Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives et udvalg af funktioner, der er tilgængelige i dit arbejdsområde, når du har installeret en Microsoft Sentinel løsning til SAP-programmer. Find flere funktioner ved at søge i Microsoft Sentinel og indlæse funktionskoden.
Find funktioner på følgende måde:
- På Azure Portal på siden Generelle > logge på fanen Funktioner og angivet under Arbejdsområdefunktioner.
- På Defender-portalen på siden Investigation & response > Advanced hunting under fanen Functions og angivet under Sentinel arbejdsområdefunktioner.
Indholdet i denne artikel er beregnet til dine sikkerhedsteams .
Brug funktioner i dine forespørgsler i stedet for underliggende logge eller tabeller
Vi anbefaler på det kraftigste , at du bruger de funktioner, der er angivet i denne artikel, som emnerne i deres analyse, når det er muligt, i stedet for de underliggende logge eller tabeller.
Disse funktioner er beregnet til at fungere som den primære brugergrænseflade til dataene. De danner grundlaget for alle de indbyggede analyseregler og projektmapper, der er tilgængelige for dig. Brug af funktioner gør det muligt at foretage ændringer af datainfrastrukturen under funktionerne uden at ødelægge brugeroprettede indhold.
BAPI_XMI_LOGON (eksempelvisning)
Funktionen BAPI_XMI_LOGON er relevant, når dit SAP-system er et ældre system, der bruger XAL, og godkendes til at indsamle SAP XAL-overvågningslogge.
Funktionen BAPI_XMI_LOGON understøttes kun for den SAP-agentløse dataconnector. Du kan få flere oplysninger under Installér en Microsoft Sentinel-løsning til SAP-programmer.
BAPI_SYSTEM_MTE_GETTIDBYNAME (prøveversion)
Funktionen BAPI_SYSTEM_MTE_GETTIDBYNAME er relevant, når dit SAP-system er et ældre system, der bruger XAL, og henter id'et for et systemovervågningselement efter navn.
Funktionen BAPI_SYSTEM_MTE_GETTIDBYNAME understøttes kun for den SAP-agentløse dataconnector. Du kan få flere oplysninger under Installér en Microsoft Sentinel-løsning til SAP-programmer.
BAPI_SYSTEM_MTE_GETTREE (prøveversion)
Funktionen BAPI_SYSTEM_MTE_GETTREE er relevant, når dit SAP-system er et ældre system, der bruger XAL, og henter strukturen af systemovervågningselementer.
Funktionen BAPI_SYSTEM_MTE_GETTREE understøttes kun for den SAP-agentløse dataconnector. Du kan få flere oplysninger under Installér en Microsoft Sentinel-løsning til SAP-programmer.
BAPI_SYSTEM_MTE_GETMLHIS (eksempelvisning)
Funktionen BAPI_SYSTEM_MTE_GETMLHIS er relevant, når dit SAP-system er et ældre system, der bruger XAL, og henter historiske data om ydeevne og status.
Funktionen BAPI_SYSTEM_MTE_GETMLHIS understøttes kun for den SAP-agentløse dataconnector. Du kan få flere oplysninger under Installér en Microsoft Sentinel-løsning til SAP-programmer.
BAPI_XMI_SET_AUDITLEVEL (prøveversion)
Funktionen BAPI_XMI_SET_AUDITLEVEL er relevant, når dit SAP-system er et ældre system, der bruger XAL, og konfigurerer logføringsniveauet for XAL-overvågning.
Funktionen BAPI_XMI_SET_AUDITLEVEL understøttes kun for den SAP-agentløse dataconnector. Du kan få flere oplysninger under Installér en Microsoft Sentinel-løsning til SAP-programmer.
BAPI_XMI_GET_LOGHISTORY (eksempelvisning)
Funktionen BAPI_XMI_GET_LOGHISTORY er relevant, når dit SAP-system er et ældre system, der bruger XAL, og henter tidligere XAL-overvågningslogposter.
Funktionen BAPI_XMI_GET_LOGHISTORY understøttes kun for den SAP-agentløse dataconnector. Du kan få flere oplysninger under Installér en Microsoft Sentinel-løsning til SAP-programmer.
SAPUsersAssignments
Funktionen SAPUsersAssignments indsamler data fra flere SAP-datakilder og opretter en brugercentreret visning af de aktuelle brugermasterdata, herunder de roller og profiler, der i øjeblikket er tildelt.
Denne funktion opsummerer brugertildelingerne til roller og profiler og returnerer følgende data:
| Feltet | Beskrivelse | Datakilde/noter |
|---|---|---|
| Bruger | SAP-bruger-id | Kun SAL |
| SMTP-adresse | USR21 (SMTP_ADDR) | |
| UserType | Brugertype | USR02 (USTYP) |
| Tidszone | Tidszone | USR02 (TZONE) |
| Låst status | Låsestatus | USR02 (UFLAG) |
| LastSeenDate | Dato for sidst set | USR02 (TRDAT) |
| LastSeenTime | Tidspunkt for seneste set | USR02 (LTIME) |
| UserGroupAuth | Brugergruppe i vedligeholdelse af brugermaster | USR02 (KLASSE) |
| Profiler | Sæt af profiler (standardstørrelse = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Sæt direkte tildelte roller (standardstørrelse på maks. 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Sæt af indirekte tildelte roller (maksimal standardstørrelse = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Klient | Klient-id | |
| SystemID | System-id | Som defineret i connectoren |
SAPUsersGetPrivileged
Funktionen SAPUsersGetPrivileged returnerer en liste over privilegerede brugere pr. klient- og system-id.
Brugerne betragtes som privilegerede, når de matcher en af følgende beskrivelser:
- De er angivet på visningslisten SAP – privilegerede brugere
- De tildeles til en profil, der er angivet på visningslisten SAP – Følsomme profiler
- De føjes til en rolle, der er angivet på visningslisten Over følsomme roller i SAP – Følsomme roller
Parametre:
| Navn | Valgfrit/påkrævet | Standard | Beskrivelse |
|---|---|---|---|
| Tidsago | Valgfrit | Syv dage | Bestemmer, at funktionen søger brugermasterdata fra det tidspunkt, der er defineret af værdien TimeAgo , indtil det tidspunkt, der er defineret af værdien now() . |
Funktionen SAPUsersGetPrivileged returnerer følgende data:
| Feltet | Beskrivelse |
|---|---|
| Bruger | SAP-bruger-id |
| Klient | Klient-id |
| SystemID | System-id |
SAPUsersAuthorizations
Funktionen SAPUsersAuthorizations samler data fra flere tabeller for at oprette en brugercentreret visning af de aktuelle roller og tildelte godkendelser. Det er kun brugere med aktive rolle- og godkendelsestildelinger, der returneres.
Parametre:
| Navn | Valgfrit/påkrævet | Standard | Beskrivelse |
|---|---|---|---|
| Tidsago | Valgfrit | Syv dage | Bestemmer, at funktionen søger brugermasterdata fra det tidspunkt, der er defineret af værdien TimeAgo , indtil det tidspunkt, der er defineret af værdien now() . |
Funktionen SAPUsersAuthorizations returnerer følgende data:
| Feltet | Beskrivelse | Bemærkninger |
|---|---|---|
| Bruger | SAP-bruger-id | |
| Roller | Rollesæt (maksimal standardstørrelse = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Godkendelsessæt (maksimal standardstørrelse = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Klient | Klient-id | |
| SystemID | System-id |
SAPConnectorHealth
Funktionen SAPConnectorHealth afspejler status for agentens og det underliggende SAP-systems forbindelse. Baseret på impulsloggen SAP_HeartBeat_CL og andre tilstandsindikatorer returnerer den følgende data:
| Feltet | Beskrivelse |
|---|---|
| Agent | Agent-id i agentens konfiguration (genereret automatisk) |
| SystemID | SAP-system-id |
| Status | Overordnet forbindelsesstatus |
| Detaljer | Oplysninger om forbindelse |
| Udvidededetaljer | Udvidede forbindelsesoplysninger |
| LastSeen | Tidsstempel for seneste aktivitet |
| StatusCode | Kode, der afspejler systemets status |
SAPConnectorOverview
Funktionen SAPConnectorOverview viser rækkeantal for hver SAP-tabel pr. system-id. Den returnerer en liste over dataposter pr. system-id og deres genererede tid.
