Recopilación de registros de auditoría de SAP HANA en Microsoft Sentinel

En este artículo se explica cómo recopilar registros de auditoría de una base de datos de SAP HANA.

Importante

La compatibilidad con Microsoft Sentinel SAP HANA está actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Requisitos previos

Los registros de SAP HANA se envían a través de Syslog. Asegúrese de que el agente de Azure Monitor esté configurado para recopilar archivos de Syslog. Para más información, vea:

Para más información, consulte Ingesta de mensajes CEF y Syslog en Microsoft Sentinel con el agente de Azure Monitor.

Recopilación de registros de auditoría de SAP HANA

1. Asegúrese de que el registro de auditoría de SAP HANA está configurado para usar Syslog como se describe en la nota 0002624117 de SAP, a la que se accede desde el sitio de soporte técnico de SAP Launchpad. Para más información, consulte:

   • Registro de auditoría de SAP HANA: procedimiento recomendado
   • Recomendaciones de auditoría
   • Guía de seguridad de SAP HANA para la plataforma SAP HANA

2. Compruebe los archivos de Syslog del sistema operativo para ver los eventos de base de datos de HANA pertinentes.

3. Inicie sesión en el sistema operativo de la base de datos HANA como un usuario con privilegios sudo.

4. Instale un agente en el equipo y confirme que la máquina está conectada. Para más información, consulte Instalar y administrar el agente de Azure Monitor.

5. Configure el agente para recopilar datos de Syslog. Para más información, consulte Recopilar eventos de Syslog con el agente de Azure Monitor.

   Sugerencia

   Como las instalaciones donde se guardan los eventos de base de datos de HANA pueden cambiar entre cada distribución, se recomienda agregar todas las instalaciones. Compruébelas en los registros de Syslog y, a continuación, quite las que no sean pertinentes.

Comprobación de la configuración

Siga estos pasos tanto en Microsoft Sentinel como en la base de datos de SAP HANA para comprobar que el sistema está configurado según lo previsto.

Microsoft Sentinel

En la página Registros de Microsoft Sentinel, compruebe que los eventos de base de datos de HANA se muestran ahora en los registros ingeridos. Por ejemplo, ejecute la consulta siguiente:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

En la base de datos de SAP HANA, compruebe las directivas de auditoría configuradas. Para obtener más información sobre las instrucciones SQL necesarias, consulte nota de SAP 3016478.

Adición de reglas de análisis para SAP HANA en Microsoft Sentinel

Use las siguientes reglas de análisis integradas para que Microsoft Sentinel empiece a desencadenar alertas sobre la actividad relacionada de SAP HANA:

• SAP - (PREVIEW) HANA DB -Assign Admin Authorizations
• SAP - (PREVIEW) HANA DB -Audit Trail Policy Changes
• SAP - (PREVIEW) HANA DB -Deactivation of Audit Trail
• SAP - (PREVIEW) HANA DB -User Admin actions

Para obtener más información, consulte Solución Microsoft Sentinel para aplicaciones SAP®: referencia de contenido de seguridad.

Contenido relacionado

Obtenga más información sobre la solución Microsoft Sentinel para SAP BTP:

• Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
• Microsoft Sentinel Solution para SAP BTP: referencia de contenido de seguridad

Obtenga más información sobre la solución Microsoft Sentinel para aplicaciones SAP®:

• Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
• Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones de SAP®
• Implementación de solicitudes de cambio de SAP y configuración de la autorización
• Implementar el contenido de la solución desde el centro de contenido
• Implementación y configuración del contenedor del agente de conector de datos de SAP
• Implementación del conector de datos de SAP con SNC
• Supervisar el estado del sistema SAP
• Habilitación y configuración de la auditoría para SAP

Solución del problema:

• Solución de problemas de implementación de la solución Microsoft Sentinel para aplicaciones de SAP®
• El registro de auditoría de HANA no se genera en SYSLOG | Nota de SAP
• Cómo redirigir la auditoría de Syslog para HANA a una ubicación alternativa | Nota de SAP

Archivos de referencia:

• Referencia de datos de la solución Microsoft Sentinel para aplicaciones SAP®
• Solución Microsoft Sentinel para aplicaciones SAP®: referencia de contenido de seguridad
• Referencia de scripts de kickstart
• Referencia del script de actualización
• Referencia del archivo systemconfig.ini

Para obtener más información, consulte soluciones de Microsoft Sentinel.