SAP HANA-naplók gyűjtése a Microsoft Sentinelben

Ez a cikk bemutatja, hogyan gyűjthet naplózási naplókat az SAP HANA-adatbázisból.

Fontos

A Microsoft Sentinel SAP HANA támogatása jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Előfeltételek

Az SAP HANA-naplók a Syslogon keresztül lesznek elküldve. Győződjön meg arról, hogy az AMA-ügynök vagy a Log Analytics-ügynök (örökölt) a Syslog-fájlok gyűjtésére van konfigurálva. További információk:

További információ: Ingest syslog and CEF messages to Microsoft Sentinel with the Azure Monitor Agent.

SAP HANA-naplózási naplók gyűjtése

1. Győződjön meg arról, hogy az SAP HANA naplózási naplója úgy van konfigurálva, hogy a Syslogot használja az SAP Note 0002624117 című szakaszban leírtak szerint, amely elérhető az SAP Launchpad támogatási webhelyén. További információk:

   • SAP HANA Audit Trail – Ajánlott eljárás
   • Javaslatok naplózáshoz
   • SAP HANA biztonsági útmutató az SAP HANA platformhoz

2. Ellenőrizze az operációs rendszer Syslog-fájljait a megfelelő HANA-adatbázisesemények esetében.

3. Jelentkezzen be a HANA-adatbázis operációs rendszerébe sudo jogosultságokkal rendelkező felhasználóként.

4. Telepítsen egy ügynököt a gépére, és győződjön meg arról, hogy a gép csatlakoztatva van. További információk:

   • Azure Monitor-ügynök
   • Log Analytics-ügynök (örökölt)

5. Konfigurálja az ügynököt a Syslog-adatok gyűjtésére. További információk:

   • Azure Monitor-ügynök
   • Log Analytics-ügynök (örökölt)

   Tipp.

   Mivel a HANA-adatbáziseseményeket tartalmazó létesítmények változhatnak a különböző disztribúciók között, javasoljuk, hogy adja hozzá az összes létesítményt. Ellenőrizze őket a Syslog-naplókban, majd távolítsa el azokat, amelyek nem relevánsak.

A konfiguráció ellenőrzése

A Microsoft Sentinelben és az SAP HANA-adatbázisban is kövesse az alábbi lépéseket annak ellenőrzéséhez, hogy a rendszer a várt módon van-e konfigurálva.

Microsoft Sentinel

A Microsoft Sentinel Naplók lapján ellenőrizze, hogy a HANA-adatbázis eseményei megjelennek-e a betöltött naplókban. Futtassa például a következő lekérdezést:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

Az SAP HANA-adatbázisban ellenőrizze a konfigurált naplózási szabályzatokat. A szükséges SQL-utasításokról további információt az SAP Megjegyzés 3016478 talál.

Elemzési szabályok hozzáadása az SAP HANA-hoz a Microsoft Sentinelben

Használja a következő beépített elemzési szabályokat, hogy a Microsoft Sentinel riasztásokat aktiváljon a kapcsolódó SAP HANA-tevékenységekkel kapcsolatban:

• SAP – (ELŐZETES VERZIÓ) HANA DB – Rendszergazdai engedélyek hozzárendelése
• SAP – (ELŐZETES VERZIÓ) HANA DB – Naplózási napló szabályzatának változásai
• SAP – (ELŐZETES VERZIÓ) HANA DB – Az auditnapló inaktiválása
• SAP – (ELŐZETES VERZIÓ) HANA DB – Felhasználói rendszergazdai műveletek

További információ: Microsoft Sentinel megoldás SAP-alkalmazásokhoz®: biztonsági tartalomra vonatkozó referencia.

Kapcsolódó tartalom

További információ az SAP BTP-hez készült Microsoft Sentinel-megoldásról:

• Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
• Microsoft Sentinel Solution for SAP BTP: biztonsági tartalomra vonatkozó referencia

További információ az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásról:

• Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
• A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei
• SAP Change Requests (CRs) üzembe helyezése és az engedélyezés konfigurálása
• A megoldás tartalmának üzembe helyezése a tartalomközpontból
• Az SAP-adatösszekötő-ügynököt üzemeltető tároló üzembe helyezése és konfigurálása
• Az SAP-adatösszekötő üzembe helyezése az SNC-vel
• Az SAP-rendszer állapotának monitorozása
• SAP-naplózás engedélyezése és konfigurálása

Hibaelhárítás:

• Microsoft Sentinel-megoldás hibaelhárítása AZ SAP-alkalmazások® üzembe helyezéséhez
• A HANA naplózási naplója nem jön létre a SYSLOG-ban | SAP-megjegyzés
• A HANA syslog-naplózásának átirányítása másik helyre | SAP-megjegyzés

Referenciafájlok:

• Microsoft Sentinel-megoldás SAP-alkalmazások® adatreferenciájához
• Microsoft Sentinel-megoldás SAP-alkalmazásokhoz®: biztonsági tartalomra vonatkozó referencia
• Indítási szkript referenciája
• Szkripthivatkozás frissítése
• Systemconfig.ini fájlhivatkozás

További információ: Microsoft Sentinel-megoldások.