إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
توضح هذه المقالة مجموعة مختارة من الوظائف المتوفرة في مساحة العمل بعد تثبيت حل Microsoft Sentinel لتطبيقات SAP. اكتشف المزيد من الوظائف عن طريق الاستعراض في Microsoft Sentinel وتحميل التعليمات البرمجية للدالة.
ابحث عن الدالات كما يلي:
- في مدخل Microsoft Azure، في صفحة السجلات العامة>، في علامة التبويب Functions، والمدرجة ضمن Workspace functions.
- في مدخل Defender، في صفحة التتبع المتقدم للتحقيق والاستجابة>، في علامة التبويب Functions، والمدرجة ضمن وظائف مساحة عمل Sentinel.
المحتوى الوارد في هذه المقالة مخصص لفرق الأمان الخاصة بك.
استخدام الدالات في الاستعلامات بدلا من السجلات أو الجداول الأساسية
نوصي بشدة باستخدام الدالات المدرجة في هذه المقالة كمواضيع لتحليلها كلما أمكن ذلك، بدلا من السجلات أو الجداول الأساسية.
تهدف هذه الدالات إلى أن تكون بمثابة واجهة المستخدم الرئيسية للبيانات. وهي تشكل الأساس لجميع قواعد التحليلات المضمنة والمصنفات المتوفرة لك خارج الصندوق. يسمح استخدام الدالات بإجراء تغييرات على البنية الأساسية للبيانات أسفل الوظائف، دون كسر المحتوى الذي أنشأه المستخدم.
BAPI_XMI_LOGON (معاينة)
تكون الدالة BAPI_XMI_LOGON ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، ويصادق لجمع سجلات تدقيق SAP XAL.
يتم دعم الدالة BAPI_XMI_LOGON فقط لموصل البيانات بدون عامل SAP. لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
BAPI_SYSTEM_MTE_GETTIDBYNAME (معاينة)
تكون الدالة BAPI_SYSTEM_MTE_GETTIDBYNAME ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، ويسترد معرف عنصر مراقبة النظام بالاسم.
يتم دعم الدالة BAPI_SYSTEM_MTE_GETTIDBYNAME فقط لموصل البيانات بدون عامل SAP. لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
BAPI_SYSTEM_MTE_GETTREE (معاينة)
تكون الدالة BAPI_SYSTEM_MTE_GETTREE ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، ويسترد بنية عناصر مراقبة النظام.
يتم دعم الدالة BAPI_SYSTEM_MTE_GETTREE فقط لموصل البيانات بدون عامل SAP. لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
BAPI_SYSTEM_MTE_GETMLHIS (معاينة)
تكون الدالة BAPI_SYSTEM_MTE_GETMLHIS ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، ويجلب بيانات الأداء والحالة التاريخية.
يتم دعم الدالة BAPI_SYSTEM_MTE_GETMLHIS فقط لموصل البيانات بدون عامل SAP. لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
BAPI_XMI_SET_AUDITLEVEL (معاينة)
تكون وظيفة BAPI_XMI_SET_AUDITLEVEL ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما باستخدام XAL، وتكوين مستوى تسجيل تدقيق XAL.
يتم دعم الدالة BAPI_XMI_SET_AUDITLEVEL فقط لموصل البيانات بدون عامل SAP. لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
BAPI_XMI_GET_LOGHISTORY (معاينة)
تكون الدالة BAPI_XMI_GET_LOGHISTORY ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، ويسترد إدخالات سجل تدقيق XAL السابقة.
يتم دعم الدالة BAPI_XMI_GET_LOGHISTORY فقط لموصل البيانات بدون عامل SAP. لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
تعيينات SAPUsers
تجمع الدالة SAPUsersAssignments البيانات من مصادر بيانات SAP متعددة وتنشئ طريقة عرض تركز على المستخدم للبيانات الرئيسية الحالية للمستخدم، بما في ذلك الأدوار وملفات التعريف المعينة حاليا.
