Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit une sélection de fonctions disponibles dans votre espace de travail après l’installation d’une solution Microsoft Sentinel pour les applications SAP. Découvrez d’autres fonctions en parcourant Microsoft Sentinel et en chargeant le code de la fonction.
Recherchez les fonctions comme suit :
- Dans le Portail Azure, dans la page Journaux généraux>, sous l’onglet Fonctions, sous Fonctions de l’espace de travail.
- Dans le portail Defender, dans la page Investigation & réponse > Repérage avancé, sous l’onglet Fonctions, sous Sentinel fonctions de l’espace de travail.
Le contenu de cet article est destiné à vos équipes de sécurité .
Utiliser des fonctions dans vos requêtes au lieu de journaux ou de tables sous-jacents
Nous vous recommandons vivement d’utiliser les fonctions répertoriées dans cet article comme sujets de leur analyse dans la mesure du possible, au lieu des journaux ou des tables sous-jacents.
Ces fonctions sont destinées à servir d’interface utilisateur principale aux données. Ils constituent la base de toutes les règles et classeurs d’analyse intégrés à votre disposition. L’utilisation de fonctions permet d’apporter des modifications à l’infrastructure de données sous les fonctions, sans interrompre le contenu créé par l’utilisateur.
BAPI_XMI_LOGON (préversion)
La fonction BAPI_XMI_LOGON est pertinente lorsque votre système SAP est un système plus ancien utilisant XAL et s’authentifie pour collecter les journaux d’audit SAP XAL.
La fonction BAPI_XMI_LOGON est prise en charge uniquement pour le connecteur de données sans agent SAP. Pour plus d’informations, consultez Installer une solution Microsoft Sentinel pour les applications SAP.
BAPI_SYSTEM_MTE_GETTIDBYNAME (préversion)
La fonction BAPI_SYSTEM_MTE_GETTIDBYNAME est pertinente lorsque votre système SAP est un système plus ancien utilisant XAL et récupère l’ID d’un élément de surveillance système par nom.
La fonction BAPI_SYSTEM_MTE_GETTIDBYNAME est prise en charge uniquement pour le connecteur de données sans agent SAP. Pour plus d’informations, consultez Installer une solution Microsoft Sentinel pour les applications SAP.
BAPI_SYSTEM_MTE_GETTREE (préversion)
La fonction BAPI_SYSTEM_MTE_GETTREE est pertinente lorsque votre système SAP est un système plus ancien utilisant XAL et récupère la structure des éléments de surveillance du système.
La fonction BAPI_SYSTEM_MTE_GETTREE est prise en charge uniquement pour le connecteur de données sans agent SAP. Pour plus d’informations, consultez Installer une solution Microsoft Sentinel pour les applications SAP.
BAPI_SYSTEM_MTE_GETMLHIS (préversion)
La fonction BAPI_SYSTEM_MTE_GETMLHIS est pertinente lorsque votre système SAP est un système plus ancien utilisant XAL et extrait les données historiques de performances et de status.
La fonction BAPI_SYSTEM_MTE_GETMLHIS est prise en charge uniquement pour le connecteur de données sans agent SAP. Pour plus d’informations, consultez Installer une solution Microsoft Sentinel pour les applications SAP.
BAPI_XMI_SET_AUDITLEVEL (préversion)
La fonction BAPI_XMI_SET_AUDITLEVEL est pertinente lorsque votre système SAP est un système plus ancien utilisant XAL et configure le niveau de journalisation d’audit XAL.
La fonction BAPI_XMI_SET_AUDITLEVEL est prise en charge uniquement pour le connecteur de données sans agent SAP. Pour plus d’informations, consultez Installer une solution Microsoft Sentinel pour les applications SAP.
BAPI_XMI_GET_LOGHISTORY (préversion)
La fonction BAPI_XMI_GET_LOGHISTORY est pertinente lorsque votre système SAP est un système plus ancien utilisant XAL et récupère les entrées du journal d’audit XAL antérieures.
La fonction BAPI_XMI_GET_LOGHISTORY est prise en charge uniquement pour le connecteur de données sans agent SAP. Pour plus d’informations, consultez Installer une solution Microsoft Sentinel pour les applications SAP.
SAPUsersAssignments
La fonction SAPUsersAssignments collecte des données à partir de plusieurs sources de données SAP et crée une vue centrée sur l’utilisateur des données master l’utilisateur actuel, y compris les rôles et les profils actuellement attribués.
Cette fonction récapitule les affectations d’utilisateurs aux rôles et aux profils, et retourne les données suivantes :
| Field | Description | Source de données/Notes |
|---|---|---|
| Utilisateur | ID utilisateur SAP | SAL uniquement |
| Adresse SMTP | USR21 (SMTP_ADDR) | |
| UserType | Type d'utilisateur | USR02 (USTYP) |
| Timezone | Fuseau horaire | USR02 (TZONE) |
| LockedStatus | Verrouiller status | USR02 (UFLAG) |
| LastSeenDate | Date de la dernière consultation | USR02 (TRDAT) |
| LastSeenTime | Heure de la dernière consultation | USR02 (LTIME) |
| UserGroupAuth | Groupe d’utilisateurs dans la maintenance master utilisateur | USR02 (CLASSE) |
| Profils | Ensemble de profils (taille d’ensemble maximale par défaut = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Ensemble de rôles directement attribués (taille maximale de jeu par défaut = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Ensemble de rôles attribués indirectement (taille maximale de jeu par défaut = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Client | ID du client | |
| SystemID | ID système | Comme défini dans le connecteur |
SAPUsersGetPrivileged
La fonction SAPUsersGetPrivileged retourne une liste d’utilisateurs privilégiés par client et ID système.
Les utilisateurs sont considérés comme privilégiés lorsqu’ils correspondent à l’une des descriptions suivantes :
- Ils sont répertoriés dans la watchlist SAP - Privileged Users
- Ils sont affectés à un profil répertorié dans SAP - Liste de surveillance des profils sensibles
- Ils sont ajoutés à un rôle répertorié dans SAP - Liste de surveillance des rôles sensibles
Paramètres :
| Nom | Facultatif/Obligatoire | Par défaut | Description |
|---|---|---|---|
| TimeAgo | Facultatif | Sept jours | Détermine que la fonction recherche des données master utilisateur à partir de l’heure définie par la TimeAgo valeur jusqu’à l’heure définie par la now() valeur. |
La fonction SAPUsersGetPrivileged retourne les données suivantes :
| Field | Description |
|---|---|
| Utilisateur | ID utilisateur SAP |
| Client | ID du client |
| SystemID | ID système |
SAPUsersAuthorizations
La fonction SAPUsersAuthorizations regroupe les données de plusieurs tables pour produire une vue centrée sur l’utilisateur des rôles et autorisations actuels attribués. Seuls les utilisateurs avec des attributions de rôle et d’autorisation actives sont retournés.
Paramètres :
| Nom | Facultatif/Obligatoire | Par défaut | Description |
|---|---|---|---|
| TimeAgo | Facultatif | Sept jours | Détermine que la fonction recherche des données master utilisateur à partir de l’heure définie par la TimeAgo valeur jusqu’à l’heure définie par la now() valeur. |
La fonction SAPUsersAuthorizations retourne les données suivantes :
| Field | Description | Notes |
|---|---|---|
| Utilisateur | ID utilisateur SAP | |
| Rôles | Jeu de rôles (taille d’ensemble maximale par défaut = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Ensemble d’autorisations (taille maximale par défaut = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Client | ID du client | |
| SystemID | ID système |
SAPConnectorHealth
La fonction SAPConnectorHealth reflète la status de la connectivité de l’agent et du système SAP sous-jacent. En fonction du journal des pulsations SAP_HeartBeat_CL et d’autres indicateurs d’intégrité, il retourne les données suivantes :
| Field | Description |
|---|---|
| Agent | ID d’agent dans la configuration de l’agent (généré automatiquement) |
| SystemID | ID système SAP |
| Statut | Status de connectivité globale |
| Détails | Détails de la connectivité |
| ExtendedDetails | Détails étendus de la connectivité |
| LastSeen | Horodatage de la dernière activité |
| StatusCode | Code reflétant la status du système |
SAPConnectorVue d’ensemble
La fonction SAPConnectorOverview affiche le nombre de lignes de chaque table SAP par ID système. Elle retourne une liste d’enregistrements de données par ID système et leur heure de génération.
Paramètres :
| Nom | Facultatif/Obligatoire | Par défaut | Description |
|---|---|---|---|
| TimeAgo | Facultatif | Sept jours | Détermine que la fonction recherche des données master utilisateur à partir de l’heure définie par la TimeAgo valeur jusqu’à l’heure définie par la now() valeur. |
La fonction SAPConnectorOverview retourne les données suivantes :
| Field | Description |
|---|---|
| TimeGenerated | Valeur datetime de l’horodatage de la génération de l’enregistrement |
| SystemID_s | Chaîne représentant l’ID système SAP |
Utilisez la requête Kusto suivante pour effectuer une analyse de tendance quotidienne :
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
La fonction SAPUsersEmail permet une recherche axée sur les performances de l’adresse e-mail d’un utilisateur SAP par système et client SAP, normalement utilisée pour l’associer à un compte Active Directory.
La fonction SAPUsersEmail utilise des données extraites des tables SAP USR21 (User Name/Address Key Assignment) et ADR6 (E-Mail Addresses) pour rechercher une adresse e-mail. Si aucune adresse e-mail n’est trouvée, l’ID utilisateur est retourné à la place.
Ce comportement garantit que les comptes de service SAP tels que DDIC, qui ne sont souvent pas associés à une adresse e-mail, sont enregistrés en tant que pseudo comptes AD. Cela ouvre également certaines fonctionnalités UEBA, ce qui facilite l’investigation des incidents et les activités de chasse.
La fonction SAPUsersEmail retourne les données suivantes :
| Field | Description |
|---|---|
| Clientid | The SAP client ID |
| SystemID | ID système SAP |
| Utilisateur | ID d’utilisateur SAP |
| Adresse e-mail de l’utilisateur SAP |
SAPSystems
La fonction SAPSystems est utilisée pour présenter de manière centralisée la configuration par système effectuée à l’aide de la watchlist SAP - Systems .
Paramètres :
| Nom | Facultatif/Obligatoire | Par défaut | Description |
|---|---|---|---|
| SelectedSystems | Facultatif | All Systems |
Utilisé pour filtrer des systèmes SAP spécifiques |
| SelectedSystemRoles | Facultatif | All System Roles |
Détermine les rôles des systèmes SAP à examiner, comme défini dans la watchlist SAP - Systems |
La fonction SAPSystems retourne les données suivantes :
| Field | Description | Source de données/Notes |
|---|---|---|
| SearchKey | Touche de recherche | Champ indexé pour l’ID système SAP |
| SystemRole | Rôle du système SAP | Production, UAT |
| SystemUsage | Utilisation principale du système SAP | ERP, CRM |
| SystemID | ID système SAP |
SAPAuditLogConfiguration
La fonction SAPAuditLogConfiguration retourne la configuration locale des alertes du journal d’audit SAP à l’espace de travail Log Analytics activé pour Microsoft Sentinel. Cette configuration est utilisée pour les alertes liées au journal d’audit SAP.
La fonction SAPAuditLogConfiguration joint les données dans les watchlists SAP Dynamic Audit Log Monitor Configuration et SAP - Systems pour fournir une configuration par système à un effort par rôle de système.
Paramètres :
| Nom | Facultatif/Obligatoire | Par défaut | Description |
|---|---|---|---|
| SelectedSystems | Facultatif | All Systems |
Permet de filtrer des systèmes SAP spécifiques à examiner. |
| SelectedSystemRoles | Facultatif | All System Roles |
Détermine les rôles des systèmes SAP à examiner (tels que définis dans la watchlist SAP - Systems ). |
| SelectedSeverities | Facultatif | [High, Medium] |
Utilisé pour déterminer les événements à examiner en termes de gravité. Les gravités par ID de message du journal d’audit SAP et par rôle système sont définies dans la watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedRuleTypes | Facultatif | All RuleTypes |
Détermine les événements pertinents pour la détection des anomalies. Les types de règles par ID de message de journal d’audit SAP et rôle système sont définis dans la watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration . |
La fonction SAPAuditLogConfiguration retourne les données suivantes :
| Field | Description | Source de données/Notes |
|---|---|---|
| Categoryname | Catégorie d’événement SAP donnée | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
| DestinationEmail | Email’adresse de l’équipe affectée | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
| Description détaillée | Texte au format Markdown à afficher sur les alertes | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
| MessageID | ID du message du journal d’audit SAP | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
| MessageText | Exemple de texte de message | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
| RolesTagsToExclude | un rôle ABAP, un profil ou une balise de texte libre | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
| RuleType | Anomalie ou déterministe | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
| Tactiques | La tactique MITRE ATTA&CK | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
| TeamsChannelID | Canal Teams | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
| SystemID | ID système SAP | SAP - Watchlist des systèmes |
| SystemRole | Rôle du système SAP | SAP - Watchlist des systèmes |
| SystemUsage | Utilisation principale du système SAP | SAP - Watchlist des systèmes |
| IsProd | Indicateur du système de production | SAP - Watchlist des systèmes |
| Severity | Gravité dérivée | Gravité par utilisation du système |
| Seuil | Seuil dérivé | Nombre d’événements par utilisation du système |
| BagOfDetails | Sac de détails | Dictionnaire détaillant la définition d’événement |
Pour plus d’informations, consultez Watchlists disponibles.
SAPAuditLogAnomalies
La fonction SAPAuditLogAnomalies utilise les fonctionnalités d’apprentissage automatique intégrées de la base de données Kusto sous-jacente de Microsoft Sentinel pour aider à détecter les événements anormaux observés dans le journal d’audit SAP.
La fonction SAPAuditLogAnomalies a été développée pour la règle d’analyse des alertes du moniteur de journal d’audit basée sur les anomalies DYNAMIQUEs SAP (expérimentale). Bien que sa conception initiale soit d’alerter sur les anomalies récentes, elle peut également aider à mettre en évidence les anomalies historiques. Pour plus d’informations, consultez Exemples d’utilisations.
La fonction SAPAuditLogAnomalies apprend la tranche de l’historique définie par les différents paramètres d’entrée, aux niveaux suivants :
- Utilisateur
- Attributs réseau
- Système
- Saisonnalité
- Niveaux d’activité
La fonction SAPAuditLogAnomalies juge ensuite les événements qui se produisent dans le dernier DetectingTime intervalle de temps en fonction de ce qu’elle a appris, en appliquant des seuils et d’autres critères d’exclusion configurables obtenus à partir de la watchlist de configuration du journal d’audit SAP.
Une fois qu’une fenêtre glissante de l’activité de l’utilisateur est jugée anormale, une deuxième requête retourne l’ensemble de l’activité de l’utilisateur comme preuve de la décision.
Paramètres :
| Nom | Facultatif/Obligatoire | Par défaut | Description |
|---|---|---|---|
| LearningTime | Facultatif | 14 jours | Détermine l’intervalle de temps utilisé pour l’apprentissage du modèle. |
| DetectingTime | Facultatif | Une heure | Détermine l’intervalle de temps à examiner pour détecter les anomalies. L’appel de cette fonction avec DetectingTime = 0h met en évidence les anomalies sur l’ensemble LearningTime de l’intervalle de temps. |
| SelectedSystems | Facultatif | All Systems |
Permet de filtrer des systèmes SAP spécifiques à examiner. |
| SelectedSystemRoles | Facultatif | All System Roles |
Détermine les rôles des systèmes SAP à examiner, comme défini dans la watchlist SAP - Systems |
| SelectedSeverities | Facultatif | [High, Medium] |
Utilisé pour déterminer les événements à examiner en termes de gravité. Les gravités par ID de message du journal d’audit SAP et par rôle système sont définies dans la watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedPrefixMask | Facultatif | 24 | Permet de déterminer le niveau de masque de sous-réseau utilisé pour l’apprentissage et la détection. |
| SelectedRuleTypes | Facultatif | AnomaliesOnly |
Détermine les événements pertinents pour la détection des anomalies. Les types de règles par ID de message de journal d’audit SAP et rôle système sont définis dans la watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration . |
La fonction SAPAuditLogAnomalies retourne les données suivantes :
| Field | Description |
|---|---|
| Plusieurs champs de SAPAuditLog | Champs clés du journal d’audit SAP |
| Plusieurs champs de SAPAuditLogConfiguration | Champs clés de la Microsoft Sentinel pour la configuration du journal d’audit SAP |
| DiscoveredOn | Heure arrondie sur laquelle l’anomalie a été observée le |
| EventCount | Nombre d’événements comptés par ligne retournée |
| AnomalCount | Nombre d’événements observés dans la fenêtre glissante appropriée |
| MinTime | Heure du premier événement observé |
| MaxTime | Heure du dernier événement observé |
| Niveau | les scores d’anomalie générés par le modèle d’anomalie |
Recommandations :
Comme avec n’importe quelle solution machine learning, la fonction SAPAuditLogAnomalies fonctionne mieux avec le temps et peut être ajustée en fonction des besoins au fil du temps.
Nous vous recommandons de limiter la taille de la base de données apprise à moins de 100 millions d’enregistrements à l’aide des nombreux paramètres d’entrée disponibles.
Voici quelques exemples d’utilisations :
Pour rechercher des anomalies pour les événements de gravité élevée qui se sont produits au cours de la dernière heure sur les systèmes de production pour les types d’événements marqués comme AnomaliesOnly dans la watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration , exécutez :
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Pour rechercher toutes les anomalies des 14 derniers jours dans le système BIP , exécutez :
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Pour plus d’informations, consultez Règles d’analyse SAP intégrées pour la surveillance du journal d’audit SAP et Détection des anomalies dans le journal d’audit SAP à l’aide de la solution Microsoft Sentinel pour SAP (blog).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend est une fonction d’assistance conçue pour offrir des recommandations pour la configuration de la règle d’analytique SAP - Alertes de moniteur de journal d’audit basées sur les anomalies dynamiques (PREVIEW).
Pour plus d’informations, consultez Surveiller le journal d’audit SAP.
SAPUsersGetVIP
La solution Microsoft Sentinel pour les applications SAP utilise un concept d’étiquetage central des utilisateurs et d’exclusions explicites, conçu pour vous aider à réduire les faux positifs avec un minimum d’effort.
Utilisez la fonction SAPUsersGetVIP pour exclure les utilisateurs du déclenchement d’alertes en spécifiant des rôles d’utilisateur SAP, des fonctions utilisateur SAP ou des balises qui représentent ces utilisateurs. Pour plus d’informations, consultez Gérer les faux positifs dans Microsoft Sentinel.
Les balises spécifiées en tant qu’entrée pour la fonction SAPUsersGetVIP excluent tous les utilisateurs dont la balise figure dans la watchlist SAP_User_Config . La même fonctionnalité est étendue pour fonctionner avec des caractères génériques, ce qui vous permet d’affecter une seule balise à un groupe d’utilisateurs avec la même syntaxe de nommage.
Étiquetez les utilisateurs de la watchlist SAP_User_Config comme suit :
Ajoutez plusieurs étiquettes à chaque utilisateur dans la watchlist SAP_User_Config , si nécessaire pour couvrir différents scénarios. Chaque règle d’alerte a ses propres balises pertinentes, le cas échéant, et vous pouvez ajouter des balises personnalisées en fonction des besoins.
Utilisez un astérisque (*) comme caractère générique pour inclure des utilisateurs avec un modèle de syntaxe de nommage spécifique.
Ajoutez la fonction SAPUsersGetVIP dans vos règles d’analyse pour demander que les listes d’utilisateurs que vous avez définies pour être exclus des alertes. Dans l’appel de fonction, ajoutez un tableau avec les balises, les rôles SAP et les profils SAP que vous souhaitez exclure.
Par exemple, utilisez la requête KQL suivante dans votre règle d’analyse pour exclure tous les utilisateurs configurés avec la balise RunObsoleteProgOK dans la watchlist SAP_User_Config , ou tous les utilisateurs avec l’exemple de rôle SAP_BASIS_ADMIN_ROLE ou l’exemple de profil SAP_ADMIN_PROFILE .
Lors de la copie de cet exemple d’appel de fonction, remplacez SAP_BASIS_ADMIN_ROLE rôle et SAP_ADMIN_PROFILE profil par vos propres rôles ou profils SAP si nécessaire.
Par exemple :
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
La fonction SAPUsersGetVIP est couramment utilisée dans les alertes déterministes et anormales du moniteur de journal d’audit . Associez une balise à un ID de message de journal d’audit SAP ou étendez le modèle de règle à une règle personnalisée qui correspond aux besoins de votre organization.
Conseil
Nous vous recommandons de contacter votre administrateur système SAP pour comprendre quels utilisateurs, rôles et profils SAP inclure dans votre watchlist SAP_User_Config .
Paramètres :
| Nom | Facultatif/Obligatoire | Par défaut | Description |
|---|---|---|---|
| SearchForTags | Facultatif | dynamic('All Tags') |
Quand SearchForTags est égal à , tous les utilisateurs sont retournés All Tagsavec leurs balises. Dans le cas contraire, seuls les utilisateurs portant les balises, les rôles SAP ou les profils SAP spécifiés dans SearchForTags sont retournés.
TagsIntersect affiche les balises trouvées et IntersectionSize contient le nombre d’étiquettes trouvées. |
| SpecialFocusTags | Facultatif | Do not return any in-focus users |
Retourne tous les utilisateurs portant les balises spécifiées dans SpecialFocusTagset les ont marqués avec specialFocusTagged = true. |
La fonction SAPUsersGetVIP retourne la sortie suivante :
| Source | Field | Description | Notes |
|---|---|---|---|
| Watchlist SAP_User_Config | SearchKey |
Touche de recherche | |
| Watchlist SAP_User_Config | SAPUser |
L’utilisateur SAP | OSS, DDIC |
| Watchlist SAP_User_Config | Tags |
Chaîne de balises attribuées à l’utilisateur | RunObsoleteProgOK |
| Watchlist SAP_User_Config | ID d’objet Microsoft Entra de l’utilisateur | ID d’objet Microsoft Entra | |
| Watchlist SAP_User_Config | Identificateur d’utilisateur | Identificateur d’utilisateur Azure Directory | |
| Watchlist SAP_User_Config | SID de l’utilisateur local | ||
| Watchlist SAP_User_Config | Nom d’utilisateur principal | ||
| Watchlist SAP_User_Config | TagsList |
Liste des balises attribuées à l’utilisateur |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logique | TagsIntersect | Ensemble d’étiquettes correspondant SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logique | SpecialFocusTagged | Indication spéciale du focus |
True, False |
| Logique | IntersectionSize | Nombre de balises croisées |
SAPUsersHeader
La fonction SAPUsersHeader est conçue pour fournir une vue d’ensemble de l’utilisateur SAP. Il utilise les données extraites à la fois de l’utilisateur SAP master tables de données et de l’activité récente sur le journal d’audit SAP pour collecter des adresses e-mail et IP. Il retourne ensuite les dernières adresses e-mail et IP connues, ainsi que les adresses e-mail et IP principales.
Paramètres :
| Nom | Facultatif/Obligatoire | Par défaut | Description |
|---|---|---|---|
| SelectedSystems | Facultatif | All Systems |
Utilisé pour filtrer des systèmes SAP spécifiques à examiner |
| SelectedSystemRoles | Facultatif | All System Roles |
Détermine les rôles des systèmes SAP à examiner, comme défini dans la watchlist SAP - Systems . |
| SelectedUsers | Facultatif | All Users |
Peut entrer des listes d’utilisateurs. |
| SelectedUser | Facultatif | All Users |
Accepte un seul utilisateur. |
Par exemple :
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Conseil
Pour des raisons de performances, seuls quelques jours d’activité d’audit sont pris en compte. Pour obtenir un historique complet de l’activité utilisateur, exécutez une requête KQL personnalisée sur la fonction SAPAuditLog .
La fonction SAPUsersHeader retourne la sortie suivante :
| Source | Field | Description | Notes |
|---|---|---|---|
| Utilisateur | L’utilisateur SAP | ||
| Tables SAP ADR6 et USR21 | Extrait des données master de l’utilisateur | OSS, DDIC | |
| SAP table USR02 | UserType | Chaîne de balises attribuées à l’utilisateur | RunObsoleteProgOK |
| SAP table USR02 | Timezone | ID d’objet Microsoft Entra | |
| SAP table USR02 | LockedStatus | Identificateur d’utilisateur Azure Directory | |
| Journal d’audit SAP | LastSeen | Horodatage | Dernier événement d’audit observé pour l’utilisateur |
| Journal d’audit SAP | LastSeenDaysAgo | Des jours se sont écoulés depuis LastSeen |
|
| Journal d’audit SAP | PrimaryIP | Adresse IP la plus fréquemment utilisée |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Journal d’audit SAP | LastKnownIP | Dernière adresse IP utilisée | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Journal d’audit SAP | PrimaryEmail | Adresse e-mail la plus fréquemment utilisée |
True, False |
| Journal d’audit SAP | Adresses IP connues | Liste des adresses IP connues | Trié par le plus fréquent en premier |
| Journal d’audit SAP | KnownEmails | Liste des adresses e-mail connues | Trié par le plus fréquent en premier |
| Client | The SAP client ID | ||
| SystemID | ID système SAP | ||
| SystemRole | Rôle du système SAP | Production, UAT | |
| SystemUsage | Utilisation principale du système SAP | ERP, CRM |
TH_SERVER_LIST (préversion)
La fonction TH_SERVER_LIST est pertinente lorsque votre système SAP est un système plus ancien utilisant XAL et répertorie les serveurs d’applications SAP actifs.
La fonction TH_SERVER_LIST est prise en charge uniquement avec le connecteur de données sans agent SAP (préversion). Pour plus d’informations, consultez Installer une solution Microsoft Sentinel pour les applications SAP.
Contenu connexe
Pour plus d’informations, reportez-vous aux rubriques suivantes :