Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje výběr funkcí, které jsou k dispozici ve vašem pracovním prostoru po instalaci řešení Microsoft Sentinel pro aplikace SAP. Objevte další funkce procházením Microsoft Sentinel a načtením kódu funkce.
Funkce vyhledejte následujícím způsobem:
- V Azure Portal na stránce Obecné > protokoly na kartě Funkce a v části Funkce pracovního prostoru.
- Na portálu Defender na stránce Šetření & odpovědi > Rozšířené vyhledávání na kartě Funkce a v části funkce Sentinel pracovních prostorů.
Obsah v tomto článku je určený pro vaše bezpečnostní týmy.
Použití funkcí v dotazech místo podkladových protokolů nebo tabulek
Důrazně doporučujeme používat funkce uvedené v tomto článku jako předměty jejich analýzy, kdykoli je to možné, místo podkladových protokolů nebo tabulek.
Tyto funkce mají sloužit jako hlavní uživatelské rozhraní pro data. Tvoří základ všech předdefinovaných analytických pravidel a sešitů, které máte k dispozici. Použití funkcí umožňuje provádět změny v datové infrastruktuře pod funkcemi, aniž by došlo k narušení uživatelem vytvořeného obsahu.
BAPI_XMI_LOGON (Preview)
Funkce BAPI_XMI_LOGON je relevantní, pokud je váš systém SAP starším systémem, který používá XAL a ověřuje se za účelem shromažďování protokolů auditu SAP XAL.
Funkce BAPI_XMI_LOGON se podporuje jenom pro datový konektor SAP bez agentů. Další informace najdete v tématu Instalace řešení Microsoft Sentinel pro aplikace SAP.
BAPI_SYSTEM_MTE_GETTIDBYNAME (Preview)
Funkce BAPI_SYSTEM_MTE_GETTIDBYNAME je relevantní, pokud je váš systém SAP starším systémem používajícím XAL a načte ID prvku monitorování systému podle názvu.
Funkce BAPI_SYSTEM_MTE_GETTIDBYNAME se podporuje jenom pro datový konektor SAP bez agentů. Další informace najdete v tématu Instalace řešení Microsoft Sentinel pro aplikace SAP.
BAPI_SYSTEM_MTE_GETTREE (Preview)
Funkce BAPI_SYSTEM_MTE_GETTREE je relevantní, pokud je váš systém SAP starším systémem využívajícím XAL a načítá strukturu prvků monitorování systému.
Funkce BAPI_SYSTEM_MTE_GETTREE se podporuje jenom pro datový konektor SAP bez agentů. Další informace najdete v tématu Instalace řešení Microsoft Sentinel pro aplikace SAP.
BAPI_SYSTEM_MTE_GETMLHIS (Preview)
Funkce BAPI_SYSTEM_MTE_GETMLHIS je relevantní, pokud je váš systém SAP starším systémem, který používá XAL a načítá historická data o výkonu a stavu.
Funkce BAPI_SYSTEM_MTE_GETMLHIS se podporuje jenom pro datový konektor SAP bez agentů. Další informace najdete v tématu Instalace řešení Microsoft Sentinel pro aplikace SAP.
BAPI_XMI_SET_AUDITLEVEL (Preview)
Funkce BAPI_XMI_SET_AUDITLEVEL je relevantní, pokud je váš systém SAP starším systémem využívajícím XAL a konfiguruje úroveň protokolování auditu XAL.
Funkce BAPI_XMI_SET_AUDITLEVEL se podporuje jenom pro datový konektor SAP bez agentů. Další informace najdete v tématu Instalace řešení Microsoft Sentinel pro aplikace SAP.
BAPI_XMI_GET_LOGHISTORY (Preview)
Funkce BAPI_XMI_GET_LOGHISTORY je relevantní, pokud je váš systém SAP starším systémem, který používá XAL a načítá minulé položky protokolu auditu XAL.
Funkce BAPI_XMI_GET_LOGHISTORY se podporuje jenom pro datový konektor SAP bez agentů. Další informace najdete v tématu Instalace řešení Microsoft Sentinel pro aplikace SAP.
SAPUsersAssignments
Funkce SAPUsersAssignments shromažďuje data z více zdrojů dat SAP a vytváří zobrazení aktuálních hlavních dat uživatele, včetně aktuálně přiřazených rolí a profilů.
Tato funkce shrnuje přiřazení uživatelů k rolím a profilům a vrátí následující data:
| :----- | Popis | Zdroj dat nebo poznámky |
|---|---|---|
| User | ID uživatele SAP | Pouze sal |
| Adresa SMTP | USR21 (SMTP_ADDR) | |
| Typ uživatele | Typ uživatele | USR02 (USTYP) |
| Timezone | Časové pásmo | USR02 (TZONE) |
| LockedStatus | Stav zámku | USR02 (UFLAG) |
| LastSeenDate | Datum posledního výskytu | USR02 (TRDAT) |
| LastSeenTime | Čas posledního výskytu | USR02 (LTIME) |
| UserGroupAuth | Skupina uživatelů v údržbě hlavního uživatelského serveru | USR02 (TŘÍDA) |
| Profily | Sada profilů (výchozí maximální velikost sady = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Sada přímo přiřazených rolí (výchozí maximální velikost sady = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Podřízené role | Sada nepřímo přiřazených rolí (výchozí maximální velikost sady = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Client | ID klienta | |
| ID systému | ID systému | Jak je definováno v konektoru |
SAPUsersGetPrivileged
Funkce SAPUsersGetPrivileged vrátí seznam privilegovaných uživatelů podle ID klienta a systému.
Uživatelé jsou považováni za privilegované, pokud odpovídají některému z následujících popisů:
- Jsou uvedené v seznamu zhlédnutí sap – Privileged Users
- Jsou přiřazené k profilu uvedenému v seznamu ke zhlédnutí citlivých profilů SAP
- Přidají se do role uvedené ve zhlédnutí SAP – Citlivé role .
Parametry:
| Name (Název) | Volitelné/povinné | Výchozí | Popis |
|---|---|---|---|
| TimeAgo | Nepovinný | Sedm dní | Určuje, že funkce hledá hlavní data uživatele od času definovaného TimeAgo hodnotou do času definovaného now() hodnotou. |
Funkce SAPUsersGetPrivileged vrátí následující data:
| :----- | Popis |
|---|---|
| User | ID uživatele SAP |
| Client | ID klienta |
| ID systému | ID systému |
SAPUsersAuthorizations
Funkce SAPUsersAuthorizations spojuje data z několika tabulek, aby vytvořila pohled na aktuální přiřazené role a autorizace zaměřené na uživatele. Vrátí se jenom uživatelé s aktivní rolí a přiřazením autorizace.
Parametry:
| Name (Název) | Volitelné/povinné | Výchozí | Popis |
|---|---|---|---|
| TimeAgo | Nepovinný | Sedm dní | Určuje, že funkce hledá hlavní data uživatele od času definovaného TimeAgo hodnotou do času definovaného now() hodnotou. |
Funkce SAPUsersAuthorizations vrátí následující data:
| :----- | Popis | Poznámky |
|---|---|---|
| User | ID uživatele SAP | |
| Role | Sada rolí (výchozí maximální velikost sady = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Sada autorizací (výchozí maximální velikost sady = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Client | ID klienta | |
| ID systému | ID systému |
SAPConnectorHealth
Funkce SAPConnectorHealth odráží stav připojení agenta a základního systému SAP. Na základě SAP_HeartBeat_CL protokolu prezenčních signálů a dalších indikátorů stavu vrátí následující data:
| :----- | Popis |
|---|---|
| Agent | ID agenta v konfiguraci agenta (automaticky vygenerované) |
| ID systému | ID systému SAP |
| Stav | Celkový stav připojení |
| Podrobnosti | Podrobnosti o připojení |
| ExtendedDetails | Rozšířené podrobnosti o připojení |
| LastSeen | Časové razítko nejnovější aktivity |
| Statuscode | Kód odrážející stav systému |
SAPConnectorOverview
Funkce SAPConnectorOverview zobrazuje počty řádků každé tabulky SAP na ID systému. Vrátí seznam datových záznamů podle ID systému a vygenerovaného času.
