Microsoft Sentinel-megoldás SAP-alkalmazások® adatreferenciájához
Fontos
Az SAP-megoldáshoz készült Microsoft Sentinel Threat Monitoring egyes összetevői jelenleg előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Az alábbiakban feljegyzett naplók némelyike alapértelmezés szerint nem küldhető el a Microsoft Sentinelnek, de szükség szerint manuálisan is hozzáadhatja őket. További információ: A Microsoft Sentinelnek küldött SAP-naplók meghatározása.
Ez a cikk az SAP-alkalmazásokhoz® és adatösszekötőjéhez készült Microsoft Sentinel-megoldás részeként elérhető függvényeket, naplókat és táblákat ismerteti. Speciális SAP-felhasználók számára készült.
Az SAP-megoldásból elérhető függvények
Ez a szakasz a munkaterületen az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás üzembe helyezése után elérhető függvényeket ismerteti. Ezeket a függvényeket a Microsoft Sentinel-naplók lapon találja meg, amelyeket a KQL-lekérdezésekben használhat, a Munkaterület függvények listában.
A felhasználókat határozottan javasoljuk, hogy a függvényeket az elemzés tárgyaként használják, amikor csak lehetséges, a mögöttes naplók vagy táblák helyett. Ezek a függvények az adatok elsődleges felhasználói felületeként szolgálnak. Ezek képezik az összes beépített elemzési szabály és munkafüzet alapját, amely a dobozon kívül érhető el. Ez lehetővé teszi a funkciók alatti adatinfrastruktúra módosítását anélkül, hogy a felhasználó által létrehozott tartalom feltörése lenne.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAP Csatlakozás orHealth
- SAP Csatlakozás orOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
Az SAPUsersAssignments függvény több SAP-adatforrásból gyűjt adatokat, és létrehoz egy felhasználóközpontú nézetet az aktuális felhasználói főadatokról, beleértve az aktuálisan hozzárendelt szerepköröket és profilokat.
Ez a függvény összefoglalja a szerepkörökhöz és profilokhoz való felhasználói hozzárendeléseket, és a következő adatokat adja vissza:
Mező | Leírás | Adatforrás/jegyzetek |
---|---|---|
User | SAP felhasználói azonosító | Csak SAL |
SMTP-cím | USR21 (SMTP_ADDR) | |
UserType | Felhasználó típusa | USR02 (USTYP) |
Időzóna | Időzóna | USR02 (TZONE) |
LockedStatus | Zárolás állapota | USR02 (UFLAG) |
LastSeenDate | Utolsó látható dátum | USR02 (TRDAT) |
LastSeenTime | Utolsó elérhetőség időpontja | USR02 (LTIME) |
UserGroupAuth | Felhasználói csoport a felhasználói főkiszolgáló karbantartásában | USR02 (OSZTÁLY) |
Profilok | Profilok készlete (alapértelmezett maximális beállítási méret = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | Közvetlenül hozzárendelt szerepkörök készlete (alapértelmezett maximális készletméret = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
ChildRoles | Közvetetten hozzárendelt szerepkörök készlete (alapértelmezett maximális készletméret = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Ügyfél | Ügyfél azonosítója | |
SystemID | Rendszerazonosító | Az összekötőben definiált módon |
SAPUsersGetPrivileged
Az SAPUsersGetPrivileged függvény ügyfél- és rendszerazonosítónként visszaadja a kiemelt felhasználók listáját.
A felhasználók akkor minősülnek kiemeltnek, ha szerepelnek az SAP - Privileged Users figyelőlistán, hozzárendelték őket az SAP - Bizalmas profilok figyelőlistájában felsorolt profilhoz, vagy hozzáadták őket az SAP – Bizalmas szerepkörök figyelőlistájában felsorolt szerepkörhöz.
Paraméterek:
- TimeAgo
- Választható
- Alapértelmezett érték: Hét nap
- Azt határozza meg, hogy a függvény az érték által meghatározott időponttól az érték által
TimeAgo
meghatározott időpontig a felhasználói főadatokat keresi.now() >
A SAPUsersGetPrivileged függvény a következő adatokat adja vissza:
Mező | Leírás |
---|---|
User | SAP felhasználói azonosító |
Ügyfél | Ügyfél azonosítója |
SystemID | Rendszerazonosító |
SAPUsersAuthorizations
A SAPUsersAuthorizations függvény több tábla adatait egyesíti, így felhasználóközpontú nézetet hoz létre a hozzárendelt aktuális szerepkörökről és engedélyekről. A rendszer csak aktív szerepkörrel és engedélyezési hozzárendeléssel rendelkező felhasználókat ad vissza.
Paraméterek:
- TimeAgo
- Választható
- Alapértelmezett érték: Hét nap
- Azt határozza meg, hogy a függvény az érték által meghatározott időponttól az érték által
TimeAgo
meghatározott időpontig a felhasználói főadatokat keresi.now() >
A SAPUsersAuthorizations függvény a következő adatokat adja vissza:
Mező | Leírás | Jegyzetek |
---|---|---|
User | SAP felhasználói azonosító | |
Szerepkörök | Szerepkörök halmaza (alapértelmezett maximális készletméret = 50) | ["Role 1", "Role 2",...,"Role 50"] |
AuthorizationsDetails | Engedélyezési csoportok (alapértelmezett maximális beállítási méret = 100) | {{AuthorizationsDeatils1} ,{AuthorizationsDeatils2} , ..., {AuthorizationsDeatils100}} |
Ügyfél | Ügyfél azonosítója | |
SystemID | Rendszerazonosító |
SAP Csatlakozás orHealth
Az SAP Csatlakozás orHealth függvény az ügynök és a mögöttes SAP-rendszer kapcsolatának állapotát tükrözi. A szívverési napló SAP_HeartBeat_CL és más állapotjelzők alapján a következő adatokat adja vissza:
Mező | Leírás |
---|---|
Ügynök | Ügynökazonosító az ügynök konfigurációjában (automatikusan generálva) |
SystemID | SAP-rendszerazonosító |
Állapot | A kapcsolat általános állapota |
Részletek | Csatlakozás ivity részletei |
ExtendedDetails | Csatlakozás ivity bővített részletei |
LastSeen | A legutóbbi tevékenység időbélyege |
StatusCode | A rendszer állapotát tükröző kód |
SAP Csatlakozás orOverview
Az SAP Csatlakozás orOverview függvény az egyes SAP-táblák sorszámát jeleníti meg rendszerazonosítónként. A rendszerazonosítónként visszaadja az adatrekordok listáját és a létrehozott időt.
Paraméterek:
- TimeAgo
- Választható
- Alapértelmezett érték: Hét nap
- Azt határozza meg, hogy a függvény az érték által meghatározott időponttól az érték által
TimeAgo
meghatározott időpontig a felhasználói főadatokat keresi.now() >
Mező | Leírás |
---|---|
TimeGenerated | A rekord generációjának időbélyegének datetime értéke |
SystemID_s | Az SAP-rendszer azonosítóját képviselő sztring |
Napi trendelemzéshez használja a következő Kusto-lekérdezést:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Az SAPUsersEmail függvény lehetővé teszi egy SAP-felhasználó e-mail-címének teljesítményorientált keresését SAP-rendszeren és ügyfélenként, általában active directory-fiókhoz társítva. Az USR21 (felhasználónév/címkulcs-hozzárendelés) és az ADR6 (E-mail címek) SAP-táblákból kinyert adatok használatával az SAPUsersEmail függvény egy e-mail-címet keres. Ha nem található ilyen, a rendszer az e-mail-cím helyett a felhasználói azonosítót adja vissza. Ez a viselkedés biztosítja, hogy a gyakran nem e-mail-címekkel társított SAP-szolgáltatásfiókok (például DDIC) pszeudo AD-fiókokként legyenek naplózva, lehetővé téve néhány UEBA-funkciót, ami segít az incidensek kivizsgálásához és a vadászati tevékenységekhez.
Mező | Leírás |
---|---|
Ügyfélazonosító | Az SAP-ügyfél azonosítója |
SystemID | Az SAP rendszerazonosítója |
User | Az SAP felhasználói azonosítója |
Az SAP-felhasználó e-mail-címe |
SAPSystems
Az SAPSystems függvény központilag mutatja be az "SAP - Systems" figyelőlistával létrehozott rendszerenkénti konfigurációt.
Paraméterek:
- SelectedSystems
- Választható
- Alapértelmezett érték: "Minden rendszer"
- Adott SAP-rendszerek szűrésére szolgál
- SelectedSystemRoles
- Választható
- Alapértelmezett érték: "Minden rendszerszerepkör"
- Meghatározza a megvizsgálandó SAP-rendszerek szerepköreit (az "SAP - Systems" figyelőlistában meghatározottak szerint)
Mező | Leírás | Adatforrás/jegyzetek |
---|---|---|
SearchKey | Keresési kulcs | Indexelt mező az SAP-rendszerazonosítóhoz |
SystemRole | Az SAP-rendszer szerepköre | Éles környezet, UAT |
SystemUsage | Az SAP-rendszer fő használata | ERP, CRM |
SystemID | Az SAP rendszerazonosítója |
SAPAuditLogConfiguration
Az SAPAuditLogConfiguration függvény a Sentinel-munkaterület SAP auditnapló-riasztásának helyi konfigurációját adja vissza, amelyet a különböző SAP auditnaplókkal kapcsolatos riasztásokhoz kell használni. Összekapcsolja az adatokat az "SAP Dynamic Audit Log Monitor Configuration" és az "SAP - Systems" figyelőlistákban, hogy rendszerenkénti konfigurációt biztosítson rendszerszerepkörönként.
Paraméterek:
- SelectedSystems
- Választható
- Alapértelmezett érték: "Minden rendszer"
- Adott SAP-rendszerek szűrésére szolgál.
- SelectedSystemRoles
- Választható
- Alapértelmezett érték: "Minden rendszerszerepkör"
- Meghatározza a megvizsgálandó SAP-rendszerek szerepköreit (az "SAP - Systems" figyelőlistában meghatározottak szerint).
- SelectedSeverities
- Választható
- Alapértelmezett érték: ["Magas", "Közepes"]
- A súlyosságuk szempontjából megvizsgálandó események meghatározására szolgál. Az SAP auditnapló-üzenetazonosítója és rendszerszerepköre szerinti súlyosságok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistában vannak meghatározva.
- SelectedRuleTypes
- Választható
- Alapértelmezett érték: "Minden szabálytípus"
- Meghatározza, hogy mely események relevánsak az anomáliák észleléséhez. Az SAP auditnapló-üzenetazonosítója és rendszerszerepköre szerinti szabálytípusok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistában vannak definiálva.
Mező | Leírás | Adatforrás/jegyzetek |
---|---|---|
CategoryName | SAP-eseménykategória | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
DestinationEmail | A hozzárendelt csapat e-mail-címe | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
DetailedDescription | A riasztásokon megjelenítendő markdown formátumú szöveg | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
MessageID | Az SAP auditnapló üzenetazonosítója | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
Üzenetszöveg | Üzenetminta szövege | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
RolesTagsToExclude | ABAP-szerepkör, profil vagy szabad szöveges címke | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
RuleType | Anomália vagy determinisztikus | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
Taktika | A MITRE ATTA&CK taktikája | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
TeamsChannelID | Teams-csatorna | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
SystemID | Az SAP rendszerazonosítója | "SAP - Systems" figyelőlista |
SystemRole | Az SAP-rendszer szerepköre | "SAP - Systems" figyelőlista |
SystemUsage | Az SAP-rendszer fő használata | "SAP - Systems" figyelőlista |
IsProd | Éles rendszerjelző | "SAP - Systems" figyelőlista |
Súlyosság | A származtatott súlyosság | Súlyosság rendszerhasználatonként |
Küszöbérték | A származtatott küszöbérték | Eseményszám rendszerhasználatonként |
BagOfDetails | Táska részletek | Az eseménydefiníciót részletező szótár |
SAPAuditLogAnomalies
Az SAPAuditLogAnomalies a Sentinel mögöttes Kusto-adatbázisának beépített gépi tanulási képességeivel segít észlelni az SAP-naplóban megfigyelt rendellenes eseményeket. Az "SAP – (kísérleti) dinamikus anomálián alapuló auditnapló-figyelési riasztások" riasztási szabályhoz kifejlesztett függvény eredetileg úgy lett kialakítva, hogy riasztást jelenítsen meg a legutóbbi rendellenességek esetén, de segíthet kiemelni a korábbi anomáliákat is (lásd az alábbi példákat).
Paraméterek:
- Tanulás Time
- Választható
- Alapértelmezett érték: 14 nap
- Meghatározza a modelltanuláshoz használt időbélyeget
- DetectingTime
- Választható
- Alapértelmezett érték: Egy óra
- Meghatározza az anomáliák észleléséhez megvizsgálandó időmennyiséget. A függvény DetectingTime = 0h használatával történő meghívásával a rendellenességek a teljes Tanulás Időidő-idő alatt ki lesznek emelve
- SelectedSystems
- Választható
- Alapértelmezett érték: "Minden rendszer"
- Adott SAP-rendszerek szűrésére szolgál.
- SelectedSystemRoles
- Választható
- Alapértelmezett érték: "Minden rendszerszerepkör"
- Meghatározza a megvizsgálandó SAP-rendszerek szerepköreit (az "SAP - Systems" figyelőlistában meghatározottak szerint).
- SelectedSeverities
- Választható
- Alapértelmezett érték: ["Magas", "Közepes"]
- A súlyosságuk szempontjából megvizsgálandó események meghatározására szolgál. Az SAP auditnapló-üzenetazonosítója és rendszerszerepköre szerinti súlyosságok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistában vannak meghatározva.
- SelectedPrefixMask
- Választható
- Alapértelmezett érték: 24
- A tanuláshoz és észleléshez használt alhálózati maszk szintjének meghatározására szolgál.
- SelectedRuleTypes
- Választható
- Alapértelmezett érték: "AnomaliesOnly"
- Meghatározza, hogy mely események relevánsak az anomáliák észleléséhez. Az SAP auditnapló-üzenetazonosítója és rendszerszerepköre szerinti szabálytípusok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistában vannak definiálva.
Logika
A függvény a különböző bemeneti paraméterek által meghatározott előzmények szeletét tanulja meg a felhasználó, a hálózati attribútumok, a rendszer, a szezonalitás és a tevékenységszintek alapján. Ezután a tanultaknak megfelelően bírálja el az utolsó DetectingTime időkereten belül bekövetkező eseményeket, küszöbértékeket és egyéb konfigurálható kizárási feltételeket alkalmazva, amelyeket az SAP auditnapló konfigurációs figyelőlistájából kapott. Miután a felhasználói tevékenység csúsztató ablakát rendellenesnek tekintették, egy második lekérdezés a teljes felhasználói tevékenységet a döntés alátámasztására szolgáló bizonyítékként adja vissza.
További megjegyzések
Mint minden gépi tanulási megoldásnál, ez a függvény is jobban teljesít az idő függvényében. További módosításokat helyi konfigurációval végezhet. Javasoljuk, hogy a tanult adatbázis méretét 100 millió rekord alá korlátozza a számos rendelkezésre álló bemeneti paraméter használatával.
Példa: Az elmúlt órában az éles rendszereken az "AnomaliesOnly" (AnomáliákOnly) jelöléssel ellátott eseménytípusok éles rendszereiben az elmúlt egy órában bekövetkezett nagy súlyosságú események rendellenességeinek keresése a "SAP_Dynamic_Audit_Log_Monitor_Configuration"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Példa: Az elmúlt 14 nap összes rendellenességének keresése a "BIP" rendszerben
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Mező | Leírás |
---|---|
Több mező a SAPAuditLogból | Kulcsmezők az SAP auditnaplójából |
Több mező a SAPAuditLogConfiguration-ból | Kulcsmezők az SAP auditnapló-konfigurációjához készült Sentinelből |
DiscoveredOn | Az a kerekített óra, amelyen az anomáliát megfigyelték: |
EventCount | Visszaadott soronként megszámlált események száma |
AnomalCount | A megfelelő tolóablakban megfigyelt események száma |
MinTime | Az első megfigyelt esemény időpontja |
MaxTime | Az utolsó megfigyelt esemény időpontja |
Pontszám | az anomáliával kapcsolatos pontszámok az anomáliamodell által előállítottak szerint |
További információkért tekintse meg az SAP-naplózási napló figyelésére vonatkozó beépített SAP-elemzési szabályokat.
SAPAuditLogConfigRecommend
A SAPAuditLogConfigRecommend egy segédfüggvény, amely az SAP – Dinamikus anomálián alapuló auditnapló-figyelési riasztások (ELŐZETES VERZIÓ) elemzési szabály konfigurációjára vonatkozó javaslatokat kínál. Megtudhatja, hogyan konfigurálhatja a szabályokat.
SAPUsersGetVIP
Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás a központi felhasználói címkézés és explicit kizárások fogalmát használja, amely minimális erőfeszítéssel segít csökkenteni a hamis pozitív értékeket. Az SAPUsersGetVIP függvénnyel kizárhatja a felhasználókat a riasztások aktiválásából az sap-felhasználói szerepkörök, az SAP felhasználói függvények vagy a felhasználókat képviselő címkék megadásával. További információ: Hamis pozitív értékek kezelése a Microsoft Sentinelben.
Az SAPUsersGetVIP függvény bemeneteként megadott címkék kizárnak minden olyan felhasználót, aki szerepel a SAP_User_Config figyelőlistában. Ugyanez a funkció kiterjeszthető a helyettesítő karakterekre is, így egyetlen címkét rendelhet hozzá az azonos elnevezési szintaxissal rendelkező felhasználók egy csoportjához.
A felhasználók címkézése az SAP_User_Config figyelőlistán az alábbiak szerint:
Adjon hozzá több címkét minden felhasználóhoz a SAP_User_Config figyelőlistában, szükség szerint a különböző forgatókönyvek lefedéséhez. Minden riasztási szabály saját releváns címkékkel rendelkezik, ha vannak ilyenek, és igény szerint hozzáadhat egyéni címkéket.
Használjon csillagot (*) helyettesítő karakterként egy adott elnevezési szintaxissablonnal rendelkező felhasználók belefoglalásához.
Adja hozzá az SAPUsersGetVIP függvényt az elemzési szabályokhoz, és kérje meg, hogy az Ön által definiált felhasználók listája ne legyen kizárva a riasztásokból. A függvényhívásban adjon hozzá egy tömböt a kizárni kívánt címkékkel, SAP-szerepkörökkel és SAP-profilokkal.
Az elemzési szabályban például az alábbi KQL-lekérdezéssel kizárhatja a SAP_User_Config figyelőlistában a RunObsoleteProgOK címkével konfigurált felhasználókat, illetve a minta SAP_BASIS_ADMIN_ROLE szerepkörrel vagy a minta SAP_ADMIN_PROFILE profillal rendelkező felhasználókat.
A mintafüggvény-hívás másolásakor szükség szerint cserélje le SAP_BASIS_ADMIN_ROLE szerepkört és SAP_ADMIN_PROFILE profilt saját SAP-szerepkörökre vagy profilokra.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Az SAPUsersGetVIP függvényt gyakran használják determinisztikus és rendellenes naplózási naplófigyelő riasztásokban. Címkét társíthat egy SAP-naplóüzenet azonosítójához, vagy kiterjesztheti a szabálysablont egy olyan egyéni szabályra, amely megfelel a szervezet igényeinek.
Tipp.
Javasoljuk, hogy forduljon az SAP rendszergazdájához, hogy megismerje, mely SAP-felhasználókat, szerepköröket és profilokat vegye fel a SAP_User_Config figyelőlistájába.
Paraméterek:
Név | Leírás | Alapértelmezett érték |
---|---|---|
SearchForTags (nem kötelező) | Ha SearchForTags egyenlő All Tags , a rendszer minden felhasználót a címkékkel együtt ad vissza. Ellenkező esetben csak a megadott címkéket, SAP-szerepköröket vagy SAP-profilokat SearchForTags tartalmazó felhasználók lesznek visszaadva. TagsIntersect megjeleníti a talált címkéket, és IntersectionSize tartalmazza a talált címkék számát. |
dynamic('All Tags') |
SpecialFocusTags (nem kötelező) | A megadott SpecialFocusTags címkéket tartalmazó összes felhasználót visszaadja, és megjelöli azokat.specialFocusTagged = true |
Do not return any in-focus users |
Forrás | Mező | Leírás | Jegyzetek |
---|---|---|---|
A SAP_User_Config figyelőlista | SearchKey | Keresési kulcs | |
A SAP_User_Config figyelőlista | SAPUser | Az SAP-felhasználó | OSS, DDIC |
A SAP_User_Config figyelőlista | Címkék | A felhasználóhoz rendelt címkék sztringje | RunObsoleteProgOK |
A SAP_User_Config figyelőlista | Felhasználó Microsoft Entra objektumazonosítója | Microsoft Entra-objektumazonosító | |
A SAP_User_Config figyelőlista | Felhasználói azonosító | AD felhasználói azonosító | |
A SAP_User_Config figyelőlista | Helyszíni felhasználói biztonsági azonosító | ||
A SAP_User_Config figyelőlista | Felhasználó egyszerű neve | ||
A SAP_User_Config figyelőlista | Címkék listája | A felhasználóhoz rendelt címkék listája | ChangeUserMasterDataOK; RunObsoleteProgOK |
Logika | TagsIntersect | A SearchForTags-nek megfelelő címkék készlete | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Logika | SpecialFocusTagged | Speciális fókusz jelzése | Igaz, Hamis |
Logika | Metszetméret | Metszetcímkék száma |
SAPUsersHeader
Az SAPUsersHeader függvény úgy lett kialakítva, hogy magas szintű képet nyújtson az SAP-felhasználóról. Az SAP felhasználói főadattábláiból és az SAP-napló legutóbbi tevékenységeiből kinyert adatokat használja az e-mail- és IP-címek gyűjtéséhez. Ezután visszaadja az utolsó ismert e-mail- és IP-címeket, valamint az elsődleges e-mail- és IP-címeket. Paraméterek: SelectedSystemRoles:dynamic = dynamic(["Minden rendszerszerepkör"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- Választható
- Alapértelmezett érték: "Minden rendszer"
- Adott SAP-rendszerek szűrésére szolgál.
- SelectedSystemRoles
- Választható
- Alapértelmezett érték: "Minden rendszerszerepkör"
- Meghatározza a megvizsgálandó SAP-rendszerek szerepköreit (az "SAP - Systems" figyelőlistában meghatározottak szerint).
- SelectedUsers
- Választható
- Alapértelmezett érték: "Minden felhasználó"
- Beírhatja a felhasználók listáját.
- SelectedUser
- Választható
- Alapértelmezett érték: "Minden felhasználó"
- Csak egyetlen felhasználót fogad el
További megjegyzések
Teljesítménnyel kapcsolatos szempontok esetén a rendszer csak néhány napos naplózási tevékenységet mérlegel. A felhasználói tevékenységek teljes előzményeihez futtasson egy egyéni KQL-lekérdezést a SAPAuditLog függvényen.
Forrás | Mező | Leírás | Jegyzetek |
---|---|---|---|
User | Az SAP-felhasználó | ||
SAP-táblák ADR6 és USR21 | A felhasználó fő adataiból vett adatok | OSS, DDIC | |
SAP-tábla USR02 | UserType | a felhasználóhoz rendelt címkék sztringje | RunObsoleteProgOK |
SAP-tábla USR02 | Időzóna | Microsoft Entra-objektumazonosító | |
SAP-tábla USR02 | LockedStatus | AD felhasználói azonosító | |
SAP-naplózási napló | LastSeen | Időbélyeg | utoljára megfigyelt naplózási esemény a felhasználó számára |
SAP-naplózási napló | LastSeenDaysAgo | a LastSeen óta eltelt napok | |
SAP-naplózási napló | Elsődleges IP-cím | Leggyakrabban használt IP-cím | ChangeUserMasterDataOK; RunObsoleteProgOK |
SAP-naplózási napló | LastKnownIP | Legutóbb használt IP-cím | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
SAP-naplózási napló | Elsődlegese-mail | Leggyakrabban használt e-mail-cím | Igaz, Hamis |
SAP-naplózási napló | Ismert IP-címek | Ismert IP-címek listája | rendezés a leggyakoribb első szerint |
SAP-naplózási napló | Ismert Emailek | Ismert e-mail-címek listája | rendezés a leggyakoribb első szerint |
Ügyfél | Az SAP-ügyfél azonosítója | ||
SystemID | Az SAP rendszerazonosítója | ||
SystemRole | Az SAP-rendszer szerepköre | Éles környezet, UAT | |
SystemUsage | Az SAP-rendszer fő használata | ERP, CRM |
Az adatösszekötő-ügynök által előállított naplók
Ez a szakasz az SAP-alkalmazások® adatösszekötőjéhez elérhető Microsoft Sentinel-megoldásból elérhető SAP-naplókat ismerteti, beleértve a Microsoft Sentinel táblaneveit, a naplócélokat és a részletes naplós sémákat. A sémamezők leírása a vonatkozó SAP-dokumentációban szereplő mezőleírásokon alapul.
A legjobb eredmény érdekében használja az alább felsorolt Microsoft Sentinel függvényeket az adatok vizualizációjához, eléréséhez és lekérdezéséhez.
- ABAP-alkalmazásnapló
- ABAP – Dokumentumok módosítása napló
- ABAP CR-napló
- ABAP DB táblaadatnapló (ELŐZETES VERZIÓ)
- ABAP-átjáró naplója (ELŐZETES VERZIÓ)
- ABAP ICM-napló (ELŐZETES VERZIÓ)
- ABAP-feladatnapló
- ABAP biztonsági auditnapló
- ABAP Spool-napló
- APAB Spool kimeneti naplója
- ABAP SysLog
- ABAP-munkafolyamat naplója
- ABAP WorkProcess-napló
- HANA DB auditútvonal
- JAVA-fájlok
- SAP Szívverési napló
ABAP-alkalmazásnapló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPAppLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Rögzíti az alkalmazás végrehajtásának előrehaladását, hogy szükség szerint később rekonstruálhassa.
Az RFC használatával érhető el a standard SAP-tábla és az XBP-interfész standard szolgáltatásai alapján. Ez a napló ügyfélenként jön létre.
ABAPAppLog_CL naplóséma
Mező | Leírás |
---|---|
AppLogDateTime | Alkalmazásnapló dátumának időpontja |
CallbackProgram | Visszahívási program |
CallbackRoutine | Visszahívási rutin |
Visszahívástípus | Visszahívás típusa |
Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
ContextDDIC | Környezeti DDIC-struktúra |
ExternalID | Külső naplóazonosító |
Gazdagép | Gazdagép |
Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Alkalmazásnapló-üzenet soros |
LevelofDetail | Részletességi szint |
LogHandle | Alkalmazásnapló-leíró |
LogNumber | Naplószám |
MessageClass | Üzenetosztály |
ÜzenetSzáma | Üzenetszám |
Üzenetszöveg | Üzenet szövege |
MessageType | Üzenettípus |
Objektum | Alkalmazásnapló-objektum |
OperationMode | Műveleti mód |
ProblemClass | Problémaosztály |
ProgramName | Program neve |
SortCriterion | Rendezési feltétel |
Standardtext | Normál szöveg |
Alobjektum | Alkalmazásnapló alobjektuma |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
TransactionCode | Tranzakció kódja |
User | User |
UserChange | Felhasználó módosítása |
ABAP – Dokumentumok módosítása napló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPChangeDocsLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Napló célja: Rekordok:
Az SAP NetWeaver Application Server (AS) ABAP-naplója megváltozik az üzleti adatobjektumokon a változásdokumentumokban.
Az SAP rendszer egyéb entitásai, például felhasználói adatok, szerepkörök, címek.
Az RFC standard SAP-táblákon alapuló használatával érhető el. Ez a napló ügyfélenként jön létre.
ABAPChangeDocsLog_CL naplóséma
Mező | Leírás |
---|---|
ActualChangeNum | Tényleges változásszám |
ChangedTableKey | Módosított táblakulcs |
ChangeNumber | Szám módosítása |
Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
CreatedfromPlannedChange | Tervezett módosításból jött létre a következő szintaxisban: (‘X’ , ‘ ‘) |
CurrencyKeyNew | Pénznemkulcs: új érték |
CurrencyKeyOld | Pénznemkulcs: régi érték |
Mezőnév | Mezőnév |
Jelölőszöveg | Szöveg megjelölése |
Gazdagép | Gazdagép |
Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
Nyelv | Nyelv |
ObjectClass | Objektumosztály, például BELEG : , BPAR , PFCG IDENTITY |
ObjectID | Objektumazonosító |
PlannedChangeNum | Tervezett módosítás száma |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
TableName | Tábla neve |
TransactionCode | Tranzakció kódja |
TypeofChange_Header | A módosítás fejléctípusa, beleértve a következőket: U = Változás; I = Beszúrás; E = Egyetlen docu törlése; D = Törlés; J = Egyetlen docu beszúrása |
TypeofChange_Item | A változás elemtípusa, beleértve a következőket: U = Változás; I = Beszúrás; E = Egyetlen docu törlése; D = Törlés; J = Egyetlen docu beszúrása |
UOMNew | Mértékegység: új érték |
UOMOld | Mértékegység: régi érték |
User | User |
ValueNew | Mező tartalma: új érték |
ValueOld | Mező tartalma: régi érték |
Verzió | Verzió |
ABAP CR-napló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPCRLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Tartalmazza a Change & Transport System (CTS) naplóit, beleértve a címtárobjektumokat és a módosításokat tartalmazó testreszabásokat.
Az RFC standard táblákon és standard SAP-szolgáltatásokon alapuló használatával érhető el. Ez a napló az összes ügyfél adataival jön létre.
Feljegyzés
Az alkalmazásnaplózás, a dokumentumok módosítása és a táblarögzítés mellett a CTS- és TMS-naplók is dokumentálják az éles rendszerben a Change & Transport System használatával végzett összes módosítást.
ABAPCRLog_CL naplóséma
Mező | Leírás |
---|---|
Kategória | Kategória (Workbench, Testreszabás) |
Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
Leírás | Leírás |
Gazdagép | Gazdagép |
Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
ObjectName | Objektum neve |
ObjectType | Objektumtípus |
Tulajdonos | Tulajdonos |
Kérés | Kérelem módosítása |
Állapot | Állapot |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
TableKey | Táblakulcs |
TableName | Tábla neve |
ViewName | Nézet neve |
ABAP DB táblaadatnapló (ELŐZETES VERZIÓ)
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPTableDataLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Naplózást biztosít azokhoz a táblákhoz, amelyek kritikus fontosságúak vagy érzékenyek az auditokra.
Az RFC egyéni szolgáltatással való használatával érhető el. Ez a napló az összes ügyfél adataival jön létre.
ABAPTableDataLog_CL naplóséma
Mező | Leírás |
---|---|
DBLogID | ADATBÁZIS naplóazonosítója |
Gazdagép | Gazdagép |
Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
Nyelv | Nyelv |
LogKey | Naplókulcs |
NewValue | Mező új értéke |
OldValue | Mező régi értéke |
OperationTypeSQL | Művelet típusa, Insert , , Update Delete |
Program | Program neve |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
Táblamező | Táblamező |
TableName | Tábla neve |
TransactionCode | Tranzakció kódja |
UserName | User |
VersionNumber | Verziószám |
ABAP-átjáró naplója (ELŐZETES VERZIÓ)
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_GW
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az átjáró tevékenységeinek figyelése. Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.
ABAPOS_GW_CL naplóséma
Mező | Leírás |
---|---|
Gazdagép | Gazdagép |
Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
Üzenetszöveg | Üzenet szövege |
Súlyosság | Üzenet súlyossága: Debug , Info , Warning , Error |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
ABAP ICM-napló (ELŐZETES VERZIÓ)
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_ICM
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Rögzíti a bejövő és kimenő kéréseket, és statisztikákat készít a HTTP-kérelmekről.
Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.
ABAPOS_ICM_CL naplóséma
Mező | Leírás |
---|---|
Gazdagép | Gazdagép |
Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
Üzenetszöveg | Üzenet szövege |
Súlyosság | Üzenet súlyossága, beleértve: Debug , Info , , Warning Error |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
ABAP-feladatnapló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPJobLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Egyesíti az összes háttérfeldolgozási feladatnaplót (SM37).
Az RFC használatával érhető el a standard SAP-tábla és az XBP-interfészek standard szolgáltatásai alapján. Ez a napló az összes ügyfél adataival jön létre.
naplóséma ABAPJobLog_CL
Mező | Leírás |
---|---|
ABAPProgram | ABAP program |
BgdEventParameters | Háttéresemény paraméterei |
BgdProcessingEvent | Háttérfeldolgozási esemény |
Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
DynproNumber | Dynpro-szám |
GUIStatus | Grafikus felhasználói felület állapota |
Gazdagép | Gazdagép |
Példány | ABAP-példány (HOST_SYSID_SYSNR) a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
JobClassification | Feladatbesorolás |
JobCount | Feladatok száma |
JobGroup | Feladatcsoport |
Feladatnév | Feladat neve |
JobPriority | A feladatok prioritása |
MessageClass | Üzenetosztály |
ÜzenetSzáma | Üzenetszám |
Üzenetszöveg | Üzenet szövege |
MessageType | Üzenettípus |
ReleaseUser | Feladat kiadási felhasználója |
SchedulingDateTime | Ütemezési dátum időpontja |
StartDateTime | Kezdési dátum időpontja |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
TargetServer | Célkiszolgáló |
User | User |
UserReleaseInstance | ABAP-példány – felhasználói kiadás |
WorkProcessID | Munkafolyamat-azonosító |
WorkProcessNumber | Munkafolyamat száma |
ABAP biztonsági auditnapló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPAuditLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: A következő adatokat rögzíti:
- Az SAP rendszerkörnyezetének biztonsággal kapcsolatos változásai, például a fő felhasználói rekordok módosítása
- Magasabb szintű adatokat, például sikeres és sikertelen bejelentkezési kísérleteket biztosító információk
- Olyan információk, amelyek lehetővé teszik egy eseménysorozat, például a sikeres vagy sikertelen tranzakció indítását
RFC XAL/SAL interfészekkel érhető el. A SAL a Basis 7.50-es verziójától érhető el. Ez a napló az összes ügyfél adataival jön létre.
ABAPAuditLog_CL naplóséma
Mező | Leírás |
---|---|
ABAPProgramName | Programnév, csak SAL |
AlertSeverity | A riasztás súlyossága |
AlertSeverityText | Riasztás súlyossági szövege, csak SAL |
AlertValue | Riasztási érték |
AuditClassID | Naplózási osztály azonosítója, csak SAL |
Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
Számítógép | Csak felhasználói gép, csak SAL |
Felhasználó e-mail-címe | |
Gazdagép | Gazdagép |
Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
MessageClass | Üzenetosztály |
MessageContainerID | Üzenettároló azonosítója, csak XAL |
MessageID | Üzenetazonosító, például ‘AU1’,’AU2’… |
Üzenetszöveg | Üzenet szövege |
MonitoringObjectName | MTE Monitor objektum neve, csak XAL |
MonitorShortName | MTE Monitor rövid neve, csak XAL |
SAPProcesType | Rendszernapló: SAP-folyamat típusa, csak SAL |
B* – Háttérfeldolgozás | |
D* – Párbeszédpanel feldolgozása | |
U* – Feladatok frissítése | |
SAPWPName | Rendszernapló: Munkafolyamat száma, csak SAL |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
TerminalIPv6 | Felhasználói gép IP-címe, csak SAL |
TransactionCode | Tranzakciós kód, csak SAL |
User | User |
Változó1 | 1. üzenetváltozó |
Változó2 | 2. üzenetváltozó |
Változó3 | Üzenetváltozó 3 |
Változó4 | 4. üzenetváltozó |
ABAP Spool-napló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPSpoolLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az SAP-nyomtatás fő naplójaként szolgál a spool-kérelmek előzményeivel. (SP01).
Elérhető az RFC standard SAP-tábla alapján történő használatával. Ez a napló az összes ügyfél adataival jön létre.
ABAPSpoolLog_CL naplóséma
Mező | Leírás |
---|---|
ArchiveStatus | Archív állapot |
ArchiveType | Archív típus |
ArchivingDevice | Archiváló eszköz |
AutoRereoute | Automatikus átirányítás |
Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
CountryKey | Országkulcs |
DeleteSpoolRequestAuto | Spool-kérelem automatikus törlése |
DelFlag | Törlés jelző |
Részleg | Részleg |
DocumentType | Dokumentumtípusok |
ExternalMode | Külső mód |
FormatType | Formátum típusa |
Gazdagép | Gazdagép |
Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
Példányszám | Másolatok száma |
OutputDevice | Kimeneti eszköz |
PrinterLongName | Nyomtató hosszú neve |
PrintImmediately | Nyomtatás azonnal |
PrintOSCoverPage | OsCover lap nyomtatása |
PrintSAPCoverPage | SAPCover lap nyomtatása |
Prioritás | Prioritás |
RecipientofSpoolRequest | Az orsókérés címzettje |
SpoolErrorStatus | Spool hibaállapot |
SpoolRequestCompleted | A várólistára vonatkozó kérés befejeződött |
SpoolRequestisALogForAnotherRequest | A Spool-kérés egy másik kérés naplója |
SpoolRequestName | Spool-kérelem neve |
SpoolRequestNumber | Spool-kérelem száma |
SpoolRequestSuffix1 | Spool request utótag1 |
SpoolRequestSuffix2 | Spool request utótag2 |
SpoolRequestTitle | Spool-kérelem címe |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
TelecommunicationsPartner | Távközlési partner |
TelecommunicationsPartnerE | Telekommunikációs partner E |
TemSeGeneralcounter | Temse számláló |
TemseNumAddProtectionRule | Temse szám hozzáadása védelmi szabály |
TemseNumChangeProtectionRule | Temse-számmódosítás védelmi szabálya |
TemseNumDeleteProtectionRule | Temse-szám törlési védelmi szabálya |
TemSeObjectName | Temse objektum neve |
TemSeObjectPart | TemSe objektumrész |
TemseReadProtectionRule | Temse olvasásvédelmi szabály |
User | User |
ValueAuthCheck | Érték hitelesítésének ellenőrzése |
APAB Spool kimeneti naplója
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPSpoolOutputLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az SAP-nyomtatás fő naplójaként szolgál a spool kimeneti kéréseinek előzményeivel. (SP02).
Elérhető az RFC használatával egy standard táblákon alapuló egyéni szolgáltatással. Ez a napló az összes ügyfél adataival jön létre.
naplóséma ABAPSpoolOutputLog_CL
Mező | Leírás |
---|---|
AppServer | Alkalmazáskiszolgáló |
Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
Megjegyzés | Megjegyzés |
CopyCount | Másolások száma |
CopyCounter | Számláló másolása |
Részleg | Részleg |
ErrorSpoolRequestNumber | Hibakérés száma |
FormatType | Formátum típusa |
Gazdagép | Gazdagép |
HostName | Gazdagép neve |
HostSpoolerID | Gazdagépsor-kezelő azonosítója |
Példány | ABAP-példány |
LastPage | Utolsó oldal |
Példányszám | Másolatok száma |
OutputDevice | Kimeneti eszköz |
OutputRequestNumber | Kimeneti kérelem száma |
OutputRequestStatus | Kimeneti kérelem állapota |
PhysicalFormatType | Fizikai formátum típusa |
PrinterLongName | Nyomtató hosszú neve |
PrintRequestSize | Kérelem méretének nyomtatása |
Prioritás | Prioritás |
ReasonforOutputRequest | A kimeneti kérelem oka |
RecipientofSpoolRequest | Az orsókérés címzettje |
SpoolNumberofOutputReqProcessed | Kimeneti kérelmek száma – feldolgozott |
SpoolNumberofOutputReqWithErrors | Kimeneti kérelmek száma – hibákkal |
SpoolNumberofOutputReqWithProblems | Kimeneti kérelmek száma – problémák esetén |
SpoolRequestNumber | Spool-kérelem száma |
Startpage | Kezdőlap |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
TelecommunicationsPartner | Távközlési partner |
TemSeGeneralcounter | Temse számláló |
Cím | Cím |
User | User |
ABAP Syslog
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_Syslog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Rögzíti az ÖSSZES SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP-rendszerhibát, figyelmeztetést, felhasználói zárolást az ismert felhasználóktól érkező sikertelen bejelentkezési kísérletek és a folyamatüzenetek miatt.
Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.
ABAPOS_Syslog_CL naplóséma
Mező | Leírás |
---|---|
Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
Gazdagép | Gazdagép |
Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
ÜzenetSzáma | Üzenetszám |
Üzenetszöveg | Üzenet szövege |
Súlyosság | Üzenet súlyossága, az alábbi értékek egyike: Debug , Info , , Warning Error |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
TransacationCode | Tranzakció kódja |
Típus | SAP-folyamat típusa |
User | User |
ABAP-munkafolyamat naplója
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPWorkflowLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az SAP Business Workflow (WebFlow Engine) lehetővé teszi olyan üzleti folyamatok meghatározását, amelyek még nincsenek leképezve az SAP-rendszerben.
A le nem képezett üzleti folyamatok lehetnek például egyszerű kiadási vagy jóváhagyási eljárások, vagy összetettebb üzleti folyamatok, például alapanyagok létrehozása és a kapcsolódó részlegek koordinálása.
Az RFC standard SAP-táblákon alapuló használatával érhető el. Ez a napló ügyfélenként jön létre.
ABAPWorkflowLog_CL naplóséma
Mező | Leírás |
---|---|
ActualAgent | Tényleges ügynök |
Cím | Cím |
ApplicationArea | Alkalmazásterület |
CallbackFunction | Visszahívási függvény |
Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
CreationDateTime | Létrehozás dátuma |
Szerző | Szerző |
CreatorAddress | Létrehozó címe |
ErrorType | Hibatípus |
ExceptionforMethod | Metódus kivétele |
Gazdagép | Gazdagép |
Példány | ABAP-példány (HOST_SYSID_SYSNR) a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
Nyelv | Nyelv |
LogCounter | Naplószámláló |
ÜzenetSzáma | Üzenetszám |
MessageType | Üzenettípus |
MethodUser | Metódusfelhasználó |
Prioritás | Prioritás |
SimpleContainer | Egyszerű tároló, a munkaelem kulcs-érték entitásainak listájaként csomagolva |
Állapot | Állapot |
SuperWI | Super WI |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
TaskID | Tevékenységazonosító |
TasksClassification | Tevékenységbesorolások |
TaskText | Tevékenységszöveg |
TopTaskID | Legfelső tevékenységazonosító |
UserCreated | Felhasználó létrehozva |
WIText | Munkaelem szövege |
WIType | Munkaelem típusa |
WorkflowAction | Munkafolyamat-művelet |
WorkItemID | Munkaelem azonosítója |
ABAP WorkProcess-napló
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_WP
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az összes munkafolyamat-naplót egyesíti. (alapértelmezett:
dev_*
).Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.
naplóséma ABAPOS_WP_CL
Mező | Leírás |
---|---|
Gazdagép | Gazdagép |
Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
Üzenetszöveg | Üzenet szövege |
Súlyosság | Üzenet súlyossága: Debug , Info , Warning , Error |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
WPNumber | Munkafolyamat száma |
HANA DB auditútvonal
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, telepítenie kell egy Microsoft Management Agentet , hogy syslog-adatokat gyűjtsön a HANA DB-t futtató gépről.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPSyslog
Kapcsolódó SAP-dokumentáció: Általános | auditútvonal
Naplócél: Felhasználói műveleteket vagy megkísérelt műveleteket rögzít az SAP HANA-adatbázisban. Lehetővé teszi például a bizalmas adatokhoz való olvasási hozzáférés naplózását és monitorozását.
A Sysloghoz készült Sentinel Linux-ügynök által elérhető. Ez a napló az összes ügyfél adataival jön létre.
Syslog-naplóséma
Mező | Leírás |
---|---|
Számítógép | Gazdagép neve |
HostIP | Gazdagép IP-címe |
HostName | Gazdagép neve |
ProcessID | Folyamatazonosító |
ProcessName | Folyamat neve: HDB* |
Súlyossági szint | Riasztás |
SourceSystem | Forrásrendszer operációs rendszere, Linux |
SyslogMessage | Üzenet, egy nem elemzett naplónapló-üzenet |
JAVA-fájlok
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPJAVAFilesLogs
Kapcsolódó SAP-dokumentáció: Általános | Java biztonsági auditnapló
Naplócél: Egyesíti az összes Java-fájlalapú naplót, beleértve a biztonsági naplózási naplót, valamint a rendszer (fürt- és kiszolgálófolyamat), a teljesítményt és az átjárónaplókat. Fejlesztői nyomkövetéseket és alapértelmezett nyomkövetési naplókat is tartalmaz.
Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.
JavaFilesLogsCL-naplóséma
Mező | Leírás |
---|---|
Alkalmazás | Java-alkalmazás |
Ügyfélazonosító | Ügyfél azonosítója |
CSNComponent | CSN-összetevő, például BC-XI-IBD |
DCComponent | DC-összetevő, például com.sap.xi.util.misc |
DSRCounter | DSR-számláló |
DSRRootContentID | DSR-környezet GUID azonosítója |
DSRTransaction | DSR-tranzakció GUID azonosítója |
Gazdagép | Gazdagép |
Példány | Java-példány, az alábbi szintaxisban: <HOST>_<SYSID>_<SYSNR> |
Hely | Java-osztály |
LogName | Java logName, például: Available , defaulttrace , dev* , security stb. |
Üzenetszöveg | Üzenet szövege |
MNo | Üzenetszám |
Pid | Folyamatazonosító |
Program | Program neve |
Munkamenet | Munkamenet |
Súlyosság | Üzenet súlyossága, beleértve a következőket: Debug ,Info ,Warning ,Error |
Megoldás | Megoldás |
SystemID | Rendszerazonosító |
SystemNumber | Rendszerszám |
ThreadName | Szál neve |
Dobott | Kivétel ki lett dobva |
Időzóna | Időzóna |
User | User |
SAP Szívverési napló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAP Csatlakozás orHealth
Naplócél: Szívverést és egyéb állapotinformációkat biztosít az ügynökök és a különböző SAP-rendszerek közötti kapcsolatról.
Automatikusan létrejön az SAP-adatösszekötőhöz készült Microsoft Sentinel bármely ügynöke számára.
SAP_HeartBeat_CL naplóséma
Mező | Leírás |
---|---|
TimeGenerated | Naplóbejegyzési esemény időpontja |
agent_id_s | Ügynökazonosító az ügynök konfigurációjában (automatikusan generálva) |
agent_ver_s | Ügynök verziója |
host_s | Az ügynök állomásneve |
system_id_s | Netweaver ABAP rendszerazonosító / Netweaver SAPControl-gazdagép (előzetes verzió) / Java SAPControl-gazdagép (előzetes verzió) |
push_timestamp_d | A kinyerés időbélyege az ügynök időzónája szerint |
agent_timezone_s | Az ügynök időzónája |
Közvetlenül az SAP-rendszerekből lekért táblák
Ez a szakasz azokat az adattáblákat sorolja fel, amelyek közvetlenül az SAP rendszerből vannak lekérve, és a Microsoft Sentinelbe kerülnek, pontosan úgy, ahogy vannak.
A táblák adatainak a Microsoft Sentinelbe való betöltéséhez konfigurálja a megfelelő beállításokat a systemconfig.ini fájlban. További információ: A felhasználói főkiszolgáló adatgyűjtésének konfigurálása.
Az ezekből a táblákból lekért adatok egyértelmű képet nyújtanak az engedélyezési struktúráról, a csoporttagságról és a felhasználói profilról. Emellett lehetővé teszi az engedélyezési támogatások és visszavonások folyamatának nyomon követését, valamint az ezekhez a folyamatokhoz kapcsolódó kockázatok azonosítását és szabályozását.
Az alábbi táblázatok szükségesek a kiemelt felhasználók azonosítását, a felhasználók szerepkörökhöz, csoportokhoz és engedélyezésekhez való leképezését lehetővé tevő függvények engedélyezéséhez.
A legjobb eredmény érdekében tekintse meg ezeket a táblázatokat az alábbi Sentinel függvénynév oszlopban található névvel:
Tábla neve | Táblázat leírása | Sentinel függvény neve |
---|---|---|
USR01 | Felhasználói főrekord (futtatókörnyezeti adatok) | SAP_USR01 |
USR02 | Bejelentkezési adatok (kerneloldali használat) | SAP_USR02 |
UST04 | Felhasználói főkiszolgálók felhasználók Térképek profilokhoz |
SAP_UST04 |
AGR_U Standard kiadás RS | Szerepkörök hozzárendelése felhasználókhoz | SAP_AGR_U Standard kiadás RS |
AGR_1251 | A tevékenységcsoport engedélyezési adatai | SAP_AGR_1251 |
USGRP_U Standard kiadás R | Felhasználók hozzárendelése felhasználói csoportokhoz | SAP_USGRP_U Standard kiadás R |
USR21 | Felhasználónév/címkulcs hozzárendelése | SAP_USR21 |
ADR6 | E-mail-címek (üzleti címszolgáltatások) | SAP_ADR6 |
USRSTAMP | Időbélyeg a felhasználó összes módosításához | SAP_USRSTAMP |
ADCP | Személy/cím hozzárendelése (üzleti címszolgáltatások) | SAP_ADCP |
USR05 | Felhasználói fő paraméter azonosítója | SAP_USR05 |
AGR_PROF | Szerepkör profilneve | SAP_AGR_PROF |
AGR_FLAGS | Szerepkör-attribútumok | SAP_AGR_FLAGS |
DEVACCESS | Tábla fejlesztői felhasználó számára | SAP_DEVACCESS |
AGR_DEFINE | Szerepkör-definíció | SAP_AGR_DEFINE |
AGR_AGRS | Szerepkörök összetett szerepkörökben | SAP_AGR_AGRS |
PAHI | A rendszer-, adatbázis- és SAP-paraméterek előzményei | SAP_PAHI |
SNCSYSACL (ELŐZETES VERZIÓ) | SNC hozzáférés-vezérlési lista (ACL): Rendszerek | SAP_SNCSYSACL |
USRACL (ELŐZETES VERZIÓ) | SNC hozzáférés-vezérlési lista (ACL): Felhasználó | SAP_USRACL |
Következő lépések
További információkért lásd:
- A Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® részletes SAP-követelmények
- A Microsoft Sentinel for SAP adatösszekötő üzembe helyezése az SNC-vel
- Szakértői konfigurációs lehetőségek, helyszíni üzembe helyezés és SAPControl-naplóforrások
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz®: beépített biztonsági tartalom
- Az SAP-rendszer állapotának monitorozása
- Microsoft Sentinel-megoldás hibaelhárítása AZ SAP-alkalmazások® üzembe helyezéséhez