حل Microsoft Sentinel لمرجع بيانات تطبيقات SAP®
هام
بعض المكونات الخاصة ببرنامج رصد التهديدات Microsoft Sentinel لحلول SAP قيد المعاينة حالياً. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
لا يتم إرسال بعض السجلات، المذكورة أدناه، إلى Microsoft Azure Sentinel بشكل افتراضي، ولكن يمكنك إضافتها يدويًا حسب الحاجة. لمزيد من المعلومات، راجع تعريف سجلات SAP التي يتم إرسالها إلى Microsoft Azure Sentinel.
توضح هذه المقالة الوظائف والسجلات والجداول المتوفرة كجزء من حل Microsoft Sentinel لتطبيقات SAP® وموصل البيانات الخاص به. وهو مخصص لمستخدمي SAP المتقدمين.
الوظائف المتوفرة من حل SAP
يصف هذا القسم الوظائف المتوفرة في مساحة العمل بعد نشر حل Microsoft Sentinel لتطبيقات SAP®. ابحث عن هذه الدالات في صفحة سجلات Microsoft Azure Sentinel لاستخدامها في استعلامات KQL، المدرجة ضمن وظائف مساحة العمل.
يتم تشجيع المستخدمين بشدة على استخدام الوظائف كموضوعات لتحليلهم كلما أمكن ذلك، بدلًا من السجلات أو الجداول الأساسية. تهدف هذه الدالات إلى أن تكون بمثابة واجهة المستخدم الرئيسية للبيانات. وهي تشكل الأساس لجميع قواعد التحليلات المضمنة والمصنفات المتوفرة لك خارج الصندوق. يسمح هذا بإجراء تغييرات على البنية الأساسية للبيانات أسفل الوظائف، دون كسر المحتوى الذي أنشأه المستخدم.
- تعيينات SAPUsers
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAPConnectorHealth
- SAPConnectorOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
تعيينات SAPUsers
تجمع الدالة SAPUsersAssignments البيانات من مصادر بيانات SAP متعددة وتنشئ طريقة عرض تركز على المستخدم للبيانات الرئيسية الحالية للمستخدم، بما في ذلك الأدوار وملفات التعريف المعينة حاليًا.
تلخص هذه الدالة تعيينات المستخدم للأدوار وملفات التعريف، وتعيد البيانات التالية:
| الحقل | الوصف | مصدر البيانات/الملاحظات |
|---|---|---|
| المستخدم | معرف مستخدم SAP | SAL فقط |
| البريد الإلكتروني | عنوان SMTP | USR21 (SMTP_ADDR) |
| UserType | نوع المستخدم | USR02 (USTYP) |
| المنطقة الزمنية | المنطقة الزمنية | USR02 (TZONE) |
| LockedStatus | حالة التأمين | USR02 (UFLAG) |
| LastSeenDate | تاريخ آخر مشاهدة | USR02 (TRDAT) |
| LastSeenTime | آخر مرة شوهدت فيها | USR02 (LTIME) |
| UserGroupAuth | مجموعة المستخدمين في الصيانة الرئيسية للمستخدم | USR02 (CLASS) |
| ملفات التعريف | مجموعة ملفات التعريف (الحد الأقصى الافتراضي لحجم المجموعة= 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | مجموعة الأدوار المعينة مباشرة (الحد الأقصى الافتراضي لحجم المجموعة =50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | مجموعة من الأدوار المعينة بشكل غير مباشر (الحد الأقصى الافتراضي لحجم المجموعة= 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| العميل | معرف العميل | |
| SystemID | مُعرف النظام | كما هو محدد في الموصل |
SAPUsersGetPrivileged
ترجع الدالة SAPUsersGetPrivileged قائمة بالمستخدمين المميزين لكل عميل ومعرف النظام.
يعتبر المستخدمون متميزين عند إدراجهم في قائمة مراقبة SAP - المستخدمين المتميزين، أو تم تعيينهم إلى ملف تعريف مدرج في SAP - قائمة مراقبة ملفات التعريف الحساسة، أو تمت إضافتهم إلى دور مدرج في SAP - قائمة مراقبة الأدوار الحساسة.
معلمات:
- TimeAgo
- اختياري
- القيمة الافتراضية: سبعة أيام
- تحديد أن الدالة تسعى إلى الحصول على بيانات المستخدم الرئيسية من الوقت المحدد بواسطة القيمة
TimeAgoحتى الوقت المحدد بواسطة القيمةnow().
ترجع الدالة SAPUsersGetPrivileged البيانات التالية:
| الحقل | الوصف |
|---|---|
| المستخدم | معرف مستخدم SAP |
| العميل | معرف العميل |
| SystemID | مُعرف النظام |
SAPUsersAuthorizations
تجمع الدالة SAPUsersAuthorizations البيانات من عدة جداول لإنتاج عرض يركز على المستخدم للأدوار والتخويلات الحالية المعينة. يتم إرجاع المستخدمين الذين لديهم دور نشط وتعيينات التخويل فقط.
معلمات:
- TimeAgo
- اختياري
- القيمة الافتراضية: سبعة أيام
- تحديد أن الدالة تسعى إلى الحصول على بيانات المستخدم الرئيسية من الوقت المحدد بواسطة القيمة
TimeAgoحتى الوقت المحدد بواسطة القيمةnow().
ترجع الدالة SAPUsersAuthorizations البيانات التالية:
| الحقل | الوصف | الملاحظات |
|---|---|---|
| المستخدم | معرف مستخدم SAP | |
| الأدوار | مجموعة الأدوار (الحد الأقصى الافتراضي لحجم المجموعة = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | مجموعة التخويلات (الحد الأقصى الافتراضي لحجم المجموعة = 100) | {{AuthorizationsDeatils1},{AuthorizationsDeatils2}, ..., {AuthorizationsDeatils100}} |
| العميل | معرف العميل | |
| SystemID | مُعرف النظام |
SAPConnectorHealth
تعكس الدالة SAPConnectorHealth حالة اتصال العامل ونظام SAP الأساسي. استنادًا إلى SAP_HeartBeat_CL سجل رسالة كشف أخطاء الاتصال ومؤشرات الصحة الأخرى، فإنه يقوم بإرجاع البيانات التالية:
| الحقل | الوصف |
|---|---|
| المندوب | معرف العامل في تكوين العامل (تم إنشاؤه تلقائيا) |
| SystemID | معرف نظام SAP |
| الحالة | حالة الاتصال الإجمالية |
| التفاصيل | تفاصيل الاتصال |
| ExtendedDetails | تفاصيل موسعة للاتصال |
| LastSeen | الطابع الزمني لأحدث نشاط |
| StatusCode | التعليمات البرمجية التي تعكس حالة النظام |
SAPConnectorOverview
تعرض الدالة SAPConnectorOverview عدد الصفوف لكل جدول SAP لكل معرف نظام. يقوم بإرجاع قائمة بسجلات البيانات لكل معرف نظام، والوقت الذي تم إنشاؤه.
معلمات:
- TimeAgo
- اختياري
- القيمة الافتراضية: سبعة أيام
- تحديد أن الدالة تسعى إلى الحصول على بيانات المستخدم الرئيسية من الوقت المحدد بواسطة القيمة
TimeAgoحتى الوقت المحدد بواسطة القيمةnow().
| الحقل | الوصف |
|---|---|
| TimeGenerated | قيمة التاريخ والوقت للطوابع الزمنية لإنشاء السجل |
| SystemID_s | سلسلة تمثل معرف نظام SAP |
استخدم استعلام Kusto التالي لإجراء تحليل اتجاه يومي:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
تسمح الدالة SAPUsersEmail بالبحث الموجه نحو الأداء عن عنوان البريد الإلكتروني لمستخدم SAP لكل نظام وعميل SAP، وتستخدم عادة لإقرانه بحساب دليل نشط. باستخدام البيانات المستخرجة من جداول SAP USR21 (تعيين مفتاح العنوان/اسم المستخدم) وADR6 (عناوين البريد الإلكتروني)، تبحث الدالة SAPUsersEmail عن عنوان بريد إلكتروني. في حالة عدم العثور على واحد، يتم إرجاع معرف المستخدم بدلاً من عنوان بريد إلكتروني. يضمن هذا السلوك تسجيل حسابات خدمة SAP (مثل DDIC)، التي غالباً ما لا ترتبط بعناوين بريد إلكتروني، كحسابات AD وهمية، مما يتيح بعض ميزات UEBA، ويساعد في التحقيق في الحوادث وأنشطة التتبع.
| الحقل | الوصف |
|---|---|
| ClientID | معرف عميل SAP |
| SystemID | معرف نظام SAP |
| المستخدم | معرف مستخدم SAP |
| البريد الإلكتروني | عنوان البريد الإلكتروني لمستخدم SAP |
SAPSystems
تستخدم الدالة SAPSystems لتقديم تكوين كل نظام مركزياً باستخدام قائمة المراقبة "SAP - الأنظمة".
معلمات:
- الأنظمة المحددة
- اختياري
- القيمة الافتراضية: "جميع الأنظمة"
- يستخدم لتصفية أنظمة SAP محددة
- SelectedSystemRoles
- اختياري
- القيمة الافتراضية: "جميع أدوار النظام"
- تحديد أدوار أنظمة SAP التي يجب النظر إليها (كما هو محدد في قائمة المراقبة "SAP - الأنظمة")
| الحقل | الوصف | مصدر البيانات/الملاحظات |
|---|---|---|
| SearchKey | مفتاح البحث | الحقل المفهرس لمعرف نظام SAP |
| SystemRole | دور نظام SAP | الإنتاج، UAT |
| SystemUsage | الاستخدام الرئيسي لنظام SAP | ERP، CRM |
| SystemID | معرف نظام SAP |
SAPAuditLogConfiguration
ترجع الدالة SAPAuditLogConfiguration التكوين المحلي لتنبيه سجل تدقيق SAP لمساحة عمل Sentinel، لاستخدامها في التنبيهات المختلفة المتعلقة بسجل تدقيق SAP. وهو ينضم إلى البيانات في قوائم المراقبة "تكوين مراقب سجل تدقيق SAP الديناميكي" و"SAP - الأنظمة" لتوفير تكوين لكل نظام في جهد دور لكل نظام.
معلمات:
- الأنظمة المحددة
- اختياري
- القيمة الافتراضية: "جميع الأنظمة"
- يستخدم لتصفية أنظمة SAP معينة للنظر فيها.
- SelectedSystemRoles
- اختياري
- القيمة الافتراضية: "جميع أدوار النظام"
- تحديد أدوار أنظمة SAP التي يجب النظر إليها (كما هو محدد في قائمة المراقبة "SAP - الأنظمة").
- الخصائص المحددة
- اختياري
- القيمة الافتراضية: ["مرتفع"، "متوسط"]
- يستخدم لتحديد الأحداث التي يجب النظر إليها من حيث شدتها. يتم تعريف الخطورة لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة المراقبة "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedRuleTypes
- اختياري
- القيمة الافتراضية: "كافة أنواع القواعد"
- تحديد الأحداث ذات الصلة للكشف عن الحالات الخارجة عن المألوف. يتم تعريف أنواع القواعد لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة المراقبة "SAP_Dynamic_Audit_Log_Monitor_Configuration".
| الحقل | الوصف | مصدر البيانات/الملاحظات |
|---|---|---|
| CategoryName | فئة الحدث المحددة لـ SAP | قائمة المراقبة "تكوين مراقب سجل تدقيق SAP الديناميكي" |
| DestinationEmail | عنوان البريد الإلكتروني للفريق المعين | قائمة المراقبة "تكوين مراقب سجل تدقيق SAP الديناميكي" |
| DetailedDescription | نص منسق بعلامة markdown ليتم عرضه في التنبيهات | قائمة المراقبة "تكوين مراقب سجل تدقيق SAP الديناميكي" |
| MessageId | معرف رسالة سجل تدقيق SAP | قائمة المراقبة "تكوين مراقب سجل تدقيق SAP الديناميكي" |
| MessageText | نموذج نص رسالة | قائمة المراقبة "تكوين مراقب سجل تدقيق SAP الديناميكي" |
| RolesTagsToExclude | دور ABAP أو ملف تعريف أو علامة نص حر | قائمة المراقبة "تكوين مراقب سجل تدقيق SAP الديناميكي" |
| RuleType | شاذة أو محددة | قائمة المراقبة "تكوين مراقب سجل تدقيق SAP الديناميكي" |
| الخطط | تكتيك MITRE ATTA CK | قائمة المراقبة "تكوين مراقب سجل تدقيق SAP الديناميكي" |
| TeamsChannelID | قناة Teams | قائمة المراقبة "تكوين مراقب سجل تدقيق SAP الديناميكي" |
| SystemID | معرف نظام SAP | قائمة المراقبة "SAP - الأنظمة" |
| SystemRole | دور نظام SAP | قائمة المراقبة "SAP - الأنظمة" |
| SystemUsage | الاستخدام الرئيسي لنظام SAP | قائمة المراقبة "SAP - الأنظمة" |
| IsProd | علامة نظام الإنتاج | قائمة المراقبة "SAP - الأنظمة" |
| الأهمية | الخطورة المشتقة | الخطورة لكل استخدام للنظام |
| الحد | الحد المشتق | عدد الأحداث لكل استخدام للنظام |
| BagOfDetails | مجموعة التفاصيل | قاموس يوضح تفاصيل تعريف الحدث |
SAPAuditLogAnomalies
يستخدم SAPAuditLogAnomalies قدرات التعلم الآلي المضمنة في قاعدة بيانات Kusto الأساسية للمساعدة في اكتشاف الأحداث الشاذة التي تمت ملاحظتها في سجل تدقيق SAP. تم تطوير هذه الوظيفة لقاعدة التنبيه "SAP - (تجريبي) تنبيهات مراقب سجل التدقيق الديناميكي القائم على الحالات الشاذة"، وقد تم تصميم هذه الوظيفة في البداية للتنبيه بشأن الحالات الشاذة الأخيرة ولكنها يمكن أن تساعد أيضاً في تمييز الحالات الشاذة التاريخية (انظر الأمثلة أدناه).
معلمات:
- وقت التعلم
- اختياري
- القيمة الافتراضية: 14 يوماً
- تحديد الفترة الزمنية المستخدمة لتعلم النموذج
- الكشف عن الوقت
- اختياري
- القيمة الافتراضية: ساعة واحدة
- تحديد الفترة الزمنية التي يجب النظر فيها للكشف عن الحالات الشاذة. سيؤدي استدعاء هذه الدالة باستخدام DetectingTime = 0h إلى تمييز الحالات الشاذة خلال الفترة الزمنية LearningTime بأكملها
- الأنظمة المحددة
- اختياري
- القيمة الافتراضية: "جميع الأنظمة"
- يستخدم لتصفية أنظمة SAP معينة للنظر فيها.
- SelectedSystemRoles
- اختياري
- القيمة الافتراضية: "جميع أدوار النظام"
- تحديد أدوار أنظمة SAP التي يجب النظر إليها (كما هو محدد في قائمة المراقبة "SAP - الأنظمة").
- الخصائص المحددة
- اختياري
- القيمة الافتراضية: ["مرتفع"، "متوسط"]
- يستخدم لتحديد الأحداث التي يجب النظر إليها من حيث شدتها. يتم تعريف الخطورة لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة المراقبة "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedPrefixMask
- اختياري
- القيمة الافتراضية: 24
- يستخدم لتحديد مستوى قناع الشبكة الفرعية المستخدم للتعلم والكشف.
- SelectedRuleTypes
- اختياري
- القيمة الافتراضية: "AnomaliesOnly"
- تحديد الأحداث ذات الصلة للكشف عن الحالات الخارجة عن المألوف. يتم تعريف أنواع القواعد لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة المراقبة "SAP_Dynamic_Audit_Log_Monitor_Configuration".
المنطق
تتعلم الدالة شريحة المحفوظات المحددة بواسطة معلمات الإدخال المختلفة، على مستوى المستخدم، وسمات الشبكة، والنظام، والموسمي، والنشاط. ومن ثم تحكم على الأحداث التي تحدث خلال آخر فترة زمنية لـ DetectingTime وفقاً لما تعلمته، مع تطبيق الحدود ومعايير الاستبعاد الأخرى القابلة للتكوين التي تم الحصول عليها من قائمة مراقبة تكوين سجل تدقيق SAP. بمجرد اعتبار النافذة المنزلقة لنشاط المستخدم شاذة، يقوم استعلام ثان بإرجاع نشاط المستخدم بأكمله كدليل يدعم القرار.
ملاحظات إضافية
كما هو الحال مع أي حل للتعلم الآلي، يتحسن عمل هذه الدالة بمرور الوقت. يمكن إجراء المزيد من التعديلات باستخدام التكوين المحلي. من المستحسن تقييد حجم قاعدة البيانات المستفادة ليكون أقل من 100 مليون سجل باستخدام العديد من معلمات الإدخال المتاحة.
مثال: البحث عن حالات شاذة للأحداث ذات الخطورة العالية التي حدثت خلال الساعة الماضية على أنظمة الإنتاج لأنواع الأحداث التي تم وضع علامة عليها على أنها "AnomaliesOnly" في "SAP_Dynamic_Audit_Log_Monitor_Configuration"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
مثال: البحث عن جميع الحالات الشاذة في آخر 14 يوماً في النظام "BIP"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
| الحقل | الوصف |
|---|---|
| حقول متعددة من SAPAuditLog | الحقول الرئيسية من سجل تدقيق SAP |
| حقول متعددة من SAPAuditLogConfiguration | الحقول الرئيسية من Sentinel لتكوين سجل تدقيق SAP |
| DiscoveredOn | الساعة المقربة التي لوحظ فيها الشذوذ |
| EventCount | عدد الأحداث التي تم حسابها لكل صف تم إرجاعه |
| AnomalCount | عدد الأحداث التي تمت ملاحظتها ضمن النافذة المنزلقة ذات الصلة |
| MinTime | وقت الحدث الأول الذي تمت ملاحظته |
| MaxTime | وقت آخر حدث تمت ملاحظته |
| الدرجة | درجات الشذوذ كما تم إنتاجها بواسطة نموذج الشذوذ |
راجع قواعد تحليلات SAP المضمنة لمراقبة سجل تدقيق SAP لمزيد من المعلومات.
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend هي وظيفة مساعدة مصممة لتقديم توصيات لتكوين قاعدة تحليلات لتنبيهات مراقب سجل التدقيق المبني على SAP - Dynamic Anomaly (معاينة). تعرف على كيفية تكوين القواعد.
SAPUsersGetVIP
يستخدم حل Microsoft Sentinel لتطبيقات SAP® مفهوم وضع علامات للمستخدم المركزي والاستثناءات الصريحة، المصممة لمساعدتك على خفض الإيجابيات الزائفة بأقل جهد ممكن. استخدم الدالة SAPUsersGetVIP لاستبعاد المستخدمين من تشغيل التنبيهات عن طريق تحديد أدوار مستخدم SAP أو وظائف مستخدم SAP أو العلامات التي تمثل هؤلاء المستخدمين. لمزيدٍ من المعلومات، راجع التعامل مع الإيجابيات الزائفة في Microsoft Sentinel.
تستبعد العلامات المحددة كمدخل لدالة SAPUsersGetVIP جميع المستخدمين الذين لديهم علامة مدرجة في قائمة مشاهدة SAP_User_Config . يتم توسيع نفس الوظيفة للعمل مع أحرف البدل، مما يسمح لك بتعيين علامة واحدة لمجموعة من المستخدمين الذين لديهم نفس بناء جملة التسمية.
وضع علامة على المستخدمين في قائمة المشاهدة SAP_User_Config على النحو التالي:
أضف علامات متعددة إلى كل مستخدم في قائمة المشاهدة SAP_User_Config ، حسب الحاجة لتغطية سيناريوهات مختلفة. كل قاعدة تنبيه لها علاماتها ذات الصلة، إن وجدت، ويمكنك إضافة علامات مخصصة حسب الحاجة.
استخدم علامة نجمية (*) كحرف بدل لتضمين المستخدمين الذين لديهم قالب بناء جملة تسمية معين.
أضف وظيفة SAPUsersGetVIP في قواعد التحليلات لطلب قوائم المستخدمين الذين حددتهم لاستبعادهم من التنبيهات. في استدعاء الدالة، أضف صفيفا مع العلامات وأدوار SAP وملفات تعريف SAP التي تريد استبعادها.
على سبيل المثال، استخدم استعلام KQL التالي في قاعدة التحليلات لاستبعاد أي مستخدمين تم تكوينهم باستخدام علامة RunObsoleteProgOK في قائمة مشاهدة SAP_User_Config ، أو أي مستخدمين لديهم نموذج دور SAP_BASIS_ADMIN_ROLE أو نموذج ملف تعريف SAP_ADMIN_PROFILE .
عند نسخ نموذج استدعاء الدالة هذا، استبدل دور SAP_BASIS_ADMIN_ROLE وملف تعريف SAP_ADMIN_PROFILE بأدوار SAP أو ملفات التعريف الخاصة بك حسب الحاجة.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
تستخدم الدالة SAPUsersGetVIP بشكل شائع في تنبيهات مراقبة سجل التدقيق المحدد والشذوذ. قم بإقران علامة بمعرف رسالة سجل تدقيق SAP، أو قم بتوسيع قالب القاعدة إلى قاعدة مخصصة تطابق احتياجات مؤسستك.
تلميح
نوصي بالاتصال بمسؤول نظام SAP لفهم مستخدمي SAP والأدوار وملفات التعريف المراد تضمينها في قائمة مشاهدة SAP_User_Config .
معلمات:
| Name | الوصف | القيمة الافتراضية |
|---|---|---|
| SearchForTags (اختياري) | عندما SearchForTags يساوي All Tags، يتم إرجاع جميع المستخدمين مع علاماتهم. وإلا، يتم إرجاع المستخدمين الذين يحملون العلامات أو أدوار SAP أو ملفات تعريف SAP المحددة في SearchForTags فقط. TagsIntersect يعرض العلامات التي تم العثور عليها، ويحمل IntersectionSize عدد العلامات التي تم العثور عليها. |
dynamic('All Tags') |
| SpecialFocusTags (اختياري) | إرجاع كافة المستخدمين الذين يحملون العلامات المحددة في SpecialFocusTags، ووضع علامة على هؤلاء ب specialFocusTagged = true. |
Do not return any in-focus users |
| المصدر | الحقل | الوصف | الملاحظات |
|---|---|---|---|
| قائمة مشاهدة SAP_User_Config | SearchKey | مفتاح البحث | |
| قائمة مشاهدة SAP_User_Config | SAPUser | مستخدم SAP | OSS، DDIC |
| قائمة مشاهدة SAP_User_Config | علامات | سلسلة العلامات المعينة للمستخدم | RunObsoleteProgOK |
| قائمة مشاهدة SAP_User_Config | معرف عنصر Microsoft Entra للمستخدم | معرف كائن Microsoft Entra | |
| قائمة مشاهدة SAP_User_Config | معرف المستخدم | معرف مستخدم مجال التطبيق | |
| قائمة مشاهدة SAP_User_Config | Sid المحلي للمستخدم | ||
| قائمة مشاهدة SAP_User_Config | اسم المستخدم الأساسي | ||
| قائمة مشاهدة SAP_User_Config | TagsList | قائمة بالعلامات المعينة للمستخدم | ChangeUserMasterDataOK;RunObsoleteProgOK |
| المنطق | TagsIntersect | مجموعة من العلامات التي تطابق SearchForTags | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| المنطق | SpecialFocusTagged | إشارة التركيز الخاصة | True, False |
| المنطق | IntersectionSize | عدد العلامات المتقاطعة |
SAPUsersHeader
تم تصميم الدالة SAPUsersHeader لتوفير عرض عالي المستوى لمستخدم SAP. وتستخدم البيانات المستخرجة من كل من جداول البيانات الرئيسية لمستخدم SAP والنشاط الأخير في سجل تدقيق SAP لجمع عناوين البريد الإلكتروني وIP. ثم تقوم بإرجاع آخر عناوين بريد إلكتروني وIP معروفة جنباً إلى جنب مع عناوين البريد الإلكتروني وIP الأساسية. المعلمات: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- الأنظمة المحددة
- اختياري
- القيمة الافتراضية: "جميع الأنظمة"
- يستخدم لتصفية أنظمة SAP معينة للنظر فيها.
- SelectedSystemRoles
- اختياري
- القيمة الافتراضية: "جميع أدوار النظام"
- تحديد أدوار أنظمة SAP التي يجب النظر إليها (كما هو محدد في قائمة المراقبة "SAP - الأنظمة").
- المستخدمون المحددون
- اختياري
- القيمة الافتراضية: "جميع المستخدمين"
- يمكن إدخال قوائم المستخدمين.
- المستخدم المحدد
- اختياري
- القيمة الافتراضية: "جميع المستخدمين"
- يقبل مستخدماً واحداً فقط
ملاحظات إضافية
لاعتبارات الأداء، يتم النظر في بضعة أيام فقط من نشاط التدقيق. للحصول على محفوظات كاملة لنشاط المستخدم، قم بتشغيل استعلام KQL مخصص مقابل دالة SAPAuditLog.
| المصدر | الحقل | الوصف | الملاحظات |
|---|---|---|---|
| المستخدم | مستخدم SAP | ||
| جداول SAP ADR6 و USR21 | البريد الإلكتروني | مأخوذ من البيانات الرئيسية للمستخدم | OSS، DDIC |
| جدول SAP USR02 | UserType | سلسلة العلامات المعينة للمستخدم | RunObsoleteProgOK |
| جدول SAP USR02 | المنطقة الزمنية | معرف كائن Microsoft Entra | |
| جدول SAP USR02 | LockedStatus | معرف مستخدم مجال التطبيق | |
| سجل تدقيق SAP | LastSeen | طابع زمني | آخر حدث تدقيق تمت ملاحظته للمستخدم |
| سجل تدقيق SAP | LastSeenDaysAgo | الأيام التي مرت منذ LastSeen | |
| سجل تدقيق SAP | PrimaryIP | عنوان IP الأكثر استخداماً | ChangeUserMasterDataOK;RunObsoleteProgOK |
| سجل تدقيق SAP | LastKnownIP | أحدث عنوان IP مستخدم | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| سجل تدقيق SAP | PrimaryEmail | عنوان البريد الإلكتروني الأكثر استخداماً | True, False |
| سجل تدقيق SAP | KnownIPs | قائمة عناوين IP المعروفة | تم الفرز حسب الأكثر تكراراً أولاً |
| سجل تدقيق SAP | KnownEmails | قائمة عناوين البريد الإلكتروني المعروفة | تم الفرز حسب الأكثر تكراراً أولاً |
| العميل | معرف عميل SAP | ||
| SystemID | معرف نظام SAP | ||
| SystemRole | دور نظام SAP | الإنتاج، UAT | |
| SystemUsage | الاستخدام الرئيسي لنظام SAP | ERP، CRM |
السجلات التي ينتجها عامل موصل البيانات
يصف هذا القسم سجلات SAP المتوفرة من حل Microsoft Sentinel لموصل بيانات تطبيقات SAP®، بما في ذلك أسماء الجداول في Microsoft Sentinel، وأغراض السجل، ومخططات السجل التفصيلية. تستند أوصاف حقل المخطط إلى أوصاف الحقول في وثائق SAP ذات الصلة.
للحصول على أفضل النتائج، استخدم وظائف Microsoft Azure Sentinel المدرجة أدناه لتصور البيانات والوصول إليها والاستعلام عنها.
- سجل تطبيق ABAP
- سجل مستندات تغيير ABAP
- سجل ABAP CR
- سجل بيانات جدول قاعدة بيانات ABAP (معاينة)
- سجل بوابة ABAP (معاينة)
- سجل ABAP ICM (معاينة)
- سجل مهام ABAP
- سجل تدقيق أمان ABAP
- سجل ABAP Spool
- سجل إخراج مستودع APAB
- ABAP SysLog
- سجل سير عمل ABAP
- سجل ABAP WorkProcess
- مسار تدقيق HANA DB
- ملفات JAVA
- سجل رسالة كشف أخطاء الاتصال لـ SAP
سجل تطبيق ABAP
وظيفة Microsoft Sentinel للاستعلام عن هذا السجل: SAPAppLog
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: يسجل تقدم تنفيذ التطبيق بحيث يمكنك إعادة إنشائه لاحقًا حسب الحاجة.
متوفر باستخدام RFC استنادا إلى جدول SAP القياسي والخدمات القياسية لواجهة XBP. يتم إنشاء هذا السجل لكل عميل.
مخطط سجل ABAPAppLog_CL
| الحقل | الوصف |
|---|---|
| AppLogDateTime | وقت تاريخ سجل التطبيق |
| CallbackProgram | برنامج رد الاتصال |
| CallbackRoutine | روتين رد الاتصال |
| CallbackType | نوع رد الاتصال |
| ClientID | معرف عميل ABAP (MANDT) |
| ContextDDIC | بنية DDIC للسياق |
| ExternalID | معرف السجل الخارجي |
| المضيف | المضيف |
| مثيل | مثيل ABAP، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | تسلسل رسالة سجل التطبيق |
| LevelofDetail | مستوى التفاصيل |
| LogHandle | مقبض سجل التطبيق |
| LogNumber | رقم السجل |
| MessageClass | فئة الرسالة |
| MessageNumber | رقم الرسالة |
| MessageText | نص الرسالة |
| MessageType | نوع الرسالة |
| الكائن | عنصر سجل التطبيق |
| OperationMode | وضع العملية |
| ProblemClass | فئة المشكلة |
| ProgramName | اسم البرنامج |
| SortCriterion | معيار الفرز |
| StandardText | نص قياسي |
| SubObject | عنصر فرعي لسجل التطبيق |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
| TransactionCode | كود الحركة |
| المستخدم | المستخدم |
| UserChange | تغيير المستخدم |
سجل مستندات تغيير ABAP
وظيفة Microsoft Sentinel للاستعلام عن هذا السجل: SAPChangeDocsLog
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: السجلات:
تغييرات سجل SAP NetWeaver Application Server (AS) ABAP على كائنات بيانات الأعمال في مستندات التغيير.
كيانات أخرى في نظام SAP، مثل بيانات المستخدم والأدوار والعناوين.
متوفر باستخدام RFC استنادا إلى جداول SAP القياسية. يتم إنشاء هذا السجل لكل عميل.
مخطط سجل ABAPChangeDocsLog_CL
| الحقل | الوصف |
|---|---|
| ActualChangeNum | رقم التغيير الفعلي |
| ChangedTableKey | مفتاح الجدول الذي تم تغييره |
| ChangeNumber | تغيير رقم |
| ClientID | معرف عميل ABAP (MANDT) |
| CreatedfromPlannedChange | تم الإنشاء من التغيير المخطط له، في بناء الجملة التالي: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | مفتاح العملة: قيمة جديدة |
| CurrencyKeyOld | مفتاح العملة: القيمة القديمة |
| Fieldname | اسم الحقل |
| FlagText | وضع علامة على النص |
| المضيف | المضيف |
| مثيل | مثيل ABAP، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| اللغة | اللغة |
| ObjectClass | فئة العنصر، مثل BELEGBPAR، PFCG، IDENTITY |
| ObjectID | معرف الكائن |
| PlannedChangeNum | رقم التغيير المخطط له |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
| TableName | اسم الجدول |
| TransactionCode | كود الحركة |
| TypeofChange_Header | نوع تغيير العنوان، بما في ذلك: U = تغيير؛ I = إدراج؛ E = حذف مستند واحد; D = حذف؛ J = إدراج مستند واحد |
| TypeofChange_Item | نوع العنصر للتغيير، بما في ذلك: U = تغيير؛ I = إدراج؛ E = حذف مستند واحد; D = حذف؛ J = إدراج مستند واحد |
| UOMNew | وحدة القياس: قيمة جديدة |
| UOMOld | وحدة القياس: القيمة القديمة |
| المستخدم | المستخدم |
| ValueNew | محتوى الحقل: قيمة جديدة |
| ValueOld | محتوى الحقل: القيمة القديمة |
| إصدار | إصدار |
سجل ABAP CR
دالة Microsoft Sentinel للاستعلام عن هذا السجل: SAPCRLog
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: يتضمن سجلات نظام التغيير والنقل (CTS)، بما في ذلك عناصر الدليل والتخصيصات حيث تم إجراء التغييرات.
متوفر باستخدام RFC استنادا إلى الجداول القياسية وخدمات SAP القياسية. يتم إنشاء هذا السجل مع البيانات عبر جميع العملاء.
إشعار
بالإضافة إلى تسجيل التطبيق وتغيير المستندات وتسجيل الجدول، يتم توثيق جميع التغييرات التي تجريها على نظام الإنتاج باستخدام نظام التغيير والنقل في سجلات CTS وTMS.
مخطط سجل ABAPCRLog_CL
| الحقل | الوصف |
|---|---|
| الفئة | الفئة (منضدة العمل، التخصيص) |
| ClientID | معرف عميل ABAP (MANDT) |
| الوصف | الوصف |
| المضيف | المضيف |
| مثيل | مثيل ABAP، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | اسم العنصر |
| ObjectType | نوع الكائن |
| المالك | المالك |
| طلب | تغيير الطلب |
| الحالة | الحالة |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
| TableKey | مفتاح الجدول |
| TableName | اسم الجدول |
| ViewName | اسم طريقة العرض |
سجل بيانات جدول قاعدة بيانات ABAP (معاينة)
لإرسال هذا السجل إلى Microsoft Sentinel، يجب إضافته يدويًا إلى ملف systemconfig.ini.
دالة Microsoft Sentinel للاستعلام عن هذا السجل: SAPTableDataLog
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: يوفر تسجيلاً للجداول الهامة أو القابلة للتدقيق.
متوفر باستخدام RFC مع خدمة مخصصة. يتم إنشاء هذا السجل مع البيانات عبر جميع العملاء.
مخطط سجل ABAPTableDataLog_CL
| الحقل | الوصف |
|---|---|
| DBLogID | معرف سجل DB |
| المضيف | المضيف |
| مثيل | مثيل ABAP، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| اللغة | اللغة |
| LogKey | مفتاح السجل |
| NewValue | حقل قيمة جديدة |
| OldValue | حقل القيمة القديمة |
| OperationTypeSQL | نوع العملية، Insert، Update، Delete |
| البرنامج | اسم البرنامج |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
| TableField | حقل جدول |
| TableName | اسم الجدول |
| TransactionCode | كود الحركة |
| UserName | المستخدم |
| VersionNumber | رقم الإصدار |
سجل بوابة ABAP (معاينة)
لإرسال هذا السجل إلى Microsoft Sentinel، يجب إضافته يدويًا إلى ملف systemconfig.ini.
دالة Microsoft Sentinel للاستعلام عن هذا السجل: SAPOS_GW
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: مراقبة أنشطة البوابة. متوفر بواسطة SAP Control Web Service. يتم إنشاء هذا السجل مع البيانات عبر جميع العملاء.
مخطط سجل ABAPOS_GW_CL
| الحقل | الوصف |
|---|---|
| المضيف | المضيف |
| مثيل | مثيل ABAP، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| MessageText | نص الرسالة |
| الأهمية | خطورة الرسالة: Debug، Info، Warning، Error |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
سجل ABAP ICM (معاينة)
لإرسال هذا السجل إلى Microsoft Sentinel، يجب إضافته يدويًا إلى ملف systemconfig.ini.
دالة Microsoft Sentinel للاستعلام عن هذا السجل: SAPOS_ICM
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: يسجل الطلبات الواردة والصادرة ويجمع إحصائيات طلبات HTTP.
متوفر بواسطة SAP Control Web Service. يتم إنشاء هذا السجل مع البيانات عبر جميع العملاء.
مخطط سجل ABAPOS_ICM_CL
| الحقل | الوصف |
|---|---|
| المضيف | المضيف |
| مثيل | مثيل ABAP، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| MessageText | نص الرسالة |
| الأهمية | خطورة الرسالة، بما في ذلك: Debug، Info، Warning، Error |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
سجل مهمة ABAP
وظيفة Microsoft Sentinel للاستعلام عن هذا السجل: SAPJobLog
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: يجمع بين جميع سجلات مهمة معالجة الخلفية (SM37).
متوفر باستخدام RFC استنادا إلى جدول SAP القياسي والخدمات القياسية لواجهات XBP. يتم إنشاء هذا السجل مع البيانات عبر جميع العملاء.
مخطط سجل ABAPJobLog_CL
| الحقل | الوصف |
|---|---|
| ABAPProgram | برنامج ABAP |
| BgdEventParameters | معلمات حدث الخلفية |
| BgdProcessingEvent | حدث معالجة الخلفية |
| ClientID | معرف عميل ABAP (MANDT) |
| DynproNumber | رقم Dynpro |
| GUIStatus | حالة واجهة المستخدم الرسومية |
| المضيف | المضيف |
| مثيل | مثيل ABAP (HOST_SYSID_SYSNR)، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | تصنيف الوظائف |
| JobCount | عدد الوظائف |
| JobGroup | مجموعة الوظائف |
| JobName | اسم الوظيفة |
| JobPriority | أولوية الوظيفة |
| MessageClass | فئة الرسالة |
| MessageNumber | رقم الرسالة |
| MessageText | نص الرسالة |
| MessageType | نوع الرسالة |
| ReleaseUser | مستخدم إصدار الوظيفة |
| SchedulingDateTime | جدولة وقت التاريخ |
| StartDateTime | وقت تاريخ البدء |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
| TargetServer | الخادم المُستهدف |
| المستخدم | المستخدم |
| UserReleaseInstance | مثيل ABAP - إصدار المستخدم |
| WorkProcessID | معرف عملية العمل |
| WorkProcessNumber | رقم عملية العمل |
سجل تدقيق أمان ABAP
دالة Microsoft Sentinel للاستعلام عن هذا السجل: SAPAuditLog
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: يسجل البيانات التالية:
- التغييرات المتعلقة بالأمان في بيئة نظام SAP، مثل التغييرات على سجلات المستخدمين الرئيسية
- المعلومات التي توفر مستوى أعلى من البيانات، مثل محاولات تسجيل الدخول الناجحة وغير الناجحة
- المعلومات التي تمكن من إعادة بناء سلسلة من الأحداث، مثل بدء المعاملة الناجحة أو غير الناجحة
متوفر باستخدام واجهات RFC XAL/SAL. يتوفر SAL بدءا من الإصدار Basis 7.50. يتم إنشاء هذا السجل مع البيانات عبر جميع العملاء.
مخطط سجل ABAPAuditLog_CL
| الحقل | الوصف |
|---|---|
| ABAPProgramName | اسم البرنامج، SAL فقط |
| شدة الإنذار | خطورة التنبيه |
| AlertSeverityText | نص خطورة التنبيه، SAL فقط |
| AlertValue | قيمة التنبيه |
| AuditClassID | معرف فئة التدقيق، SAL فقط |
| ClientID | معرف عميل ABAP (MANDT) |
| الكمبيوتر | جهاز المستخدم، SAL فقط |
| البريد الإلكتروني | البريد الالكتروني للمستخدم |
| المضيف | المضيف |
| مثيل | مثيل ABAP، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | فئة الرسالة |
| MessageContainerID | معرف حاوية الرسائل، XAL فقط |
| MessageId | معرف الرسالة، مثل ‘AU1’,’AU2’… |
| MessageText | نص الرسالة |
| MonitoringObjectName | اسم كائن MTE Monitor، XAL فقط |
| MonitorShortName | الاسم القصير لـMTE Monitor، XAL فقط |
| SAPProcesType | سجل النظام: نوع عملية SAP، SAL فقط |
| B* - معالجة الخلفية | |
| D* - معالجة مربع الحوار | |
| U* - تحديث المهام | |
| SAPWPName | سجل النظام: رقم عملية العمل، SAL فقط |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
| TerminalIPv6 | عنوان IP لجهاز المستخدم، SAL فقط |
| TransactionCode | رمز المعاملة، SAL فقط |
| المستخدم | المستخدم |
| Variable1 | متغير الرسالة 1 |
| Variable2 | متغير الرسالة 2 |
| Variable3 | متغير الرسالة 3 |
| Variable4 | متغير الرسالة 4 |
سجل ABAP Spool
وظيفة Microsoft Sentinel للاستعلام عن هذا السجل: SAPSpoolLog
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: يعمل كسجل رئيسي لطباعة SAP مع محفوظات طلبات spool. (SP01).
متوفر باستخدام RFC استنادا إلى جدول SAP القياسي. يتم إنشاء هذا السجل مع البيانات عبر جميع العملاء.
مخطط سجل ABAPSpoolLog_CL
| الحقل | الوصف |
|---|---|
| ArchiveStatus | حالة الأرشيف |
| ArchiveType | نوع الأرشيف |
| ArchivingDevice | جهاز الأرشفة |
| AutoRereoute | إعادة التوجيه التلقائي |
| ClientID | معرف عميل ABAP (MANDT) |
| CountryKey | مفتاح البلد |
| DeleteSpoolRequestAuto | حذف طلب spool تلقائيًا |
| DelFlag | علامة الحذف |
| الإدارة | الإدارة |
| DocumentType | نوع المستند |
| ExternalMode | الوضع الخارجي |
| FormatType | نوع التنسيق |
| المضيف | المضيف |
| مثيل | مثيل ABAP، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | عدد النسخ |
| OutputDevice | جهاز الإخراج |
| PrinterLongName | اسم الطابعة الطويل |
| PrintImmediately | الطباعة على الفور |
| PrintOSCoverPage | طباعة صفحة OSCover |
| PrintSAPCoverPage | طباعة صفحة SAPCover |
| أولوية | أولوية |
| RecipientofSpoolRequest | مستلم طلب spool |
| SpoolErrorStatus | حالة خطأ Spool |
| SpoolRequestCompleted | اكتمل طلب Spool |
| SpoolRequestisALogForAnotherRequest | طلب Spool هو سجل لطلب آخر |
| SpoolRequestName | اسم طلب Spool |
| SpoolRequestNumber | رقم طلب Spool |
| SpoolRequestSuffix1 | لاحقة طلب Spool1 |
| SpoolRequestSuffix2 | لاحقة طلب Spool2 |
| SpoolRequestTitle | عنوان طلب Spool |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
| TelecommunicationsPartner | شريك الاتصالات |
| TelecommunicationsPartnerE | شريك الاتصالات E |
| TemSeGeneralcounter | عداد Temse |
| TemseNumAddProtectionRule | رقم Temse إضافة قاعدة حماية |
| TemseNumChangeProtectionRule | قاعدة حماية تغيير رقم Temse |
| TemseNumDeleteProtectionRule | قاعدة حماية حذف رقم Temse |
| TemSeObjectName | اسم عنصر Temse |
| TemSeObjectPart | جزء عنصر TemSe |
| TemseReadProtectionRule | قاعدة حماية قراءة Temse |
| المستخدم | المستخدم |
| ValueAuthCheck | التحقق من مصادقة القيمة |
سجل إخراج مستودع APAB
وظيفة Microsoft Sentinel للاستعلام عن هذا السجل: SAPSpoolOutputLog
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: يعمل كسجل رئيسي لطباعة SAP مع محفوظات طلبات إخراج spool. (SP02).
متوفر باستخدام RFC مع خدمة مخصصة استنادًا إلى الجداول القياسية. يتم إنشاء هذا السجل مع البيانات عبر جميع العملاء.
مخطط سجل ABAPSpoolOutputLog_CL
| الحقل | الوصف |
|---|---|
| AppServer | خادم التطبيق |
| ClientID | معرف عميل ABAP (MANDT) |
| تعليق | تعليق |
| CopyCount | عدد النسخ |
| CopyCounter | عداد النسخ |
| الإدارة | الإدارة |
| ErrorSpoolRequestNumber | رقم طلب الخطأ |
| FormatType | نوع التنسيق |
| المضيف | المضيف |
| HostName | اسم المضيف |
| HostSpoolerID | معرف المخزن المؤقت للمضيف |
| مثيل | مثيل ABAP |
| LastPage | الصفحة الأخيرة |
| NumofCopies | عدد النسخ |
| OutputDevice | جهاز الإخراج |
| OutputRequestNumber | رقم طلب الإخراج |
| OutputRequestStatus | حالة طلب الإخراج |
| PhysicalFormatType | نوع التنسيق الفعلي |
| PrinterLongName | اسم الطابعة الطويل |
| PrintRequestSize | حجم طلب الطباعة |
| أولوية | أولوية |
| ReasonforOutputRequest | سبب طلب الإخراج |
| RecipientofSpoolRequest | مستلم طلب spool |
| SpoolNumberofOutputReqProcessed | عدد طلبات الإخراج - تمت معالجتها |
| SpoolNumberofOutputReqWithErrors | عدد طلبات الإخراج - مع وجود أخطاء |
| SpoolNumberofOutputReqWithProblems | عدد طلبات الإخراج - مع المشاكل |
| SpoolRequestNumber | رقم طلب Spool |
| StartPage | صفحة البدء |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
| TelecommunicationsPartner | شريك الاتصالات |
| TemSeGeneralcounter | عداد Temse |
| العنوان | العنوان |
| المستخدم | المستخدم |
ABAP Syslog
لإرسال هذا السجل إلى Microsoft Sentinel، يجب إضافته يدويًا إلى ملف systemconfig.ini.
دالة Microsoft Sentinel للاستعلام عن هذا السجل: SAPOS_Syslog
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: يسجل جميع أخطاء نظام SAP NetWeaver Application Server (SAP NetWeaver AS) والتحذيرات وتأمينات المستخدم بسبب محاولات تسجيل الدخول الفاشلة من المستخدمين المعروفين ومعالجة الرسائل.
متوفر بواسطة SAP Control Web Service. يتم إنشاء هذا السجل مع البيانات عبر جميع العملاء.
مخطط سجل ABAPOS_Syslog_CL
| الحقل | الوصف |
|---|---|
| ClientID | معرف عميل ABAP (MANDT) |
| المضيف | المضيف |
| مثيل | مثيل ABAP، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | رقم الرسالة |
| MessageText | نص الرسالة |
| الأهمية | خطورة الرسالة، إحدى القيم التالية: Debug، Info، Warning، Error |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
| TransacationCode | كود الحركة |
| نوع | نوع عملية SAP |
| المستخدم | المستخدم |
سجل سير عمل ABAP
وظيفة Microsoft Sentinel للاستعلام عن هذا السجل: SAPWorkflowLog
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: يتيح لك SAP Business Workflow (WebFlow Engine) تحديد العمليات التجارية التي لم يتم تعيينها بعد في نظام SAP.
على سبيل المثال، قد تكون العمليات التجارية غير المعينة إجراءات إصدار أو موافقة بسيطة، أو عمليات تجارية أكثر تعقيدًا مثل إنشاء مواد أساسية ثم تنسيق الأقسام المرتبطة بها.
متوفر باستخدام RFC استنادا إلى جداول SAP القياسية. يتم إنشاء هذا السجل لكل عميل.
مخطط سجل ABAPWorkflowLog_CL
| الحقل | الوصف |
|---|---|
| ActualAgent | العامل الفعلي |
| العنوان | العنوان |
| ApplicationArea | منطقة التطبيق |
| CallbackFunction | دالة رد الاتصال |
| ClientID | معرف عميل ABAP (MANDT) |
| CreationDateTime | وقت تاريخ الإنشاء |
| المنشئ | المنشئ |
| CreatorAddress | عنوان المنشئ |
| ErrorType | نوع الخطأ |
| ExceptionforMethod | استثناء للأسلوب |
| المضيف | المضيف |
| مثيل | مثيل ABAP (HOST_SYSID_SYSNR)، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| اللغة | اللغة |
| LogCounter | عداد السجل |
| MessageNumber | رقم الرسالة |
| MessageType | نوع الرسالة |
| MethodUser | مستخدم الأسلوب |
| أولوية | أولوية |
| SimpleContainer | حاوية بسيطة، معبأة كقائمة بكيانات Key-Value لعنصر العمل |
| الحالة | الحالة |
| SuperWI | شبكة WI الفائقة |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
| taskId | معرف المهمة |
| TasksClassification | تصنيفات المهام |
| TaskText | نص المهمة |
| TopTaskID | معرف المهمة العلوي |
| UserCreated | تم إنشاؤه بواسطة المستخدم |
| WIText | نص عنصر العمل |
| WIType | نوع عنصر العمل |
| WorkflowAction | إجراء سير العمل |
| WorkItemID | معرف عنصر العمل |
سجل ABAP WorkProcess
لإرسال هذا السجل إلى Microsoft Sentinel، يجب إضافته يدويًا إلى ملف systemconfig.ini.
دالة Microsoft Sentinel للاستعلام عن هذا السجل: SAPOS_WP
وثائق SAP ذات الصلة: مدخل تعليمات SAP
الغرض من السجل: يجمع بين جميع سجلات عمليات العمل. (الافتراضي:
dev_*).متوفر بواسطة SAP Control Web Service. يتم إنشاء هذا السجل مع البيانات عبر جميع العملاء.
مخطط سجل ABAPOS_WP_CL
| الحقل | الوصف |
|---|---|
| المضيف | المضيف |
| مثيل | مثيل ABAP، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| MessageText | نص الرسالة |
| الأهمية | خطورة الرسالة: Debug، Info، Warning، Error |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
| WPNumber | رقم عملية العمل |
مسار تدقيق HANA DB
لإرسال هذا السجل إلى Microsoft Sentinel، يجب نشر عامل إدارة Microsoft لجمع بيانات Syslog من الجهاز الذي يقوم بتشغيل HANA DB.
دالة Microsoft Sentinel للاستعلام عن هذا السجل: SAPSyslog
وثائق SAP ذات الصلة: مسار التدقيق | العام
الغرض من السجل: تسجيل إجراءات المستخدم أو محاولة الإجراءات في قاعدة بيانات SAP HANA. على سبيل المثال، يمكنك من تسجيل ومراقبة الوصول للقراءة إلى البيانات الحساسة.
متوفر من قبل Sentinel Linux Agent لـSyslog. يتم إنشاء هذا السجل مع البيانات عبر جميع العملاء.
مخطط سجل Syslog
| الحقل | الوصف |
|---|---|
| الكمبيوتر | اسم المضيف |
| HostIP | عنوان IP للمضيف |
| HostName | اسم المضيف |
| ProcessID | معرف العملية |
| ProcessName | اسم العملية: HDB* |
| مستوى الأمان | التنبيه |
| نظام المصدر | نظام تشغيل النظام المصدر، Linux |
| SyslogMessage | رسالة، رسالة سجل تدقيق غير مقتصدة |
ملفات JAVA
لإرسال هذا السجل إلى Microsoft Sentinel، يجب إضافته يدويًا إلى ملف systemconfig.ini.
دالة Microsoft Sentinel للاستعلام عن هذا السجل: SAPJAVAFilesLogs
وثائق SAP ذات الصلة: سجل تدقيق أمان Java | العام
الغرض من السجل: يجمع بين جميع السجلات المستندة إلى ملفات Java، بما في ذلك سجل تدقيق الأمان والنظام (عملية نظام المجموعة والخادم) والأداء وسجلات البوابة. يتضمن أيضًا تتبعات المطور وسجلات التتبع الافتراضية.
متوفر بواسطة SAP Control Web Service. يتم إنشاء هذا السجل مع البيانات عبر جميع العملاء.
مخطط سجل JavaFilesLogsCL
| الحقل | الوصف |
|---|---|
| طلب | تطبيق Java |
| ClientID | معرف العميل |
| CSNComponent | مكون CSN، مثل BC-XI-IBD |
| DCComponent | مكون DC، مثل com.sap.xi.util.misc |
| DSRCounter | عداد DSR |
| DSRRootContentID | المعرف الفريد العمومي لسياق DSR |
| DSRTransaction | GUID معاملة DSR |
| المضيف | المضيف |
| مثيل | مثيل Java، في بناء الجملة التالي: <HOST>_<SYSID>_<SYSNR> |
| الموقع | فئة جافا |
| LogName | اسم سجل Java، مثل: Available وdefaulttrace وdev* وsecurity وهكذا |
| MessageText | نص الرسالة |
| MNo | رقم الرسالة |
| Pid | معرف العملية |
| البرنامج | اسم البرنامج |
| "Session" | "Session" |
| الأهمية | خطورة الرسالة، بما في ذلك: Debug، Info، Warning، Error |
| الحل | الحل |
| SystemID | مُعرف النظام |
| systemNumber | رقم النظام |
| ThreadName | اسم مؤشر الترابط |
| Thrown | تم طرح استثناء |
| TimeZone | المنطقة الزمنية |
| المستخدم | المستخدم |
سجل رسالة كشف أخطاء الاتصال لـ SAP
دالة Microsoft Sentinel للاستعلام عن هذا السجل: SAPConnectorHealth
الغرض من السجل: يوفر رسالة كشف أخطاء الاتصال ومعلومات صحية أخرى حول الاتصال بين العوامل وأنظمة SAP المختلفة.
يتم إنشاؤه تلقائيًا لأي عوامل Microsoft Azure Sentinel لموصل بيانات SAP.
مخطط سجل SAP_HeartBeat_CL
| الحقل | الوصف |
|---|---|
| TimeGenerated | وقت نشر حدث السجل |
| agent_id_s | معرف العامل في تكوين العامل (تم إنشاؤه تلقائيا) |
| agent_ver_s | إصدار الوكيل |
| host_s | اسم مضيف العامل |
| system_id_s | معرف نظام Netweaver ABAP / Netweaver SAPControl Host (معاينة) / مضيف Java SAPControl (معاينة) |
| push_timestamp_d | الطابع الزمني للاستخراج، وفقًا للمنطقة الزمنية للعامل |
| agent_timezone_s | المنطقة الزمنية للعامل |
الجداول التي تم استردادها مباشرة من أنظمة SAP
يسرد هذا القسم جداول البيانات التي يتم استردادها مباشرة من نظام SAP واستيعابها في Microsoft Azure Sentinel تمامًا كما هي.
لاستيعاب البيانات من هذه الجداول في Microsoft Sentinel، قم بتكوين الإعدادات ذات الصلة في ملف systemconfig.ini. لمزيد من المعلومات، راجع تكوين تجميع البيانات الرئيسية للمستخدم.
توفر البيانات التي تم استردادها من هذه الجداول طريقة عرض واضحة لبنية التخويل وعضوية المجموعة وملفات تعريف المستخدم. كما يسمح لك بتعقب عملية منح التخويل وإبطاله، وتحديد المخاطر المرتبطة بهذه العمليات والتحكم فيها.
الجداول المذكورة أدناه مطلوبة لتمكين الوظائف التي تحدد المستخدمين المميزين، وتعيين المستخدمين إلى الأدوار والمجموعات والتخويلات.
للحصول على أفضل النتائج، راجع هذه الجداول باستخدام الاسم في عمود اسم الدالة Sentinel أدناه:
| اسم الجدول | وصف الجدول | اسم الدالة Sentinel |
|---|---|---|
| USR01 | سجل المستخدم الرئيسي (بيانات وقت التشغيل) | SAP_USR01 |
| USR02 | بيانات تسجيل الدخول (استخدام من جانب النواة) | SAP_USR02 |
| UST04 | أسماء المستخدمين الرئيسية تعيين المستخدمين إلى ملفات التعريف |
SAP_UST04 |
| AGR_USERS | تعيين الأدوار للمستخدمين | SAP_AGR_USERS |
| AGR_1251 | بيانات التخويل لمجموعة النشاط | SAP_AGR_1251 |
| USGRP_USER | تعيين المستخدمين لمجموعات المستخدمين | SAP_USGRP_USER |
| USR21 | تعيين مفتاح اسم المستخدم/العنوان | SAP_USR21 |
| ADR6 | عناوين البريد الإلكتروني (خدمات عناوين الأعمال) | SAP_ADR6 |
| USRSTAMP | الطابع الزمني لكافة التغييرات التي تم إدخالها على المستخدم | SAP_USRSTAMP |
| ADCP | تعيين الشخص/العنوان (خدمات عنوان العمل) | SAP_ADCP |
| USR05 | معرف المعلمة الرئيسية للمستخدم | SAP_USR05 |
| AGR_PROF | اسم ملف التعريف للدور | SAP_AGR_PROF |
| AGR_FLAGS | سمات الدور | SAP_AGR_FLAGS |
| عمليات إلغاء الإلغاء | جدول لمستخدم التطوير | SAP_DEVACCESS |
| AGR_DEFINE | تعريف قاعدة | SAP_AGR_DEFINE |
| AGR_AGRS | الأدوار في الأدوار المركبة | SAP_AGR_AGRS |
| PAHI | محفوظات النظام وقاعدة البيانات ومعلمات SAP | SAP_PAHI |
| SNCSYSACL (معاينة) | قائمة التحكم في الوصول إلى SNC (ACL): الأنظمة | SAP_SNCSYSACL |
| USRACL (معاينة) | قائمة التحكم في الوصول إلى SNC (ACL): المستخدم | SAP_USRACL |
الخطوات التالية
لمزيد من المعلومات، راجع:
- نشر حل Microsoft Sentinel لتطبيقات SAP®
- حل Microsoft Sentinel لتطبيقات SAP® المفصلة لمتطلبات SAP
- توزيع موصل بيانات Microsoft Sentinel لـ SAP باستخدام SNC
- خيارات تكوين الخبراء، والنشر المحلي، ومصادر سجل SAPControl
- حل Microsoft Sentinel لتطبيقات SAP®: محتوى الأمان المضمن
- مراقبة صحة نظام SAP الخاص بك
- استكشاف أخطاء حل Microsoft Sentinel الخاص بك وإصلاحها لنشر تطبيقات SAP®