تلخص هذه الدالة تعيينات المستخدم للأدوار وملفات التعريف، وتعيد البيانات التالية:
| الحقل | الوصف | مصدر البيانات/الملاحظات |
|---|---|---|
| المستخدم | معرف مستخدم SAP | SAL فقط |
| البريد الإلكتروني | عنوان SMTP | USR21 (SMTP_ADDR) |
| نوع المستخدم | نوع المستخدم | USR02 (USTYP) |
| المنطقة الزمنية | المنطقة الزمنية | USR02 (TZONE) |
| حالة التأمين | حالة التأمين | USR02 (UFLAG) |
| تاريخ آخر شاشة | تاريخ آخر مشاهدة | USR02 (TRDAT) |
| LastSeenTime | آخر مرة شوهدت فيها | USR02 (LTIME) |
| UserGroupAuth | مجموعة المستخدمين في الصيانة الرئيسية للمستخدم | USR02 (فئة) |
| ملفات التعريف | مجموعة ملفات التعريف (الحد الأقصى الافتراضي لحجم المجموعة= 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| الأدوار المباشرة | مجموعة الأدوار المعينة مباشرة (الحد الأقصى الافتراضي لحجم المجموعة =50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| الأدوار التابعة | مجموعة من الأدوار المعينة بشكل غير مباشر (الحد الأقصى الافتراضي لحجم المجموعة= 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| العميل | معرف العميل | |
| معرف النظام | مُعرف النظام | كما هو محدد في الموصل |
SAPUsersGetPrivileged
ترجع الدالة SAPUsersGetPrivileged قائمة بالمستخدمين المميزين لكل عميل ومعرف النظام.
يعتبر المستخدمون متميزين عندما يتطابقون مع أي من الأوصاف التالية:
- وهي مدرجة في قائمة مراقبة SAP - المستخدمون المتميزون
- يتم تعيينها إلى ملف تعريف مدرج في SAP - قائمة مراقبة ملفات التعريف الحساسة
- تتم إضافتها إلى دور مدرج في SAP - قائمة مراقبة الأدوار الحساسة
البارامترات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| TimeAgo | اختياري | سبعة أيام | تحديد أن الدالة تبحث عن بيانات المستخدم الرئيسية من الوقت المحدد بواسطة TimeAgo القيمة حتى الوقت المحدد بواسطة now() القيمة. |
ترجع الدالة SAPUsersGetPrivileged البيانات التالية:
| الحقل | الوصف |
|---|---|
| المستخدم | معرف مستخدم SAP |
| العميل | معرف العميل |
| معرف النظام | مُعرف النظام |
SAPUsersAuthorizations
تجمع الدالة SAPUsersAuthorizations البيانات من عدة جداول لإنتاج عرض يركز على المستخدم للأدوار والتخويلات الحالية المعينة. يتم إرجاع المستخدمين الذين لديهم دور نشط وتعيينات التخويل فقط.
البارامترات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| TimeAgo | اختياري | سبعة أيام | تحديد أن الدالة تبحث عن بيانات المستخدم الرئيسية من الوقت المحدد بواسطة TimeAgo القيمة حتى الوقت المحدد بواسطة now() القيمة. |
ترجع الدالة SAPUsersAuthorizations البيانات التالية:
| الحقل | الوصف | الملاحظات |
|---|---|---|
| المستخدم | معرف مستخدم SAP | |
| الأدوار | مجموعة الأدوار (الحد الأقصى الافتراضي لحجم المجموعة = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| التخويلات | مجموعة التخويلات (الحد الأقصى الافتراضي لحجم المجموعة = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| العميل | معرف العميل | |
| معرف النظام | مُعرف النظام |
SAPConnectorHealth
تعكس الدالة SAPConnectorHealth حالة اتصال العامل ونظام SAP الأساسي. استنادا إلى SAP_HeartBeat_CL سجل رسالة كشف أخطاء الاتصال ومؤشرات الصحة الأخرى، فإنه يقوم بإرجاع البيانات التالية:
| الحقل | الوصف |
|---|---|
| المندوب | معرف العامل في تكوين العامل (تم إنشاؤه تلقائيا) |
| معرف النظام | معرف نظام SAP |
| الحالة | حالة الاتصال الإجمالية |
| التفاصيل | تفاصيل الاتصال |
| علامات تعريف موسعة | تفاصيل موسعة للاتصال |
| لقطة شاشة أخيرة | الطابع الزمني لأحدث نشاط |
| رمز الحالة | التعليمات البرمجية التي تعكس حالة النظام |
SAPConnectorOverview
تعرض الدالة SAPConnectorOverview عدد الصفوف لكل جدول SAP لكل معرف نظام. يقوم بإرجاع قائمة بسجلات البيانات لكل معرف نظام، والوقت الذي تم إنشاؤه.
