Datenreferenz für die Microsoft Sentinel-Lösung für SAP®-Anwendungen
Wichtig
Einige Komponenten der Microsoft Sentinel-Lösung Threat Monitoring für SAP befinden sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Einige Protokolle (siehe unten) werden standardmäßig nicht an Microsoft Sentinel gesendet. Sie können sie jedoch bei Bedarf manuell hinzufügen. Weitere Informationen finden Sie unter Definieren der an Microsoft Sentinel gesendeten SAP-Protokolle.
In diesem Artikel werden die Funktionen, Protokolle und Tabellen beschrieben, die als Teil der Microsoft Sentinel-Lösung für SAP®-Anwendungen und ihres Datenconnectors verfügbar sind. Er richtet sich an fortgeschrittene SAP-Benutzer.
In der SAP-Lösung verfügbare Funktionen
In diesem Abschnitt werden die Funktionen beschrieben, die in Ihrem Arbeitsbereich verfügbar sind, nachdem Sie die Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitgestellt haben. Suchen Sie diese Funktionen auf der Seite Protokolle in Microsoft Sentinel, um Sie in Ihren KQL-Abfragen zu verwenden, die unter Workspace functions (Arbeitsbereichsfunktionen) aufgeführt sind.
Benutzern wird dringend empfohlen, die Funktionen nach Möglichkeit als Gegenstand ihrer Analyse zu verwenden, anstatt die zugrunde liegenden Protokolle oder Tabellen. Diese Funktionen sollen als Prinzipalbenutzeroberfläche für die Daten dienen. Sie bilden die Grundlage für alle integrierten Analyseregeln und Arbeitsmappen, die Ihnen standardmäßig zur Verfügung stehen. So können Änderungen an der Dateninfrastruktur unterhalb der Funktionen vorgenommen werden, ohne dass vom Benutzer erstellte Inhalte beeinträchtigt werden.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAPConnectorHealth
- SAPConnectorOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
Die Funktion SAPUsersAssignments sammelt Daten aus mehreren SAP-Datenquellen und erstellt eine benutzerzentrierte Ansicht der aktuellen Benutzermasterdaten, einschließlich der Rollen und Profile, die derzeit zugewiesen sind.
Diese Funktion fasst die Zuweisungen von Benutzern zu Rollen und Profilen zusammen und gibt die folgenden Daten zurück:
Feld | BESCHREIBUNG | Datenquelle/Hinweise |
---|---|---|
Benutzer | ID des SAP-Benutzers | Nur SAL |
SMTP-Adresse | USR21 (SMTP_ADDR) | |
UserType | Benutzertyp | USR02 (USTYP) |
Zeitzone | Zeitzone | USR02 (TZONE) |
LockedStatus | Sperrstatus | USR02 (UFLAG) |
LastSeenDate | Zuletzt gesehen (Datum) | USR02 (TRDAT) |
LastSeenTime | Zuletzt gesehen (Zeit) | USR02 (LTIME) |
UserGroupAuth | Benutzergruppe in der Benutzermasterwartung | USR02 (CLASS) |
Profiles | Gruppe von Profilen (maximale Standardgröße: 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | Gruppe direkt zugewiesener Rollen (maximale Standardgröße: 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
ChildRoles | Gruppe indirekt zugewiesener Rollen (maximale Standardgröße: 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Client | Client-ID | |
SystemID | System-ID | Wie im Connector definiert |
SAPUsersGetPrivileged
Die Funktion SAPUsersGetPrivileged gibt eine Liste der privilegierten Benutzer pro Client und System-ID zurück.
Benutzer gelten als privilegiert, wenn sie in der Watchlist SAP –Privileged Users (SAP – Privilegierte Benutzer) aufgeführt sind, einem Profil zugewiesen wurden, das in der Watchlist SAP – Sensitive Profiles (SAP – Vertrauliche Profile) zu finden ist, oder einer Rolle hinzugefügt wurden, die in der Watchlist SAP – Sensitive Roles (SAP –Vertrauliche Rollen) aufgeführt ist.
Parameter:
- TimeAgo
- Optional
- Standardwert: Sieben Tage
- Bestimmt, dass die Funktion Benutzermasterdaten von der durch den
TimeAgo
-Wert definierten Zeit bis zu der durch dennow()
-Wert definierten Zeit sucht
Die Funktion SAPUsersGetPrivileged gibt die folgenden Daten zurück:
Feld | BESCHREIBUNG |
---|---|
Benutzer | ID des SAP-Benutzers |
Client | Client-ID |
SystemID | System-ID |
SAPUsersAuthorizations
Die Funktion SAPUsersAuthorizations vereint Daten aus mehreren Tabellen, um eine benutzerzentrierte Ansicht der aktuellen Rollen und zugewiesenen Autorisierungen zu erstellen. Nur Benutzer mit aktiven Rollen- und Autorisierungszuweisungen werden zurückgegeben.
Parameter:
- TimeAgo
- Optional
- Standardwert: Sieben Tage
- Bestimmt, dass die Funktion Benutzermasterdaten von der durch den
TimeAgo
-Wert definierten Zeit bis zu der durch dennow()
-Wert definierten Zeit sucht
Die Funktion SAPUsersAuthorizations gibt die folgenden Daten zurück:
Feld | Beschreibung des Dataflows | Hinweise |
---|---|---|
Benutzer | ID des SAP-Benutzers | |
Rollen | Gruppe von Rollen (maximale Standardgröße: 50) | ["Role 1", "Role 2",...,"Role 50"] |
AuthorizationsDetails | Gruppe von Autorisierungen (maximale Standardgröße: 100) | {{AuthorizationsDeatils1} ,{AuthorizationsDeatils2} , ..., {AuthorizationsDeatils100}} |
Client | Client-ID | |
SystemID | System-ID |
SAPConnectorHealth
Die Funktion SAPConnectorHealth gibt den Status des Agents und der Konnektivität des zugrunde liegenden SAP-Systems an. Basierend auf dem Heartbeatprotokoll SAP_HeartBeat_CL und anderen Integritätsindikatoren werden die folgenden Daten zurückgegeben:
Feld | Beschreibung |
---|---|
Agent | Agent-ID in der Agent-Konfiguration (automatisch generiert) |
SystemID | SAP-System-ID |
Status | Gesamtstatus der Konnektivität |
Details | Konnektivitätsdetails |
ExtendedDetails | Erweiterte Details zur Konnektivität |
LastSeen | Zeitstempel der letzten Aktivität |
StatusCode | Code, der den Status des Systems widerspiegelt |
SAPConnectorOverview
Die Funktion SAPConnectorOverview zeigt die Zeilenanzahl jeder SAP-Tabelle pro System-ID an. Sie gibt eine Liste von Datensätzen pro System-ID und deren generierte Zeit zurück.
Parameter:
- TimeAgo
- Optional
- Standardwert: Sieben Tage
- Bestimmt, dass die Funktion Benutzermasterdaten von der durch den
TimeAgo
-Wert definierten Zeit bis zu der durch dennow()
-Wert definierten Zeit sucht
Feld | BESCHREIBUNG |
---|---|
TimeGenerated | Ein datetime-Wert des Zeitstempels der Datensatzgenerierung |
SystemID_s | Eine Zeichenfolge, die die SAP-System-ID darstellt. |
Verwenden Sie die folgende Kusto-Abfrage, um eine tägliche Trendanalyse durchzuführen:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Die Funktion SAPUsersEmail ermöglicht eine leistungsorientierte Suche nach der E-Mail-Adresse eines SAP-Benutzers pro SAP-System und Client, die normalerweise für die Zuordnung zu einem Active Directory-Konto verwendet wird. Anhand von extrahierten Daten aus den SAP-Tabellen „USR21“ (Zuweisung des Benutzernamens bzw. des Adressschlüssels) und „ADR6“ (E-Mail-Adressen) sucht die Funktion „SAPUsersEmail“ nach einer E-Mail-Adresse. Sollte keine gefunden werden, wird anstelle einer E-Mail-Adresse die Benutzer-ID zurückgegeben. Dieses Verhalten stellt sicher, dass SAP-Dienstkonten (z. B. DDIC), die häufig nicht mit einer E-Mail-Adresse verknüpft sind, als Pseudo-AD-Konten protokolliert werden, was die Verwendung einiger UEBA-Features ermöglicht, die bei der Untersuchung von Incidents sowie bei Hunting-Aktivitäten hilfreich sind.
Feld | BESCHREIBUNG |
---|---|
ClientID | Die SAP-Client-ID |
SystemID | SAP-System-ID |
Benutzer | Die SAP-Benutzer-ID |
Die E-Mail-Adresse des SAP-Benutzers |
SAPSystems
Die Funktion SAPSystems dient zur zentralen Anzeige der systemspezifischen Konfiguration unter Verwendung der Watchlist „SAP – Systeme“.
Parameter:
- SelectedSystems
- Optional
- Standardwert: "All Systems" (Alle Systeme)
- Wird verwendet, um bestimmte SAP-Systeme zu filtern
- SelectedSystemRoles
- Optional
- Standardwert: "All System Roles" (Alle Systemrollen)
- Bestimmt die zu betrachtenden Rollen der SAP-Systeme (gemäß Definition in der Watchlist „SAP – Systeme“)
Feld | BESCHREIBUNG | Datenquelle/Hinweise |
---|---|---|
SearchKey | Suchschlüssel | Indiziertes Feld für die SAP-System-ID |
SystemRole | Die Rolle des SAP-Systems | Produktion, UAT |
SystemUsage | Die Hauptnutzung des SAP-Systems | ERP, CRM |
SystemID | SAP-System-ID |
SAPAuditLogConfiguration
Die Funktion SAPAuditLogConfiguration gibt die lokale Konfiguration des SAP-Überwachungsprotokolls für Warnungen des Sentinel-Arbeitsbereichs zurück, die für die verschiedenen Warnungen im Zusammenhang mit SAP-Überwachungsprotokollen verwendet werden soll. Sie verknüpft die Daten der Watchlists „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“ und „SAP – Systeme“, um eine systemspezifische Konfiguration mit einer Konfiguration pro Systemrolle zu erhalten.
Parameter:
- SelectedSystems
- Optional
- Standardwert: "All Systems" (Alle Systeme)
- Wird verwendet, um bestimmte SAP-Systeme zu filtern, die betrachtet werden sollen
- SelectedSystemRoles
- Optional
- Standardwert: "All System Roles" (Alle Systemrollen)
- Bestimmt die zu betrachtenden Rollen der SAP-Systeme (gemäß Definition in der Watchlist „SAP – Systeme“)
- SelectedSeverities
- Optional
- Standardwert: ["High", "Medium"] (Hoch, Mittel)
- Wird verwendet, um Ereignisse zu bestimmen, die hinsichtlich ihrer Schweregrade untersucht werden sollen. Schweregrade pro SAP-Überwachungsprotokollnachrichten-ID und Systemrolle werden in der Watchlist „SAP_Dynamic_Audit_Log_Monitor_Configuration“ definiert.
- SelectedRuleTypes
- Optional
- Standardwert: "All RuleTypes" (Alle Regeltypen)
- Bestimmt, welche Ereignisse für die Erkennung der Anomalien relevant sind. Regeltypen pro SAP-Überwachungsprotokollnachrichten-ID und Systemrolle werden in der Watchlist „SAP_Dynamic_Audit_Log_Monitor_Configuration“ definiert.
Feld | BESCHREIBUNG | Datenquelle/Hinweise |
---|---|---|
CategoryName | Von SAP angegebene Ereigniskategorie | Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“ |
DestinationEmail | E-Mail-Adresse des zugewiesenen Teams | Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“ |
DetailedDescription | Mit Markdown formatierter Text, der in Warnungen angezeigt werden soll | Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“ |
Meldungs-ID | Die SAP-Überwachungsprotokollmeldungs-ID | Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“ |
MessageText | Ein exemplarischer Nachrichtentext | Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“ |
RolesTagsToExclude | Eine ABAP-Rolle, ein Profil oder ein Freitexttag | Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“ |
RuleType | Anomalie oder deterministisch | Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“ |
Taktik | Die MITRE ATTA&CK-Taktik | Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“ |
TeamsChannelID | Teams-Kanal | Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“ |
SystemID | SAP-System-ID | Watchlist „SAP – System“ |
SystemRole | Die Rolle des SAP-Systems | Watchlist „SAP – System“ |
SystemUsage | Die Hauptnutzung des SAP-Systems | Watchlist „SAP – System“ |
IsProd | Flag für Produktionssystem | Watchlist „SAP – System“ |
severity | Der abgeleitete Schweregrad | Schweregrad pro Systemnutzung |
Schwellenwert | Der abgeleitete Schwellenwert | Ereignisanzahl pro Systemnutzung |
BagOfDetails | Behälter mit Details | Ein Wörterbuch mit der Ereignisdefinition |
SAPAuditLogAnomalies
SAPAuditLogAnomalies verwendet die integrierten ML-Funktionen der zugrunde liegenden Kusto-Datenbank von Sentinel, um im SAP-Überwachungsprotokoll beobachtete anormale Ereignisse zu erkennen. Diese Funktion wurde für die Warnungsregel „SAP – (Experimentell) Dynamische anomaliebasierte Überwachungsprotokollmonitor-Warnungen“ entwickelt und diente ursprünglich dazu, Warnungen für kürzlich aufgetretene Anomalien zu generieren. Sie kann allerdings auch dabei helfen, historische Anomalien hervorzuheben (wie in den Beispielen weiter unten zu sehen).
Parameter:
- LearningTime
- Optional
- Standardwert: 14 Tage
- Bestimmt die Zeitspanne für das Lernen von Modellen
- DetectingTime
- Optional
- Standardwert: Eine Stunde
- Bestimmt die Zeitspanne, die zur Erkennung von Anomalien betrachtet werden soll. Wenn diese Funktion mit „DetectingTime = 0h“ aufgerufen wird, werden Anomalien für die gesamte Zeitspanne von „LearningTime“ hervorgehoben.
- SelectedSystems
- Optional
- Standardwert: "All Systems" (Alle Systeme)
- Wird verwendet, um bestimmte SAP-Systeme zu filtern, die betrachtet werden sollen
- SelectedSystemRoles
- Optional
- Standardwert: "All System Roles" (Alle Systemrollen)
- Bestimmt die zu betrachtenden Rollen der SAP-Systeme (gemäß Definition in der Watchlist „SAP – Systeme“)
- SelectedSeverities
- Optional
- Standardwert: ["High", "Medium"] (Hoch, Mittel)
- Wird verwendet, um Ereignisse zu bestimmen, die hinsichtlich ihrer Schweregrade untersucht werden sollen. Schweregrade pro SAP-Überwachungsprotokollnachrichten-ID und Systemrolle werden in der Watchlist „SAP_Dynamic_Audit_Log_Monitor_Configuration“ definiert.
- SelectedPrefixMask
- Optional
- Standardwert: 24
- Wird verwendet, um die Subnetzmaskenebene für das Lernen und Erkennen zu bestimmen.
- SelectedRuleTypes
- Optional
- Standardwert: "AnomaliesOnly"
- Bestimmt, welche Ereignisse für die Erkennung der Anomalien relevant sind. Regeltypen pro SAP-Überwachungsprotokollnachrichten-ID und Systemrolle werden in der Watchlist „SAP_Dynamic_Audit_Log_Monitor_Configuration“ definiert.
Logik
Die Funktion lernt das Segment des Verlaufs, das durch die verschiedenen Eingabeparameter definiert ist, und zwar auf der Benutzer-, Netzwerkattribut-, System-, Saisonalitäts- und Aktivitätsebene. Anschließend werden Ereignisse innerhalb der letzten DetectingTime-Zeitspanne auf der Grundlage des Gelernten beurteilt. Dabei werden Schwellenwerte und andere konfigurierbare Ausschlusskriterien angewendet, die aus der Watchlist für die SAP-Überwachungsprotokollkonfiguration abgerufen wurden. Wenn ein gleitendes Fenster einer Benutzeraktivität als anormal eingestuft wurde, gibt eine zweite Abfrage die gesamte Benutzeraktivität als Beweis zurück, um die Entscheidung zu untermauern.
Zusätzliche Hinweise
Wie jede Machine Learning-Lösung wird auch diese Funktion nach und nach immer besser. Weitere Anpassungen können mithilfe der lokalen Konfiguration vorgenommen werden. Es empfiehlt sich, die Größe der gelernten Datenbank mithilfe der vielen verfügbaren Eingabeparameter auf unter 100 Millionen Datensätze zu beschränken.
Beispiel: Suchen nach Anomalien für Ereignisse mit hohem Schweregrad, die innerhalb der letzten Stunde auf Produktionssystemen für Ereignistypen aufgetreten sind, die in „SAP_Dynamic_Audit_Log_Monitor_Configuration“ als „AnomaliesOnly“ gekennzeichnet sind
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Beispiel: Suchen nach allen Anomalien in den letzten 14 Tagen im System „BIP“
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Feld | BESCHREIBUNG |
---|---|
Mehrere Felder aus „SAPAuditLog“ | Schlüsselfelder aus dem SAP-Überwachungsprotokoll |
Mehrere Felder aus „SAPAuditLogConfiguration“ | Schlüsselfelder aus der Überwachungsprotokollkonfiguration von Sentinel für SAP |
DiscoveredOn | Die gerundete Stunde, in der die Anomalie beobachtet wurde |
EventCount | Anzahl gezählter Ereignisse pro zurückgegebener Zeile |
AnomalCount | Anzahl beobachteter Ereignisse innerhalb des relevanten gleitenden Fensters |
MinTime | Zeit des ersten beobachteten Ereignisses |
MaxTime | Zeit des letzten beobachteten Ereignisses |
Bewertung | Die vom Anomaliemodell erzeugten Anomaliebewertungen |
Weitere Informationen finden Sie unter Integrierte SAP-Analyseregeln zur Überwachung des SAP-Überwachungsprotokolls.
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend ist eine Hilfsfunktion, die Empfehlungen für die Konfiguration der Analyseregeln der SAP – Dynamische, anomaliebasierte Überwachungsprotokoll-Monitor-Warnungen (PREVIEW) bieten soll. So konfigurieren Sie die Regeln.
SAPUsersGetVIP
Die Microsoft Sentinel-Lösung für SAP-Anwendungen® verwendet ein Konzept der zentralen Benutzermarkierung und expliziter Ausschlüsse, die Ihnen helfen sollen, falsch positive Ergebnisse mit minimalem Aufwand zu senken. Verwenden Sie die SAPUsersGetVIP-Funktion , um Benutzer vom Auslösen von Warnungen auszuschließen, indem Sie SAP-Benutzerrollen, SAP-Benutzerfunktionen oder Tags angeben, die diese Benutzer darstellen. Weitere Informationen finden Sie unter Behandeln von falsch positiven Ergebnissen in Microsoft Sentinel
Tags, die als Eingabe für die SAPUsersGetVIP-Funktion angegeben sind, schließen alle Benutzer mit einem Tag aus, das in der SAP_User_Config Watchlist aufgeführt ist. Die gleiche Funktionalität wird erweitert, um mit Wild Karte s zu arbeiten, sodass Sie einer Gruppe von Benutzern mit derselben Benennungssyntax ein einzelnes Tag zuweisen können.
Markieren Sie Benutzer in der SAP_User_Config-Watchlist wie folgt:
Fügen Sie jedem Benutzer in der SAP_User_Config Watchlist nach Bedarf mehrere Tags hinzu, um verschiedene Szenarien abzudecken. Jede Warnungsregel verfügt über eigene relevante Tags, falls vorhanden, und Sie können bei Bedarf benutzerdefinierte Tags hinzufügen.
Verwenden Sie ein Sternchen (*) als Platz Karte um Benutzer mit einer bestimmten Benennungssyntaxvorlage einzuschließen.
Fügen Sie die SAPUsersGetVIP-Funktion in Ihren Analyseregeln hinzu, um die Listen der Benutzer anzufordern, die Sie definiert haben, um von Warnungen ausgeschlossen zu werden. Fügen Sie im Funktionsaufruf ein Array mit den Tags, SAP-Rollen und SAP-Profilen hinzu, die Sie ausschließen möchten.
Verwenden Sie z. B. die folgende KQL-Abfrage in Ihrer Analyseregel, um alle Benutzer auszuschließen, die mit dem RunObsoleteProgOK-Tag in der SAP_User_Config Watchlist konfiguriert sind, oder benutzer mit der Beispiel-SAP_BASIS_ADMIN_ROLE Rolle oder dem Beispiel SAP_ADMIN_PROFILE Profil.
Ersetzen Sie beim Kopieren dieses Beispielfunktionsaufrufs SAP_BASIS_ADMIN_ROLE Rolle und SAP_ADMIN_PROFILE Profil nach Bedarf durch Ihre eigenen SAP-Rollen oder Profile.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Die SAPUsersGetVIP-Funktion wird häufig in deterministischen und anomalen Überwachungsprotokollüberwachungswarnungen verwendet. Ordnen Sie ein Tag einer SAP-Überwachungsprotokollnachrichten-ID zu, oder erweitern Sie die Regelvorlage auf eine benutzerdefinierte Regel, die den Anforderungen Ihrer Organisation entspricht.
Tipp
Es wird empfohlen, sich an Ihren SAP-Systemadministrator zu wenden, um zu verstehen, welche SAP-Benutzer, Rollen und Profile in Ihre SAP_User_Config Watchlist aufgenommen werden sollen.
Parameter:
Name | Beschreibung | Standardwert |
---|---|---|
SearchForTags (Optional) | Wenn SearchForTags gleich All Tags , werden alle Benutzer zusammen mit ihren Tags zurückgegeben. Andernfalls werden nur Benutzer zurückgegeben, die die tags, SAP-Rollen oder SAP-Profile enthalten SearchForTags . TagsIntersect zeigt die gefundenen Tags an und IntersectionSize enthält die Anzahl der gefundenen Tags. |
dynamic('All Tags') |
SpecialFocusTags (Optional) | Gibt alle Benutzer zurück, die die in angegebenen Tags enthalten SpecialFocusTags und mit denen specialFocusTagged = true gekennzeichnet sind. |
Do not return any in-focus users |
Quelle | Feld | Beschreibung des Dataflows | Hinweise |
---|---|---|---|
Die SAP_User_Config-Watchlist | SearchKey | Suchschlüssel | |
Die SAP_User_Config-Watchlist | SAPUser | Der SAP-Benutzer | OSS, DDIC |
Die SAP_User_Config-Watchlist | Tags | Zeichenfolge von Tags, die dem Benutzer zugewiesen sind | RunObsoleteProgOK |
Die SAP_User_Config-Watchlist | Microsoft Entra-Objekt-ID der Benutzerin/des Benutzers | Microsoft Entra-Objekt-ID | |
Die SAP_User_Config-Watchlist | Benutzerbezeichner | AD-Benutzer-ID | |
Die SAP_User_Config-Watchlist | Lokale SID des Benutzers | ||
Die SAP_User_Config-Watchlist | Benutzerprinzipalname | ||
Die SAP_User_Config-Watchlist | TagsList | Eine Liste der Tags, die dem Benutzer zugewiesen sind | ChangeUserMasterDataOK;RunObsoleteProgOK |
Logik | TagsIntersect | Eine Gruppe von Tags, die „SearchForTags“ entsprechen | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Logik | SpecialFocusTagged | Angabe des speziellen Fokus | TRUE, FALSE |
Logik | IntersectionSize | Die Anzahl sich überschneidender Tags |
SAPUsersHeader
Die Funktion SAPUsersHeader bietet einen allgemeinen Überblick über den SAP-Benutzer. Sie verwendet Daten, die sowohl aus den Tabellen mit den SAP-Benutzermasterdaten als auch aus den aktuellen Aktivitäten im SAP-Überwachungsprotokoll extrahiert werden, um E-Mail- und IP-Adressen zu sammeln. Anschließend werden die letzten bekannten E-Mail- und IP-Adressen zusammen mit primären E-Mail- und IP-Adressen zurückgegeben. Parameter: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- Optional
- Standardwert: "All Systems" (Alle Systeme)
- Wird verwendet, um bestimmte SAP-Systeme zu filtern, die betrachtet werden sollen
- SelectedSystemRoles
- Optional
- Standardwert: "All System Roles" (Alle Systemrollen)
- Bestimmt die zu betrachtenden Rollen der SAP-Systeme (gemäß Definition in der Watchlist „SAP – Systeme“)
- SelectedUsers
- Optional
- Standardwert: "All Users" (Alle Benutzer)
- Kann Benutzerlisten eingeben.
- SelectedUser
- Optional
- Standardwert: "All Users" (Alle Benutzer)
- Akzeptiert nur einen einzelnen Benutzer.
Zusätzliche Hinweise
Aus Leistungsgründen werden nur einige Tage der Überwachungsaktivität berücksichtigt. Wenn Sie einen vollständigen Verlauf der Benutzeraktivität benötigen, können Sie eine benutzerdefinierte KQL-Abfrage für die Funktion „SAPAuditLog“ ausführen.
`Source` | Feld | Beschreibung des Dataflows | Hinweise |
---|---|---|---|
Benutzer | Der SAP-Benutzer | ||
SAP-Tabellen „ADR6“ und „USR21“ | Aus den Masterdaten des Benutzers | OSS, DDIC | |
SAP-Tabelle „USR02“ | UserType | Zeichenfolge von Tags, die dem Benutzer zugewiesen sind | RunObsoleteProgOK |
SAP-Tabelle „USR02“ | Zeitzone | Microsoft Entra-Objekt-ID | |
SAP-Tabelle „USR02“ | LockedStatus | AD-Benutzer-ID | |
SAP-Überwachungsprotokoll | LastSeen | Zeitstempel | Letztes für den Benutzer beobachtetes Überwachungsereignis |
SAP-Überwachungsprotokoll | LastSeenDaysAgo | Tage seit „LastSeen“ | |
SAP-Überwachungsprotokoll | PrimaryIP | Am häufigsten verwendete IP-Adresse | ChangeUserMasterDataOK;RunObsoleteProgOK |
SAP-Überwachungsprotokoll | LastKnownIP | Zuletzt verwendete IP-Adresse | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
SAP-Überwachungsprotokoll | PrimaryEmail | Am häufigsten verwendete E-Mail-Adresse | TRUE, FALSE |
SAP-Überwachungsprotokoll | KnownIPs | Liste bekannter IP-Adressen | Absteigend nach Häufigkeit sortiert |
SAP-Überwachungsprotokoll | KnownEmails | Liste bekannter E-Mail-Adressen | Absteigend nach Häufigkeit sortiert |
Client | Die SAP-Client-ID | ||
SystemID | Die SAP-System-ID | ||
SystemRole | Die Rolle des SAP-Systems | Produktion, UAT | |
SystemUsage | Die Hauptnutzung des SAP-Systems | ERP, CRM |
Vom Datenconnector-Agent erzeugte Protokolle
In diesem Abschnitt werden die SAP-Protokolle beschrieben, die über den Datenconnector der Microsoft Sentinel-Lösung für SAP®-Anwendungen verfügbar sind, einschließlich der Tabellennamen in Microsoft Sentinel, der Protokollzwecke und detaillierten Protokollschemas. Die Beschreibungen der Schemafelder basieren auf den Feldbeschreibungen in der entsprechenden SAP-Dokumentation.
Die besten Ergebnisse erzielen Sie, wenn Sie die unten aufgeführten Microsoft Sentinel-Funktionen verwenden, um die Daten zu visualisieren, darauf zuzugreifen und sie abzufragen.
- ABAP-Anwendungsprotokoll
- Protokoll für ABAP-Änderungsdokumente
- ABAP CR-Protokoll
- ABAP DB-Tabellendatenprotokoll (VORSCHAU)
- ABAP-Gatewayprotokoll (VORSCHAU)
- ABAP-ICM-Protokoll (VORSCHAU)
- ABAP-Auftragsprotokoll
- ABAP-Sicherheitsüberwachungsprotokoll
- ABAP-Spoolprotokoll
- APAB-Spoolausgabeprotokoll
- ABAP SysLog
- ABAP-Workflowprotokoll
- ABAP WorkProcess-Protokoll
- HANA DB-Überwachungsprotokoll
- JAVA-Dateien
- SAP-Heartbeatprotokoll
ABAP-Anwendungsprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPAppLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Aufzeichnung des Status einer Anwendungsausführung, sodass Sie sie später bei Bedarf rekonstruieren können.
Verfügbar über RFC, basierend auf SAP-Standardtabellen und den Standarddiensten der XBP-Schnittstelle. Dieses Protokoll wird clientbezogen generiert.
Schema des Protokolls ABAPAppLog_CL
Feld | BESCHREIBUNG |
---|---|
AppLogDateTime | Datum/Uhrzeit des Anwendungsprotokolls |
CallbackProgram | Rückrufprogramm |
CallbackRoutine | Rückrufroutine |
CallbackType | Rückruftyp |
ClientID | ABAP-Client-ID (MANDT) |
ContextDDIC | DDIC-Struktur des Kontexts |
ExternalID | Externe Protokoll-ID |
Host | Host |
Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Serielle Anwendungsprotokollmeldung |
LevelofDetail | Detailgrad |
LogHandle | Handle für Anwendungsprotokoll |
LogNumber | Protokollnummer |
MessageClass | Message-Klasse |
MessageNumber | Meldungsnummer |
MessageText | Meldungstext |
MessageType | Nachrichtentyp |
Object | Anwendungsprotokollobjekt |
OperationMode | Betriebsmodus |
ProblemClass | Problemklasse |
ProgramName | Programmname |
SortCriterion | Sortierkriterium |
StandardText | Standardtext |
SubObject | Unterobjekt des Anwendungsprotokolls |
SystemID | System-ID |
SystemNumber | Systemnummer |
TransactionCode | Transaktionscode |
Benutzer | Benutzer |
UserChange | Benutzeränderung |
Protokoll für ABAP-Änderungsdokumente
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPChangeDocsLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Aufzeichnung folgender Elemente:
SAP NetWeaver Application Server (AS) ABAP-Protokolländerungen an Geschäftsdatenobjekten in Änderungsdokumenten
Andere Entitäten im SAP-System, z. B. Benutzerdaten, Rollen, Adressen
Verfügbar über RFC, basierend auf SAP-Standardtabellen. Dieses Protokoll wird clientbezogen generiert.
Schema des Protokolls ABAPChangeDocsLog_CL
Feld | BESCHREIBUNG |
---|---|
ActualChangeNum | Tatsächliche Änderungsnummer |
ChangedTableKey | Geänderter Tabellenschlüssel |
ChangeNumber | Änderungsnummer |
ClientID | ABAP-Client-ID (MANDT) |
CreatedfromPlannedChange | Erstellt anhand geplanter Änderung in der folgenden Syntax: (‘X’ , ‘ ‘) |
CurrencyKeyNew | Währungsschlüssel: neuer Wert |
CurrencyKeyOld | Währungsschlüssel: alter Wert |
FieldName | Feldname |
FlagText | Flagtext |
Host | Host |
Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
Sprache | Sprache |
ObjectClass | Objektklasse, z. B. BELEG , BPAR , PFCG , IDENTITY |
ObjectID | Objekt-ID |
PlannedChangeNum | Geplante Änderungsnummer |
SystemID | System-ID |
SystemNumber | Systemnummer |
TableName | Tabellenname |
TransactionCode | Transaktionscode |
TypeofChange_Header | Änderungstyp des Headers, einschließlich: U = Ändern; I = Einfügen; E = Einzelnes Dokument löschen; D = Löschen; J = Einzelnes Dokument einfügen |
TypeofChange_Item | Änderungstyp des Elements, einschließlich: U = Ändern; I = Einfügen; E = Einzelnes Dokument löschen; D = Löschen; J = Einzelnes Dokument einfügen |
UOMNew | Maßeinheit: neuer Wert |
UOMOld | Maßeinheit: alter Wert |
Benutzer | Benutzer |
ValueNew | Feldinhalt: neuer Wert |
ValueOld | Feldinhalt: alter Wert |
Version | Version |
ABAP CR-Protokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPCRLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: enthält die CTS-Protokolle (Change & Transport System), einschließlich der Verzeichnisobjekte und Anpassungen, an denen Änderungen erfolgt sind.
Verfügbar über RFC, basierend auf Standardtabellen und SAP-Standarddiensten. Dieses Protokoll wird mit Daten aller Clients generiert.
Hinweis
Neben der Anwendungsprotokollierung, Änderungsdokumenten und Tabellenaufzeichnung werden alle Änderungen, die Sie mit dem Change & Transport System an Ihrem Produktivsystem vornehmen, in den CTS- und TMS-Protokollen dokumentiert.
Schema des Protokolls ABAPCRLog_CL
Feld | Beschreibung |
---|---|
Category | Kategorie (Workbench, Anpassung) |
ClientID | ABAP-Client-ID (MANDT) |
BESCHREIBUNG | BESCHREIBUNG |
Host | Host |
Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
ObjectName | Objektname |
ObjektType | Objekttyp |
Besitzer | Besitzer |
Anforderung | Änderungsanforderung |
Status | Status |
SystemID | System-ID |
SystemNumber | Systemnummer |
TableKey | Tabellenschlüssel |
TableName | Tabellenname |
Ansichtsname | Name der Ansicht |
ABAP DB-Tabellendatenprotokoll (VORSCHAU)
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der Datei systemconfig.ini manuell hinzufügen.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPTableDataLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Bereitstellung einer Protokollierung für die Tabellen, die kritisch oder anfällig für Überwachungen sind.
Verfügbar unter Verwendung von RFC mit einem benutzerdefinierten Dienst. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPTableDataLog_CL
Feld | BESCHREIBUNG |
---|---|
DBLogID | DB-Protokoll-ID |
Host | Host |
Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
Sprache | Sprache |
LogKey | Protokollschlüssel |
NewValue | Neuer Wert des Felds |
OldValue | Alter Wert des Felds |
OperationTypeSQL | Vorgangstyp: Insert , Update , Delete |
Programm | Programmname |
SystemID | System-ID |
SystemNumber | Systemnummer |
TableField | Tabellenfeld |
TableName | Tabellenname |
TransactionCode | Transaktionscode |
UserName | Benutzer |
VersionNumber | Versionsnummer |
ABAP-Gatewayprotokoll (VORSCHAU)
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der Datei systemconfig.ini manuell hinzufügen.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_GW
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Überwachung von Gatewayaktivitäten. Verfügbar über SAP Control Web Service. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPOS_GW_CL
Feld | BESCHREIBUNG |
---|---|
Host | Host |
Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
MessageText | Meldungstext |
severity | Schweregrad der Meldung: Debug , Info , Warning , Error |
SystemID | System-ID |
SystemNumber | Systemnummer |
ABAP-ICM-Protokoll (VORSCHAU)
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der Datei systemconfig.ini manuell hinzufügen.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_ICM
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Aufzeichnung ein- und ausgehender Anforderungen und Erstellung von Statistiken zu HTTP-Anforderungen.
Verfügbar über SAP Control Web Service. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPOS_ICM_CL
Feld | BESCHREIBUNG |
---|---|
Host | Host |
Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
MessageText | Meldungstext |
severity | Schweregrad der Meldung einschließlich: Debug , Info , Warning , Error |
SystemID | System-ID |
SystemNumber | Systemnummer |
ABAP-Auftragsprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPJobLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Kombination aller Protokolle von Aufträgen für die Verarbeitung im Hintergrund (SM37).
Verfügbar über RFC, basierend auf SAP-Standardtabellen und den Standarddiensten der XBP-Schnittstellen. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPJobLog_CL
Feld | BESCHREIBUNG |
---|---|
ABAPProgram | ABAP-Programm |
BgdEventParameters | Hintergrundereignisparameter |
BgdProcessingEvent | Hintergrundverarbeitungsereignis |
ClientID | ABAP-Client-ID (MANDT) |
DynproNumber | Dynpro-Nummer |
GUIStatus | GUI-Status |
Host | Host |
Instanz | ABAP-Instanz (HOST_SYSID_SYSNR) in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
JobClassification | Auftragsklassifizierung |
JobCount | Auftragsanzahl |
JobGroup | Auftragsgruppe |
JobName | Auftragsname |
JobPriority | Auftragspriorität |
MessageClass | Message-Klasse |
MessageNumber | Meldungsnummer |
MessageText | Meldungstext |
MessageType | Nachrichtentyp |
ReleaseUser | Auftragsfreigabebenutzer |
SchedulingDateTime | Zeitplanung für Datum und Uhrzeit |
StartDateTime | Startdatum und -uhrzeit |
SystemID | System-ID |
SystemNumber | Systemnummer |
TargetServer | Zielserver |
Benutzer | Benutzer |
UserReleaseInstance | ABAP-Instanz – Benutzerfreigabe |
WorkProcessID | Arbeitsprozess-ID |
WorkProcessNumber | Arbeitsprozessnummer |
ABAP-Sicherheitsüberwachungsprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPAuditLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Aufzeichnung der folgenden Daten:
- Sicherheitsbezogene Änderungen an der SAP-Systemumgebung, z. B. Änderungen an Hauptbenutzerdatensätzen
- Informationen, die eine höhere Datenebene bieten, z. B. erfolgreiche und nicht erfolgreiche Anmeldeversuche
- Informationen, die die Wiederherstellung einer Reihe von Ereignissen ermöglichen, z. B. erfolgreiche oder nicht erfolgreiche Transaktionsstarts
Verfügbar über XAL-/SAL-Schnittstellen von RFC. SAL ist ab Version Basis 7.50 verfügbar. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPAuditLog_CL
Feld | BESCHREIBUNG |
---|---|
ABAPProgramName | Programmname, nur SAL |
AlertSeverity | Schweregrad der Warnung |
AlertSeverityText | Text mit Warnungsschweregrad, nur SAL |
AlertValue | Warnungswert |
AuditClassID | Überwachungsklassen-ID, nur SAL |
ClientID | ABAP-Client-ID (MANDT) |
Computer | Benutzercomputer, nur SAL |
User email | |
Host | Host |
Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
MessageClass | Message-Klasse |
MessageContainerID | Nachrichtencontainer-ID, nur XAL |
Meldungs-ID | Meldungs-ID, z. B. ‘AU1’,’AU2’… |
MessageText | Meldungstext |
MonitoringObjectName | Objektname des MTE-Monitors, nur XAL |
MonitorShortName | Kurzname des MTE-Monitors, nur XAL |
SAPProcesType | Systemprotokoll: SAP-Prozesstyp, nur SAL |
B* – Hintergrundverarbeitung | |
D* – Dialogverarbeitung | |
U* – Aktualisierungsaufgaben | |
SAPWPName | Systemprotokoll: Arbeitsprozessnummer, nur SAL |
SystemID | System-ID |
SystemNumber | Systemnummer |
TerminalIPv6 | IP-Adresse des Benutzercomputers, nur SAL |
TransactionCode | Transaktionscode, nur SAL |
Benutzer | Benutzer |
Variable1 | Meldungsvariable 1 |
Variable2 | Meldungsvariable 2 |
Variable3 | Meldungsvariable 3 |
Variable4 | Meldungsvariable 4 |
ABAP-Spoolprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSpoolLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Hauptprotokoll für SAP-Druck mit Verlauf der Spoolanforderungen. (SP01).
Verfügbar über RFC, basierend auf der SAP-Standardtabelle. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPSpoolLog_CL
Feld | BESCHREIBUNG |
---|---|
ArchiveStatus | Archivstatus |
ArchiveType | Archivtyp |
ArchivingDevice | Archivierungsgerät |
AutoRereoute | Automatisches Umleiten |
ClientID | ABAP-Client-ID (MANDT) |
CountryKey | Länderschlüssel |
DeleteSpoolRequestAuto | Automatisches Löschen der Spoolanforderung |
DelFlag | Löschflag |
Department | Department |
DocumentType | Dokumenttyp |
ExternalMode | Externer Modus |
FormatType | Formattyp |
Host | Host |
Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
NumofCopies | Anzahl |
OutputDevice | Ausgabegerät |
PrinterLongName | Langname des Druckers |
PrintImmediately | Sofort drucken |
PrintOSCoverPage | OSCover-Seite drucken |
PrintOSCoverPage | SAPCover-Seite drucken |
Priority | Priority |
RecipientofSpoolRequest | Empfänger der Spoolanforderung |
SpoolErrorStatus | Spoolfehlerstatus |
SpoolRequestCompleted | Spoolanforderung abgeschlossen |
SpoolRequestisALogForAnotherRequest | Spoolanforderung ist ein Protokoll für eine andere Anforderung |
SpoolRequestName | Name der Spoolanforderung |
SpoolRequestNumber | Nummer der Spoolanforderung |
SpoolRequestSuffix1 | Spoolanforderungssuffix 1 |
SpoolRequestSuffix2 | Spoolanforderungssuffix 2 |
SpoolRequestTitle | Titel der Spoolanforderung |
SystemID | System-ID |
SystemNumber | Systemnummer |
TelecommunicationsPartner | Telekommunikationspartner |
TelecommunicationsPartnerE | Telekommunikationspartner E |
TemSeGeneralcounter | TemSe-Zähler |
TemseNumAddProtectionRule | TemSe-Nummer: Schutzregel hinzufügen |
TemseNumChangeProtectionRule | TemSe-Nummer: Schutzregel ändern |
TemseNumDeleteProtectionRule | TemSe-Nummer: Schutzregel löschen |
TemSeObjectName | TemSe-Objektname |
TemSeObjectPart | TemSe-Objektteil |
TemseReadProtectionRule | TemSe-Leseschutzregel |
Benutzer | Benutzer |
ValueAuthCheck | Überprüfung der Wertauthentifizierung |
APAB-Spoolausgabeprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSpoolOutputLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Hauptprotokoll für SAP-Druck mit Verlauf der Spoolausgabeanforderungen. (SP02).
Verfügbar unter Verwendung von RFC mit einem benutzerdefinierten Dienst, der auf Standardtabellen basiert. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPSpoolOutputLog_CL
Feld | BESCHREIBUNG |
---|---|
AppServer | Anwendungsserver |
ClientID | ABAP-Client-ID (MANDT) |
Kommentar | Kommentar |
CopyCount | Anzahl der Exemplare |
CopyCounter | Zähler für Exemplare |
Department | Department |
ErrorSpoolRequestNumber | Nummer der fehlerhaften Anforderung |
FormatType | Formattyp |
Host | Host |
HostName | Hostname |
HostSpoolerID | Hostspooler-ID |
Instanz | ABAP-Instanz |
LastPage | Letzte Seite |
NumofCopies | Anzahl |
OutputDevice | Ausgabegerät |
OutputRequestNumber | Ausgabeanforderungsnummer |
OutputRequestStatus | Ausgabeanforderungsstatus |
PhysicalFormatType | Physischer Formattyp |
PrinterLongName | Langname des Druckers |
PrintRequestSize | Druckanforderungsgröße |
Priority | Priority |
ReasonforOutputRequest | Grund für Ausgabeanforderung |
RecipientofSpoolRequest | Empfänger der Spoolanforderung |
SpoolNumberofOutputReqProcessed | Anzahl der Ausgabeanforderungen – verarbeitet |
SpoolNumberofOutputReqWithErrors | Anzahl der Ausgabeanforderungen – mit Fehlern |
SpoolNumberofOutputReqWithProblems | Anzahl der Ausgabeanforderungen – mit Problemen |
SpoolRequestNumber | Nummer der Spoolanforderung |
StartPage | Startseite |
SystemID | System-ID |
SystemNumber | Systemnummer |
TelecommunicationsPartner | Telekommunikationspartner |
TemSeGeneralcounter | TemSe-Zähler |
Titel | Titel |
Benutzer | Benutzer |
ABAP Syslog
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der Datei systemconfig.ini manuell hinzufügen.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_Syslog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Aufzeichnung aller ABAP-Systemfehler von SAP NetWeaver Application Server (SAP NetWeaver AS), Warnungen, Benutzersperren aufgrund fehlgeschlagener Anmeldeversuche bekannter Benutzer und Prozessmeldungen.
Verfügbar über SAP Control Web Service. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPOS_Syslog_CL
Feld | BESCHREIBUNG |
---|---|
ClientID | ABAP-Client-ID (MANDT) |
Host | Host |
Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
MessageNumber | Meldungsnummer |
MessageText | Meldungstext |
severity | Meldungsschweregrad, einer der folgenden Werte: Debug , Info , Warning , Error |
SystemID | System-ID |
SystemNumber | Systemnummer |
TransacationCode | Transaktionscode |
Typ | SAP-Prozesstyp |
Benutzer | Benutzer |
ABAP-Workflowprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPWorkflowLog
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Mit dem SAP Business Workflow (WebFlow-Engine) können Sie Geschäftsprozesse definieren, die noch nicht im SAP-System abgebildet sind.
Bei nicht abgebildeten Geschäftsprozessen kann es sich z. B. um einfache Freigabe- oder Genehmigungsprozesse handeln oder um komplexere Geschäftsprozesse wie die Erstellung von Basismaterial und die anschließende Koordination der zugehörigen Abteilungen.
Verfügbar über RFC, basierend auf SAP-Standardtabellen. Dieses Protokoll wird clientbezogen generiert.
Schema des Protokolls ABAPWorkflowLog_CL
Feld | BESCHREIBUNG |
---|---|
ActualAgent | Tatsächlicher Agent |
Adresse | Adresse |
ApplicationArea | Anwendungsbereich |
CallbackFunction | Rückruffunktion |
ClientID | ABAP-Client-ID (MANDT) |
CreationDateTime | Erstellungsdatum/-uhrzeit |
Creator | Creator |
CreatorAddress | Adresse des Erstellers |
ErrorType | Fehlertyp |
ExceptionforMethod | Ausnahme für Methode |
Host | Host |
Instanz | ABAP-Instanz (HOST_SYSID_SYSNR) in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
Sprache | Sprache |
LogCounter | Protokollzähler |
MessageNumber | Meldungsnummer |
MessageType | Nachrichtentyp |
MethodUser | Methodenbenutzer |
Priority | Priority |
SimpleContainer | Einfacher Container, gepackt als Liste mit Schlüssel-Wert-Entitäten für das Arbeitselement |
Status | Status |
SuperWI | Superarbeitselement |
SystemID | System-ID |
SystemNumber | Systemnummer |
TaskID | Aufgaben-ID |
TasksClassification | Aufgabenklassifizierungen |
TaskText | Aufgabentext |
TopTaskID | ID der wichtigsten Aufgabe |
UserCreated | Vom Benutzer erstellt |
WIText | Arbeitselementtext |
WIType | Arbeitsaufgabentyp |
WorkflowAction | Workflow-Aktion |
WorkItemID | ID des Arbeitselements |
ABAP WorkProcess-Protokoll
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der Datei systemconfig.ini manuell hinzufügen.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_WP
Zugehörige SAP-Dokumentation:SAP-Hilfeportal
Protokollzweck: Kombination aller Arbeitsprozessprotokolle. (Standard:
dev_*
).Verfügbar über SAP Control Web Service. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls ABAPOS_WP_CL
Feld | BESCHREIBUNG |
---|---|
Host | Host |
Instanz | ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
MessageText | Meldungstext |
severity | Schweregrad der Meldung: Debug , Info , Warning , Error |
SystemID | System-ID |
SystemNumber | Systemnummer |
WPNumber | Arbeitsprozessnummer |
HANA DB-Überwachungsprotokoll
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie einen Verwaltungs-Agent für Microsoft bereitstellen, um Syslog-Daten von dem Computer zu erfassen, auf dem HANA DB ausgeführt wird.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSyslog
Zugehörige SAP-Dokumentation: Allgemein | Überwachungsprotokoll
Protokollzweck Aufzeichnung von Benutzer- oder versuchten Aktionen in der SAP HANA-Datenbank. Ermöglicht Ihnen beispielsweise, den Lesezugriff auf vertrauliche Daten zu protokollieren und zu überwachen.
Verfügbar über den Sentinel Linux-Agent für Syslog. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls Syslog
Feld | BESCHREIBUNG |
---|---|
Computer | Hostname |
HostIP | Host-IP |
HostName | Hostname |
ProcessID | Prozess-ID |
ProcessName | Prozessname: HDB* |
SeverityLevel | Warnung |
SourceSystem | Betriebssystem des Quellsystems: Linux |
SyslogMessage | Meldung, eine nicht analysierte Überwachungsprotokollmeldung |
JAVA-Dateien
Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der Datei systemconfig.ini manuell hinzufügen.
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPJAVAFilesLogs
Zugehörige SAP-Dokumentation: Allgemein | Java-Sicherheitsüberwachungsprotokoll
Protokollzweck: Kombination aller auf Java-Dateien basierenden Protokolle, einschließlich des Sicherheitsüberwachungsprotokolls und der System- (Cluster- und Serverprozess), Leistungs- und Gatewayprotokolle. Enthält auch Entwicklerablaufverfolgungs- und Standardablaufverfolgungs-Protokolle.
Verfügbar über SAP Control Web Service. Dieses Protokoll wird mit Daten aller Clients generiert.
Schema des Protokolls JavaFilesLogsCL
Feld | Beschreibung |
---|---|
Anwendung | Java-Anwendung |
ClientID | Client-ID |
CSNComponent | CSN-Komponente, z. B. BC-XI-IBD |
DCComponent | DC-Komponente, z. B. com.sap.xi.util.misc |
DSRCounter | DSR-Zähler |
DSRRootContentID | DSR-Kontext-GUID |
DSRTransaction | DSR-Transaktions-GUID |
Host | Host |
Instanz | Java-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR> |
Standort | Java-Klasse |
LogName | Java-Protokollname, z. B.: Available , defaulttrace , dev* , security usw. |
MessageText | Meldungstext |
MNo | Meldungsnummer |
Pid | Prozess-ID |
Programm | Programmname |
Sitzung | Sitzung |
severity | Schweregrad der Meldung einschließlich: Debug , Info , Warning , Error |
Lösung | Lösung |
SystemID | System-ID |
SystemNumber | Systemnummer |
ThreadName | Threadname |
Thrown | Ausgelöste Ausnahme |
TimeZone | Zeitzone |
Benutzer | Benutzer |
SAP-Heartbeatprotokoll
Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPConnectorHealth
Protokollzweck: Stellt Heartbeat- und andere Integritätsinformationen zur Konnektivität zwischen den Agents und den verschiedenen SAP-Systemen zur Verfügung.
Wird automatisch für alle Agents von Microsoft Sentinel für den SAP-Connector erstellt.
SAP_HeartBeat_CL-Protokollschema
Feld | BESCHREIBUNG |
---|---|
TimeGenerated | Zeitpunkt des Protokollierungsereignisses |
agent_id_s | Agent-ID in der Agent-Konfiguration (automatisch generiert) |
agent_ver_s | Agent-Version |
host_s | Hostname des Agents |
system_id_s | NetWeaver ABAP-System-ID/ NetWeaver SAPControl-Host (Vorschau)/ Java SAPControl-Host (Vorschau) |
push_timestamp_d | Zeitstempel der Extraktion gemäß der Zeitzone des Agents |
agent_timezone_s | Zeitzone des Agents |
Tabellen, die direkt aus SAP-Systemen abgerufen werden
In diesem Abschnitt werden die Datentabellen aufgeführt, die direkt aus dem SAP-System abgerufen und unverändert in Microsoft Sentinel erfasst werden.
Damit die Daten aus diesen Tabellen in Microsoft Sentinel erfasst werden, müssen Sie die entsprechenden Einstellungen in der Datei systemconfig.ini konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Benutzer-Masterdatensammlung.
Die aus diesen Tabellen abgerufenen Daten bietet eine Übersicht über die Autorisierungsstruktur, Gruppenmitgliedschaft und Benutzerprofile. Außerdem können Sie Autorisierungsgenehmigungen und -widerrufe nachverfolgen sowie die Risiken bestimmen, die mit diesen Prozessen zusammenhängen.
Die unten aufgeführten Tabellen sind erforderlich, um Funktionen zu aktivieren, die privilegierte Benutzer identifizieren sowie Benutzer zu Rollen, Gruppen und Autorisierungen zuordnen.
Die besten Ergebnisse erzielen Sie, wenn Sie den Namen in der Spalte Sentinel-Funktionsname unten verwenden:
Tabellenname | Tabellenbeschreibung | Sentinel-Funktionsname |
---|---|---|
USR01 | Benutzermasterdatensatz (Laufzeitdaten) | SAP_USR01 |
USR02 | Anmeldedaten (kernelseitige Verwendung) | SAP_USR02 |
UST04 | Benutzermaster Zuordnen von Benutzern zu Profilen |
SAP_UST04 |
AGR_USERS | Zuweisen von Rollen zu Benutzern | SAP_AGR_USERS |
AGR_1251 | Autorisierungsdaten für die Aktivitätsgruppe | SAP_AGR_1251 |
USGRP_USER | Zuweisen von Benutzern zu Benutzergruppen | SAP_USGRP_USER |
USR21 | Zuweisung des Benutzernamens bzw. des Adressschlüssels | SAP_USR21 |
ADR6 | E-Mail-Adressen (Geschäftsadressendienste) | SAP_ADR6 |
USRSTAMP | Zeitstempel für alle Änderungen am Benutzer | SAP_USRSTAMP |
ADCP | Personen- bzw. Adresszuweisung (Geschäftsadressendienste) | SAP_ADCP |
USR05 | Parameter-ID des Benutzermasters | SAP_USR05 |
AGR_PROF | Profilname der Rolle | SAP_AGR_PROF |
AGR_FLAGS | Rollenattribute | SAP_AGR_FLAGS |
DEVACCESS | Tabelle für den Entwicklungsbenutzer | SAP_DEVACCESS |
AGR_DEFINE | Rollendefinition | SAP_AGR_DEFINE |
AGR_AGRS | Rollen in zusammengesetzten Rollen | SAP_AGR_AGRS |
PAHI | Verlauf der System-, Datenbank- und SAP-Parameter | SAP_PAHI |
SNCSYSACL (VORSCHAU) | SNC Access Control List (ACL): Systeme | SAP_SNCSYSACL |
USRACL (VORSCHAU) | SNC Access Control List (ACL): Benutzer | SAP_USRACL |
Nächste Schritte
Weitere Informationen finden Sie unter
- Bereitstellen der Microsoft Sentinel-Lösung für SAP®-Anwendungen
- Detaillierte SAP-Anforderungen für die Microsoft Sentinel-Lösung für SAP®-Anwendungen
- Bereitstellen des Microsoft Sentinel-Datenconnectors für SAP mit SNC
- Konfigurationsoptionen für Experten, lokale Bereitstellung und SAPControl-Protokollquellen
- Microsoft Sentinel-Lösung für SAP®-Anwendungen: integrierte sicherheitsbezogene Inhalte
- Überwachen der Integrität Ihres SAP-Systems
- Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen