Collecter les journaux d’audit SAP HANA dans Microsoft Sentinel
Cet article explique comment collecter des journaux d’audit à partir de votre base de données SAP HANA.
Important
Le support de SAP HANA Microsoft Sentinel est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Prérequis
Les journaux d’activité SAP HANA sont envoyés via Syslog. Vérifiez que votre agent Azure Monitor (AMA) ou votre agent Log Analytics (hérité) est configuré pour collecter des fichiers Syslog. Pour plus d’informations, consultez l’article suivant :
Pour découvrir plus d’informations, consultez Ingérer des messages Syslog et CEF dans Microsoft Sentinel avec l’agent Azure Monitor.
Collecter les journaux d’audit SAP HANA
Assurez-vous que le journal d’audit SAP HANA est configuré pour utiliser Syslog, comme décrit dans la note SAP 0002624117, accessible depuis le site du support SAP. Pour plus d'informations, consultez les pages suivantes :
Vérifiez les fichiers Syslog de votre système d’exploitation à la recherche de tout événement pertinent de la base de données HANA.
Connectez-vous au système d’exploitation de votre base de données HANA en tant qu’utilisateur ayant des privilèges sudo.
Installez un agent sur votre ordinateur et confirmez qu’il est connecté. Pour plus d’informations, consultez l’article suivant :
- Agent Azure Monitor
- Agent Log Analytics (hérité)
Configurez votre agent pour collecter des données Syslog. Pour plus d’informations, consultez l’article suivant :
- Agent Azure Monitor
- Agent Log Analytics (hérité)
Conseil
Du fait que les installations dans lesquelles les événements de la base de données HANA sont enregistrés peuvent changer entre les différentes distributions, nous vous recommandons d’ajouter toutes les installations. Vérifiez-les par rapport à vos journaux d’activité Syslog, puis supprimez ceux non pertinents.
Vérifier votre configuration
Utilisez les étapes suivantes dans Microsoft Sentinel et votre base de données SAP HANA pour vérifier que votre système est configuré comme prévu.
Microsoft Sentinel
Dans la page Journaux d’activité de Microsoft Sentinel, vérifiez que les événements de la base de données HANA apparaissent désormais dans les journaux d’activité ingérés. Par exemple, exécutez la requête suivante :
//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];
let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')
SAP HANA
Dans votre base de données SAP HANA, vérifiez vos stratégies d’audit configurées. Pour découvrir plus d’informations sur les instructions SQL requises, consultez Note SAP 3016478.
Ajouter des règles analytiques pour SAP HANA dans Microsoft Sentinel
Utilisez les règles analytiques intégrées suivantes pour que Microsoft Sentinel commence à déclencher des alertes sur l’activité SAP HANA associée :
- SAP - (PRÉVERSION) HANA DB - Attribuer des autorisations d’administrateur
- SAP - (PRÉVERSION) HANA DB - Modifications de la stratégie de piste d’audit
- SAP - (PRÉVERSION) HANA DB - Désactivation de la piste d’audit
- SAP - (PRÉVERSION) HANA DB - Actions d’administration utilisateur
Pour plus d’informations, consultez les applications Solution Microsoft Sentinel pour SAP® : référence relative au contenu de sécurité.
Contenu connexe
Découvrez plus d’informations sur la Solution Microsoft Sentinel pour SAP BTP :
- Déployer des applications Solution Microsoft Sentinel pour SAP®
- Solution Microsoft Sentinel pour SAP BTP : Informations de référence sur le contenu de sécurité
En savoir plus sur les applications Solution Microsoft Sentinel pour SAP® :
- Déployer des applications Solution Microsoft Sentinel pour SAP®
- Prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP®
- Déployer des demandes de modification SAP (CR) et configurer l’autorisation
- Déployer le contenu de la solution depuis le hub de contenu
- Déployer et configurer le conteneur hébergeant l’agent de connecteur de données SAP
- Déployer le connecteur de données SAP avec SNC
- Surveiller l’intégrité de votre système SAP
- Activer et configurer l’audit SAP
Résolution des problèmes :
- Résolution des problèmes de déploiement des applications Solution Microsoft Sentinel pour SAP®
- Le journal d’audit HANA n’est pas généré dans SYSLOG | Note SAP
- Comment rediriger l’audit Syslog pour HANA vers un autre emplacement | Note SAP
Fichiers de référence :
- Référence de données des applications Solution Microsoft Sentinel pour SAP®
- Applications Solution Microsoft Sentinel pour SAP® : référence relative au contenu de sécurité
- Informations de référence sur le script Kickstart
- Mettre à jour la référence de script
- Informations de référence sur le fichier Systemconfig.ini
Pour plus d’informations, consultez Solutions Microsoft Sentinel.