البارامترات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| TimeAgo | اختياري | سبعة أيام | تحديد أن الدالة تبحث عن بيانات المستخدم الرئيسية من الوقت المحدد بواسطة TimeAgo القيمة حتى الوقت المحدد بواسطة now() القيمة. |
ترجع الدالة SAPConnectorOverview البيانات التالية:
| الحقل | الوصف |
|---|---|
| تم إنشاء الوقت | قيمة التاريخ والوقت للطوابع الزمنية لإنشاء السجل |
| SystemID_s | سلسلة تمثل معرف نظام SAP |
استخدم استعلام Kusto التالي لإجراء تحليل اتجاه يومي:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
تسمح الدالة SAPUsersEmail بالبحث الموجه نحو الأداء لعنوان البريد الإلكتروني لمستخدم SAP لكل نظام وعميل SAP، يستخدم عادة لربطه بحساب دليل نشط.
تستخدم الدالة SAPUsersEmail البيانات المستخرجة من جداول SAP USR21 (تعيين مفتاح اسم المستخدم/العنوان) وADR6 (عناوين البريد الإلكتروني) للبحث عن عنوان بريد إلكتروني. في حالة عدم العثور على عنوان بريد إلكتروني، يتم إرجاع معرف المستخدم بدلا من ذلك.
يضمن هذا السلوك تسجيل حسابات خدمة SAP مثل DDIC، والتي غالبا ما تكون غير مقترنة بعناوين بريد إلكتروني، كحسابات AD غير صحيحة. وهذا يفتح أيضا بعض ميزات UEBA، مما يساعد في التحقيق في الحوادث وأنشطة الصيد.
ترجع الدالة SAPUsersEmail البيانات التالية:
| الحقل | الوصف |
|---|---|
| معرف العميل | معرف عميل SAP |
| معرف النظام | معرف نظام SAP |
| المستخدم | معرف مستخدم SAP |
| البريد الإلكتروني | عنوان البريد الإلكتروني لمستخدم SAP |
أنظمة SAPSys
تستخدم الدالة SAPSystems لتقديم تكوين كل نظام مركزيا باستخدام قائمة مراقبة SAP - Systems .
البارامترات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| الأنظمة المحددة | اختياري | All Systems |
يستخدم لتصفية أنظمة SAP محددة |
| SelectedSystemRoles | اختياري | All System Roles |
تحديد أدوار أنظمة SAP التي سيتم النظر فيها، كما هو محدد في قائمة مراقبة SAP - الأنظمة |
ترجع الدالة SAPSystems البيانات التالية:
| الحقل | الوصف | مصدر البيانات/الملاحظات |
|---|---|---|
| SearchKey | مفتاح البحث | حقل مفهرس لمعرف نظام SAP |
| دور النظام | دور نظام SAP | الإنتاج، UAT |
| استخدام النظام | الاستخدام الرئيسي لنظام SAP | ERP، CRM |
| معرف النظام | معرف نظام SAP |
تكوين سجل SAPAudit
ترجع الدالة SAPAuditLogConfiguration التكوين المحلي لتنبيهات سجل تدقيق SAP إلى مساحة عمل Log Analytics الممكنة ل Microsoft Sentinel. يستخدم هذا التكوين للتنبيهات المتعلقة بسجل تدقيق SAP.
تنضم الدالة SAPAuditLogConfiguration إلى البيانات في تكوين SAP Dynamic Audit Log MonitorوSAP - قوائم مراقبة الأنظمة لتوفير تكوين لكل نظام بجهد لكل دور نظام.
البارامترات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| الأنظمة المحددة | اختياري | All Systems |
يستخدم لتصفية أنظمة SAP معينة للنظر فيها. |
| SelectedSystemRoles | اختياري | All System Roles |
تحديد أدوار أنظمة SAP التي يجب النظر إليها (كما هو محدد في قائمة مراقبة SAP - الأنظمة ). |
| الخصائص المحددة | اختياري | [High، Medium] |
يستخدم لتحديد الأحداث التي يجب النظر إليها من حيث شدتها. يتم تحديد الخطورة لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedRuleTypes | اختياري | All RuleTypes |
تحديد الأحداث ذات الصلة بالكشف عن الحالات الخارجة عن المألوف. يتم تعريف أنواع القواعد لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration . |
ترجع الدالة SAPAuditLogConfiguration البيانات التالية:
| الحقل | الوصف | مصدر البيانات/الملاحظات |
|---|---|---|
| اسم الفئة | فئة الحدث المحددة لـ SAP | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| DestinationEmail | عنوان البريد الإلكتروني للفريق المعين | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| وصف مفصل | نص منسق بعلامة markdown ليتم عرضه في التنبيهات | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| MessageId | معرف رسالة سجل تدقيق SAP | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| نص الرسالة | نموذج نص رسالة | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| RolesTagsToExclude | دور ABAP أو ملف التعريف أو علامة نص حرة | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| نوع القاعدة | شاذة أو محددة | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| الخطط | تكتيك MITRE ATTA CK | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| معرف قناة Teams | قناة Teams | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| معرف النظام | معرف نظام SAP | SAP - قائمة مراقبة الأنظمة |
| دور النظام | دور نظام SAP | SAP - قائمة مراقبة الأنظمة |
| استخدام النظام | الاستخدام الرئيسي لنظام SAP | SAP - قائمة مراقبة الأنظمة |
| IsProd | علامة نظام الإنتاج | SAP - قائمة مراقبة الأنظمة |
| الأهمية | الخطورة المشتقة | الخطورة لكل استخدام للنظام |
| الحد | الحد المشتق | عدد الأحداث لكل استخدام للنظام |
| BagOfDetails | مجموعة التفاصيل | قاموس يوضح تفاصيل تعريف الحدث |
لمزيد من المعلومات، راجع قوائم المشاهدة المتوفرة.
SAPAuditLogAnomalies
تستخدم الدالة SAPAuditLogAnomalies قدرات التعلم الآلي المضمنة في قاعدة بيانات Kusto الأساسية لقاعدة بيانات Kusto للمساعدة في اكتشاف الأحداث الشاذة التي تمت ملاحظتها في سجل تدقيق SAP.
تم تطوير وظيفة SAPAuditLogAnomalies لقاعدة تحليلات تنبيهات تنبيهات سجل التدقيق المستندة إلى SAP - (تجريبي) Dynamic Anomaly . في حين أن تصميمه الأصلي هو التنبيه بشأن الحالات الشاذة الأخيرة، فإنه يمكن أن يساعد أيضا على تسليط الضوء على الحالات الشاذة التاريخية. لمزيد من المعلومات، راجع استخدامات العينة.
تتعلم الدالة SAPAuditLogAnomalies شريحة المحفوظات المحددة بواسطة معلمات الإدخال المختلفة، على المستويات التالية:
- المستخدم
- سمات الشبكة
- النظام
- الموسمية
- مستويات النشاط
تعمل وظيفة SAPAuditLogAnomalies بعد ذلك على الحكم على الأحداث التي تحدث خلال الفترة الزمنية الأخيرة DetectingTime وفقا لما تعلمته، وتطبيق الحدود ومعايير الاستبعاد الأخرى القابلة للتكوين التي تم الحصول عليها من قائمة مراقبة تكوين سجل تدقيق SAP.
بمجرد اعتبار نافذة منزلقة لنشاط المستخدم شاذة، يقوم استعلام ثان بإرجاع نشاط المستخدم بأكمله كدليل يدعم القرار.