Parametre:
| Navn | Valgfrit/påkrævet | Standard | Beskrivelse |
|---|---|---|---|
| Tidsago | Valgfrit | Syv dage | Bestemmer, at funktionen søger brugermasterdata fra det tidspunkt, der er defineret af værdien TimeAgo , indtil det tidspunkt, der er defineret af værdien now() . |
Funktionen SAPConnectorOverview returnerer følgende data:
| Feltet | Beskrivelse |
|---|---|
| Tid genereret | En datetime-værdi for tidsstemplet for postens oprettelse |
| SystemID_s | En streng, der repræsenterer SAP-system-id'et |
Brug følgende Kusto-forespørgsel til at udføre en daglig tendensanalyse:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Funktionen SAPUsersEmail giver mulighed for et ydeevneorienteret opslag af en SAP-brugers mailadresse pr. SAP-system og -klient, der normalt bruges til at knytte den til en Active Directory-konto.
Funktionen SAPUsersEmail bruger data, der er udtrukket fra SAP-tabellerne USR21 (Brugernavn/Adressenøgletildeling) og ADR6 (mailadresser), til at søge efter en mailadresse. Hvis der ikke blev fundet nogen mailadresse, returneres bruger-id'et i stedet.
Denne funktionsmåde sikrer, at SAP-tjenestekonti, f.eks. DDIC, som ofte ikke er knyttet til en mailadresse, logføres som pseudo-AD-konti. Dette åbner også op for nogle UEBA funktioner, der bistår i undersøgelsen af hændelser og jagtaktiviteter.
Funktionen SAPUsersEmail returnerer følgende data:
| Feltet | Beskrivelse |
|---|---|
| Klient-id | SAP-klient-id'et |
| SystemID | SAP-system-id'et |
| Bruger | SAP-bruger-id'et |
| SAP-brugerens mailadresse |
SAPSystems
Funktionen SAPSystems bruges til centralt at præsentere konfigurationen pr. system, der er oprettet ved hjælp af visningslisten SAP - Systems .
Parametre:
| Navn | Valgfrit/påkrævet | Standard | Beskrivelse |
|---|---|---|---|
| SelectedSystems | Valgfrit | All Systems |
Bruges til at filtrere bestemte SAP-systemer |
| SelectedSystemRoles | Valgfrit | All System Roles |
Bestemmer rollerne for de SAP-systemer, der skal kigges på, som defineret på visningslisten SAP - Systems |
Funktionen SAPSystems returnerer følgende data:
| Feltet | Beskrivelse | Datakilde/noter |
|---|---|---|
| SearchKey | Søgenøgle | Indekseret felt til SAP-system-id |
| SystemRole | SAP-systemets rolle | Produktion, UAT |
| Systemusage | Den primære brug af SAP-systemet | ERP, CRM |
| SystemID | SAP-system-id'et |
SAPAuditLogConfiguration
Funktionen SAPAuditLogConfiguration returnerer den lokale konfiguration af SAP-overvågningsloggens beskeder til arbejdsområdet Log Analytics, der er aktiveret for Microsoft Sentinel. Denne konfiguration bruges til SAP-overvågningslogrelaterede beskeder.
Funktionen SAPAuditLogConfiguration joinforbinder dataene i konfigurationen af SAP Dynamic Audit Log Monitor og SAP – systemovervågningslister for at levere en konfiguration pr. system ved en rolleindsats pr. system.
Parametre:
| Navn | Valgfrit/påkrævet | Standard | Beskrivelse |
|---|---|---|---|
| SelectedSystems | Valgfrit | All Systems |
Bruges til at filtrere bestemte SAP-systemer, der skal kigges på. |
| SelectedSystemRoles | Valgfrit | All System Roles |
Bestemmer rollerne for de SAP-systemer, der skal kigges på (som defineret på visningslisten SAP - Systemer ). |
| SelectedSeverities | Valgfrit | [High, Medium] |
Bruges til at fastslå, hvilke hændelser der skal kigges på i forhold til deres antal. De forskellige indstillinger for meddelelses-id'et og systemrollen i SAP-overvågningsloggen er defineret på SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste. |
| SelectedRuleTypes | Valgfrit | All RuleTypes |
Bestemmer, hvilke hændelser der er relevante for registrering af uregelmæssigheder. Regeltyper pr. SAP-overvågningslogmeddelelses-id og systemrolle er defineret i SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste. |
Funktionen SAPAuditLogConfiguration returnerer følgende data:
| Feltet | Beskrivelse | Datakilde/noter |
|---|---|---|
| Kategorinavn | SAP-given hændelseskategori | Visningsliste til konfiguration af SAP Dynamic Audit Log Monitor |
| Destinationsmail | Mailadresse på det tildelte team | Visningsliste til konfiguration af SAP Dynamic Audit Log Monitor |
| Detaljeret beskrivelse | En markdown-formateret tekst, der skal vises i beskeder | Visningsliste til konfiguration af SAP Dynamic Audit Log Monitor |
| Meddelelses-id | SAP-overvågningsloggens meddelelses-id | Visningsliste til konfiguration af SAP Dynamic Audit Log Monitor |
| Meddelelsestekst | Et eksempel på en meddelelsestekst | Visningsliste til konfiguration af SAP Dynamic Audit Log Monitor |
| RolesTagsToExclude | en ABAP-rolle-, profil- eller fritekstkode | Visningsliste til konfiguration af SAP Dynamic Audit Log Monitor |
| RuleType | Uregelmæssigheder eller deterministiske | Visningsliste til konfiguration af SAP Dynamic Audit Log Monitor |
| Taktik | MITRE ATTA&CK-taktik | Visningsliste til konfiguration af SAP Dynamic Audit Log Monitor |
| TeamsChannelID | Teams-kanal | Visningsliste til konfiguration af SAP Dynamic Audit Log Monitor |
| SystemID | SAP-system-id'et | SAP – Systemovervågningsliste |
| SystemRole | SAP-systemets rolle | SAP – Systemovervågningsliste |
| Systemusage | Den primære brug af SAP-systemet | SAP – Systemovervågningsliste |
| IsProd | Produktionssystemflag | SAP – Systemovervågningsliste |
| Sværhedsgraden | Den afledte alvorsgrad | Alvorsgrad pr. systembrug |
| Tærskel | Den afledte tærskel | Hændelsesantal pr. systemforbrug |
| BagOfDetails | Sæk med detaljer | En ordbog med oplysninger om hændelsesdefinitionen |
Du kan få flere oplysninger under Tilgængelige visningslister.
SAPAuditLogAnomalies
Funktionen SAPAuditLogAnomalies bruger Microsoft Sentinel underliggende Kusto-databases indbyggede funktioner til maskinel indlæring for at hjælpe med at registrere unormale hændelser, der er observeret i SAP-overvågningsloggen.
Funktionen SAPAuditLogAnomalies blev udviklet til reglen for analyse af beskeder om overvågning af overvågningslog med dynamisk uregelmæssigheder baseret på SAP - (Eksperimentel). Selvom det oprindelige design er at advare om de seneste uregelmæssigheder, kan det også hjælpe med at fremhæve historiske uregelmæssigheder. Du kan få flere oplysninger under Eksempelbrug.
Funktionen SAPAuditLogAnomalies lærer udsnittet af historikken, der er defineret af de forskellige inputparametre, på følgende niveauer:
- Bruger
- Netværksattributter
- System
- Sæsonudsving
- Aktivitetsniveauer
Funktionen SAPAuditLogAnomalies dømmer derefter hændelser, der forekommer inden for det sidste DetectingTime tidsrum, i henhold til det, den har lært, anvendelse af tærskler og andre konfigurerbare udeladelseskriterier, der er hentet fra overvågningslisten for konfiguration af SAP-overvågningsloggen.
Når et skydevindue med brugeraktivitet anses for at være unormalt, returnerer en anden forespørgsel hele brugeraktiviteten som dokumentation, der understøtter beslutningen.
Parametre:
| Navn | Valgfrit/påkrævet | Standard | Beskrivelse |
|---|---|---|---|
| LearningTime | Valgfrit | 14 dage | Bestemmer det tidsrum, der bruges til modellæring. |
| DetectingTime | Valgfrit | Én time | Bestemmer det tidsrum, der skal kigges på for at registrere uregelmæssigheder. Kald af denne funktion med DetectingTime = 0h fremhævninger af uregelmæssigheder i hele LearningTime tidsintervallen. |
| SelectedSystems | Valgfrit | All Systems |
Bruges til at filtrere bestemte SAP-systemer, der skal kigges på. |
| SelectedSystemRoles | Valgfrit | All System Roles |
Bestemmer rollerne for de SAP-systemer, der skal kigges på, som defineret på visningslisten SAP - Systems |
| SelectedSeverities | Valgfrit | [High, Medium] |
Bruges til at fastslå, hvilke hændelser der skal kigges på i forhold til deres antal. De forskellige indstillinger for meddelelses-id'et og systemrollen i SAP-overvågningsloggen er defineret på SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste. |
| SelectedPrefixMask | Valgfrit | 24 | Bruges til at bestemme det undernetmaskeniveau, der bruges til læring og registrering. |
| SelectedRuleTypes | Valgfrit | AnomaliesOnly |
Bestemmer, hvilke hændelser der er relevante for registrering af uregelmæssigheder. Regeltyper pr. SAP-overvågningslogmeddelelses-id og systemrolle er defineret i SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste. |
Funktionen SAPAuditLogAnomalies returnerer følgende data:
| Feltet | Beskrivelse |
|---|---|
| Flere felter fra SAPAuditLog | Nøglefelter fra SAP-overvågningsloggen |
| Flere felter fra SAPAuditLogConfiguration | Nøglefelter fra Microsoft Sentinel til konfiguration af SAP-overvågningslog |
| DiscoveredOn | Den afrundede time, hvor uregelmæssigheden blev observeret den |
| EventCount | Antal hændelser, der tælles pr. returneret række |
| AnomalCount | Antal hændelser, der er observeret i det relevante skydevindue |
| MinTime | Tidspunkt for første hændelse, der blev observeret |
| Maks. tid | Tidspunkt for sidste hændelse, der blev observeret |
| Score | de scorer for uregelmæssigheder, der er produceret af modellen for uregelmæssigheder |
Anbefalinger:
Som med enhver machine learning-løsning fungerer funktionen SAPAuditLogAnomalies bedre med tiden og kan justeres efter behov, efterhånden som tiden går.
Vi anbefaler, at du begrænser størrelsen af den lærte database til at være under 100 millioner poster ved hjælp af de mange tilgængelige inputparametre.
Eksempler på anvendelse omfatter:
Hvis du vil søge efter uregelmæssigheder for hændelser med høj alvorsgrad, der er opstået inden for den seneste time på produktionssystemer for hændelsestyper, der er markeret som UregelmæssighederPåly på SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste, skal du køre:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Hvis du vil søge efter alle uregelmæssigheder inden for de sidste 14 dage i BIP-systemet , skal du køre:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Du kan få flere oplysninger under Indbyggede SAP-analyseregler til overvågning af SAP-overvågningsloggen og Registrering af uregelmæssigheder i SAP-overvågningsloggen ved hjælp af Microsoft Sentinel til SAP-løsning (blog).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend er en hjælpefunktion, der er designet til at komme med anbefalinger til konfiguration af analysereglen SAP – Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW).
Du kan få flere oplysninger under Overvåg SAP-overvågningsloggen.
SAPUsersGetVIP
Den Microsoft Sentinel løsning til SAP-programmer bruger et koncept om central brugertagging og eksplicitte udeladelser, der er designet til at hjælpe dig med at reducere falske positiver med minimal indsats.
Brug funktionen SAPUsersGetVIP til at udelukke brugere fra at udløse beskeder ved at angive SAP-brugerroller, SAP-brugerfunktioner eller mærker, der repræsenterer disse brugere. Du kan få flere oplysninger under Håndter falske positiver i Microsoft Sentinel.
Mærker, der er angivet som input til funktionen SAPUsersGetVIP , udelukker alle brugere med en kode, der er angivet på SAP_User_Config visningsliste. Den samme funktionalitet udvides til at fungere med jokertegn, så du kan tildele et enkelt mærke til en gruppe brugere med samme navngivningssyntaks.
Tag brugere på SAP_User_Config visningsliste på følgende måde:
Føj flere mærker til hver bruger på SAP_User_Config visningsliste efter behov for at dække forskellige scenarier. Hver beskedregel har sine egne relevante mærker, hvis der er nogen, og du kan tilføje brugerdefinerede mærker efter behov.
Brug en stjerne (*) som jokertegn til at inkludere brugere med en bestemt skabelon til navngivningssyntaks.
Tilføj funktionen SAPUsersGetVIP i dine analyseregler for at anmode om listerne over de brugere, du har defineret til at blive udelukket fra beskeder. I funktionskaldet skal du tilføje en matrix med de mærker, SAP-roller og SAP-profiler, som du vil udelade.
Brug f.eks. følgende KQL-forespørgsel i din analyseregel til at udelukke alle brugere, der er konfigureret med mærket RunObsoleteProgOK på SAP_User_Config visningsliste, eller brugere med rollen eksempel SAP_BASIS_ADMIN_ROLE eller eksemplet SAP_ADMIN_PROFILE profil.
Når du kopierer dette eksempelfunktionskald, skal du erstatte SAP_BASIS_ADMIN_ROLE rolle og SAP_ADMIN_PROFILE profil med dine egne SAP-roller eller -profiler efter behov.
Det kan f.eks. være:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Funktionen SAPUsersGetVIP bruges ofte i beskeder om overvågning af deterministiske og uregelmæssige overvågningslogge . Knyt et mærke til et meddelelses-id for en SAP-overvågningslog, eller udvid regelskabelonen til en brugerdefineret regel, der opfylder organisationens behov.
Tip
Vi anbefaler, at du kontakter din SAP-systemadministrator for at forstå, hvilke SAP-brugere, roller og profiler der skal inkluderes i din SAP_User_Config visningsliste.
Parametre:
| Navn | Valgfrit/påkrævet | Standard | Beskrivelse |
|---|---|---|---|
| SearchForTags | Valgfrit | dynamic('All Tags') |
Når SearchForTags er lig med , returneres All Tagsalle brugere sammen med deres mærker. Ellers returneres kun brugere med de mærker, SAP-roller eller SAP-profiler, der er angivet i SearchForTags .
TagsIntersect viser de mærker, der findes, og IntersectionSize indeholder antallet af mærker, der findes. |
| SpecialFocusTags | Valgfrit | Do not return any in-focus users |
Returnerer alle brugere med de mærker, der er angivet i SpecialFocusTags, og markerer dem med specialFocusTagged = true. |
Funktionen SAPUsersGetVIP returnerer følgende output:
| Kilde | Feltet | Beskrivelse | Bemærkninger |
|---|---|---|---|
| Visningslisten SAP_User_Config | SearchKey |
Søgenøgle | |
| Visningslisten SAP_User_Config | SAPUser |
SAP-brugeren | OSS, DDIC |
| Visningslisten SAP_User_Config | Tags |
Streng af mærker, der er tildelt til brugeren | RunObsoleteProgOK |
| Visningslisten SAP_User_Config | Brugerens Microsoft Entra objekt-id | Microsoft Entra objekt-id | |
| Visningslisten SAP_User_Config | Bruger-id | Azure Mappebruger-id | |
| Visningslisten SAP_User_Config | Brugerens SID i det lokale miljø | ||
| Visningslisten SAP_User_Config | Brugerens hovednavn | ||
| Visningslisten SAP_User_Config | TagsList |
En liste over mærker, der er tildelt brugeren |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logik | TagsIntersect | Et sæt mærker, der matcher SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logik | SpecialFocusTagged | Speciel fokusangivelse |
True, False |
| Logik | Fællesmængde | Antallet af intersected tags |
SAPUsersHeader
Funktionen SAPUsersHeader er designet til at give en overordnet visning af SAP-brugeren. Den bruger data, der er udtrukket fra både SAP-brugermasterdatatabellerne og den seneste aktivitet i SAP-overvågningsloggen, til at indsamle mail- og IP-adresser. Derefter returneres de senest kendte mailadresser og IP-adresser sammen med primære mailadresser og IP-adresser.
Parametre:
| Navn | Valgfrit/påkrævet | Standard | Beskrivelse |
|---|---|---|---|
| SelectedSystems | Valgfrit | All Systems |
Bruges til at filtrere bestemte SAP-systemer for at se på |
| SelectedSystemRoles | Valgfrit | All System Roles |
Bestemmer rollerne for de SAP-systemer, der skal kigges på, som defineret på visningslisten SAP - Systems . |
| Valgte brugere | Valgfrit | All Users |
Kan angive lister over brugere. |
| SelectedUser | Valgfrit | All Users |
Accepterer kun en enkelt bruger. |
Det kan f.eks. være:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Tip
Af hensyn til ydeevnen tages der kun højde for nogle få dages overvågningsaktivitet. Hvis du vil have en komplet oversigt over brugeraktivitet, skal du køre en brugerdefineret KQL-forespørgsel mod funktionen SAPAuditLog .
Funktionen SAPUsersHeader returnerer følgende output:
| Kilde | Feltet | Beskrivelse | Bemærkninger |
|---|---|---|---|
| Bruger | SAP-brugeren | ||
| SAP-tabellerNE ADR6 og USR21 | Taget fra brugerens masterdata | OSS, DDIC | |
| SAP-tabel USR02 | UserType | Streng af mærker, der er tildelt til brugeren | RunObsoleteProgOK |
| SAP-tabel USR02 | Tidszone | Microsoft Entra objekt-id | |
| SAP-tabel USR02 | Låst status | Azure Mappebruger-id | |
| SAP-overvågningslog | LastSeen | Et tidsstempel | Seneste overvågningshændelse, der blev observeret for brugeren |
| SAP-overvågningslog | LastSeenDaysAgo | Dage, der er gået siden LastSeen |
|
| SAP-overvågningslog | PrimærtIP | Oftest anvendte IP-adresse |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP-overvågningslog | LastKnownIP | Senest anvendte IP-adresse | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP-overvågningslog | Primærmail | Oftest anvendte mailadresser |
True, False |
| SAP-overvågningslog | Kendte IP-adresser | Liste over kendte IP-adresser | Sorteret efter oftest først |
| SAP-overvågningslog | Kendtemails | Liste over kendte mailadresser | Sorteret efter oftest først |
| Klient | SAP-klient-id'et | ||
| SystemID | SAP-system-id'et | ||
| SystemRole | SAP-systemets rolle | Produktion, UAT | |
| Systemusage | Den primære brug af SAP-systemet | ERP, CRM |
TH_SERVER_LIST (eksempelvisning)
Funktionen TH_SERVER_LIST er relevant, når dit SAP-system er et ældre system, der bruger XAL, og viser aktive SAP-programservere.
Funktionen TH_SERVER_LIST understøttes kun med sap agentless data connector (prøveversion). Du kan få flere oplysninger under Installér en Microsoft Sentinel-løsning til SAP-programmer.
Relateret indhold
Du kan finde flere oplysninger under: