Référence de données des applications Solution Microsoft Sentinel pour SAP®
Important
Certains composants de la solution Microsoft Sentinel Threat Monitoring for SAP sont actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Certains journaux, indiqués ci-dessous, ne sont pas envoyés à Microsoft Sentinel par défaut, mais vous pouvez les ajouter manuellement si nécessaire. Pour plus d’informations, consultez Définir les journaux SAP qui sont envoyés à Microsoft Sentinel.
Cet article décrit les fonctions, journaux et tables disponibles dans le cadre des applications Solution Microsoft Sentinel pour SAP® et de leur connecteur de données. Il est destiné aux utilisateurs SAP avancés.
Fonctions disponibles à partir de la solution SAP
Cette section décrit les fonctions disponibles dans votre espace de travail une fois que vous avez déployé les applications Solution Microsoft Sentinel pour SAP®. Recherchez ces fonctions dans la page Journaux de Microsoft Sentinel à utiliser dans vos requêtes KQL, répertoriées sous Fonctions d’espace de travail.
Les utilisateurs sont vivement encouragés à utiliser les fonctions comme objets de leur analyse quand c’est possible, au lieu des journaux ou tables sous-jacents. Ces fonctions sont destinées à servir d’interface utilisateur principale pour les données. Elles constituent la base de l’ensemble des règles et des classeurs d’analytique intégrées disponibles pour une utilisation immédiate. Ceci permet d’apporter des modifications à l’infrastructure des données derrière les fonctions, sans endommager le contenu créé par les utilisateurs.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAPConnectorHealth
- SAPConnectorOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
La fonction SAPUsersAssignments rassemble des données de plusieurs sources de données SAP et crée une vue centrée sur l’utilisateur des données de référence de l’utilisateur actuel, y compris les rôles et profils actuellement affectés.
Cette fonction résume les attributions d’utilisateurs aux rôles et profils, et retourne les données suivantes :
Champ | Description | Source de données/Notes |
---|---|---|
Utilisateur | ID d’utilisateur SAP | SAL uniquement |
Courrier | Adresse SMTP | USR21 (SMTP_ADDR) |
UserType | Type d’utilisateur | USR02 (USTYP) |
Fuseau horaire | Fuseau horaire | USR02 (TZONE) |
LockedStatus | Statut de verrouillage | USR02 (UFLAG) |
LastSeenDate | Date de dernière consultation | USR02 (TRDAT) |
LastSeenTime | Heure de dernière consultation | USR02 (LTIME) |
UserGroupAuth | Groupe d’utilisateurs dans la maintenance principale de l’utilisateur | USR02 (CLASS) |
Profils | Ensemble de profils (taille maximale par défaut = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | Ensemble de rôles directement affectés (taille maximale par défaut = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
ChildRoles | Ensemble de rôles indirectement affectés (taille maximale par défaut = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Client | ID client | |
SystemID | ID système | Comme défini dans le connecteur |
SAPUsersGetPrivileged
La fonction SAPUsersGetPrivileged retourne une liste d’utilisateurs privilégiés par client et ID système.
Les utilisateurs sont considérés comme privilégiés lorsqu’ils figurent dans la Watchlist SAP - Utilisateurs privilégiés, qu’un profil répertorié dans la Watchlist SAP - Profils sensibles leur a été attribué ou qu’ils ont été ajoutés à un rôle répertorié dans la Watchlist SAP - Rôles sensibles.
Paramètres :
- TimeAgo
- Facultatif
- Valeur par défaut : Sept jours
- Détermine que la fonction recherche les données de référence d’utilisateur entre l’heure définie par la valeur
TimeAgo
et l’heure définie par la valeurnow()
.
La fonction SAPUsersGetPrivileged retourne les données suivantes :
Champ | Description |
---|---|
Utilisateur | ID d’utilisateur SAP |
Client | ID client |
SystemID | ID système |
SAPUsersAuthorizations
La fonction SAPUsersAuthorizations regroupe les données de plusieurs tables pour produire une vue centrée sur l’utilisateur des rôles et autorisations actuels affectés. Seuls les utilisateurs avec des attributions de rôle et d’autorisation actives sont retournés.
Paramètres :
- TimeAgo
- Facultatif
- Valeur par défaut : Sept jours
- Détermine que la fonction recherche les données de référence d’utilisateur entre l’heure définie par la valeur
TimeAgo
et l’heure définie par la valeurnow()
.
La fonction SAPUsersAuthorizations retourne les données suivantes :
Champ | Description | Notes |
---|---|---|
Utilisateur | ID d’utilisateur SAP | |
Rôles | Ensemble de rôles (taille maximale par défaut = 50) | ["Role 1", "Role 2",...,"Role 50"] |
AuthorizationsDetails | Ensemble d’autorisations (taille maximale par défaut = 100) | {{AuthorizationsDeatils1} ,{AuthorizationsDeatils2} , ..., {AuthorizationsDeatils100}} |
Client | ID client | |
SystemID | ID système |
SAPConnectorHealth
La fonction SAPConnectorHealth reflète l’état de la connectivité de l’agent et du système SAP sous-jacent. En fonction du journal des pulsations SAP_HeartBeat_CL et d’autres indicateurs d’intégrité, il retourne les données suivantes :
Champ | Description |
---|---|
Agent | ID d’agent dans la configuration de l’agent (généré automatiquement) |
SystemID | ID du système SAP |
Statut | État de la connectivité globale |
Détails | Détails sur la connectivité |
ExtendedDetails | Détails étendus de la connectivité |
LastSeen | Horodatage de la dernière activité |
StatusCode | Code reflétant l’état du système |
SAPConnectorOverview
La fonction SAPConnectorOverview montre le nombre de lignes de chaque table SAP par ID système. Elle retourne une liste d’enregistrements de données par ID système et leur heure de génération.
Paramètres :
- TimeAgo
- Facultatif
- Valeur par défaut : Sept jours
- Détermine que la fonction recherche les données de référence d’utilisateur entre l’heure définie par la valeur
TimeAgo
et l’heure définie par la valeurnow()
.
Champ | Description |
---|---|
TimeGenerated | Valeur datetime de l’horodatage de la génération de l’enregistrement |
SystemID_s | Chaîne représentant l’ID du système SAP. |
Utilisez la requête Kusto suivante pour effectuer une analyse de tendance quotidienne :
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
La fonction SAPUsersEmail permet une recherche orientée performances de l’adresse e-mail d’un utilisateur SAP par système et client SAP, normalement utilisée pour l’associer à un compte Active Directory. À l’aide de données extraites des tables SAP USR21 (attribution de clé nom d’utilisateur/adresse) et ADR6 (adresses e-mail), la fonction SAPUsersEmail recherche une adresse e-mail. S’il n’y en a pas, l’ID utilisateur est renvoyé à la place de l’adresse e-mail. Ce comportement garantit que les comptes de service SAP (comme DDIC), qui ne sont souvent pas associés à des adresses e-mail, sont enregistrés en tant que comptes pseudo AD, ce qui permet d’activer certaines fonctionnalités UEBA et de faciliter l’enquête sur les incidents et les activités de chasse.
Champ | Description |
---|---|
ClientID | L’ID client SAP |
SystemID | l’ID du système SAP ; |
Utilisateur | L’ID d’utilisateur SAP |
L’adresse e-mail de l’utilisateur SAP |
SAPSystems
La fonction SAPSystems est utilisée pour présenter de manière centralisée la configuration par système effectuée à l’aide de la watchlist « SAP - Systèmes ».
Paramètres :
- SelectedSystems
- Facultatif
- Valeur par défaut : « Tous les systèmes »
- Utilisé pour filtrer des systèmes SAP spécifiques
- SelectedSystemRoles
- Facultatif
- Valeur par défaut : « Tous les rôles système »
- Détermine les rôles des systèmes SAP à examiner (comme défini dans la watchlist « SAP - Systèmes »)
Champ | Description | Source de données/Notes |
---|---|---|
Clé de recherche | Clé de recherche | Champ indexé pour l’ID système SAP |
SystemRole | Rôle du système SAP | Production, UAT |
SystemUsage | L’utilisation principale du système SAP | ERP, CRM |
SystemID | l’ID du système SAP ; |
SAPAuditLogConfiguration
La fonction SAPAuditLogConfiguration retourne la configuration locale des alertes de journal d’audit SAP de l’espace de travail Sentinel, à utiliser pour les différentes alertes liées au journal d’audit SAP. Elle joint les données dans les watchlists « Configuration du moniteur de journal d’audit dynamique SAP » et « SAP - Systèmes » pour fournir une configuration par système à un effort par rôle système.
Paramètres :
- SelectedSystems
- Facultatif
- Valeur par défaut : « Tous les systèmes »
- Utilisé pour filtrer des systèmes SAP spécifiques à examiner.
- SelectedSystemRoles
- Facultatif
- Valeur par défaut : « Tous les rôles système »
- Détermine les rôles des systèmes SAP à examiner (comme défini dans la watchlist « SAP - Systèmes »).
- SelectedSeverities
- Facultatif
- Valeur par défaut : ["High", "Medium"]
- Permet de déterminer les événements à examiner en termes de gravité. Les gravités par ID de message du journal d’audit SAP et le rôle système sont définies dans la watchlist « SAP_Dynamic_Audit_Log_Monitor_Configuration ».
- SelectedRuleTypes
- Facultatif
- Valeur par défaut : « All RuleTypes »
- Détermine les événements pertinents pour détecter les anomalies. Les types de règles par ID de message du journal d’audit SAP et le rôle système sont définies dans la watchlist « SAP_Dynamic_Audit_Log_Monitor_Configuration ».
Champ | Description | Source de données/Notes |
---|---|---|
CategoryName (Nom de catégorie) | Catégorie d’événements donnée par SAP | Watchlist « Configuration du moniteur de journal d’audit dynamique SAP » |
DestinationEmail | Adresse e-mail de l’équipe affectée | Watchlist « Configuration du moniteur de journal d’audit dynamique SAP » |
DetailedDescription | Texte Markdown mis en forme à afficher sur les alertes | Watchlist « Configuration du moniteur de journal d’audit dynamique SAP » |
MessageID | ID du message du journal d’audit SAP | Watchlist « Configuration du moniteur de journal d’audit dynamique SAP » |
MessageText | Exemple de texte de message | Watchlist « Configuration du moniteur de journal d’audit dynamique SAP » |
RolesTagsToExclude | un rôle ABAP, un profil ou une étiquette en texte libre | Watchlist « Configuration du moniteur de journal d’audit dynamique SAP » |
RuleType | Anomalie ou déterministe | Watchlist « Configuration du moniteur de journal d’audit dynamique SAP » |
Tactique | La tactique MITRE ATTA&CK | Watchlist « Configuration du moniteur de journal d’audit dynamique SAP » |
TeamsChannelID | Canal Teams | Watchlist « Configuration du moniteur de journal d’audit dynamique SAP » |
SystemID | l’ID du système SAP ; | Watchlist ’SAP - Systems’ |
SystemRole | Rôle du système SAP | Watchlist ’SAP - Systems’ |
SystemUsage | L’utilisation principale du système SAP | Watchlist ’SAP - Systems’ |
IsProd | Indicateur du système de production | Watchlist ’SAP - Systems’ |
Gravité | Gravité dérivée | Gravité par utilisation du système |
Seuil | Seuil dérivé | Nombre d’événements par utilisation du système |
BagOfDetails | Sac de détails | Dictionnaire détaillant la définition d’événement |
SAPAuditLogAnomalies
SAPAuditLogAnomalies utilise les fonctionnalités intégrées de la base de données Kusto sous-jacente de Sentinel pour détecter les événements anormaux observés dans le journal d’audit SAP. Développée pour la règle d’alerte « Alertes d’analyse des journaux d’audit basées sur des anomalies dynamiques (expérimentales) », cette fonction a été initialement conçue pour alerter sur les anomalies récentes, mais elle peut également aider à mettre en évidence les anomalies historiques (voir les exemples ci-dessous).
Paramètres :
- LearningTime
- Facultatif
- Valeur par défaut : 14 jours
- Détermine l’intervalle de temps utilisé pour la formation du modèle
- DetectingTime
- Facultatif
- Valeur par défaut : une heure
- Détermine l’intervalle de temps à examiner pour détecter les anomalies. L’appel de cette fonction avec DetectingTime = 0h met en évidence les anomalies dans l’ensemble de l’intervalle de temps LearningTime
- SelectedSystems
- Facultatif
- Valeur par défaut : « Tous les systèmes »
- Utilisé pour filtrer des systèmes SAP spécifiques à examiner.
- SelectedSystemRoles
- Facultatif
- Valeur par défaut : « Tous les rôles système »
- Détermine les rôles des systèmes SAP à examiner (comme défini dans la watchlist « SAP - Systèmes »).
- SelectedSeverities
- Facultatif
- Valeur par défaut : ["High", "Medium"]
- Permet de déterminer les événements à examiner en termes de gravité. Les gravités par ID de message du journal d’audit SAP et le rôle système sont définies dans la watchlist « SAP_Dynamic_Audit_Log_Monitor_Configuration ».
- SelectedPrefixMask
- Facultatif
- Valeur par défaut : 24
- Utilisé pour déterminer le niveau de masque de sous-réseau utilisé pour l’apprentissage et la détection.
- SelectedRuleTypes
- Facultatif
- Valeur par défaut : « AnomaliesOnly »
- Détermine les événements pertinents pour détecter les anomalies. Les types de règles par ID de message du journal d’audit SAP et le rôle système sont définies dans la watchlist « SAP_Dynamic_Audit_Log_Monitor_Configuration ».
Logique
La fonction apprend la tranche de l’historique définie par les différents paramètres d’entrée, aux niveaux utilisateur, attribut réseau, système, saisonnalité et activité. Elle juge ensuite les événements qui se produisent dans le dernier intervalle de temps de DetectingTime en fonction de ce qu’elle a appris, appliquant des seuils et d’autres critères d’exclusion configurables obtenus à partir de la watchlist de configuration du journal d’audit SAP. Une fois qu’une fenêtre glissante d’activité utilisateur a été considérée anormale, une deuxième requête retourne l’ensemble de l’activité utilisateur comme preuve soutenant la décision.
Remarques supplémentaires
Comme pour n’importe quelle solution Machine Learning, cette fonction s’améliore avec le temps. Des ajustements supplémentaires peuvent être effectués à l’aide de la configuration locale. Il est recommandé de limiter la taille de la base de données apprise à moins de 100 millions d’enregistrements à l’aide des nombreux paramètres d’entrée disponibles.
Exemple : recherche des anomalies pour les événements de gravité élevée qui se sont produits au cours de la dernière heure sur les systèmes de production pour les types d’événements marqués comme « AnomaliesOnly » dans « SAP_Dynamic_Audit_Log_Monitor_Configuration »
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Exemple : Recherche de toutes les anomalies au cours des 14 derniers jours dans le système « BIP »
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Champ | Description |
---|---|
Plusieurs champs de SAPAuditLog | Champs clés du journal d’audit SAP |
Plusieurs champs de SAPAuditLogConfiguration | Champs clés de la configuration du journal d’audit SAP Sentinel |
DiscoveredOn | Heure arrondie à laquelle l’anomalie a été observée |
EventCount | Nombre d’événements comptés par ligne retournée |
AnomalCount | Nombre d’événements observés dans une fenêtre glissante appropriée |
MinTime | Heure du premier événement observé |
MaxTime | Heure du dernier événement observé |
Score | les scores d’anomalie générés par le modèle d’anomalie |
Pour plus d’informations, consultez Règles d’analytique SAP intégrées pour surveiller le journal d’audit SAP.
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend est une fonction d’aide conçue pour offrir des recommandations pour la configuration de la règle d’analyse SAP - Alertes du moniteur de journal d’audit basées sur les anomalies dynamiques (PRÉVERSION). Découvrez comment configurer les règles.
SAPUsersGetVIP
La solution Microsoft Sentinel pour les applications SAP® utilise un concept d’étiquetage des utilisateurs centraux et d’exclusions explicites, conçue pour vous aider à réduire les faux positifs avec un effort minimal. Utilisez la fonction SAPUsersGetVIP pour exclure les utilisateurs du déclenchement d’alertes en spécifiant des rôles d’utilisateur SAP, des fonctions utilisateur SAP ou des balises qui représentent ces utilisateurs. Pour plus d’informations, consultez Gérer les faux positifs dans Microsoft Sentinel.
Les balises spécifiées comme entrée pour la fonction SAPUsersGetVIP excluent tous les utilisateurs avec une balise répertoriée dans la liste de surveillance SAP_User_Config . La même fonctionnalité est étendue pour fonctionner avec des caractères génériques carte, ce qui vous permet d’affecter une balise unique à un groupe d’utilisateurs avec la même syntaxe de nommage.
Étiquetez les utilisateurs dans la liste de surveillance SAP_User_Config comme suit :
Ajoutez plusieurs balises à chaque utilisateur dans la SAP_User_Config watchlist, selon les besoins pour couvrir différents scénarios. Chaque règle d’alerte a ses propres balises pertinentes, le cas échéant, et vous pouvez ajouter des balises personnalisées si nécessaire.
Utilisez un astérisque (*) comme caractère générique carte pour inclure des utilisateurs avec un modèle de syntaxe d’affectation de noms spécifique.
Ajoutez la fonction SAPUsersGetVIP dans vos règles d’analyse pour demander les listes des utilisateurs que vous avez définis pour être exclus des alertes. Dans l’appel de fonction, ajoutez un tableau avec les balises, les rôles SAP et les profils SAP que vous souhaitez exclure.
Par exemple, utilisez la requête KQL suivante dans votre règle d’analyse pour exclure tous les utilisateurs configurés avec la balise RunObsoleteProgOK dans la liste de surveillance SAP_User_Config, ou tous les utilisateurs avec l’exemple de rôle SAP_BASIS_ADMIN_ROLE ou l’exemple de profil SAP_ADMIN_PROFILE.
Lorsque vous copiez cet exemple d’appel de fonction, remplacez SAP_BASIS_ADMIN_ROLE rôle et SAP_ADMIN_PROFILE profil par vos propres rôles ou profils SAP en fonction des besoins.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
La fonction SAPUsersGetVIP est couramment utilisée dans les alertes déterministes et anormales du moniteur de journal d’audit. Associez une balise à un ID de message du journal d’audit SAP ou étendez le modèle de règle à une règle personnalisée qui correspond aux besoins de votre organisation.
Conseil
Nous vous recommandons de contacter votre administrateur système SAP pour comprendre les utilisateurs, rôles et profils SAP à inclure dans votre liste de surveillance SAP_User_Config .
Paramètres :
Nom | Description | Valeur par défaut |
---|---|---|
SearchForTags (facultatif) | En cas SearchForTags d’égalité, tous les utilisateurs sont retournés All Tags avec leurs balises. Sinon, seuls les utilisateurs portant les balises, les rôles SAP ou les profils SAP spécifiés sont SearchForTags retournés. TagsIntersect affiche les balises trouvées et IntersectionSize contient le nombre de balises trouvées. |
dynamic('All Tags') |
SpecialFocusTags (facultatif) | Retourne tous les utilisateurs portant les balises spécifiées dans SpecialFocusTags , et marqués avec ceux avec specialFocusTagged = true . |
Do not return any in-focus users |
Source | Champ | Description | Notes |
---|---|---|---|
La liste de surveillance SAP_User_Config | Clé de recherche | Clé de recherche | |
La liste de surveillance SAP_User_Config | SAPUser | Utilisateur SAP | OSS, DDIC |
La liste de surveillance SAP_User_Config | Balises | Chaîne de balises attribuées à l’utilisateur | RunObsoleteProgOK |
La liste de surveillance SAP_User_Config | ID d’objet Microsoft Entra de l’utilisateur | ID d’objet Microsoft Entra | |
La liste de surveillance SAP_User_Config | Identificateur d’utilisateur | Identificateur d’utilisateur AD | |
La liste de surveillance SAP_User_Config | Sid local de l’utilisateur | ||
La liste de surveillance SAP_User_Config | Nom d’utilisateur principal | ||
La liste de surveillance SAP_User_Config | TagsList | Une liste d’étiquettes attribuées à l’utilisateur | ChangeUserMasterDataOK;RunObsoleteProgOK |
Logique | TagsIntersect | Ensemble d’étiquettes correspondant à SearchForTags | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Logique | SpecialFocusTagged | Indication spéciale du focus | True, False |
Logique | IntersectionSize | Nombre d’étiquettes croisées |
SAPUsersHeader
La fonction SAPUsersHeader est conçue pour fournir une vue générale de l’utilisateur SAP. Elle utilise les données extraites des tables de données principales de l’utilisateur SAP et de l’activité récente sur le journal d’audit SAP pour collecter des adresses IP et e-mail. Elle retourne ensuite les dernières adresses e-mail et IP connues, ainsi que les adresses IP et e-mail principales. Paramètres : SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- Facultatif
- Valeur par défaut : « Tous les systèmes »
- Utilisé pour filtrer des systèmes SAP spécifiques à examiner.
- SelectedSystemRoles
- Facultatif
- Valeur par défaut : « Tous les rôles système »
- Détermine les rôles des systèmes SAP à examiner (comme défini dans la watchlist « SAP - Systèmes »).
- SelectedUsers
- Facultatif
- Valeur par défaut : Tous les utilisateurs
- Peut entrer des listes d’utilisateurs.
- SelectedUser
- Facultatif
- Valeur par défaut : Tous les utilisateurs
- Accepte un seul utilisateur
Remarques supplémentaires
Pour les considérations relatives aux performances, seuls quelques jours d’activité d’audit sont pris en compte. Pour obtenir un historique complet de l’activité utilisateur, exécutez une requête KQL personnalisée sur la fonction SAPAuditLog.
Source | Champ | Description | Notes |
---|---|---|---|
Utilisateur | Utilisateur SAP | ||
Tables SAP ADR6 et USR21 | Extrait des données de référence de l’utilisateur | OSS, DDIC | |
Table SAP USR02 | UserType | chaîne d’étiquettes affectées à l’utilisateur | RunObsoleteProgOK |
Table SAP USR02 | Fuseau horaire | ID d’objet Microsoft Entra | |
Table SAP USR02 | LockedStatus | Identificateur d’utilisateur AD | |
Journal d’audit SAP | LastSeen | Un timestamp | dernier événement d’audit observé pour l’utilisateur |
Journal d’audit SAP | LastSeenDaysAgo | jours passés depuis LastSeen | |
Journal d’audit SAP | PrimaryIP | Adresse IP la plus fréquemment utilisée | ChangeUserMasterDataOK;RunObsoleteProgOK |
Journal d’audit SAP | LastKnownIP | Adresse IP la plus récemment utilisée | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Journal d’audit SAP | PrimaryEmail | Adresse e-mail la plus fréquemment utilisée | True, False |
Journal d’audit SAP | KnownIPs | Liste des adresses IP connues | trié par la plus haute fréquence |
Journal d’audit SAP | KnownEmails | Liste des adresses e-mail connues | trié par la plus haute fréquence |
Client | L’ID client SAP | ||
SystemID | L’ID du système SAP | ||
SystemRole | Rôle du système SAP | Production, UAT | |
SystemUsage | L’utilisation principale du système SAP | ERP, CRM |
Journaux générés par l’agent de connecteur de données
Cette section décrit les journaux SAP disponibles auprès du connecteur de données des applications Solution Microsoft Sentinel pour SAP®, y compris les noms des tables dans Microsoft Sentinel, les objectifs des journaux et les schémas détaillés des journaux. Les descriptions des champs de schéma sont basées sur les descriptions des champs de la documentation SAP pertinente.
Pour obtenir les meilleurs résultats, utilisez les fonctions Microsoft Sentinel listées ci-dessous pour visualiser les données, y accéder et les interroger.
- Journal des applications ABAP
- Journal des documents de modification ABAP
- Journal ABAP CR
- Journal des données de table ABAP DB (PRÉVERSION)
- Journal de passerelle ABAP (PRÉVERSION)
- Journal ICM ABAP (PRÉVERSION)
- Journal des tâches ABAP
- Journal d’audit de sécurité ABAP
- Journal ABAP Spool
- Journal de sortie APAB Spool
- ABAP SysLog
- Journal ABAP Workflow
- Journal ABAP WorkProcess
- Piste d’audit HANA DB
- Fichiers JAVA
- Journal des pulsations SAP
Journal des applications ABAP
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPAppLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre la progression de l’exécution d’une application afin que vous puissiez la reconstruire ultérieurement si nécessaire.
Disponible en utilisant RFC basé sur la table SAP standard et les services standard de l’interface XBP. Ce journal est généré par client.
Schéma du journal ABAPAppLog_CL
Champ | Description |
---|---|
AppLogDateTime | Date et heure du journal des applications |
CallbackProgram | Programme de rappel |
CallbackRoutine | Routine de rappel |
CallbackType | Type de rappel |
ClientID | ID client ABAP (MANDT) |
ContextDDIC | Structure DDIC de contexte |
ExternalID | ID de journal externe |
Hôte | Hôte |
Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Série de messages du journal des applications |
LevelofDetail | Niveau de détail |
LogHandle | Handle du journal des applications |
LogNumber | Numéro de journal |
MessageClass | Message, classe |
MessageNumber | Numéro de message |
MessageText | Texte du message |
MessageType | type de message |
Object | Objet journal des applications |
OperationMode | Mode de fonctionnement |
ProblemClass | Classe de problème |
ProgramName | Nom du programme |
SortCriterion | Critère de tri |
StandardText | Texte standard |
SubObject | Sous-objet du journal des applications |
SystemID | ID système |
SystemNumber | Numéro système |
TransactionCode | Code de transaction |
Utilisateur | Utilisateur |
UserChange | Modification de l’utilisateur |
Journal des documents de modification ABAP
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPChangeDocsLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre :
Le serveur d’applications (AS) SAP NetWeaver ABAP journalise les modifications apportées aux objets de données métier dans les documents de modification.
D’autres entités dans le système SAP, comme les données utilisateur, les rôles, les adresses.
Disponible en utilisant RFC basé sur les tables SAP standard. Ce journal est généré par client.
Schéma de journal ABAPChangeDocsLog_CL
Champ | Description |
---|---|
ActualChangeNum | Numéro de modification réel |
ChangedTableKey | Clé de table modifiée |
ChangeNumber | Numéro de modification |
ClientID | ID client ABAP (MANDT) |
CreatedfromPlannedChange | Créé à partir d’une modification planifiée, avec la syntaxe suivante : (‘X’ , ‘ ‘) |
CurrencyKeyNew | Clé de devise : nouvelle valeur |
CurrencyKeyOld | Clé de devise : ancienne valeur |
FieldName | Nom du champ |
FlagText | Texte d’indicateur |
Hôte | Hôte |
Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
Langage | Langage |
ObjectClass | Classe d’objet, comme BELEG , BPAR , PFCG , IDENTITY |
ObjectID | ID objet |
PlannedChangeNum | Numéro de modification planifiée |
SystemID | ID système |
SystemNumber | Numéro système |
TableName | Nom de la table |
TransactionCode | Code de transaction |
TypeofChange_Header | Type d’en-tête de modification, y compris : U = Changer ; I = Insérer ; E = Supprimer un seul doc ; D = Supprimer ; J = Insérer un seul doc |
TypeofChange_Item | Type d’élément de modification, y compris : U = Changer ; I = Insérer ; E = Supprimer un seul doc ; D = Supprimer ; J = Insérer un seul doc |
UOMNew | Unité de mesure : nouvelle valeur |
UOMOld | Unité de mesure : ancienne valeur |
Utilisateur | Utilisateur |
ValueNew | Contenu du champ : nouvelle valeur |
ValueOld | Contenu du champ : ancienne valeur |
Version | Version |
Journal ABAP CR
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPCRLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : inclut les journaux du système de modification et de transport (CTS), y compris les objets d’annuaire et les personnalisations où des modifications ont été apportées.
Disponible en utilisant RFC basé sur les tables standard et les services SAP standard. Ce journal est généré avec des données de tous les clients.
Remarque
En plus de la journalisation des applications, des documents de modification et de l’enregistrement des tables, toutes les modifications apportées à votre système de production à l’aide du système modification et de transport sont documentées dans les journaux CTS et TMS.
Schéma du journal ABAPCRLog_CL
Champ | Description |
---|---|
Category | Catégorie (Workbench, personnalisation) |
ClientID | ID client ABAP (MANDT) |
Description | Description |
Host | Hôte |
Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
ObjectName | Nom d’objet |
ObjectType | Type d’objet |
Propriétaire | Propriétaire |
Requête | Demande de modification |
Statut | Statut |
SystemID | ID système |
SystemNumber | Numéro système |
TableKey | Clé de table |
TableName | Nom de la table |
NomVue | Nom de l’affichage |
Journal des données de table ABAP DB (PRÉVERSION)
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.ini.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPTableDataLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : fournit la journalisation pour les tables qui sont critiques ou sensibles aux audits.
Disponible en utilisant RFC avec un service personnalisé. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPTableDataLog_CL
Champ | Description |
---|---|
DBLogID | ID du journal DB |
Hôte | Hôte |
Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
Langage | Langage |
LogKey | Clé de journal |
NewValue | Nouvelle valeur du champ |
OldValue | Ancienne valeur du champ |
OperationTypeSQL | Type d’opération, Insert , Update , Delete |
Programme | Nom du programme |
SystemID | ID système |
SystemNumber | Numéro système |
TableField | Champ de table |
TableName | Nom de la table |
TransactionCode | Code de transaction |
UserName | Utilisateur |
VersionNumber | Numéro de version |
Journal de passerelle ABAP (PRÉVERSION)
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.ini.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_GW
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : supervise les activités de la passerelle. Disponible par le service web de contrôle SAP. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPOS_GW_CL
Champ | Description |
---|---|
Host | Hôte |
Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
MessageText | Texte du message |
Gravité | Gravité du message : Debug , Info , Warning , Error |
SystemID | ID système |
SystemNumber | Numéro système |
Journal ICM ABAP (PRÉVERSION)
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.ini.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_ICM
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre les demandes entrantes et sortantes et compile les statistiques des requêtes http.
Disponible par le service web de contrôle SAP. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPOS_ICM_CL
Champ | Description |
---|---|
Host | Hôte |
Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
MessageText | Texte du message |
Gravité | Gravité du message, y compris : Debug , Info , Warning , Error |
SystemID | ID système |
SystemNumber | Numéro système |
Journal des tâches ABAP
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPJobLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : combine tous les journaux des travaux de traitement en arrière-plan (SM37).
Disponible en utilisant RFC basé sur la table SAP standard et les services standard des interfaces XBP. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPJobLog_CL
Champ | Description |
---|---|
ABAPProgram | Programme ABAP |
BgdEventParameters | Paramètres d’événement en arrière-plan |
BgdProcessingEvent | Événement de traitement en arrière-plan |
ClientID | ID client ABAP (MANDT) |
DynproNumber | Numéro Dynpro |
GUIStatus | État GUI |
Hôte | Hôte |
Instance | Instance ABAP (HOST_SYSID_SYSNR), avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
JobClassification | Classification du travail |
JobCount | Nombre de travaux |
JobGroup | Groupe de travaux |
JobName | Nom du travail |
JobPriority | priorité de travail |
MessageClass | Message, classe |
MessageNumber | Numéro de message |
MessageText | Texte du message |
MessageType | type de message |
ReleaseUser | Utilisateur de validation du travail |
SchedulingDateTime | Date et heure de la planification |
StartDateTime | Date et heure de début |
SystemID | ID système |
SystemNumber | Numéro système |
TargetServer | Serveur cible |
Utilisateur | Utilisateur |
UserReleaseInstance | Instance ABAP - version utilisateur |
WorkProcessID | ID du processus de travail |
WorkProcessNumber | Numéro du processus de travail |
Journal d’audit de sécurité ABAP
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPAuditLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre les données suivantes :
- Modifications relatives à la sécurité dans l’environnement du système SAP, comme les modifications apportées aux enregistrements des utilisateurs principaux
- Informations qui fournissent un niveau de données plus élevé, comme les tentatives de connexion réussies et infructueuses
- Informations qui permettent de reconstruire une série d’événements, comme les démarrages de transaction réussis ou ayant échoué
Disponible à l’aide des interfaces RFC XAL/SAL. SAL est disponible à partir de la version Basis 7.50. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPAuditLog_CL
Champ | Description |
---|---|
ABAPProgramName | Nom du programme, SAL uniquement |
AlertSeverity | Gravité de l’alerte |
AlertSeverityText | Texte de gravité d’alerte, SAL uniquement |
AlertValue | Valeur d’alerte |
AuditClassID | ID de classe d’audit, SAL uniquement |
ClientID | ID client ABAP (MANDT) |
Computer | Ordinateur de l’utilisateur, SAL uniquement |
Courrier | E-mail de l’utilisateur |
Hôte | Hôte |
Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
MessageClass | Message, classe |
MessageContainerID | ID de conteneur de message, XAL uniquement |
MessageID | ID de message, tel que ‘AU1’,’AU2’… |
MessageText | Texte du message |
MonitoringObjectName | Nom d’objet MTE Monitor, XAL uniquement |
MonitorShortName | Nom court MTE Monitor, XAL uniquement |
SAPProcesType | Journal système : type de processus SAP, SAL uniquement |
B* - Traitement en arrière-plan | |
D* - Traitement de dialogue | |
U* - Mettre à jour les tâches | |
SAPWPName | Journal système : numéro de processus de travail, SAL uniquement |
SystemID | ID système |
SystemNumber | Numéro système |
TerminalIPv6 | Adresse IP de l’ordinateur utilisateur, SAL uniquement |
TransactionCode | Code de transaction, SAL uniquement |
Utilisateur | Utilisateur |
Variable1 | Variable de message 1 |
Variable2 | Variable de message 2 |
Variable3 | Variable de message 3 |
Variable4 | Variable de message 4 |
Journal ABAP Spool
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPSpoolLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : sert de journal principal pour l’impression SAP avec l’historique des demandes de spool. (SP01).
Disponible en utilisant RFC basé sur la table SAP standard. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPSpoolLog_CL
Champ | Description |
---|---|
ArchiveStatus | État de l’archive |
ArchiveType | Type d’archive |
ArchivingDevice | Appareil d’archivage |
AutoRereoute | Rediriger automatiquement |
ClientID | ID client ABAP (MANDT) |
CountryKey | Clé pays |
DeleteSpoolRequestAuto | Supprimer automatiquement la demande de spool |
DelFlag | Indicateur de suppression |
department | department |
DocumentType ; | Type du document |
ExternalMode | Mode externe |
FormatType | Type de format |
Hôte | Hôte |
Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
NumofCopies | Nombre de copies |
OutputDevice | Appareil de sortie |
PrinterLongName | Nom long de l’imprimante |
PrintImmediately | Imprimer immédiatement |
PrintOSCoverPage | Imprimer la page OSCover |
PrintSAPCoverPage | Imprimer la page SAPCover |
Priorité | Priorité |
RecipientofSpoolRequest | Destinataire de la demande de spool |
SpoolErrorStatus | État d’erreur du spool |
SpoolRequestCompleted | Demande de spool terminée |
SpoolRequestisALogForAnotherRequest | La demande spool est un journal pour une autre demande |
SpoolRequestName | Nom de la demande de spool |
SpoolRequestNumber | Numéro de demande de spool |
SpoolRequestSuffix1 | Demande de spool, suffixe1 |
SpoolRequestSuffix2 | Demande de spool, suffixe2 |
SpoolRequestTitle | Titre de la demande de spool |
SystemID | ID système |
SystemNumber | Numéro système |
TelecommunicationsPartner | Partenaire de télécommunications |
TelecommunicationsPartnerE | Partenaire de télécommunications E |
TemSeGeneralcounter | Compteur Temse |
TemseNumAddProtectionRule | Temse, numéro d’ajout de règle de protection |
TemseNumChangeProtectionRule | Temse, numéro de modification de règle de protection |
TemseNumDeleteProtectionRule | Temse, numéro de suppression de règle de protection |
TemSeObjectName | Nom d’objet Temse |
TemSeObjectPart | Partie de l’objet Temse |
TemseReadProtectionRule | Temse, lecture de règle de protection |
Utilisateur | Utilisateur |
ValueAuthCheck | Vérification de l’authentification de la valeur |
Journal de sortie APAB Spool
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPSpoolOutputLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : sert de journal principal pour l’impression SAP avec l’historique des demandes de sortie de spool. (SP02).
Disponible en utilisant RFC avec un service personnalisé basé sur les tables standard. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPSpoolOutputLog_CL
Champ | Description |
---|---|
AppServer | Serveur d’applications |
ClientID | ID client ABAP (MANDT) |
Comment | Comment |
CopyCount | Nombre de copies |
CopyCounter | Compteur de copies |
department | department |
ErrorSpoolRequestNumber | Numéro de demande d’erreur |
FormatType | Type de format |
Hôte | Hôte |
HostName | Nom de l’hôte |
HostSpoolerID | ID du spouleur de l’hôte |
Instance | Instance ABAP |
LastPage | Dernière page |
NumofCopies | Nombre de copies |
OutputDevice | Appareil de sortie |
OutputRequestNumber | Numéro de demande de sortie |
OutputRequestStatus | État de la demande de sortie |
PhysicalFormatType | Type de format physique |
PrinterLongName | Nom long de l’imprimante |
PrintRequestSize | Taille de la demande d’impression |
Priorité | Priorité |
ReasonforOutputRequest | Motif de la demande de sortie |
RecipientofSpoolRequest | Destinataire de la demande de spool |
SpoolNumberofOutputReqProcessed | Nombre de demandes de sortie traitées |
SpoolNumberofOutputReqWithErrors | Nombre de demandes de sortie avec des erreurs |
SpoolNumberofOutputReqWithProblems | Nombre de demandes de sortie avec des problèmes |
SpoolRequestNumber | Numéro de demande de spool |
StartPage | Page de démarrage |
SystemID | ID système |
SystemNumber | Numéro système |
TelecommunicationsPartner | Partenaire de télécommunications |
TemSeGeneralcounter | Compteur Temse |
Titre | Titre |
Utilisateur | Utilisateur |
ABAP Syslog
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.ini.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_Syslog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : enregistre l’ensemble des erreurs système, des avertissements, des verrous utilisateur ABAP SAP NetWeaver AS en raison des échecs de connexion des utilisateurs connus et de traitement des messages.
Disponible par le service web de contrôle SAP. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPOS_Syslog_CL
Champ | Description |
---|---|
ClientID | ID client ABAP (MANDT) |
Hôte | Hôte |
Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
MessageNumber | Numéro de message |
MessageText | Texte du message |
Gravité | Gravité du message, l’une des valeurs suivantes : Debug , Info , Warning , Error |
SystemID | ID système |
SystemNumber | Numéro système |
TransacationCode | Code de transaction |
Type | Type de processus SAP |
Utilisateur | Utilisateur |
Journal ABAP Workflow
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPWorkflowLog
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : SAP Business Workflow (WebFlow Engine) vous permet de définir des processus métier qui ne sont pas encore mappés dans le système SAP.
Par exemple, les processus métier non mappés peuvent être des procédures de publication ou d’approbation simples, ou des processus métier plus complexes, comme la création de documents de base, puis la coordination des services associés.
Disponible en utilisant RFC basé sur les tables SAP standard. Ce journal est généré par client.
Schéma du journal ABAPWorkflowLog_CL
Champ | Description |
---|---|
ActualAgent | Agent réel |
Adresse | Adresse |
ApplicationArea | Domaine d'application |
CallbackFunction | Fonction de rappel |
ClientID | ID client ABAP (MANDT) |
CreationDateTime | Date/heure de création |
Creator | Creator |
CreatorAddress | Adresse du créateur |
ErrorType | Type d’erreur |
ExceptionforMethod | Exception pour la méthode |
Hôte | Hôte |
Instance | Instance ABAP (HOST_SYSID_SYSNR), avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
Langage | Langage |
LogCounter | Compteur du journal |
MessageNumber | Numéro de message |
MessageType | type de message |
MethodUser | Utilisateur de méthode |
Priorité | Priorité |
SimpleContainer | Conteneur simple, compressé sous la forme d’une liste d’entités Clé-Valeur pour l’élément de travail |
Statut | Statut |
SuperWI | Super WI |
SystemID | ID système |
SystemNumber | Numéro système |
TaskID | ID de la tâche |
TasksClassification | Classifications des tâches |
TaskText | Texte de la tâche |
TopTaskID | ID de la tâche supérieure |
UserCreated | Créé par l’utilisateur |
WIText | Texte de l’élément de travail |
WIType | Type d'élément de travail |
WorkflowAction | Action workflow |
WorkItemID | ID d'élément de travail |
Journal ABAP WorkProcess
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.ini.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPOS_WP
Documentation SAP associée : Portail d’aide SAP
Objectif du journal : combine tous les journaux des processus de travail. (valeur par défaut :
dev_*
).Disponible par le service web de contrôle SAP. Ce journal est généré avec des données de tous les clients.
Schéma du journal ABAPOS_WP_CL
Champ | Description |
---|---|
Host | Hôte |
Instance | Instance ABAP, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
MessageText | Texte du message |
Gravité | Gravité du message : Debug , Info , Warning , Error |
SystemID | ID système |
SystemNumber | Numéro système |
WPNumber | Numéro du processus de travail |
Piste d’audit HANA DB
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez déployer Microsoft Management Agent pour recueillir les données Syslog à partir de la machine exécutant HANA DB.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPSyslog
Documentation SAP associée : Général | Piste d’audit
Objectif du journal : enregistre les actions ou les tentatives d’actions des utilisateurs dans la base de données SAP HANA. Par exemple, vous permet d’enregistrer et de superviser l’accès en lecture aux données sensibles.
Disponible par l’agent Sentinel Linux pour Syslog. Ce journal est généré avec des données de tous les clients.
Schéma du journal Syslog
Champ | Description |
---|---|
Computer | Nom de l’hôte |
HostIP | Adresse IP hôte |
HostName | Nom de l’hôte |
ProcessID | ID du processus |
ProcessName | Nom du processus : HDB* |
SeverityLevel | Alerte |
SourceSystem | SE du système source, Linux |
SyslogMessage | Message de piste d’audit non analysé |
Fichiers JAVA
Pour que ce journal soit envoyé à Microsoft Sentinel, vous devez l’ajouter manuellement au fichier systemconfig.ini.
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPJAVAFilesLogs
Documentation SAP associée : Général | Journal d’audit de sécurité Java
Objectif du journal : combine tous les journaux basés sur des fichiers Java, y compris le journal d’audit de sécurité et les journaux Système (processus de cluster et de serveur), Performances et Passerelle. Inclut également les journaux Traces Développeur et Trace par défaut.
Disponible par le service web de contrôle SAP. Ce journal est généré avec des données de tous les clients.
Schéma du journal JavaFilesLogsCL
Champ | Description |
---|---|
Application | Application Java |
ClientID | ID client |
CSNComponent | Composant CSN, tel que BC-XI-IBD |
DCComponent | Composant DC, tel que com.sap.xi.util.misc |
DSRCounter | Compteur DSR |
DSRRootContentID | GUID du contexte DSR |
DSRTransaction | GUID de transaction DSR |
Hôte | Hôte |
Instance | Instance Java, avec la syntaxe suivante : <HOST>_<SYSID>_<SYSNR> |
Emplacement | Classe Java |
LogName | Nom de journal Java, par exemple : Available , defaulttrace , dev* , security , etc. |
MessageText | Texte du message |
MNo | Numéro de message |
Pid | ID du processus |
Programme | Nom du programme |
session | session |
Gravité | Gravité du message, y compris : Debug , Info , Warning , Error |
Solution | Solution |
SystemID | ID système |
SystemNumber | Numéro système |
ThreadName | Nom du thread |
Thrown | Exception levée |
TimeZone | Fuseau horaire |
Utilisateur | Utilisateur |
Journal des pulsations SAP
Fonction Sentinel Microsoft pour l’interrogation de ce journal : SAPConnectorHealth
Objectif du journal : fournit des informations sur la pulsation et d’autres informations d’intégrité sur la connectivité entre les agents et les différents systèmes SAP.
Créé automatiquement pour tous les agents du connecteur de données Microsoft Sentinel pour SAP.
Schéma du journal SAP_HeartBeat_CL
Champ | Description |
---|---|
TimeGenerated | Heure de l’événement de publication de journal |
agent_id_s | ID d’agent dans la configuration de l’agent (généré automatiquement) |
agent_ver_s | Version de l’agent |
host_s | Nom d’hôte de l’agent |
system_id_s | ID du système Netweaver ABAP / Hôte NetWeaver SAPControl (préversion) / Hôte Java SAPControl (préversion) |
push_timestamp_d | Horodatage de l’extraction, en fonction du fuseau horaire de l’agent |
agent_timezone_s | Fuseau horaire de l’agent |
Tables récupérées directement à partir de systèmes SAP
Cette section répertorie les tables de données qui sont récupérées directement à partir du système SAP et ingérées dans Microsoft Sentinel telles quelles.
Pour que les données de ces tables soient ingérées dans Microsoft Sentinel, configurez les paramètres appropriés dans le fichier systemconfig.ini. Pour plus d’informations, consultez Configuration de la collecte des données de référence utilisateur.
Les données récupérées à partir de ces tables fournissent une vue claire de la structure d’autorisation, de l’appartenance aux groupes et des profils utilisateur. Elles vous permettent également de suivre le processus d’octroi et de révocation d’autorisations, ainsi que d’identifier et gouverner les risques associés à ces processus.
Les tables répertoriées ci-dessous sont requises pour activer les fonctions qui identifient les utilisateurs privilégiés, et mappent les utilisateurs à des rôles, groupes et autorisations.
Pour obtenir les meilleurs résultats, reportez-vous à ces tables en utilisant le nom figurant dans la colonne Nom de la fonction Sentinel ci-dessous :
Nom de la table | Description de la table | Nom de la fonction Sentinel |
---|---|---|
USR01 | Enregistrement de référence d’utilisateur (données de runtime) | SAP_USR01 |
USR02 | Données d’ouverture de session (utilisation côté noyau) | SAP_USR02 |
UST04 | Références d’utilisateur Mappe les utilisateurs à des profils |
SAP_UST04 |
AGR_USERS | Attribution de rôles aux utilisateurs | SAP_AGR_USERS |
AGR_1251 | Données d’autorisation pour le groupe d’activités | SAP_AGR_1251 |
USGRP_USER | Attribution d’utilisateurs à des groupes d’utilisateurs | SAP_USGRP_USER |
USR21 | Attribution de clé de nom d’utilisateur/adresse | SAP_USR21 |
ADR6 | Adresses e-mail (services d’adresse professionnelle) | SAP_ADR6 |
USRSTAMP | Date et heure pour toutes les modifications apportées à l’utilisateur | SAP_USRSTAMP |
ADCP | Attribution de personnes/adresses (services d’adresse d’entreprise) | SAP_ADCP |
USR05 | ID de paramètre de référence d’utilisateur | SAP_USR05 |
AGR_PROF | Nom du profil pour le rôle | SAP_AGR_PROF |
AGR_FLAGS | Attributs de rôle | SAP_AGR_FLAGS |
DEVACCESS | Table pour l’utilisateur de développement | SAP_DEVACCESS |
AGR_DEFINE | Définition de rôle | SAP_AGR_DEFINE |
AGR_AGRS | Rôles dans des rôles composites | SAP_AGR_AGRS |
PAHI | Historique des paramètres du système, de la base de données et de SAP | SAP_PAHI |
SNCSYSACL (PRÉVERSION) | Liste de contrôle d’accès (ACL) SNC : Systèmes | SAP_SNCSYSACL |
USRACL (PRÉVERSION) | Liste de contrôle d’accès (ACL) SNC : Utilisateur | SAP_USRACL |
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :
- Déployer des applications Solution Microsoft Sentinel pour SAP®
- Exigences de SAP détaillées pour les applications Solution Microsoft Sentinel pour SAP®
- Déployer le connecteur de données Microsoft Sentinel pour SAP avec SNC
- Options de configuration pour experts, déploiement local et sources de journaux SAPControl
- Applications Solution Microsoft Sentinel pour SAP® : contenu de sécurité intégré
- Surveiller l’intégrité de votre système SAP
- Résolution des problèmes de déploiement des applications Solution Microsoft Sentinel pour SAP®