Parametry:
| Name (Název) | Volitelné/povinné | Výchozí | Popis |
|---|---|---|---|
| TimeAgo | Nepovinný | Sedm dní | Určuje, že funkce hledá hlavní data uživatele od času definovaného TimeAgo hodnotou do času definovaného now() hodnotou. |
Funkce SAPConnectorOverview vrátí následující data:
| :----- | Popis |
|---|---|
| TimeGenerated | Hodnota datetime časového razítka generování záznamu |
| SystemID_s | Řetězec představující ID systému SAP |
K provedení denní analýzy trendu použijte následující dotaz Kusto:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Funkce SAPUsersEmail umožňuje vyhledávání e-mailové adresy uživatele SAP podle systému a klienta SAP, které se obvykle používá k přidružení k účtu služby Active Directory.
Funkce SAPUsersEmail používá k vyhledání e-mailové adresy data extrahovaná z tabulek SAP USR21 (přiřazení klíče uživatelského jména/adresy) a ADR6 (e-mailové adresy). Pokud se nenajde žádná e-mailová adresa, vrátí se místo toho ID uživatele.
Toto chování zajišťuje, že účty služby SAP, jako je například DDIC, které často nejsou přidružené k e-mailovým adresě, se zaprotokolují jako účty pseudo AD. To také otevírá některé funkce UEBA, které pomáhají při vyšetřování incidentů a aktivit lovu.
Funkce SAPUsersEmail vrátí následující data:
| :----- | Popis |
|---|---|
| Clientid | ID klienta SAP |
| ID systému | ID systému SAP |
| User | ID uživatele SAP |
| E-mailová adresa uživatele SAP |
SAPSystems
Funkce SAPSystems slouží k centrálnímu zobrazení konfigurace jednotlivých systémů vytvořené pomocí seznamu ke zhlédnutí SAP – Systems .
Parametry:
| Name (Název) | Volitelné/povinné | Výchozí | Popis |
|---|---|---|---|
| SelectedSystems | Nepovinný | All Systems |
Používá se k filtrování konkrétních systémů SAP. |
| SelectedSystemRoles | Nepovinný | All System Roles |
Určuje role systémů SAP, na které se má podívat, jak jsou definovány v seznamu ke zhlédnutí systémů SAP. |
Funkce SAPSystems vrátí následující data:
| :----- | Popis | Zdroj dat nebo poznámky |
|---|---|---|
| SearchKey | Hledat klíč | Indexované pole pro ID systému SAP |
| Role systému | Role systému SAP | Production, UAT |
| SystemUsage | Hlavní využití systému SAP | ERP, CRM |
| ID systému | ID systému SAP |
SAPAuditLogConfiguration
Funkce SAPAuditLogConfiguration vrátí místní konfiguraci upozornění protokolu auditu SAP do pracovního prostoru služby Log Analytics, který je povolený pro Microsoft Sentinel. Tato konfigurace se používá pro výstrahy související s protokolem auditu SAP.
Funkce SAPAuditLogConfiguration spojuje data v konfiguraci monitorování protokolu dynamického auditu SAP a v seznamu sledovaných položek SAP – Systems a poskytuje konfiguraci jednotlivých systémů v rámci jednotlivých systémových rolí.
Parametry:
| Name (Název) | Volitelné/povinné | Výchozí | Popis |
|---|---|---|---|
| SelectedSystems | Nepovinný | All Systems |
Používá se k filtrování konkrétních systémů SAP, na které se mají podívat. |
| SelectedSystemRoles | Nepovinný | All System Roles |
Určuje role systémů SAP, na které se má dívat (jak je definováno v seznamu ke zhlédnutí SAP – Systémy ). |
| VybranéSeverity | Nepovinný | [High, Medium] |
Používá se k určení událostí, na které se má podívat z hlediska jejich závažnosti. Závažnosti podle ID zprávy protokolu auditu SAP a systémové role jsou definovány v seznamu ke zhlédnutí SAP_Dynamic_Audit_Log_Monitor_Configuration. |
| SelectedRuleTypes | Nepovinný | All RuleTypes |
Určuje, které události jsou relevantní pro detekci anomálií. Typy pravidel podle ID zprávy protokolu auditování SAP a role systému jsou definovány v seznamu ke zhlédnutí SAP_Dynamic_Audit_Log_Monitor_Configuration . |
Funkce SAPAuditLogConfiguration vrátí následující data:
| :----- | Popis | Zdroj dat nebo poznámky |
|---|---|---|
| Categoryname | Kategorie dané události SAP | Seznam zhlédnutí konfigurace monitorování protokolu dynamického auditu SAP |
| Cílová E-mail | Email adresa přiřazeného týmu | Seznam zhlédnutí konfigurace monitorování protokolu dynamického auditu SAP |
| Podrobný popis | Text formátovaný v markdownu, který se má zobrazit u upozornění | Seznam zhlédnutí konfigurace monitorování protokolu dynamického auditu SAP |
| Messageid | ID zprávy protokolu auditu SAP | Seznam zhlédnutí konfigurace monitorování protokolu dynamického auditu SAP |
| Text zprávy | Ukázkový text zprávy | Seznam zhlédnutí konfigurace monitorování protokolu dynamického auditu SAP |
| RoleTagsToExclude | značka role, profilu nebo volného textu ABAP | Seznam zhlédnutí konfigurace monitorování protokolu dynamického auditu SAP |
| Typ pravidla | Anomálie nebo deterministické | Seznam zhlédnutí konfigurace monitorování protokolu dynamického auditu SAP |
| Taktiky | Taktika MITRE ATTA&CK | Seznam zhlédnutí konfigurace monitorování protokolu dynamického auditu SAP |
| TeamsChannelID | Kanál Teams | Seznam zhlédnutí konfigurace monitorování protokolu dynamického auditu SAP |
| ID systému | ID systému SAP | SAP – seznam ke zhlédnutí systémů |
| Role systému | Role systému SAP | SAP – seznam ke zhlédnutí systémů |
| SystemUsage | Hlavní využití systému SAP | SAP – seznam ke zhlédnutí systémů |
| IsProd | Příznak produkčního systému | SAP – seznam ke zhlédnutí systémů |
| Závažnosti | Odvozená závažnost | Závažnost na využití systému |
| Práh | Odvozená prahová hodnota | Počet událostí na využití systému |
| BagOfDetails | Taška s podrobnostmi | Slovník s podrobnostmi o definici události |
Další informace najdete v tématu Dostupné seznamy ke zhlédnutí.
SAPAuditLogAnomalies
Funkce SAPAuditLogAnomalies využívá integrované funkce strojového učení základní databáze Kusto Microsoft Sentinel, aby pomohla detekovat neobvyklé události zjištěné v protokolu auditu SAP.
Funkce SAPAuditLogAnomalies byla vyvinuta pro analytické pravidlo upozornění monitorování protokolu auditu založeného na dynamických anomáliích SAP (Experimentální). I když má původní návrh upozorňovat na nedávné anomálie, může také pomoct zvýraznit historické anomálie. Další informace najdete v tématu Ukázková použití.
Funkce SAPAuditLogAnomalies se učí řez historie definovaný různými vstupními parametry na následujících úrovních:
- User
- Síťové atributy
- Systému
- Sezónnost
- Úrovně aktivit
Funkce SAPAuditLogAnomalies pak posuzuje události, ke kterým došlo během posledního DetectingTime časového rozsahu, podle toho, co se naučila, a použije prahové hodnoty a další konfigurovatelná kritéria vyloučení získaná ze seznamu zhlédnutí konfigurace protokolu auditování SAP.
Jakmile se posuvné okno aktivity uživatele považuje za neobvyklé, druhý dotaz vrátí celou aktivitu uživatele jako důkaz podporující rozhodnutí.
Parametry:
| Name (Název) | Volitelné/povinné | Výchozí | Popis |
|---|---|---|---|
| LearningTime | Nepovinný | 14 dní | Určuje časový interval použitý pro učení modelu. |
| DetectingTime | Nepovinný | Jedna hodina | Určuje časový rozsah, na který se má hledat při zjišťování anomálií. Volání této funkce se zvýrazněním DetectingTime = 0h anomálií v celém LearningTime časovém rozsahu |
| SelectedSystems | Nepovinný | All Systems |
Používá se k filtrování konkrétních systémů SAP, na které se mají podívat. |
| SelectedSystemRoles | Nepovinný | All System Roles |
Určuje role systémů SAP, na které se má podívat, jak jsou definovány v seznamu ke zhlédnutí systémů SAP. |
| VybranéSeverity | Nepovinný | [High, Medium] |
Používá se k určení událostí, na které se má podívat z hlediska jejich závažnosti. Závažnosti podle ID zprávy protokolu auditu SAP a systémové role jsou definovány v seznamu ke zhlédnutí SAP_Dynamic_Audit_Log_Monitor_Configuration. |
| SelectedPrefixMask | Nepovinný | 24 | Používá se k určení úrovně masky podsítě používané k učení a zjišťování. |
| SelectedRuleTypes | Nepovinný | AnomaliesOnly |
Určuje, jaké události jsou relevantní pro detekci anomálií. Typy pravidel podle ID zprávy protokolu auditování SAP a role systému jsou definovány v seznamu ke zhlédnutí SAP_Dynamic_Audit_Log_Monitor_Configuration . |
Funkce SAPAuditLogAnomalies vrátí následující data:
| :----- | Popis |
|---|---|
| Více polí ze SAPAuditLog | Klíčová pole z protokolu auditu SAP |
| Více polí ze SAPAuditLogConfiguration | Klíčová pole z Microsoft Sentinel pro konfiguraci protokolu auditu SAP |
| Zjištěný | Zaokrouhlená hodina, kdy byla zjištěna anomálie |
| Počet událostí | Počet událostí spočítaných na vrácený řádek |
| AnomalCount | Počet událostí pozorovaných v rámci příslušného posuvného okna |
| MinTime | Čas výskytu první události |
| MaxTime | Čas výskytu poslední události |
| Skóre | skóre anomálií produkovaných modelem anomálií |
Doporučení:
Stejně jako u jakéhokoli jiného řešení strojového učení funguje funkce SAPAuditLogAnomalies lépe s časem a dá se podle potřeby upravovat.
Pomocí mnoha dostupných vstupních parametrů doporučujeme omezit velikost naučené databáze na méně než 100 milionů záznamů.
Pokud chcete vyhledat anomálie u událostí s vysokou závažností, ke kterým došlo během poslední hodiny v produkčních systémech, pro typy událostí, které jsou v seznamu zhlédnutí SAP_Dynamic_Audit_Log_Monitor_Configurationoznačeny jako Anomálie, spusťte příkaz:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Pokud chcete v systému BIP vyhledat všechny anomálie za posledních 14 dní, spusťte následující příkaz:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Další informace najdete v tématu Integrovaná analytická pravidla SAP pro monitorování protokolu auditu SAP a detekce anomálií v protokolu auditu SAP pomocí Microsoft Sentinel pro řešení SAP (blog).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend je pomocná funkce navržená tak, aby nabízela doporučení pro konfiguraci analytického pravidla upozornění monitorování protokolů auditu (PREVIEW) založených na dynamických anomáliích SAP.
Další informace najdete v tématu Monitorování protokolu auditu SAP.
SAPUsersGetVIP
Řešení Microsoft Sentinel pro aplikace SAP používá koncept centrálního označování uživatelů a explicitních vyloučení navržených tak, aby vám s minimálním úsilím pomohlo snížit falešně pozitivní výsledky.
Pomocí funkce SAPUsersGetVIP vyloučíte uživatele z aktivace upozornění zadáním rolí uživatelů SAP, uživatelských funkcí SAP nebo značek, které představují tyto uživatele. Další informace najdete v tématu Zpracování falešně pozitivních výsledků v Microsoft Sentinel.
Značky zadané jako vstup pro funkci SAPUsersGetVIP vyloučí všechny uživatele se značkou uvedenou v seznamu ke zhlédnutí SAP_User_Config . Stejná funkce je rozšířená o práci se zástupnými znacích, což umožňuje přiřadit jednu značku skupině uživatelů se stejnou syntaxí pojmenování.
Označte uživatele v seznamu ke zhlédnutí SAP_User_Config následujícím způsobem:
Podle potřeby přidejte ke každému uživateli v seznamu ke zhlédnutí SAP_User_Config několik značek, které pokrývají různé scénáře. Každé pravidlo upozornění má své vlastní relevantní značky(pokud nějaké) a podle potřeby můžete přidat vlastní značky.
Pokud chcete zahrnout uživatele s konkrétní šablonou syntaxe názvů, použijte hvězdičku (*) jako zástupný znak.
Přidejte do analytických pravidel funkci SAPUsersGetVIP a požádejte o vyloučení seznamů uživatelů, které jste definovali, z výstrah. Do volání funkce přidejte pole se značkami, rolemi SAP a profily SAP, které chcete vyloučit.
Například pomocí následujícího dotazu KQL v analytickém pravidlu vyloučíte všechny uživatele nakonfigurované se značkou RunObsoleteProgOK v seznamu ke zhlédnutí SAP_User_Config nebo všechny uživatele s ukázkovou SAP_BASIS_ADMIN_ROLE rolí nebo ukázkovým profilem SAP_ADMIN_PROFILE .
Při kopírování tohoto ukázkového volání funkce nahraďte SAP_BASIS_ADMIN_ROLE role a SAP_ADMIN_PROFILE profil vlastními rolemi nebo profily SAP podle potřeby.
Příklady:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Funkce SAPUsersGetVIP se běžně používá v upozorněních deterministického a neobvyklého monitorování protokolu auditu . Přidružte značku k ID zprávy protokolu auditu SAP nebo rozšiřte šablonu pravidla na vlastní pravidlo, které odpovídá potřebám vaší organizace.
Tip
Doporučujeme, abyste se obrátili na správce systému SAP a zjistili, které uživatele, role a profily SAP zahrnout do seznamu ke zhlédnutí SAP_User_Config.
Parametry:
| Name (Název) | Volitelné/povinné | Výchozí | Popis |
|---|---|---|---|
| SearchForTags | Nepovinný | dynamic('All Tags') |
Pokud SearchForTags je hodnota rovna All Tags, vrátí se všichni uživatelé společně se značkami. Jinak se vrátí jenom uživatelé, kteří mají značky, role SAP nebo profily SAP zadané v SearchForTags .
TagsIntersect zobrazuje nalezené značky a IntersectionSize obsahuje počet nalezených značek. |
| SpeciálníFocusTags | Nepovinný | Do not return any in-focus users |
Vrátí všechny uživatele se značkami zadanými v SpecialFocusTagsa označenými specialFocusTagged = truepomocí . |
Funkce SAPUsersGetVIP vrátí následující výstup:
| Source (Zdroj) | :----- | Popis | Poznámky |
|---|---|---|---|
| Seznam ke zhlédnutí SAP_User_Config | SearchKey |
Hledat klíč | |
| Seznam ke zhlédnutí SAP_User_Config | SAPUser |
Uživatel SAP | OSS, DDIC |
| Seznam ke zhlédnutí SAP_User_Config | Tags |
Řetězec značek přiřazených uživateli | RunObsoleteProgOK |
| Seznam ke zhlédnutí SAP_User_Config | ID objektu Microsoft Entra uživatele | ID objektu Microsoft Entra | |
| Seznam ke zhlédnutí SAP_User_Config | Identifikátor uživatele | identifikátor uživatele adresáře Azure | |
| Seznam ke zhlédnutí SAP_User_Config | Místní SID uživatele | ||
| Seznam ke zhlédnutí SAP_User_Config | Hlavní název uživatele | ||
| Seznam ke zhlédnutí SAP_User_Config | TagsList |
Seznam značek přiřazených uživateli |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logiku | TagsIntersect | Sada značek, které odpovídají SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logiku | ZvláštníFocusTagged | Speciální indikace fokusu |
True, False |
| Logiku | IntersectionSize | Počet protínaných značek |
SAPUsersHeader
Funkce SAPUsersHeader je navržená tak, aby poskytovala základní pohled na uživatele SAP. Ke shromažďování e-mailů a IP adres používá data extrahovaná z tabulek hlavních dat uživatelů SAP a nedávné aktivity v protokolu auditování SAP. Pak vrátí poslední známé e-maily a IP adresy spolu s primárním e-mailem a IP adresami.
Parametry:
| Name (Název) | Volitelné/povinné | Výchozí | Popis |
|---|---|---|---|
| SelectedSystems | Nepovinný | All Systems |
Používá se k filtrování konkrétních systémů SAP, které se mají podívat na |
| SelectedSystemRoles | Nepovinný | All System Roles |
Určuje role systémů SAP, na které se má podívat, jak jsou definovány v seznamu zhlédnutí SAP – Systems . |
| Vybraníživatelé | Nepovinný | All Users |
Může zadávat seznamy uživatelů. |
| SelectedUser | Nepovinný | All Users |
Přijímá pouze jednoho uživatele. |
Příklady:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Tip
Z hlediska výkonu se zohledňuje pouze několik dní aktivity auditu. Pokud chcete zobrazit úplnou historii aktivit uživatelů, spusťte vlastní dotaz KQL pro funkci SAPAuditLog .
Funkce SAPUsersHeader vrátí následující výstup:
| Source (Zdroj) | :----- | Popis | Poznámky |
|---|---|---|---|
| User | Uživatel SAP | ||
| Tabulky SAP ADR6 a USR21 | Převzato z hlavních dat uživatele | OSS, DDIC | |
| Tabulka SAP USR02 | Typ uživatele | Řetězec značek přiřazených uživateli | RunObsoleteProgOK |
| Tabulka SAP USR02 | Timezone | ID objektu Microsoft Entra | |
| Tabulka SAP USR02 | LockedStatus | identifikátor uživatele adresáře Azure | |
| Protokol auditu SAP | LastSeen | Časové razítko | Poslední událost auditu zjištěná pro uživatele |
| Protokol auditu SAP | LastSeenDaysAgo | Od té doby uplynuly dny LastSeen |
|
| Protokol auditu SAP | Primární IP adresa | Nejčastěji používaná IP adresa |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Protokol auditu SAP | LastKnownIP | Naposledy použitá IP adresa | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Protokol auditu SAP | Primární E-mail | Nejčastěji používaná e-mailová adresa |
True, False |
| Protokol auditu SAP | Známé IP adresy | Seznam známých IP adres | Seřazeno podle nejčastějších prvních |
| Protokol auditu SAP | Známé E-maily | Seznam známých e-mailových adres | Seřazeno podle nejčastějších prvních |
| Client | ID klienta SAP | ||
| ID systému | ID systému SAP | ||
| Role systému | Role systému SAP | Production, UAT | |
| SystemUsage | Hlavní využití systému SAP | ERP, CRM |
TH_SERVER_LIST (Preview)
Funkce TH_SERVER_LIST je relevantní, pokud je váš systém SAP starším systémem využívajícím XAL a obsahuje seznam aktivních aplikačních serverů SAP.
Funkce TH_SERVER_LIST se podporuje jenom s datovým konektorem SAP bez agentů (Preview). Další informace najdete v tématu Instalace řešení Microsoft Sentinel pro aplikace SAP.
Související obsah
Další informace najdete tady: