Shromažďování protokolů auditu SAP HANA v Microsoft Sentinelu
Tento článek vysvětluje, jak shromažďovat protokoly auditu z databáze SAP HANA.
Důležité
Podpora SAP HANA pro Microsoft Sentinel je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Požadavky
Protokoly SAP HANA se odesílají přes Syslog. Ujistěte se, že je váš agent AMA nebo váš agent Log Analytics (starší verze) nakonfigurovaný tak, aby shromažďovaly soubory Syslog. Další informace naleznete v tématu:
Další informace najdete v tématu Ingestování zpráv syslogu a CEF do Služby Microsoft Sentinel pomocí agenta služby Azure Monitor.
Shromažďování protokolů auditu SAP HANA
Ujistěte se, že je záznam protokolu auditu SAP HANA nakonfigurovaný tak, aby používal Syslog, jak je popsáno v 0002624117 SAP Note, který je přístupný z webu podpory SAP Launchpad. Další informace naleznete v tématu:
Zkontrolujte, jestli soubory Syslog operačního systému neobsahují všechny relevantní události databáze HANA.
Přihlaste se k databázovému operačnímu systému HANA jako uživatel s oprávněními sudo.
Nainstalujte na počítač agenta a ověřte, že je počítač připojený. Další informace naleznete v tématu:
- Azure Monitor Agent
- Agent Log Analytics (starší verze)
Nakonfigurujte agenta tak, aby shromažďovali data Syslogu. Další informace naleznete v tématu:
- Azure Monitor Agent
- Agent Log Analytics (starší verze)
Tip
Vzhledem k tomu, že zařízení, ve kterých se ukládají databázové události HANA, se můžou měnit mezi různými distribucemi, doporučujeme přidat všechna zařízení. Zkontrolujte je v protokolech Syslogu a odeberte všechny, které nejsou relevantní.
Ověření konfigurace
V Microsoft Sentinelu zkontrolujte, jestli se teď v přijatých protokolech zobrazují události databáze HANA. Spusťte například následující dotaz:
//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];
let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')
Přidání analytických pravidel pro SAP HANA
Pomocí následujících předdefinovaných analytických pravidel můžete, aby Služba Microsoft Sentinel začala spouštět upozornění na související aktivitu SAP HANA:
- SAP – (PREVIEW) HANA DB – Přiřazení autorizací pro správce
- SAP – (PREVIEW) HANA DB –Audit Trail Policy Changes
- SAP – (PREVIEW) HANA DB – Deaktivace záznamu auditu
- SAP – (PREVIEW) HANA DB – Akce správy uživatelů
Další informace najdete v tématu Řešení Microsoft Sentinel pro aplikace SAP®: referenční informace k obsahu zabezpečení.
Související obsah
Další informace o řešení Microsoft Sentinel pro aplikace SAP®:
- Nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Nasazení žádostí o změnu SAP (CRS) a konfigurace autorizace
- Nasazení obsahu řešení z centra obsahu
- Nasazení a konfigurace kontejneru hostujícího agenta datového konektoru SAP
- Nasazení datového konektoru SAP pomocí SNC
- Monitorování stavu systému SAP
- Povolení a konfigurace auditování SAP
Řešení potíží:
Referenční soubory:
- Referenční informace k datům aplikací SAP® pro řešení Microsoft Sentinel
- Řešení Microsoft Sentinel pro aplikace SAP®: Referenční informace k obsahu zabezpečení
- Úvodní referenční informace ke skriptu
- Referenční informace k aktualizačnímu skriptu
- Referenční informace k souboru Systemconfig.ini
Další informace najdete v tématu Řešení Microsoft Sentinel.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro