SAP データ コネクタ エージェントをホストしてるコンテナーをデプロイして構成する

この記事では、SAP データ コネクタ エージェントをホストするコンテナーをデプロイする方法と、それを使用して SAP システムへの接続を作成する方法について説明します。 この 2 段階のプロセスは、SAP アプリケーション用の Microsoft Sentinel ソリューションの一部として、SAP® データを Microsoft Sentinel に取り込む場合に必要です。

コンテナーをデプロイして SAP システムへの接続を作成するには、Azure portal を使用することをお勧めします。 この方法は記事で説明されており、YouTube のこのビデオでも 説明されています。 また、この記事では、コマンド ラインから kickstart スクリプトを呼び出すことによって、これらの目標を達成する方法についても説明します。

または、この記事で説明するように、コマンド ラインから個々のコマンドを発行して、データ コネクタ エージェントを手動でデプロイすることもできます。

重要

Azure portal を使用したコンテナーのデプロイと SAP システムへの接続の作成は、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

デプロイのマイルストーン

SAP® アプリケーション用の Microsoft Sentinel ソリューションのデプロイは、次のセクションに分かれています。

  1. デプロイの概要

  2. デプロイの前提条件

  3. 複数のワークスペースでソリューションを操作する (プレビュー)

  4. SAP 環境を準備する

  5. 監査の構成

  6. コンテンツ ハブから SAP アプリケーション®向け Microsoft Sentinel ソリューションをデプロイする

  7. データ コネクタ エージェントをデプロイする (現在はここです)

  8. SAP 向け Microsoft Sentinel ソリューション® アプリケーションを構成する

  9. オプションのデプロイ手順

データ コネクタ エージェントのデプロイの概要

SAP® 向け Microsoft Sentinel ソリューション アプリケーションが正しく動作するためには、最初に SAP データを Microsoft Sentinel に取り込む必要があります。 これを達成するために、ソリューションの SAP データ コネクタ エージェントをデプロイする必要があります。

データ コネクタ エージェントは、Linux 仮想マシン (VM) 上でコンテナーとして実行されます。 この VM は、Azure、サード パーティのクラウド、またはオンプレミスのいずれかでホストできます。 Azure portal (プレビュー段階) を使用して、このコンテナーをインストールして構成することをお勧めします。ただし、kickstart スクリプトを使用してコンテナーをデプロイするか、コンテナーを手動でデプロイすることもできます。

エージェントは、SAP システムに接続してそこからログとその他のデータをプルし、次にそれらのログを Microsoft Sentinel ワークスペースに送信します。 これを行うには、エージェントが SAP システムに対して認証を行う必要があります。そのため、前の手順で SAP システムでエージェントのユーザーとロールを作成しました。

SAP 認証シークレットなど、エージェント構成情報を格納する方法と場所を選択できます。 使用する VM の決定は、VM をデプロイする場所と、どの SAP 認証メカニズムを使用するかによって影響を受ける可能性があります。 オプションは次のとおりです (優先順位の高いものから順に示しています)。

  • Azure Key Vault (Azure システム割り当てマネージド ID を使ってアクセス)
  • Azure Key Vault (Microsoft Entra ID 登録済みアプリケーション サービス プリンシパルを使ってアクセス)
  • プレーンテキストの構成ファイル

これらのシナリオでは、SAP の Secure Network Communication (SNC) 証明書と X.509 証明書を使用して認証する追加のオプションがあります。 このオプションは、より高いレベルの認証セキュリティを提供しますが、限られた一連のシナリオでは実用的なオプションにすぎません。

SAP の構成と認証のシークレットは、Azure Key Vault に 格納できる場合と格納する必要がある場合が理想的です。 キー コンテナーへのアクセス方法は、VM がデプロイされている場所によって異なります。

  • Azure VM 上のコンテナーでは、Azure システム割り当てマネージド ID を使用して、Azure Key Vault にシームレスにアクセスできます。 マネージド ID を使用してエージェント コンテナーをデプロイする手順については、「マネージド ID」というタブを選択してください。

    システム割り当てマネージド ID を使用できない場合、コンテナーは、Microsoft Entra ID 登録済みアプリケーション サービス プリンシパルまたは最後の手段として構成ファイルを使用して Azure Key Vault に対して認証することもできます。

  • オンプレミスの VM 上のコンテナー、またはサードパーティのクラウド環境の VM は、Azure マネージド ID を使用できませんが、Microsoft Entra ID 登録済みアプリケーション サービス プリンシパルを使用して Azure Key Vault に対して認証を行うことができます。 エージェント コンテナーをデプロイする手順については、下の「登録済みアプリケーション」というタブを選択します。

  • 何らかの理由で登録済みアプリケーション サービス プリンシパルを使用できない場合は、構成ファイル使用できますが、これは推奨されません。

前提条件

データ コネクタ エージェントをデプロイする前に、次の作業が完了していることを確認します。

データ コネクタ エージェント コンテナーをデプロイする

このセクションには、次の 3 つの手順があります。

仮想マシンを作成し、資格情報へのアクセスを構成する

Azure VM を使用してマネージド ID を作成する

  1. 次のコマンドを実行して 、Azure に VM を作成します (環境の実際の名前に <placeholders>置き換えます)。

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
    
    

    詳細については、「クイック スタート: Azure CLI を使用して Linux 仮想マシンを作成する」を参照してください。

    重要

    VM を作成したら、必ず、組織に適切なセキュリティ要件とセキュリティ強化手順を適用してください。

    上記のコマンドを実行すると、VM リソースが作成され、次のような出力が生成されます。

    {
      "fqdns": "",
      "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
      "identity": {
        "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
        "userAssignedIdentities": {}
      },
      "location": "westeurope",
      "macAddress": "00-11-22-33-44-55",
      "powerState": "VM running",
      "privateIpAddress": "192.168.136.5",
      "publicIpAddress": "",
      "resourceGroup": "resourcegroupname",
      "zones": ""
    }
    
  2. systemAssignedIdentity GUID をコピーします。これは後の手順で使用します。 これはマネージド ID です

Key Vault の作成

  1. 次のコマンドを実行してキー コンテナーを作成します (<placeholders> は実際の名前に置き換えます)。
    (既存のキー コンテナーを使用する場合は、この手順を無視してください)。

    az keyvault create \
      --name <KeyVaultName> \
      --resource-group <KeyVaultResourceGroupName>
    
  2. (新規作成または既存の) キー コンテナーの名前とそのリソース グループの名前をコピーします。 これらは、キー コンテナーのアクセス ポリシーを割り当て、次の手順でデプロイ スクリプトを実行するときに必要になります。

キー コンテナーのアクセス ポリシーを割り当てる

  1. 次のコマンドを実行して 、上記で作成してコピーした ID にキー コンテナー アクセス ポリシー を割り当てます (実際の名前を <placeholders>その ID に置き換えます)。 作成した ID の種類に適したタブを選択して、関連するコマンドを表示します。

    次のコマンドを実行して、VM のシステム割り当てマネージド ID にアクセス ポリシーを割り当てます。

    az keyvault set-policy -n <KeyVaultName> -g <KeyVaultResourceGroupName> --object-id <VM system-assigned identity> --secret-permissions get list set
    

    このポリシーを使用すると、VM ではキー コンテナーとの間でシークレットの一覧表示、読み取り、書き込みを実行できます。

データ コネクタ エージェントをデプロイする

VM と Key Vault を作成したので、次の手順は、新しいエージェントを作成し、いずれかの SAP システムに接続することです。

  1. エージェントをインストールする新しく作成された VM に、sudo 特権を持つユーザーとしてサインインします。

  2. SAP NetWeaver SDKマシンにダウンロードまたは転送します。

Note

以前に SAP コネクタ エージェントを手動でインストールした場合、または kickstart スクリプトを使用している場合、Azure portal でこれらのエージェントを構成または管理することはできません。 ポータルを使用してエージェントを構成および更新する場合は、ポータルを使用して既存のエージェントを再インストールする必要があります。

Azure portal を使用して新しいエージェントを作成し、マネージド ID で認証します。

  1. Microsoft Sentinel のナビゲーション メニューから、 [データ コネクタ] を選択します。

  2. 検索バーに「SAP」と入力します

  3. 検索結果から Microsoft Sentinel for SAP を選択し、[コネクタ ページを開く] を選択します

  4. SAP システムからデータを収集するには、次の 2 つの手順に従う必要があります。

    1. 新しいエージェントを作成する
    2. エージェントを新しい SAP システムに接続する

新しいエージェントを作成する

  1. [Configuration] 領域で、[Add new agent (Preview)] を選択します。

    Screenshot of the instructions to add an SAP API-based collector agent.

  2. 右側の [Create a collector agent] で、エージェントの詳細を設定します。

    Screenshot of the Create a collector agent area.

    • エージェント名を 入力します。 エージェント名には、次の文字を使用することができます:

      • a-z
      • A-Z
      • 0-9
      • _ (アンダースコア)
      • . (ピリオド)
      • - (ダッシュ)
    • それぞれのドロップダウンからサブスクリプションKey Vault を選択します。

    • エージェント VMNWRFC SDK zip ファイル パスで、SAP NetWeaver リモート関数呼び出し (RFC) ソフトウェア開発キット (SDK) アーカイブ (.zip ファイル) を含む VM 内のパスを入力します。 たとえば、src/test/NWRFC.zip です。

    • Secure Network Communications (SNC) を使ってセキュリティ保護された接続経由で NetWeaver/ABAP ログを取り込むには、[Enable SNC connection support] を選択します。 このオプションを選択した場合は、エージェント VM の SAP 暗号化ライブラリ パスのsapgenpseに、バイナリとlibsapcrypto.soライブラリを含むパスを入力します

      Note

      SNC 接続を使用する場合は、必ずこの段階で [Enable SNC connection support] を選択しておいてください。 エージェントのデプロイが完了した後で、ここに戻ってきて SNC 接続を有効にすることはできません。

      SNC 接続を使用してコネクタをデプロイする方法については、こちらを参照してください。

    • マネージド ID を使用してキー コンテナーに対して認証するには、既定のオプション [マネージド ID] を選択したままにします。 前提条件にメンションされているように、マネージド ID を事前に設定しておく必要があります。

  3. [Create] を選択し、デプロイを完了する前にレコメンデーションを確認します。

    Screenshot of the final stage of the agent deployment.

  4. [Just one step before we finish] で、エージェント コマンドの横にあるコピー Screenshot of the Copy icon. を選択します。 コマンド ラインをコピーしたら、[閉じる] を選択します

    関連するエージェント情報が Azure Key Vault に展開され、新しいエージェントが [Add an API based collector agent] の下の表に表示されます。

    この段階では、エージェントの 正常性 状態は "不完全なインストール。指示に従ってください"。 エージェントが正常にインストールされると、状態が正常なエージェントに 変わります。 更新には最大で 10 分かかります。

    Screenshot of the health statuses of API-based collector agents on the SAP data connector page.

    この表には、Azure portal を使用してデプロイしたエージェントのエージェント名と正常性状態のみが表示されます。 コマンド ラインを使用してデプロイされたエージェントは、ここには表示されません。

  5. ターゲット VM (エージェントをインストールする予定の VM) でターミナルを開き、前の手順でコピーしたコマンドを実行します。

    このスクリプトは OS コンポーネントを更新し、Azure CLI と Docker ソフトウェアおよびその他の必要なユーティリティ (jq、netcat、curl) をインストールします。 スクリプトに追加のパラメーターを指定して、コンテナーのデプロイをカスタマイズできます。 使用可能なコマンド ライン オプションの詳細については、「Kickstart スクリプト リファレンス」を参照してください。

    コマンドをもう一度コピーする必要がある場合は、[Health] 列の右にある [View]Screenshot of the View icon. を選択し、右下の [Agent command] の横にあるコマンドをコピーします。

新しい SAP システムに接続する

SAP システムに新しい接続を追加するすべてのユーザーは、SAP 資格情報が 格納されている Key Vault への書き込みアクセス許可を持っている必要があります。 「前提条件」を参照してください。

  1. [Configuration] 領域で、[Add new system (Preview)] を選択します。

    Screenshot of the Add new system area.

  2. [Select an agent] で、前の手順で作成したエージェントを選択します

  3. [System identifier] で、サーバーの種類を選択し、サーバーの詳細を指定します。

  4. [次へ: 認証] を選択します。

  5. 基本認証の場合は、ユーザーとパスワードを入力します。 エージェントの設定時に SNC 接続を選択した場合は、[SNC] を選択し、証明書の詳細を入力します。

  6. [Next: Logs] を選択します。

  7. SAP からプルするログを選択し、[Next: Review and create] を選択します。

  8. 指定した設定を確認します。 [前へ] を選択して設定を変更するか、[展開] を選択してシステムを展開します。

  9. 設定したシステム構成は、Azure Key Vault に展開されます。 システムの詳細が [Configure an SAP system and assign it to a collector agent] の下の表に表示されます。 次の表は、Azure portal またはその他の方法で追加したシステムの、関連付けられているエージェント名、SAP システム ID (SID)、正常性状態を示しています。

    この段階では、システムの [Health] 状態は [Pending] になっています。 エージェントが正常に更新されると、Azure Key Vault から構成がプルされ、状態が [System healthy] に変わります。 更新には最大で 10 分かかります。

    SAP システムの正常性を監視する方法の詳細はこちらを参照してください。

次のステップ

コネクタがデプロイされたら、SAP® 向け Microsoft Sentinel ソリューション アプリケーションのコンテンツのデプロイに進みます。

SAP コネクタの正常性と接続性のチェックに関するガイダンスについては、Microsoft Security Community YouTube チャンネルのこの YouTube ビデオを参照してください。