisateur utilisé pour s’authentifier auprès du serveur ABAP.

Mot de passe d’ouverture de session

Nom du paramètre :--sappassword

Valeurs du paramètres :<password>

Obligatoire : Non. S’il n’est pas fourni, l’utilisateur est invité à entrer le mot de passe s’il n’utilise pas SNC (X.509) pour l’authentification. L’entrée de mot de passe est masquée.

Explication : Mot de passe utilisé pour s’authentifier auprès du serveur ABAP.

Emplacement du fichier SDK NetWeaver

Nom du paramètre :--sdk

Valeurs du paramètres :<filename>

Obligatoire : Non. Le script tente de localiser le fichier nwrfc*.zip dans le dossier actif. S’il n’est pas trouvé, l’utilisateur est invité à fournir un fichier d’archive du Kit de développement logiciel (SDK) NetWeaver valide.

Explication : chemin d’accès au fichier du SDK NetWeaver. Un SDK valide est requis pour que le collecteur de données fonctionne. Pour plus d’informations, consultez Conditions préalables pour le déploiement de la solution Microsoft Sentinel pour les applications SAP®.

ID d’application d’entreprise

Nom du paramètre :--appid

Valeurs du paramètres :<guid>

Obligatoire : Oui, si Emplacement de stockage des secrets est défini sur kvsi.

Explication : quand le mode d’authentification Azure Key Vault est défini sur kvsi, l’authentification au coffre de clés est effectuée à l’aide d’une identité d’application d’entreprise (principal de service). Ce paramètre spécifie l’ID d’application.

Secret de l’application d’entreprise

Nom du paramètre :--appsecret

Valeurs du paramètres :<secret>

Obligatoire : Oui, si Emplacement de stockage des secrets est défini sur kvsi.

Explication : quand le mode d’authentification Azure Key Vault est défini sur kvsi, l’authentification au coffre de clés est effectuée à l’aide d’une identité d’application d’entreprise (principal de service). Ce paramètre spécifie le secret d’application.

ID client

Nom du paramètre :--tenantid

Valeurs du paramètres :<guid>

Obligatoire : Oui, si Emplacement de stockage des secrets est défini sur kvsi.

Explication : quand le mode d’authentification Azure Key Vault est défini sur kvsi, l’authentification au coffre de clés est effectuée à l’aide d’une identité d’application d’entreprise (principal de service). Ce paramètre spécifie l’ID de locataire Microsoft Entra.

Nom du coffre de clés

Nom du paramètre :--kvaultname

Valeurs du paramètres :<key vaultname>

Obligatoire : Non. Si l’emplacement de stockage secret est défini kvsi sur ou kvmi, le script demande la valeur s’il n’est pas fourni.

Explication : Si l’emplacement de stockage secret est défini kvsi ou kvmisi le nom du coffre de clés (au format FQDN) doit être entré ici.

ID d’espace de travail Log Analytics

Nom du paramètre :--loganalyticswsid

Valeurs du paramètres :<id>

Obligatoire : Non. S’il n’est pas fourni, le script demande l’ID de l’espace de travail.

Explication : ID d’espace de travail Log Analytics auquel le collecteur de données envoie les données. Pour localiser l’ID de l’espace de travail, recherchez l’espace de travail Log Analytics dans le portail Azure : ouvrez Microsoft Sentinel, sélectionnez Paramètres dans la section Configuration, sélectionnez Paramètres de l’espace de travail, puis sélectionnez Gestion des agents.

Clé Log Analytics

Nom du paramètre :--loganalyticskey

Valeurs du paramètres :<key>

Obligatoire : Non. S’il n’est pas fourni, le script demande la clé d’espace de travail. L’entrée est masquée.

Explication : clé primaire ou secondaire de l’espace de travail Log Analytics dans lequel le collecteur de données envoie les données. Pour localiser la clé principale ou secondaire de l’espace de travail, recherchez l’espace de travail Log Analytics dans le portail Azure : ouvrez Microsoft Sentinel, sélectionnez Paramètres dans la section Configuration, sélectionnez Paramètres de l’espace de travail, puis sélectionnez Gestion des agents.

Utiliser X.509 (SNC) pour l’authentification

Nom du paramètre :--use-snc

Valeurs du paramètres : aucune

Obligatoire : Non. S’il n’est pas spécifié, le nom d’utilisateur et le mot de passe sont utilisés pour l’authentification. S’ils sont spécifiés, --cryptolib, --sapgenpse, une combinaison de --client-cert et --client-key, ou --client-pfx et --client-pfx-passwd ainsi que --server-cert, et dans certains cas les commutateurs --cacert, cela est requis.

Explication : spécifie que l’authentification X.509 est utilisée pour se connecter au serveur ABAP, plutôt que l’authentification par nom d’utilisateur/mot de passe. Pour plus d’informations, consultez Déployer le connecteur de données Microsoft Sentinel pour SAP à l’aide de SNC.

Chemin de la bibliothèque de chiffrement SAP

Nom du paramètre :--cryptolib

Valeurs du paramètres :<sapcryptolibfilename>

Obligatoire : oui, si --use-snc est spécifié.

Explication : emplacement et nom de fichier de la bibliothèque de chiffrement SAP (libsapcrypto.so).

Chemin de l’outil SAPGENPSE

Nom du paramètre :--sapgenpse

Valeurs du paramètres :<sapgenpsefilename>

Obligatoire : oui, si --use-snc est spécifié.

Explication : emplacement et nom de fichier de l’outil sapgenpse pour la création et la gestion des fichiers PSE et des informations d’identification SSO.

Chemin d’accès à la clé publique du certificat client

Nom du paramètre :--client-cert

Valeurs du paramètres :<client certificate filename>

Obligatoire : oui, si --use-sncet le certificat est au format .crt/.key base-64.

Explication : emplacement et nom de fichier du certificat public de client base-64. Si le certificat client est au format .pfx, utilisez le commutateur --client-pfx à la place.

Chemin d’accès à la clé privée du certificat client

Nom du paramètre :--client-key

Valeurs du paramètres :<client key filename>

Obligatoire : oui, si --use-snc est spécifié et la clé est au format base-64 .crt/.key.

Explication : emplacement et nom de fichier de la clé privée du client base-64. Si le certificat client est au format .pfx, utilisez le commutateur --client-pfx à la place.

Certificat de l'autorité de certification racine/émetteur standard

Nom du paramètre :--cacert

Valeurs du paramètres :<trusted ca cert>

Obligatoire : oui, si --use-snc est spécifié et que le certificat est émis par une autorité de certification d’entreprise.

Explication : Si le certificat est auto-signé, il n’a pas d’autorité de certification émettrice. Il n’existe donc aucune chaîne d’approbation qui doit être validée. Si le certificat est émis par une autorité de certification d’entreprise, le certificat de l’autorité de certification émettrice et tous les certificats d’autorité de certification de niveau supérieur doivent être validés. Utilisez des instances distinctes du commutateur --cacert pour chaque autorité de certification dans la chaîne d’approbation et fournissez les noms de fichiers complets des certificats publics des autorités de certification d’entreprise.

Chemin d’accès du certificat PFX client

Nom du paramètre :--client-pfx

Valeurs du paramètres :<pfx filename>

Obligatoire : oui, si --use-sncet la clé sont au format .pfx/.p12.

Explication : emplacement et nom de fichier du certificat client pfx.

Mot de passe du certificat PFX client

Nom du paramètre :--client-pfx-passwd

Valeurs du paramètres :<password>

Obligatoire : oui, si --use-snc est utilisé, le certificat est au format .pfx/.p12 et le certificat est protégé par un mot de passe.

Explication : mot de passe du fichier PFX/P12.

Certificat serveur

Nom du paramètre :--server-cert

Valeurs du paramètres :<server certificate filename>

Obligatoire : oui, si --use-snc est utilisé.

Explication : nom et chemin d’accès complet du certificat de serveur ABAP.

URL du serveur proxy HTTP

Nom du paramètre :--http-proxy

Valeurs du paramètres :<proxy url>

Obligatoire : Non

Explication : Les conteneurs qui ne peuvent pas établir de connexion directement aux services Microsoft Azure et nécessitent une connexion via un serveur proxy nécessitent --http-proxy un commutateur pour définir l’URL du proxy pour le conteneur. Le format de l’URL du proxy est http://hostname:port.

Mise en réseau basée sur l’hôte

Nom du paramètre :--hostnetwork

Obligatoire : Non.

Explication : si ce commutateur est spécifié, l’agent utilise la configuration de mise en réseau basée sur l’hôte. Cela peut résoudre les problèmes de résolution DNS internes dans certains cas.

Confirmer toutes les invites

Nom du paramètre :--confirm-all-prompts

Valeurs du paramètres : aucune

Obligatoire : Non

Explication : si le --confirm-all-prompts commutateur est spécifié, le script ne s’interrompt pas pour les confirmations utilisateur et invite uniquement si l’entrée utilisateur est requise. Utilisez le commutateur --confirm-all-prompts pour obtenir un déploiement sans contact.

Utiliser la préversion du conteneur

Nom du paramètre :--preview

Valeurs du paramètres : aucune

Obligatoire : Non

Explication : par défaut, le script kickstart de déploiement de conteneur déploie le conteneur avec la :latest balise. Les fonctionnalités de préversion publique sont publiées sur la :latest-preview balise. Pour garantir que le script de déploiement de conteneur utilise la préversion publique du conteneur, spécifiez le commutateur --preview.

Étapes suivantes

En savoir plus sur les applications Solution Microsoft Sentinel pour SAP® :

• Déployer des applications Solution Microsoft Sentinel pour SAP®
• Prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP®
• Déployer des demandes de modification SAP (CR) et configurer l’autorisation
• Déployer le contenu de la solution depuis le hub de contenu
• Déployer et configurer le conteneur hébergeant l’agent de connecteur de données SAP
• Déployer le connecteur de données Microsoft Sentinel pour SAP avec SNC
• Surveiller l’intégrité de votre système SAP
• Activer et configurer l’audit SAP
• Collecter les journaux d’audit SAP HANA

Résolution des problèmes :

• Résolution des problèmes de déploiement de solution pour les applications Solution Microsoft Sentinel pour SAP®

Fichiers de référence :

• Référence de données des applications Solution Microsoft Sentinel pour SAP®
• Applications Solution Microsoft Sentinel pour SAP® : référence relative au contenu de sécurité
• Mettre à jour la référence de script
• Informations de référence sur le fichier Systemconfig.ini

Pour plus d’informations, consultez Solutions Microsoft Sentinel.