إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
توضح هذه المقالة مجموعة مختارة من الوظائف المتوفرة في مساحة العمل بعد تثبيت حل Microsoft Sentinel لتطبيقات SAP. اكتشف المزيد من الدالات عن طريق الاستعراض في Microsoft Sentinel وتحميل التعليمات البرمجية للدالة.
ابحث عن الدالات كما يلي:
- في مدخل Azure، في صفحة السجلات العامة>، في علامة التبويب Functions، والمدرجة ضمن وظائف مساحة العمل.
- في مدخل Defender، في صفحة التحقيق & استجابة > التتبع المتقدم، في علامة التبويب Functions، والمدرجة ضمن Sentinel وظائف مساحة العمل.
المحتوى الوارد في هذه المقالة مخصص لفرق الأمان الخاصة بك.
استخدام الدالات في استعلاماتك بدلا من السجلات أو الجداول الأساسية
نوصي بشدة باستخدام الوظائف المدرجة في هذه المقالة كمواضيع لتحليلها كلما أمكن ذلك، بدلا من السجلات أو الجداول الأساسية.
تهدف هذه الدالات إلى أن تكون بمثابة واجهة المستخدم الرئيسية للبيانات. وهي تشكل الأساس لجميع قواعد التحليلات المضمنة والمصنفات المتوفرة لك خارج الصندوق. يسمح استخدام الدالات بإجراء تغييرات على البنية الأساسية للبيانات أسفل الوظائف، دون كسر المحتوى الذي أنشأه المستخدم.
BAPI_XMI_LOGON (معاينة)
تكون وظيفة BAPI_XMI_LOGON ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، ويصادق لجمع سجلات تدقيق SAP XAL.
يتم دعم الدالة BAPI_XMI_LOGON فقط لموصل البيانات بدون عامل SAP. لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
BAPI_SYSTEM_MTE_GETTIDBYNAME (معاينة)
تكون وظيفة BAPI_SYSTEM_MTE_GETTIDBYNAME ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، ويسترد معرف عنصر مراقبة النظام بالاسم.
يتم دعم الدالة BAPI_SYSTEM_MTE_GETTIDBYNAME فقط لموصل البيانات بدون عامل SAP. لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
BAPI_SYSTEM_MTE_GETTREE (معاينة)
تكون وظيفة BAPI_SYSTEM_MTE_GETTREE ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، ويسترد بنية عناصر مراقبة النظام.
يتم دعم الدالة BAPI_SYSTEM_MTE_GETTREE فقط لموصل البيانات بدون عامل SAP. لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
BAPI_SYSTEM_MTE_GETMLHIS (معاينة)
تكون وظيفة BAPI_SYSTEM_MTE_GETMLHIS ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، ويجلب بيانات الأداء والحالة التاريخية.
يتم دعم الدالة BAPI_SYSTEM_MTE_GETMLHIS فقط لموصل البيانات بدون عامل SAP. لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
BAPI_XMI_SET_AUDITLEVEL (معاينة)
تكون وظيفة BAPI_XMI_SET_AUDITLEVEL ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، وتكوين مستوى تسجيل تدقيق XAL.
يتم دعم الدالة BAPI_XMI_SET_AUDITLEVEL فقط لموصل البيانات بدون عامل SAP. لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
BAPI_XMI_GET_LOGHISTORY (معاينة)
تكون وظيفة BAPI_XMI_GET_LOGHISTORY ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، ويسترد إدخالات سجل تدقيق XAL السابقة.
يتم دعم الدالة BAPI_XMI_GET_LOGHISTORY فقط لموصل البيانات بدون عامل SAP. لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
تعيينات SAPUsers
تجمع الدالة SAPUsersAssignments البيانات من مصادر بيانات SAP متعددة وتنشئ طريقة عرض تركز على المستخدم للبيانات الرئيسية الحالية للمستخدم، بما في ذلك الأدوار وملفات التعريف المعينة حاليا.
تلخص هذه الدالة تعيينات المستخدم للأدوار وملفات التعريف، وترجع البيانات التالية:
| الميدان | الوصف | مصدر البيانات/الملاحظات |
|---|---|---|
| User | معرف مستخدم SAP | SAL فقط |
| البريد الالكتروني | عنوان SMTP | USR21 (SMTP_ADDR) |
| نوع المستخدم | نوع المستخدم | USR02 (USTYP) |
| Timezone | المنطقة الزمنية | USR02 (TZONE) |
| حالة مؤمنة | حالة التأمين | USR02 (UFLAG) |
| تاريخ آخر شاشة | تاريخ آخر مشاهدة | USR02 (TRDAT) |
| LastSeenTime | آخر مرة شوهدت فيها | USR02 (LTIME) |
| UserGroupAuth | مجموعة المستخدمين في الصيانة الرئيسية للمستخدم | USR02 (فئة) |
| ملفات تعريف | مجموعة ملفات التعريف (الحد الأقصى الافتراضي لحجم المجموعة = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | مجموعة الأدوار المعينة مباشرة (الحد الأقصى الافتراضي لحجم المجموعة = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| الأدوار التابعة | مجموعة الأدوار المعينة بشكل غير مباشر (الحد الأقصى الافتراضي لحجم المجموعة = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Client | معرف العميل | |
| معرف النظام | معرف النظام | كما هو محدد في الموصل |
SAPUsersGetPrivileged
ترجع الدالة SAPUsersGetPrivileged قائمة بالمستخدمين المتميزين لكل عميل ومعرف النظام.
يعتبر المستخدمون متميزين عندما يتطابقون مع أي من الأوصاف التالية:
- يتم سردها في قائمة مراقبة SAP - المستخدمين المتميزين
- تم تعيينها إلى ملف تعريف مدرج في SAP - قائمة مراقبة ملفات التعريف الحساسة
- تتم إضافتها إلى دور مدرج في SAP - قائمة مراقبة الأدوار الحساسة
معلمات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| TimeAgo | اختياري | سبعة أيام | تحديد أن الدالة تبحث عن بيانات المستخدم الرئيسية من الوقت المحدد بواسطة TimeAgo القيمة حتى الوقت المحدد بواسطة now() القيمة. |
ترجع الدالة SAPUsersGetPrivileged البيانات التالية:
| الميدان | الوصف |
|---|---|
| User | معرف مستخدم SAP |
| Client | معرف العميل |
| معرف النظام | معرف النظام |
SAPUsersAuthorizations
تجمع الدالة SAPUsersAuthorizations البيانات من عدة جداول لإنتاج عرض يركز على المستخدم للأدوار والتخويلات الحالية المعينة. يتم إرجاع المستخدمين الذين لديهم دور نشط وتعيينات التخويل فقط.
معلمات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| TimeAgo | اختياري | سبعة أيام | تحديد أن الدالة تبحث عن بيانات المستخدم الرئيسية من الوقت المحدد بواسطة TimeAgo القيمة حتى الوقت المحدد بواسطة now() القيمة. |
ترجع الدالة SAPUsersAuthorizations البيانات التالية:
| الميدان | الوصف | ملاحظات |
|---|---|---|
| User | معرف مستخدم SAP | |
| ادوار | مجموعة الأدوار (الحد الأقصى الافتراضي لحجم المجموعة = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| التخويلاتDetails | مجموعة التخويلات (الحد الأقصى الافتراضي لحجم المجموعة = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Client | معرف العميل | |
| معرف النظام | معرف النظام |
SAPConnectorHealth
تعكس الدالة SAPConnectorHealth حالة اتصال العامل ونظام SAP الأساسي. استنادا إلى SAP_HeartBeat_CL سجل رسالة كشف أخطاء الاتصال ومؤشرات الصحة الأخرى، فإنه يرجع البيانات التالية:
| الميدان | الوصف |
|---|---|
| عامل | معرف العامل في تكوين العامل (تم إنشاؤه تلقائيا) |
| معرف النظام | معرف نظام SAP |
| حاله | حالة الاتصال الإجمالية |
| التفاصيل | تفاصيل الاتصال |
| العلامات الموسعة | تفاصيل موسعة للاتصال |
| آخر لقطة شاشة | الطابع الزمني لأحدث نشاط |
| رمز الحالة | التعليمات البرمجية التي تعكس حالة النظام |
SAPConnectorOverview
تعرض الدالة SAPConnectorOverview عدد الصفوف لكل جدول SAP لكل معرف نظام. يقوم بإرجاع قائمة بسجلات البيانات لكل معرف نظام، والوقت الذي تم إنشاؤه.
معلمات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| TimeAgo | اختياري | سبعة أيام | تحديد أن الدالة تبحث عن بيانات المستخدم الرئيسية من الوقت المحدد بواسطة TimeAgo القيمة حتى الوقت المحدد بواسطة now() القيمة. |
ترجع الدالة SAPConnectorOverview البيانات التالية:
| الميدان | الوصف |
|---|---|
| وقت الإنشاء | قيمة التاريخ والوقت للطوابع الزمنية لإنشاء السجل |
| SystemID_s | سلسلة تمثل معرف نظام SAP |
استخدم استعلام Kusto التالي لإجراء تحليل اتجاه يومي:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
تسمح الدالة SAPUsersEmail بالبحث الموجه نحو الأداء عن عنوان البريد الإلكتروني لمستخدم SAP لكل نظام SAP وعميل، يستخدم عادة لإقرانه بحساب دليل نشط.
تستخدم الدالة SAPUsersEmail البيانات المستخرجة من جداول SAP USR21 (تعيين مفتاح اسم المستخدم/العنوان) وADR6 (عناوين البريد الإلكتروني) للبحث عن عنوان بريد إلكتروني. في حالة عدم العثور على عنوان بريد إلكتروني، يتم إرجاع معرف المستخدم بدلا من ذلك.
يضمن هذا السلوك تسجيل حسابات خدمة SAP مثل DDIC، والتي غالبا ما لا تكون مقترنة بعناوين بريد إلكتروني، كحسابات AD مستعارة. وهذا يفتح أيضا بعض ميزات UEBA، مما يساعد في التحقيق في الحوادث وأنشطة التتبع.
ترجع الدالة SAPUsersEmail البيانات التالية:
| الميدان | الوصف |
|---|---|
| معرف العميل | معرف عميل SAP |
| معرف النظام | معرف نظام SAP |
| User | معرف مستخدم SAP |
| البريد الالكتروني | عنوان البريد الإلكتروني لمستخدم SAP |
أنظمة SAPSystems
تستخدم الدالة SAPSystems لتقديم التكوين لكل نظام مركزيا الذي تم إجراؤه باستخدام قائمة مراقبة SAP - الأنظمة .
معلمات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| الأنظمة المحددة | اختياري | All Systems |
يستخدم لتصفية أنظمة SAP محددة |
| SelectedSystemRoles | اختياري | All System Roles |
تحديد أدوار أنظمة SAP التي يجب النظر إليها، كما هو محدد في قائمة مراقبة SAP - الأنظمة |
ترجع الدالة SAPSystems البيانات التالية:
| الميدان | الوصف | مصدر البيانات/الملاحظات |
|---|---|---|
| مفتاح البحث | مفتاح البحث | حقل مفهرس لمعرف نظام SAP |
| SystemRole | دور نظام SAP | الإنتاج، UAT |
| SystemUsage | الاستخدام الرئيسي لنظام SAP | ERP، CRM |
| معرف النظام | معرف نظام SAP |
تكوين SAPAuditLog
ترجع الدالة SAPAuditLogConfiguration التكوين المحلي لتنبيهات سجل تدقيق SAP إلى مساحة عمل Log Analytics الممكنة Microsoft Sentinel. يتم استخدام هذا التكوين للتنبيهات المتعلقة بسجل تدقيق SAP.
تنضم الدالة SAPAuditLogConfiguration إلى البيانات في تكوين SAP Dynamic Audit Log MonitorوSAP - قوائم مراقبة الأنظمة لتوفير تكوين لكل نظام في جهد دور لكل نظام.
معلمات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| الأنظمة المحددة | اختياري | All Systems |
يستخدم لتصفية أنظمة SAP محددة للنظر فيها. |
| SelectedSystemRoles | اختياري | All System Roles |
تحديد أدوار أنظمة SAP التي يجب النظر إليها (كما هو محدد في قائمة مراقبة SAP - الأنظمة ). |
| الاختلافات المحددة | اختياري | [High, Medium] |
يستخدم لتحديد الأحداث التي يجب النظر إليها من حيث شدتها. يتم تحديد الخطورة لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedRuleTypes | اختياري | All RuleTypes |
تحديد الأحداث ذات الصلة بالكشف عن الحالات الخارجة عن المألوف. يتم تعريف أنواع القواعد لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration . |
ترجع الدالة SAPAuditLogConfiguration البيانات التالية:
| الميدان | الوصف | مصدر البيانات/الملاحظات |
|---|---|---|
| Categoryname | فئة حدث SAP المحددة | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| DestinationEmail | عنوان البريد الإلكتروني للفريق المعين | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| وصف تفصيلي | نص منسق بعلامة markdown ليتم عرضه على التنبيهات | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| معرف الرسالة | معرف رسالة سجل تدقيق SAP | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| نص الرسالة | نموذج نص رسالة | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| RolesTagsToExclude | دور ABAP أو ملف تعريف أو علامة نص حر | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| نوع القاعدة | الحالات الشاذة أو الحتمية | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| التكتيكات | تكتيك MITRE ATTA&CK | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| TeamsChannelID | قناة Teams | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| معرف النظام | معرف نظام SAP | SAP - قائمة مراقبة الأنظمة |
| SystemRole | دور نظام SAP | SAP - قائمة مراقبة الأنظمة |
| SystemUsage | الاستخدام الرئيسي لنظام SAP | SAP - قائمة مراقبة الأنظمة |
| IsProd | علامة نظام الإنتاج | SAP - قائمة مراقبة الأنظمة |
| شده | الخطورة المشتقة | الخطورة لكل استخدام للنظام |
| عتبه | الحد المشتق | عدد الأحداث لكل استخدام للنظام |
| BagOfDetails | حقيبة من التفاصيل | قاموس يوضح تفاصيل تعريف الحدث |
لمزيد من المعلومات، راجع قوائم المشاهدة المتوفرة.
SAPAuditLogAnomalies
تستخدم وظيفة SAPAuditLogAnomalies قدرات التعلم الآلي المضمنة في قاعدة بيانات Kusto الأساسية Microsoft Sentinel للمساعدة في اكتشاف الأحداث الشاذة التي تمت ملاحظتها في سجل تدقيق SAP.
تم تطوير وظيفة SAPAuditLogAnomalies لقاعدة تحليلات تنبيهات مراقبة سجل التدقيق الديناميكي المستندة إلى SAP - (تجريبي). في حين أن تصميمه الأصلي هو التنبيه بشأن الحالات الشاذة الأخيرة، فإنه يمكن أن يساعد أيضا في تسليط الضوء على الحالات الشاذة التاريخية. لمزيد من المعلومات، راجع استخدامات العينة.
تتعلم الدالة SAPAuditLogAnomalies شريحة المحفوظات المحددة بواسطة معلمات الإدخال المختلفة، على المستويات التالية:
- User
- سمات الشبكة
- نظام
- موسميه
- مستويات النشاط
تعمل وظيفة SAPAuditLogAnomalies بعد ذلك على الحكم على الأحداث التي تحدث خلال الفترة الزمنية الأخيرة DetectingTime وفقا لما تعلمته، وتطبيق الحدود ومعايير الاستبعاد الأخرى القابلة للتكوين التي تم الحصول عليها من قائمة مراقبة تكوين سجل تدقيق SAP.
بمجرد اعتبار النافذة المنزلقة لنشاط المستخدم شاذة، يقوم استعلام ثان بإرجاع نشاط المستخدم بأكمله كدليل يدعم القرار.
معلمات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| وقت التعلم | اختياري | 14 يوماً | تحديد الفترة الزمنية المستخدمة لتعلم النموذج. |
| الكشف عن الوقت | اختياري | ساعة واحدة | يحدد الفترة الزمنية التي يجب البحث عنها للكشف عن الحالات الشاذة. يؤدي استدعاء هذه الدالة مع DetectingTime = 0h إلى تمييز الحالات الشاذة عبر الفترة الزمنية بأكملها LearningTime . |
| الأنظمة المحددة | اختياري | All Systems |
يستخدم لتصفية أنظمة SAP محددة للنظر فيها. |
| SelectedSystemRoles | اختياري | All System Roles |
تحديد أدوار أنظمة SAP التي يجب النظر إليها، كما هو محدد في قائمة مراقبة SAP - الأنظمة |
| الاختلافات المحددة | اختياري | [High, Medium] |
يستخدم لتحديد الأحداث التي يجب النظر إليها من حيث شدتها. يتم تحديد الخطورة لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedPrefixMask | اختياري | 24 | يستخدم لتحديد مستوى قناع الشبكة الفرعية المستخدم للتعلم والكشف. |
| SelectedRuleTypes | اختياري | AnomaliesOnly |
تحديد الأحداث ذات الصلة للكشف عن الحالات الخارجة عن المألوف. يتم تعريف أنواع القواعد لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration . |
ترجع الدالة SAPAuditLogAnomalies البيانات التالية:
| الميدان | الوصف |
|---|---|
| حقول متعددة من SAPAuditLog | الحقول الرئيسية من سجل تدقيق SAP |
| حقول متعددة من SAPAuditLogConfiguration | الحقول الرئيسية من Microsoft Sentinel لتكوين سجل تدقيق SAP |
| المكتشفون | الساعة المستديرة التي لوحظت فيها الشذوذ |
| عدد الأحداث | عدد الأحداث التي تم حسابها لكل صف تم إرجاعه |
| عدد الحالات الخارجة عن المألوف | عدد الأحداث التي تمت ملاحظتها داخل النافذة المنزلقة ذات الصلة |
| الحد الأدنى للوقت | وقت الحدث الأول الذي تمت ملاحظته |
| الحد الأقصى للوقت | وقت آخر حدث تمت ملاحظته |
| النتيجة | درجات الحالات الشاذة كما ينتجها نموذج الشذوذ |
التوصيات:
كما هو الحال مع أي حل للتعلم الآلي، تعمل وظيفة SAPAuditLogAnomalies بشكل أفضل مع مرور الوقت ويمكن تعديلها حسب الحاجة مع مرور الوقت.
نوصي بتقييد حجم قاعدة البيانات المستفادة ليكون أقل من 100 مليون سجل باستخدام العديد من معلمات الإدخال المتاحة.
تتضمن استخدامات العينة ما يلي:
للبحث عن الحالات الشاذة للأحداث ذات الخطورة العالية التي حدثت خلال الساعة الماضية على أنظمة الإنتاج لأنواع الأحداث التي تم وضع علامة عليها على أنها AnomaliesOnly في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration ، قم بتشغيل:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))للبحث عن جميع الحالات الشاذة في آخر 14 يوما في نظام BIP ، قم بتشغيل:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
لمزيد من المعلومات، راجع قواعد تحليلات SAP المضمنة لمراقبة سجل تدقيق SAP واكتشاف الحالات الشاذة على سجل تدقيق SAP باستخدام Microsoft Sentinel لحل SAP (مدونة).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend هي وظيفة مساعدة مصممة لتقديم توصيات لتكوين قاعدة تحليلات تنبيهات مراقبة سجل التدقيق المستندة إلى SAP - Dynamic Anomaly (معاينة).
لمزيد من المعلومات، راجع مراقبة سجل تدقيق SAP.
SAPUsersGetVIP
يستخدم الحل Microsoft Sentinel لتطبيقات SAP مفهوم وضع علامات على المستخدم المركزي والاستثناءات الصريحة، المصممة لمساعدتك على خفض الإيجابيات الخاطئة بأقل جهد ممكن.
استخدم الدالة SAPUsersGetVIP لاستبعاد المستخدمين من تشغيل التنبيهات عن طريق تحديد أدوار مستخدم SAP أو وظائف مستخدم SAP أو العلامات التي تمثل هؤلاء المستخدمين. لمزيد من المعلومات، راجع معالجة الإيجابيات الخاطئة في Microsoft Sentinel.
تستبعد العلامات المحددة كإدخل لدالة SAPUsersGetVIP جميع المستخدمين الذين لديهم علامة مدرجة في قائمة مراقبة SAP_User_Config . يتم توسيع نفس الوظيفة للعمل مع أحرف البدل، مما يسمح لك بتعيين علامة واحدة لمجموعة من المستخدمين الذين لديهم نفس بناء جملة التسمية.
وضع علامة على المستخدمين في قائمة المشاهدة SAP_User_Config على النحو التالي:
أضف علامات متعددة إلى كل مستخدم في قائمة المشاهدة SAP_User_Config ، حسب الحاجة لتغطية سيناريوهات مختلفة. كل قاعدة تنبيه لها علاماتها ذات الصلة، إن وجدت، ويمكنك إضافة علامات مخصصة حسب الحاجة.
استخدم علامة نجمية (*) كحرف بدل لتضمين المستخدمين الذين لديهم قالب بناء جملة تسمية معين.
أضف الدالة SAPUsersGetVIP في قواعد التحليلات لطلب قوائم المستخدمين الذين حددتهم لاستبعادهم من التنبيهات. في استدعاء الدالة، أضف صفيفا مع العلامات وأدوار SAP وملفات تعريف SAP التي ترغب في استبعادها.
على سبيل المثال، استخدم استعلام KQL التالي في قاعدة التحليلات لاستبعاد أي مستخدمين تم تكوينهم باستخدام علامة RunObsoleteProgOK في قائمة المشاهدة SAP_User_Config ، أو أي مستخدمين لديهم نموذج دور SAP_BASIS_ADMIN_ROLE أو نموذج ملف تعريف SAP_ADMIN_PROFILE .
عند نسخ نموذج استدعاء الدالة هذا، استبدل دور SAP_BASIS_ADMIN_ROLE وملف تعريف SAP_ADMIN_PROFILE بأدوار أو ملفات تعريف SAP الخاصة بك حسب الحاجة.
على سبيل المثال:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
تستخدم الدالة SAPUsersGetVIP بشكل شائع في تنبيهات مراقبة سجل التدقيق الحتمية والشذوذ . قم بإقران علامة بمعرف رسالة سجل تدقيق SAP، أو قم بتوسيع قالب القاعدة إلى قاعدة مخصصة تطابق احتياجات مؤسستك.
تلميح
نوصي بالاتصال بمسؤول نظام SAP لفهم مستخدمي SAP والأدوار وملفات التعريف التي يجب تضمينها في قائمة المشاهدة SAP_User_Config .
معلمات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| SearchForTags | اختياري | dynamic('All Tags') |
عندما SearchForTags يساوي All Tags، يتم إرجاع جميع المستخدمين مع علاماتهم. وإلا، يتم إرجاع المستخدمين الذين يحملون العلامات أو أدوار SAP أو ملفات تعريف SAP المحددة في SearchForTags فقط.
TagsIntersect يعرض العلامات التي تم العثور عليها، ويحمل IntersectionSize عدد العلامات التي تم العثور عليها. |
| علامات التركيز الخاصة | اختياري | Do not return any in-focus users |
إرجاع جميع المستخدمين الذين يحملون العلامات المحددة في SpecialFocusTags، ووضع علامة على هؤلاء الذين لديهم specialFocusTagged = true. |
ترجع الدالة SAPUsersGetVIP الإخراج التالي:
| مصدر | الميدان | الوصف | ملاحظات |
|---|---|---|---|
| قائمة مشاهدة SAP_User_Config | SearchKey |
مفتاح البحث | |
| قائمة مشاهدة SAP_User_Config | SAPUser |
مستخدم SAP | OSS، DDIC |
| قائمة مشاهدة SAP_User_Config | Tags |
سلسلة العلامات المعينة للمستخدم | RunObsoleteProgOK |
| قائمة مشاهدة SAP_User_Config | معرف العنصر Microsoft Entra للمستخدم | معرف العنصر Microsoft Entra | |
| قائمة مشاهدة SAP_User_Config | معرف المستخدم | معرف مستخدم Azure Directory | |
| قائمة مشاهدة SAP_User_Config | معرف الأمان المحلي للمستخدم | ||
| قائمة مشاهدة SAP_User_Config | اسم المستخدم الأساسي | ||
| قائمة مشاهدة SAP_User_Config | TagsList |
قائمة بالعلامات المعينة للمستخدم |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| المنطق | TagsIntersect | مجموعة من العلامات المتطابقة SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| المنطق | SpecialFocusTagged | إشارة التركيز الخاصة |
True, False |
| المنطق | حجم التقاطع | عدد العلامات المتقاطعة |
SAPUsersHeader
تم تصميم الدالة SAPUsersHeader لتوفير عرض عالي المستوى لمستخدم SAP. ويستخدم البيانات المستخرجة من كل من جداول البيانات الرئيسية لمستخدم SAP والنشاط الأخير في سجل تدقيق SAP لجمع عناوين البريد الإلكتروني وIP. ثم يقوم بإرجاع آخر عناوين البريد الإلكتروني وIP المعروفة جنبا إلى جنب مع عناوين البريد الإلكتروني وIP الأساسية.
معلمات:
| الاسم | اختياري/مطلوب | افتراضي | الوصف |
|---|---|---|---|
| الأنظمة المحددة | اختياري | All Systems |
يستخدم لتصفية أنظمة SAP محددة للنظر في |
| SelectedSystemRoles | اختياري | All System Roles |
تحديد أدوار أنظمة SAP التي يجب النظر إليها، كما هو محدد في قائمة مراقبة SAP - الأنظمة . |
| المستخدمون المحددون | اختياري | All Users |
يمكن إدخال قوائم المستخدمين. |
| المستخدم المحدد | اختياري | All Users |
يقبل مستخدما واحدا فقط. |
على سبيل المثال:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
تلميح
لاعتبارات الأداء، يتم النظر في بضعة أيام فقط من نشاط التدقيق. للحصول على محفوظات كاملة لنشاط المستخدم، قم بتشغيل استعلام KQL مخصص مقابل وظيفة SAPAuditLog .
ترجع الدالة SAPUsersHeader الإخراج التالي:
| مصدر | الميدان | الوصف | ملاحظات |
|---|---|---|---|
| User | مستخدم SAP | ||
| جداول SAP ADR6 و USR21 | البريد الالكتروني | مأخوذة من البيانات الرئيسية للمستخدم | OSS، DDIC |
| جدول SAP USR02 | نوع المستخدم | سلسلة العلامات المعينة للمستخدم | RunObsoleteProgOK |
| جدول SAP USR02 | Timezone | معرف العنصر Microsoft Entra | |
| جدول SAP USR02 | حالة مؤمنة | معرف مستخدم Azure Directory | |
| سجل تدقيق SAP | آخر لقطة شاشة | طابع زمني | آخر حدث تدقيق تمت ملاحظته للمستخدم |
| سجل تدقيق SAP | LastSeenDaysAgo | الأيام التي مرت منذ LastSeen |
|
| سجل تدقيق SAP | بروتوكول الإنترنت الأساسي | عنوان IP الأكثر استخداما |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| سجل تدقيق SAP | LastKnownIP | أحدث عنوان IP مستخدم | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| سجل تدقيق SAP | البريد الأساسي | عنوان البريد الإلكتروني الأكثر استخداما |
True, False |
| سجل تدقيق SAP | عناوين IP المعروفة | قائمة عناوين IP المعروفة | تم الفرز حسب الأكثر تكرارا أولا |
| سجل تدقيق SAP | الرسائل المعروفة | قائمة عناوين البريد الإلكتروني المعروفة | تم الفرز حسب الأكثر تكرارا أولا |
| Client | معرف عميل SAP | ||
| معرف النظام | معرف نظام SAP | ||
| SystemRole | دور نظام SAP | الإنتاج، UAT | |
| SystemUsage | الاستخدام الرئيسي لنظام SAP | ERP، CRM |
TH_SERVER_LIST (معاينة)
تكون وظيفة TH_SERVER_LIST ذات صلة عندما يكون نظام SAP الخاص بك نظاما قديما يستخدم XAL، ويسرد خوادم تطبيقات SAP النشطة.
يتم دعم الدالة TH_SERVER_LIST فقط مع موصل البيانات بدون عامل SAP (معاينة). لمزيد من المعلومات، راجع تثبيت حل Microsoft Sentinel لتطبيقات SAP.
المحتويات ذات الصلة
لمزيد من المعلومات، اطلع على: