Sammeln von SAP HANA-Überwachungsprotokollen in Microsoft Sentinel

In diesem Artikel wird erläutert, wie Sie Überwachungsprotokolle aus Ihrer SAP HANA-Datenbank sammeln.

Wichtig

Die Unterstützung für Microsoft Sentinel SAP HANA befindet sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen

SAP HANA-Protokolle werden über Syslog gesendet. Stellen Sie sicher, dass Ihr AMA-Agent oder Ihr Log Analytics-Agent (Legacy) für die Erfassung von Syslog-Dateien konfiguriert ist. Weitere Informationen finden Sie unter:

Weitere Informationen finden Sie unter Erfassen von Syslog- und CEF-Nachrichten für Microsoft Sentinel mit dem Azure Monitor-Agent.

Erfassen von SAP HANA-Überwachungsprotokollen

1. Stellen Sie sicher, dass der SAP HANA-Überwachungsprotokollpfad für die Verwendung von Syslog konfiguriert ist, wie auf der Launchpad-Website des SAP-Support im SAP-Hinweis 0002624117 beschrieben. Weitere Informationen finden Sie unter

   • SAP HANA-Überwachungspfad – Bewährte Methode
   • Empfehlungen für die Überwachung
   • SAP HANA Security Guide for SAP HANA Platform (SAP HANA-Sicherheitsleitfaden für SAP HANA Platform)

2. Überprüfen Sie die Syslog-Dateien Ihres Betriebssystems auf relevante HANA-Datenbankereignisse.

3. Melden Sie sich bei Ihrem HANA-Datenbankbetriebssystem als Benutzer mit sudo-Berechtigungen an.

4. Installieren Sie einen Agent auf Ihrem Computer, und vergewissern Sie sich, dass Ihr Computer verbunden ist. Weitere Informationen finden Sie unter:

   • Azure Monitor-Agent
   • Log Analytics-Agent (Legacy)

5. Konfigurieren Sie den Agent zum Sammeln von Syslog-Daten. Weitere Informationen finden Sie unter:

   • Azure Monitor-Agent
   • Log Analytics-Agent (Legacy)

   Tipp

   Da sich die Einrichtungen, in denen HANA-Datenbankereignisse gespeichert werden, zwischen verschiedenen Distributionen ändern können, empfiehlt es sich, alle Einrichtungen hinzuzufügen. Überprüfen Sie sie anhand Ihrer Syslog-Protokolle, und entfernen Sie dann alle nicht relevanten.

Überprüfen Ihrer Konfiguration

Führen Sie die folgenden Schritte sowohl in Microsoft Sentinel als auch in Ihrer SAP HANA-Datenbank aus, um zu überprüfen, ob Ihr System wie erwartet konfiguriert ist.

Microsoft Sentinel

Überprüfen Sie auf der Seite Protokolle von Microsoft Sentinel, ob HANA-Datenbankereignisse jetzt in den erfassten Protokollen angezeigt werden. Führen Sie beispielsweise die folgende Abfrage aus:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

Überprüfen Sie in Ihrer SAP HANA-Datenbank Ihre konfigurierten Überwachungsrichtlinien. Weitere Informationen zu den erforderlichen SQL-Anweisungen finden Sie im SAP-Hinweis 3016478.

Hinzufügen von Analyseregeln für SAP HANA in Microsoft Sentinel

Verwenden Sie die folgenden integrierten Analyseregeln, damit Microsoft Sentinel Benachrichtigungen zu verwandten SAP HANA-Aktivitäten auslöst:

• SAP – (VORSCHAU) HANA DB – Zuweisen von Administratorautorisierungen
• SAP – (VORSCHAU) HANA DB – Änderungen an Überwachungsprotokollrichtlinien
• SAP – (VORSCHAU) HANA DB – Deaktivierung des Überwachungsprotokolls
• SAP – (VORSCHAU) HANA DB – Benutzeradministratoraktionen

Weitere Informationen finden Sie unter Microsoft Sentinel-Lösung für SAP®-Anwendungen: Referenz zu Sicherheitsinhalten.

Zugehöriger Inhalt

Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP BTP:

• Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitstellen
• Microsoft Sentinel-Lösung für SAP-BTP: Referenz zu sicherheitsbezogenen Inhalten

Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP®-Anwendungen:

• Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitstellen
• Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen
• Bereitstellen von SAP-Änderungsanforderungen (CRs) und Konfigurieren der Autorisierung
• Bereitstellen des Lösungsinhalts über den Inhaltshub
• Bereitstellen und Konfigurieren des Containers für den SAP-Datenconnector-Agent
• Bereitstellen des SAP-Datenconnectors mit SNC
• Überwachen der Integrität Ihres SAP-Systems
• Aktivieren und Konfigurieren von SAP-Überwachung

Problembehandlung:

• Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen
• HANA audit log is not generated in SYSLOG | SAP note (HANA-Überwachungsprotokoll wird nicht in SYSLOG generiert | SAP-Hinweis)
• How to Redirect syslog Auditing for HANA to an alternate location | SAP note (Umleiten der Syslog-Überwachung für HANA an einen alternativen Speicherort | SAP-Hinweis)

Referenzdateien:

• Datenreferenz für die Microsoft Sentinel-Lösung für SAP®-Anwendungen
• Microsoft Sentinel-Lösung für SAP®-Anwendungen: Referenz zu sicherheitsbezogenen Inhalten
• Referenz zum Kickstartskript
• Referenz zum Updateskript
• Referenz zur Datei „Systemconfig.ini“

Weitere Informationen finden Sie unter Microsoft Sentinel-Lösungen.