Sdílet prostřednictvím

Shromažďování protokolů auditu SAP HANA v Microsoft Sentinelu

  • Článek

Tento článek vysvětluje, jak shromažďovat protokoly auditu z databáze SAP HANA.

Důležité

Podpora SAP HANA pro Microsoft Sentinel je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Požadavky

Protokoly SAP HANA se odesílají přes Syslog. Ujistěte se, že je váš agent AMA nebo váš agent Log Analytics (starší verze) nakonfigurovaný tak, aby shromažďovaly soubory Syslog. Další informace naleznete v tématu:

Další informace najdete v tématu Ingestování zpráv syslogu a CEF do Služby Microsoft Sentinel pomocí agenta služby Azure Monitor.

Shromažďování protokolů auditu SAP HANA

  1. Ujistěte se, že je záznam protokolu auditu SAP HANA nakonfigurovaný tak, aby používal Syslog, jak je popsáno v 0002624117 SAP Note, který je přístupný z webu podpory SAP Launchpad. Další informace naleznete v tématu:

  2. Zkontrolujte, jestli soubory Syslog operačního systému neobsahují všechny relevantní události databáze HANA.

  3. Přihlaste se k databázovému operačnímu systému HANA jako uživatel s oprávněními sudo.

  4. Nainstalujte na počítač agenta a ověřte, že je počítač připojený. Další informace naleznete v tématu:

  5. Nakonfigurujte agenta tak, aby shromažďovali data Syslogu. Další informace naleznete v tématu:

    Tip

    Vzhledem k tomu, že zařízení, ve kterých se ukládají databázové události HANA, se můžou měnit mezi různými distribucemi, doporučujeme přidat všechna zařízení. Zkontrolujte je v protokolech Syslogu a odeberte všechny, které nejsou relevantní.

Ověření konfigurace

V Microsoft Sentinelu zkontrolujte, jestli se teď v přijatých protokolech zobrazují události databáze HANA. Spusťte například následující dotaz:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

Přidání analytických pravidel pro SAP HANA

Pomocí následujících předdefinovaných analytických pravidel můžete, aby Služba Microsoft Sentinel začala spouštět upozornění na související aktivitu SAP HANA:

  • SAP – (PREVIEW) HANA DB – Přiřazení autorizací pro správce
  • SAP – (PREVIEW) HANA DB –Audit Trail Policy Changes
  • SAP – (PREVIEW) HANA DB – Deaktivace záznamu auditu
  • SAP – (PREVIEW) HANA DB – Akce správy uživatelů

Další informace najdete v tématu Řešení Microsoft Sentinel pro aplikace SAP®: referenční informace k obsahu zabezpečení.

Související obsah

Další informace o řešení Microsoft Sentinel pro aplikace SAP®:

Řešení potíží:

Referenční soubory:

Další informace najdete v tématu Řešení Microsoft Sentinel.