البارامترات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| وقت التعلم | اختياري | 14 يومًا | تحديد الفترة الزمنية المستخدمة لتعلم النموذج. |
| الكشف عن الوقت | اختياري | ساعة واحدة | تحديد الفترة الزمنية التي يجب النظر فيها للكشف عن الحالات الشاذة. يؤدي استدعاء هذه الدالة مع DetectingTime = 0h إلى تمييز الحالات الشاذة عبر الفترة الزمنية بأكملها LearningTime . |
| الأنظمة المحددة | اختياري | All Systems |
يستخدم لتصفية أنظمة SAP معينة للنظر فيها. |
| SelectedSystemRoles | اختياري | All System Roles |
تحديد أدوار أنظمة SAP التي سيتم النظر فيها، كما هو محدد في قائمة مراقبة SAP - الأنظمة |
| الخصائص المحددة | اختياري | [High، Medium] |
يستخدم لتحديد الأحداث التي يجب النظر إليها من حيث شدتها. يتم تحديد الخطورة لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedPrefixMask | اختياري | 24 | يستخدم لتحديد مستوى قناع الشبكة الفرعية المستخدم للتعلم والكشف. |
| SelectedRuleTypes | اختياري | AnomaliesOnly |
تحديد الأحداث ذات الصلة للكشف عن الحالات الخارجة عن المألوف. يتم تعريف أنواع القواعد لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration . |
ترجع الدالة SAPAuditLogAnomalies البيانات التالية:
| الحقل | الوصف |
|---|---|
| حقول متعددة من SAPAuditLog | الحقول الرئيسية من سجل تدقيق SAP |
| حقول متعددة من SAPAuditLogConfiguration | الحقول الرئيسية من Microsoft Sentinel لتكوين سجل تدقيق SAP |
| المكتشفون | الساعة المقربة التي لوحظ فيها الشذوذ |
| عدد الأحداث | عدد الأحداث التي تم حسابها لكل صف تم إرجاعه |
| عدد الحالات الخارجة عن المألوف | عدد الأحداث التي تمت ملاحظتها ضمن النافذة المنزلقة ذات الصلة |
| الحد الأدنى للوقت | وقت الحدث الأول الذي تمت ملاحظته |
| الحد الأقصى للوقت | وقت آخر حدث تمت ملاحظته |
| الدرجة | درجات الشذوذ كما تم إنتاجها بواسطة نموذج الشذوذ |
التوصيات:
كما هو الحال مع أي حل للتعلم الآلي، تعمل وظيفة SAPAuditLogAnomalies بشكل أفضل مع مرور الوقت ويمكن تعديلها حسب الحاجة مع مرور الوقت.
نوصي بتقييد حجم قاعدة البيانات المستفادة ليكون أقل من 100 مليون سجل باستخدام العديد من معلمات الإدخال المتوفرة.
تتضمن نماذج الاستخدامات ما يلي:
للبحث عن الحالات الشاذة للأحداث ذات الخطورة العالية التي حدثت خلال الساعة الماضية على أنظمة الإنتاج لأنواع الأحداث التي تم وضع علامة عليها على أنها AnomaliesOnly في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration ، قم بتشغيل:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))للبحث عن جميع الحالات الشاذة في آخر 14 يوما في نظام BIP ، قم بتشغيل:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
لمزيد من المعلومات، راجع قواعد تحليلات SAP المضمنة لمراقبة سجل تدقيق SAPوالكشف عن الشذوذ في سجل تدقيق SAP باستخدام حل Microsoft Sentinel ل SAP (مدونة).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend هي وظيفة مساعدة مصممة لتقديم توصيات لتكوين قاعدة تحليلات SAP - Dynamic Anomaly المستندة إلى Audit Log Monitor Alerts (PREVIEW).
لمزيد من المعلومات، راجع مراقبة سجل تدقيق SAP.
SAPUsersGetVIP
يستخدم حل Microsoft Sentinel لتطبيقات SAP مفهوم وضع علامات للمستخدم المركزي والاستثناءات الصريحة، المصممة لمساعدتك على خفض الإيجابيات الزائفة بأقل جهد ممكن.
استخدم الدالة SAPUsersGetVIP لاستبعاد المستخدمين من تشغيل التنبيهات عن طريق تحديد أدوار مستخدم SAP أو وظائف مستخدم SAP أو العلامات التي تمثل هؤلاء المستخدمين. لمزيد من المعلومات، راجع معالجة الإيجابيات الخاطئة في Microsoft Sentinel.
تستبعد العلامات المحددة كمدخل لدالة SAPUsersGetVIP جميع المستخدمين الذين لديهم علامة مدرجة في قائمة مشاهدة SAP_User_Config . يتم توسيع نفس الوظيفة للعمل مع أحرف البدل، مما يسمح لك بتعيين علامة واحدة لمجموعة من المستخدمين الذين لديهم نفس بناء جملة التسمية.
وضع علامة على المستخدمين في قائمة المشاهدة SAP_User_Config على النحو التالي:
أضف علامات متعددة إلى كل مستخدم في قائمة المشاهدة SAP_User_Config ، حسب الحاجة لتغطية سيناريوهات مختلفة. كل قاعدة تنبيه لها علاماتها ذات الصلة، إن وجدت، ويمكنك إضافة علامات مخصصة حسب الحاجة.
استخدم علامة نجمية (*) كحرف بدل لتضمين المستخدمين الذين لديهم قالب بناء جملة تسمية معين.
أضف وظيفة SAPUsersGetVIP في قواعد التحليلات لطلب قوائم المستخدمين الذين حددتهم لاستبعادهم من التنبيهات. في استدعاء الدالة، أضف صفيفا مع العلامات وأدوار SAP وملفات تعريف SAP التي تريد استبعادها.
على سبيل المثال، استخدم استعلام KQL التالي في قاعدة التحليلات لاستبعاد أي مستخدمين تم تكوينهم باستخدام علامة RunObsoleteProgOK في قائمة مشاهدة SAP_User_Config ، أو أي مستخدمين لديهم نموذج دور SAP_BASIS_ADMIN_ROLE أو نموذج ملف تعريف SAP_ADMIN_PROFILE .
عند نسخ نموذج استدعاء الدالة هذا، استبدل دور SAP_BASIS_ADMIN_ROLE وملف تعريف SAP_ADMIN_PROFILE بأدوار SAP أو ملفات التعريف الخاصة بك حسب الحاجة.
على سبيل المثال:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
تستخدم الدالة SAPUsersGetVIP بشكل شائع في تنبيهات مراقبة سجل التدقيق المحدد والشذوذ . قم بإقران علامة بمعرف رسالة سجل تدقيق SAP، أو قم بتوسيع قالب القاعدة إلى قاعدة مخصصة تطابق احتياجات مؤسستك.
تلميح
نوصي بالاتصال بمسؤول نظام SAP لفهم مستخدمي SAP والأدوار وملفات التعريف المراد تضمينها في قائمة مشاهدة SAP_User_Config .
البارامترات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| SearchForTags | اختياري | dynamic('All Tags') |
عندما SearchForTags يساوي All Tags، يتم إرجاع جميع المستخدمين مع علاماتهم. وإلا، يتم إرجاع المستخدمين الذين يحملون العلامات أو أدوار SAP أو ملفات تعريف SAP المحددة في SearchForTags فقط.
TagsIntersect يعرض العلامات التي تم العثور عليها، ويحمل IntersectionSize عدد العلامات التي تم العثور عليها. |
| علامات تعريف التركيز الخاصة | اختياري | Do not return any in-focus users |
إرجاع كافة المستخدمين الذين يحملون العلامات المحددة في SpecialFocusTags، ووضع علامة على هؤلاء ب specialFocusTagged = true. |
ترجع الدالة SAPUsersGetVIP الإخراج التالي:
| المصدر | الحقل | الوصف | الملاحظات |
|---|---|---|---|
| قائمة مشاهدة SAP_User_Config | SearchKey |
مفتاح البحث | |
| قائمة مشاهدة SAP_User_Config | SAPUser |
مستخدم SAP | OSS، DDIC |
| قائمة مشاهدة SAP_User_Config | Tags |
سلسلة العلامات المعينة للمستخدم | RunObsoleteProgOK |
| قائمة مشاهدة SAP_User_Config | معرف عنصر Microsoft Entra للمستخدم | معرف كائن Microsoft Entra | |
| قائمة مشاهدة SAP_User_Config | معرف المستخدم | معرف مستخدم Azure Directory | |
| قائمة مشاهدة SAP_User_Config | معرف الأمان الداخلي للمستخدم | ||
| قائمة مشاهدة SAP_User_Config | اسم المستخدم الأساسي | ||
| قائمة مشاهدة SAP_User_Config | TagsList |
قائمة بالعلامات المعينة للمستخدم |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| المنطق | العلامةIntersect | مجموعة من العلامات التي تطابقت SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| المنطق | SpecialFocusTagged | إشارة التركيز الخاصة |
True، False |
| المنطق | حجم التقاطع | عدد العلامات المتقاطعة |
SAPUsersHeader
تم تصميم الدالة SAPUsersHeader لتوفير عرض عالي المستوى لمستخدم SAP. ويستخدم البيانات المستخرجة من كل من جداول البيانات الرئيسية لمستخدم SAP والنشاط الأخير في سجل تدقيق SAP لجمع البريد الإلكتروني وعناوين IP. ثم تقوم بإرجاع آخر عناوين بريد إلكتروني وIP معروفة جنباً إلى جنب مع عناوين البريد الإلكتروني وIP الأساسية.
البارامترات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| الأنظمة المحددة | اختياري | All Systems |
يستخدم لتصفية أنظمة SAP معينة للنظر في |
| SelectedSystemRoles | اختياري | All System Roles |
تحديد أدوار أنظمة SAP التي سيتم النظر فيها، كما هو محدد في قائمة مراقبة SAP - الأنظمة . |
| المستخدمون المحددون | اختياري | All Users |
يمكن إدخال قوائم المستخدمين. |
| المستخدم المحدد | اختياري | All Users |
يقبل مستخدما واحدا فقط. |
على سبيل المثال:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
تلميح
لاعتبارات الأداء، يتم النظر في بضعة أيام فقط من نشاط التدقيق. للحصول على محفوظات كاملة لنشاط المستخدم، قم بتشغيل استعلام KQL مخصص مقابل الدالة SAPAuditLog .
ترجع الدالة SAPUsersHeader الإخراج التالي:
| المصدر | الحقل | الوصف | الملاحظات |
|---|---|---|---|
| المستخدم | مستخدم SAP | ||
| جداول SAP ADR6 و USR21 | البريد الإلكتروني | مأخوذ من البيانات الرئيسية للمستخدم | OSS، DDIC |
| جدول SAP USR02 | نوع المستخدم | سلسلة العلامات المعينة للمستخدم | RunObsoleteProgOK |
| جدول SAP USR02 | المنطقة الزمنية | معرف كائن Microsoft Entra | |
| جدول SAP USR02 | حالة التأمين | معرف مستخدم Azure Directory | |
| سجل تدقيق SAP | لقطة شاشة أخيرة | طابع زمني | آخر حدث تدقيق تمت ملاحظته للمستخدم |
| سجل تدقيق SAP | LastSeenDaysAgo | الأيام التي مرت منذ LastSeen |
|
| سجل تدقيق SAP | PRIMARYIP | عنوان IP الأكثر استخداماً |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| سجل تدقيق SAP | LastKnownIP | أحدث عنوان IP مستخدم | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| سجل تدقيق SAP | البريد الإلكتروني الأساسي | عنوان البريد الإلكتروني الأكثر استخداما |
True، False |
| سجل تدقيق SAP | KnownIPs | قائمة عناوين IP المعروفة | تم الفرز حسب الأكثر تكرارا أولا |
| سجل تدقيق SAP | الرسائل الإلكترونية المعروفة | قائمة عناوين البريد الإلكتروني المعروفة | تم الفرز حسب الأكثر تكرارا أولا |
| العميل | معرف عميل SAP | ||
| معرف النظام | معرف نظام SAP | ||
| دور النظام | دور نظام SAP | الإنتاج، UAT | |
| استخدام النظام | الاستخدام الرئيسي لنظام SAP | ERP، CRM |
TH_SERVER_LIST (معاينة)
تكون وظيفة TH_SERVER_LIST ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، ويسرد خوادم تطبيقات SAP النشطة.
يتم دعم الدالة TH_SERVER_LIST فقط مع موصل البيانات بدون عامل SAP (معاينة). لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
المحتوى ذو الصلة
لمزيد من المعلومات، راجع: