Megosztás a következőn keresztül:


SAP HANA-naplók gyűjtése a Microsoft Sentinelben

Ez a cikk bemutatja, hogyan gyűjthet naplózási naplókat az SAP HANA-adatbázisból.

A cikk tartalma a biztonsági, az infrastruktúra- és az SAP BASIS-csapatok számára készült.

Fontos

A Microsoft Sentinel SAP HANA támogatása jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Előfeltételek

Az SAP HANA-naplók a Syslogon keresztül lesznek elküldve. Győződjön meg arról, hogy az Azure Monitor-ügynök a Syslog-fájlok gyűjtésére van konfigurálva. További információ: Ingest syslog and CEF messages to Microsoft Sentinel with the Azure Monitor Agent.

SAP HANA-naplózási naplók gyűjtése

  1. Győződjön meg arról, hogy az SAP HANA naplózási naplója úgy van konfigurálva, hogy a Syslogot használja az SAP Note 0002624117 című szakaszban leírtak szerint, amely elérhető az SAP Launchpad támogatási webhelyén. További információk:

  2. Ellenőrizze az operációs rendszer Syslog-fájljait a megfelelő HANA-adatbázisesemények esetében.

  3. Jelentkezzen be a HANA-adatbázis operációs rendszerébe sudo jogosultságokkal rendelkező felhasználóként.

  4. Telepítsen egy ügynököt a gépére, és győződjön meg arról, hogy a gép csatlakoztatva van. További információ: Az Azure Monitor-ügynök telepítése és kezelése.

  5. Konfigurálja az ügynököt a Syslog-adatok gyűjtésére. További információ: Syslog-események gyűjtése az Azure Monitor-ügynökkel.

    Tipp.

    Mivel a HANA-adatbáziseseményeket tartalmazó létesítmények változhatnak a különböző disztribúciók között, javasoljuk, hogy adja hozzá az összes létesítményt. Ellenőrizze őket a Syslog-naplókban, majd távolítsa el azokat, amelyek nem relevánsak.

A konfiguráció ellenőrzése

A Microsoft Sentinelben és az SAP HANA-adatbázisban is kövesse az alábbi lépéseket annak ellenőrzéséhez, hogy a rendszer a várt módon van-e konfigurálva.

Microsoft Sentinel

A Microsoft Sentinel Naplók lapján ellenőrizze, hogy a HANA-adatbázis eseményei megjelennek-e a betöltött naplókban. Futtassa például a következő lekérdezést:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

Az SAP HANA-adatbázisban ellenőrizze a konfigurált naplózási szabályzatokat. A szükséges SQL-utasításokról további információt az SAP Megjegyzés 3016478 talál.

Elemzési szabályok hozzáadása az SAP HANA-hoz a Microsoft Sentinelben

Használja a következő beépített elemzési szabályokat, hogy a Microsoft Sentinel riasztásokat aktiváljon a kapcsolódó SAP HANA-tevékenységekkel kapcsolatban:

  • SAP – (ELŐZETES VERZIÓ) HANA DB – Rendszergazdai engedélyek hozzárendelése
  • SAP – (ELŐZETES VERZIÓ) HANA DB – Naplózási napló szabályzatának változásai
  • SAP – (ELŐZETES VERZIÓ) HANA DB – Az auditnapló inaktiválása
  • SAP – (ELŐZETES VERZIÓ) HANA DB – Felhasználói rendszergazdai műveletek

További információ: Microsoft Sentinel megoldás SAP-alkalmazásokhoz: biztonsági tartalomra vonatkozó referencia.

További információ az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldásról: