Partager via


Collecter les journaux d’audit SAP HANA dans Microsoft Sentinel

Cet article explique comment collecter des journaux d’audit à partir de votre base de données SAP HANA.

Le contenu de cet article est destiné à vos équipes en charge de la sécurité, de l’infrastructure et de SAP BASIS.

Important

Le support de SAP HANA Microsoft Sentinel est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Prérequis

Les journaux d’activité SAP HANA sont envoyés via Syslog. Vérifiez que votre agent Azure Monitor est configuré pour collecter des fichiers Syslog. Pour découvrir plus d’informations, consultez Ingérer des messages Syslog et CEF dans Microsoft Sentinel avec l’agent Azure Monitor.

Collecter les journaux d’audit SAP HANA

  1. Assurez-vous que le journal d’audit SAP HANA est configuré pour utiliser Syslog, comme décrit dans la note SAP 0002624117, accessible depuis le site du support SAP. Pour plus d'informations, consultez les pages suivantes :

  2. Vérifiez les fichiers Syslog de votre système d’exploitation à la recherche de tout événement pertinent de la base de données HANA.

  3. Connectez-vous au système d’exploitation de votre base de données HANA en tant qu’utilisateur ayant des privilèges sudo.

  4. Installez un agent sur votre ordinateur et confirmez qu’il est connecté. Pour plus d'informations, voir Installer et gérer Azure Monitor Agent.

  5. Configurez votre agent pour collecter des données Syslog. Pour plus d’informations, consultez Collecter des événements Syslog avec l’agent Azure Monitor.

    Conseil

    Du fait que les installations dans lesquelles les événements de la base de données HANA sont enregistrés peuvent changer entre les différentes distributions, nous vous recommandons d’ajouter toutes les installations. Vérifiez-les par rapport à vos journaux d’activité Syslog, puis supprimez ceux non pertinents.

Vérifier votre configuration

Utilisez les étapes suivantes dans Microsoft Sentinel et votre base de données SAP HANA pour vérifier que votre système est configuré comme prévu.

Microsoft Sentinel

Dans la page Journaux d’activité de Microsoft Sentinel, vérifiez que les événements de la base de données HANA apparaissent désormais dans les journaux d’activité ingérés. Par exemple, exécutez la requête suivante :

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

Dans votre base de données SAP HANA, vérifiez vos stratégies d’audit configurées. Pour découvrir plus d’informations sur les instructions SQL requises, consultez Note SAP 3016478.

Ajouter des règles analytiques pour SAP HANA dans Microsoft Sentinel

Utilisez les règles analytiques intégrées suivantes pour que Microsoft Sentinel commence à déclencher des alertes sur l’activité SAP HANA associée :

  • SAP - (PRÉVERSION) HANA DB - Attribuer des autorisations d’administrateur
  • SAP - (PRÉVERSION) HANA DB - Modifications de la stratégie de piste d’audit
  • SAP - (PRÉVERSION) HANA DB - Désactivation de la piste d’audit
  • SAP - (PRÉVERSION) HANA DB - Actions d’administration utilisateur

Pour plus d’informations, consultez les applications Solution Microsoft Sentinel pour SAP : référence relative au contenu de sécurité.

Découvrez-en plus sur la Solution Microsoft Sentinel pour les applications SAP :