Microsoft Sentinel-megoldás SAP-alkalmazások® adatreferenciájához
Fontos
Az SAP-megoldáshoz készült Microsoft Sentinel Threat Monitoring egyes összetevői jelenleg előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Az alábbiakban feljegyzett naplók némelyike alapértelmezés szerint nem küldhető el a Microsoft Sentinelnek, de szükség szerint manuálisan is hozzáadhatja őket. További információ: A Microsoft Sentinelnek küldött SAP-naplók meghatározása.
Ez a cikk az SAP-alkalmazásokhoz® és adatösszekötőjéhez készült Microsoft Sentinel-megoldás részeként elérhető függvényeket, naplókat és táblákat ismerteti. Speciális SAP-felhasználók számára készült.
Az SAP-megoldásból elérhető függvények
Ez a szakasz a munkaterületen az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás üzembe helyezése után elérhető függvényeket ismerteti. Ezeket a függvényeket a Microsoft Sentinel-naplók lapon találja meg, amelyeket a KQL-lekérdezésekben használhat, a Munkaterület függvények listában.
A felhasználókat határozottan javasoljuk, hogy a függvényeket az elemzés tárgyaként használják, amikor csak lehetséges, a mögöttes naplók vagy táblák helyett. Ezek a függvények az adatok elsődleges felhasználói felületeként szolgálnak. Ezek képezik az összes beépített elemzési szabály és munkafüzet alapját, amely a dobozon kívül érhető el. Ez lehetővé teszi a funkciók alatti adatinfrastruktúra módosítását anélkül, hogy a felhasználó által létrehozott tartalom feltörése lenne.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAP Csatlakozás orHealth
- SAP Csatlakozás orOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
Az SAPUsersAssignments függvény több SAP-adatforrásból gyűjt adatokat, és létrehoz egy felhasználóközpontú nézetet az aktuális felhasználói főadatokról, beleértve az aktuálisan hozzárendelt szerepköröket és profilokat.
Ez a függvény összefoglalja a szerepkörökhöz és profilokhoz való felhasználói hozzárendeléseket, és a következő adatokat adja vissza:
| Mező | Leírás | Adatforrás/jegyzetek |
|---|---|---|
| User | SAP felhasználói azonosító | Csak SAL |
| SMTP-cím | USR21 (SMTP_ADDR) | |
| UserType | Felhasználó típusa | USR02 (USTYP) |
| Időzóna | Időzóna | USR02 (TZONE) |
| LockedStatus | Zárolás állapota | USR02 (UFLAG) |
| LastSeenDate | Utolsó látható dátum | USR02 (TRDAT) |
| LastSeenTime | Utolsó elérhetőség időpontja | USR02 (LTIME) |
| UserGroupAuth | Felhasználói csoport a felhasználói főkiszolgáló karbantartásában | USR02 (OSZTÁLY) |
| Profilok | Profilok készlete (alapértelmezett maximális beállítási méret = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Közvetlenül hozzárendelt szerepkörök készlete (alapértelmezett maximális készletméret = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Közvetetten hozzárendelt szerepkörök készlete (alapértelmezett maximális készletméret = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Ügyfél | Ügyfél azonosítója | |
| SystemID | Rendszerazonosító | Az összekötőben definiált módon |
SAPUsersGetPrivileged
Az SAPUsersGetPrivileged függvény ügyfél- és rendszerazonosítónként visszaadja a kiemelt felhasználók listáját.
A felhasználók akkor minősülnek kiemeltnek, ha szerepelnek az SAP - Privileged Users figyelőlistán, hozzárendelték őket az SAP - Bizalmas profilok figyelőlistájában felsorolt profilhoz, vagy hozzáadták őket az SAP – Bizalmas szerepkörök figyelőlistájában felsorolt szerepkörhöz.
Paraméterek:
- TimeAgo
- Választható
- Alapértelmezett érték: Hét nap
- Azt határozza meg, hogy a függvény az érték által meghatározott időponttól az érték által
TimeAgomeghatározott időpontig a felhasználói főadatokat keresi.now() >
A SAPUsersGetPrivileged függvény a következő adatokat adja vissza:
| Mező | Leírás |
|---|---|
| User | SAP felhasználói azonosító |
| Ügyfél | Ügyfél azonosítója |
| SystemID | Rendszerazonosító |
SAPUsersAuthorizations
A SAPUsersAuthorizations függvény több tábla adatait egyesíti, így felhasználóközpontú nézetet hoz létre a hozzárendelt aktuális szerepkörökről és engedélyekről. A rendszer csak aktív szerepkörrel és engedélyezési hozzárendeléssel rendelkező felhasználókat ad vissza.
Paraméterek:
- TimeAgo
- Választható
- Alapértelmezett érték: Hét nap
- Azt határozza meg, hogy a függvény az érték által meghatározott időponttól az érték által
TimeAgomeghatározott időpontig a felhasználói főadatokat keresi.now() >
A SAPUsersAuthorizations függvény a következő adatokat adja vissza:
| Mező | Leírás | Jegyzetek |
|---|---|---|
| User | SAP felhasználói azonosító | |
| Szerepkörök | Szerepkörök halmaza (alapértelmezett maximális készletméret = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Engedélyezési csoportok (alapértelmezett maximális beállítási méret = 100) | {{AuthorizationsDeatils1},{AuthorizationsDeatils2}, ..., {AuthorizationsDeatils100}} |
| Ügyfél | Ügyfél azonosítója | |
| SystemID | Rendszerazonosító |
SAP Csatlakozás orHealth
Az SAP Csatlakozás orHealth függvény az ügynök és a mögöttes SAP-rendszer kapcsolatának állapotát tükrözi. A szívverési napló SAP_HeartBeat_CL és más állapotjelzők alapján a következő adatokat adja vissza:
| Mező | Leírás |
|---|---|
| Ügynök | Ügynökazonosító az ügynök konfigurációjában (automatikusan generálva) |
| SystemID | SAP-rendszerazonosító |
| Állapot | A kapcsolat általános állapota |
| Részletek | Csatlakozás ivity részletei |
| ExtendedDetails | Csatlakozás ivity bővített részletei |
| LastSeen | A legutóbbi tevékenység időbélyege |
| StatusCode | A rendszer állapotát tükröző kód |
SAP Csatlakozás orOverview
Az SAP Csatlakozás orOverview függvény az egyes SAP-táblák sorszámát jeleníti meg rendszerazonosítónként. A rendszerazonosítónként visszaadja az adatrekordok listáját és a létrehozott időt.
Paraméterek:
- TimeAgo
- Választható
- Alapértelmezett érték: Hét nap
- Azt határozza meg, hogy a függvény az érték által meghatározott időponttól az érték által
TimeAgomeghatározott időpontig a felhasználói főadatokat keresi.now() >
| Mező | Leírás |
|---|---|
| TimeGenerated | A rekord generációjának időbélyegének datetime értéke |
| SystemID_s | Az SAP-rendszer azonosítóját képviselő sztring |
Napi trendelemzéshez használja a következő Kusto-lekérdezést:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Az SAPUsersEmail függvény lehetővé teszi egy SAP-felhasználó e-mail-címének teljesítményorientált keresését SAP-rendszeren és ügyfélenként, általában active directory-fiókhoz társítva. Az USR21 (felhasználónév/címkulcs-hozzárendelés) és az ADR6 (E-mail címek) SAP-táblákból kinyert adatok használatával az SAPUsersEmail függvény egy e-mail-címet keres. Ha nem található ilyen, a rendszer az e-mail-cím helyett a felhasználói azonosítót adja vissza. Ez a viselkedés biztosítja, hogy a gyakran nem e-mail-címekkel társított SAP-szolgáltatásfiókok (például DDIC) pszeudo AD-fiókokként legyenek naplózva, lehetővé téve néhány UEBA-funkciót, ami segít az incidensek kivizsgálásához és a vadászati tevékenységekhez.
| Mező | Leírás |
|---|---|
| Ügyfélazonosító | Az SAP-ügyfél azonosítója |
| SystemID | Az SAP rendszerazonosítója |
| User | Az SAP felhasználói azonosítója |
| Az SAP-felhasználó e-mail-címe |
SAPSystems
Az SAPSystems függvény központilag mutatja be az "SAP - Systems" figyelőlistával létrehozott rendszerenkénti konfigurációt.
Paraméterek:
- SelectedSystems
- Választható
- Alapértelmezett érték: "Minden rendszer"
- Adott SAP-rendszerek szűrésére szolgál
- SelectedSystemRoles
- Választható
- Alapértelmezett érték: "Minden rendszerszerepkör"
- Meghatározza a megvizsgálandó SAP-rendszerek szerepköreit (az "SAP - Systems" figyelőlistában meghatározottak szerint)
| Mező | Leírás | Adatforrás/jegyzetek |
|---|---|---|
| SearchKey | Keresési kulcs | Indexelt mező az SAP-rendszerazonosítóhoz |
| SystemRole | Az SAP-rendszer szerepköre | Éles környezet, UAT |
| SystemUsage | Az SAP-rendszer fő használata | ERP, CRM |
| SystemID | Az SAP rendszerazonosítója |
SAPAuditLogConfiguration
Az SAPAuditLogConfiguration függvény a Sentinel-munkaterület SAP auditnapló-riasztásának helyi konfigurációját adja vissza, amelyet a különböző SAP auditnaplókkal kapcsolatos riasztásokhoz kell használni. Összekapcsolja az adatokat az "SAP Dynamic Audit Log Monitor Configuration" és az "SAP - Systems" figyelőlistákban, hogy rendszerenkénti konfigurációt biztosítson rendszerszerepkörönként.
Paraméterek:
- SelectedSystems
- Választható
- Alapértelmezett érték: "Minden rendszer"
- Adott SAP-rendszerek szűrésére szolgál.
- SelectedSystemRoles
- Választható
- Alapértelmezett érték: "Minden rendszerszerepkör"
- Meghatározza a megvizsgálandó SAP-rendszerek szerepköreit (az "SAP - Systems" figyelőlistában meghatározottak szerint).
- SelectedSeverities
- Választható
- Alapértelmezett érték: ["Magas", "Közepes"]
- A súlyosságuk szempontjából megvizsgálandó események meghatározására szolgál. Az SAP auditnapló-üzenetazonosítója és rendszerszerepköre szerinti súlyosságok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistában vannak meghatározva.
- SelectedRuleTypes
- Választható
- Alapértelmezett érték: "Minden szabálytípus"
- Meghatározza, hogy mely események relevánsak az anomáliák észleléséhez. Az SAP auditnapló-üzenetazonosítója és rendszerszerepköre szerinti szabálytípusok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistában vannak definiálva.
| Mező | Leírás | Adatforrás/jegyzetek |
|---|---|---|
| CategoryName | SAP-eseménykategória | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
| DestinationEmail | A hozzárendelt csapat e-mail-címe | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
| DetailedDescription | A riasztásokon megjelenítendő markdown formátumú szöveg | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
| MessageID | Az SAP auditnapló üzenetazonosítója | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
| Üzenetszöveg | Üzenetminta szövege | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
| RolesTagsToExclude | ABAP-szerepkör, profil vagy szabad szöveges címke | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
| RuleType | Anomália vagy determinisztikus | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
| Taktika | A MITRE ATTA&CK taktikája | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
| TeamsChannelID | Teams-csatorna | "SAP Dynamic Audit Log Monitor Configuration" figyelőlista |
| SystemID | Az SAP rendszerazonosítója | "SAP - Systems" figyelőlista |
| SystemRole | Az SAP-rendszer szerepköre | "SAP - Systems" figyelőlista |
| SystemUsage | Az SAP-rendszer fő használata | "SAP - Systems" figyelőlista |
| IsProd | Éles rendszerjelző | "SAP - Systems" figyelőlista |
| Súlyosság | A származtatott súlyosság | Súlyosság rendszerhasználatonként |
| Küszöbérték | A származtatott küszöbérték | Eseményszám rendszerhasználatonként |
| BagOfDetails | Táska részletek | Az eseménydefiníciót részletező szótár |
SAPAuditLogAnomalies
Az SAPAuditLogAnomalies a Sentinel mögöttes Kusto-adatbázisának beépített gépi tanulási képességeivel segít észlelni az SAP-naplóban megfigyelt rendellenes eseményeket. Az "SAP – (kísérleti) dinamikus anomálián alapuló auditnapló-figyelési riasztások" riasztási szabályhoz kifejlesztett függvény eredetileg úgy lett kialakítva, hogy riasztást jelenítsen meg a legutóbbi rendellenességek esetén, de segíthet kiemelni a korábbi anomáliákat is (lásd az alábbi példákat).
Paraméterek:
- Tanulás Time
- Választható
- Alapértelmezett érték: 14 nap
- Meghatározza a modelltanuláshoz használt időbélyeget
- DetectingTime
- Választható
- Alapértelmezett érték: Egy óra
- Meghatározza az anomáliák észleléséhez megvizsgálandó időmennyiséget. A függvény DetectingTime = 0h használatával történő meghívásával a rendellenességek a teljes Tanulás Időidő-idő alatt ki lesznek emelve
- SelectedSystems
- Választható
- Alapértelmezett érték: "Minden rendszer"
- Adott SAP-rendszerek szűrésére szolgál.
- SelectedSystemRoles
- Választható
- Alapértelmezett érték: "Minden rendszerszerepkör"
- Meghatározza a megvizsgálandó SAP-rendszerek szerepköreit (az "SAP - Systems" figyelőlistában meghatározottak szerint).
- SelectedSeverities
- Választható
- Alapértelmezett érték: ["Magas", "Közepes"]
- A súlyosságuk szempontjából megvizsgálandó események meghatározására szolgál. Az SAP auditnapló-üzenetazonosítója és rendszerszerepköre szerinti súlyosságok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistában vannak meghatározva.
- SelectedPrefixMask
- Választható
- Alapértelmezett érték: 24
- A tanuláshoz és észleléshez használt alhálózati maszk szintjének meghatározására szolgál.
- SelectedRuleTypes
- Választható
- Alapértelmezett érték: "AnomaliesOnly"
- Meghatározza, hogy mely események relevánsak az anomáliák észleléséhez. Az SAP auditnapló-üzenetazonosítója és rendszerszerepköre szerinti szabálytípusok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistában vannak definiálva.
Logika
A függvény a különböző bemeneti paraméterek által meghatározott előzmények szeletét tanulja meg a felhasználó, a hálózati attribútumok, a rendszer, a szezonalitás és a tevékenységszintek alapján. Ezután a tanultaknak megfelelően bírálja el az utolsó DetectingTime időkereten belül bekövetkező eseményeket, küszöbértékeket és egyéb konfigurálható kizárási feltételeket alkalmazva, amelyeket az SAP auditnapló konfigurációs figyelőlistájából kapott. Miután a felhasználói tevékenység csúsztató ablakát rendellenesnek tekintették, egy második lekérdezés a teljes felhasználói tevékenységet a döntés alátámasztására szolgáló bizonyítékként adja vissza.
További megjegyzések
Mint minden gépi tanulási megoldásnál, ez a függvény is jobban teljesít az idő függvényében. További módosításokat helyi konfigurációval végezhet. Javasoljuk, hogy a tanult adatbázis méretét 100 millió rekord alá korlátozza a számos rendelkezésre álló bemeneti paraméter használatával.
Példa: Az elmúlt órában az éles rendszereken az "AnomaliesOnly" (AnomáliákOnly) jelöléssel ellátott eseménytípusok éles rendszereiben az elmúlt egy órában bekövetkezett nagy súlyosságú események rendellenességeinek keresése a "SAP_Dynamic_Audit_Log_Monitor_Configuration"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Példa: Az elmúlt 14 nap összes rendellenességének keresése a "BIP" rendszerben
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
| Mező | Leírás |
|---|---|
| Több mező a SAPAuditLogból | Kulcsmezők az SAP auditnaplójából |
| Több mező a SAPAuditLogConfiguration-ból | Kulcsmezők az SAP auditnapló-konfigurációjához készült Sentinelből |
| DiscoveredOn | Az a kerekített óra, amelyen az anomáliát megfigyelték: |
| EventCount | Visszaadott soronként megszámlált események száma |
| AnomalCount | A megfelelő tolóablakban megfigyelt események száma |
| MinTime | Az első megfigyelt esemény időpontja |
| MaxTime | Az utolsó megfigyelt esemény időpontja |
| Pontszám | az anomáliával kapcsolatos pontszámok az anomáliamodell által előállítottak szerint |
További információkért tekintse meg az SAP-naplózási napló figyelésére vonatkozó beépített SAP-elemzési szabályokat.
SAPAuditLogConfigRecommend
A SAPAuditLogConfigRecommend egy segédfüggvény, amely az SAP – Dinamikus anomálián alapuló auditnapló-figyelési riasztások (ELŐZETES VERZIÓ) elemzési szabály konfigurációjára vonatkozó javaslatokat kínál. Megtudhatja, hogyan konfigurálhatja a szabályokat.
SAPUsersGetVIP
Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás a központi felhasználói címkézés és explicit kizárások fogalmát használja, amely minimális erőfeszítéssel segít csökkenteni a hamis pozitív értékeket. Az SAPUsersGetVIP függvénnyel kizárhatja a felhasználókat a riasztások aktiválásából az sap-felhasználói szerepkörök, az SAP felhasználói függvények vagy a felhasználókat képviselő címkék megadásával. További információ: Hamis pozitív értékek kezelése a Microsoft Sentinelben.
Az SAPUsersGetVIP függvény bemeneteként megadott címkék kizárnak minden olyan felhasználót, aki szerepel a SAP_User_Config figyelőlistában. Ugyanez a funkció kiterjeszthető a helyettesítő karakterekre is, így egyetlen címkét rendelhet hozzá az azonos elnevezési szintaxissal rendelkező felhasználók egy csoportjához.
A felhasználók címkézése az SAP_User_Config figyelőlistán az alábbiak szerint:
Adjon hozzá több címkét minden felhasználóhoz a SAP_User_Config figyelőlistában, szükség szerint a különböző forgatókönyvek lefedéséhez. Minden riasztási szabály saját releváns címkékkel rendelkezik, ha vannak ilyenek, és igény szerint hozzáadhat egyéni címkéket.
Használjon csillagot (*) helyettesítő karakterként egy adott elnevezési szintaxissablonnal rendelkező felhasználók belefoglalásához.
Adja hozzá az SAPUsersGetVIP függvényt az elemzési szabályokhoz, és kérje meg, hogy az Ön által definiált felhasználók listája ne legyen kizárva a riasztásokból. A függvényhívásban adjon hozzá egy tömböt a kizárni kívánt címkékkel, SAP-szerepkörökkel és SAP-profilokkal.
Az elemzési szabályban például az alábbi KQL-lekérdezéssel kizárhatja a SAP_User_Config figyelőlistában a RunObsoleteProgOK címkével konfigurált felhasználókat, illetve a minta SAP_BASIS_ADMIN_ROLE szerepkörrel vagy a minta SAP_ADMIN_PROFILE profillal rendelkező felhasználókat.
A mintafüggvény-hívás másolásakor szükség szerint cserélje le SAP_BASIS_ADMIN_ROLE szerepkört és SAP_ADMIN_PROFILE profilt saját SAP-szerepkörökre vagy profilokra.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Az SAPUsersGetVIP függvényt gyakran használják determinisztikus és rendellenes naplózási naplófigyelő riasztásokban. Címkét társíthat egy SAP-naplóüzenet azonosítójához, vagy kiterjesztheti a szabálysablont egy olyan egyéni szabályra, amely megfelel a szervezet igényeinek.
Tipp.
Javasoljuk, hogy forduljon az SAP rendszergazdájához, hogy megismerje, mely SAP-felhasználókat, szerepköröket és profilokat vegye fel a SAP_User_Config figyelőlistájába.
Paraméterek:
| Név | Leírás | Alapértelmezett érték |
|---|---|---|
| SearchForTags (nem kötelező) | Ha SearchForTags egyenlő All Tags, a rendszer minden felhasználót a címkékkel együtt ad vissza. Ellenkező esetben csak a megadott címkéket, SAP-szerepköröket vagy SAP-profilokat SearchForTags tartalmazó felhasználók lesznek visszaadva. TagsIntersect megjeleníti a talált címkéket, és IntersectionSize tartalmazza a talált címkék számát. |
dynamic('All Tags') |
| SpecialFocusTags (nem kötelező) | A megadott SpecialFocusTagscímkéket tartalmazó összes felhasználót visszaadja, és megjelöli azokat.specialFocusTagged = true |
Do not return any in-focus users |
| Forrás | Mező | Leírás | Jegyzetek |
|---|---|---|---|
| A SAP_User_Config figyelőlista | SearchKey | Keresési kulcs | |
| A SAP_User_Config figyelőlista | SAPUser | Az SAP-felhasználó | OSS, DDIC |
| A SAP_User_Config figyelőlista | Címkék | A felhasználóhoz rendelt címkék sztringje | RunObsoleteProgOK |
| A SAP_User_Config figyelőlista | Felhasználó Microsoft Entra objektumazonosítója | Microsoft Entra-objektumazonosító | |
| A SAP_User_Config figyelőlista | Felhasználói azonosító | AD felhasználói azonosító | |
| A SAP_User_Config figyelőlista | Helyszíni felhasználói biztonsági azonosító | ||
| A SAP_User_Config figyelőlista | Felhasználó egyszerű neve | ||
| A SAP_User_Config figyelőlista | Címkék listája | A felhasználóhoz rendelt címkék listája | ChangeUserMasterDataOK; RunObsoleteProgOK |
| Logika | TagsIntersect | A SearchForTags-nek megfelelő címkék készlete | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logika | SpecialFocusTagged | Speciális fókusz jelzése | Igaz, Hamis |
| Logika | Metszetméret | Metszetcímkék száma |
SAPUsersHeader
Az SAPUsersHeader függvény úgy lett kialakítva, hogy magas szintű képet nyújtson az SAP-felhasználóról. Az SAP felhasználói főadattábláiból és az SAP-napló legutóbbi tevékenységeiből kinyert adatokat használja az e-mail- és IP-címek gyűjtéséhez. Ezután visszaadja az utolsó ismert e-mail- és IP-címeket, valamint az elsődleges e-mail- és IP-címeket. Paraméterek: SelectedSystemRoles:dynamic = dynamic(["Minden rendszerszerepkör"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- Választható
- Alapértelmezett érték: "Minden rendszer"
- Adott SAP-rendszerek szűrésére szolgál.
- SelectedSystemRoles
- Választható
- Alapértelmezett érték: "Minden rendszerszerepkör"
- Meghatározza a megvizsgálandó SAP-rendszerek szerepköreit (az "SAP - Systems" figyelőlistában meghatározottak szerint).
- SelectedUsers
- Választható
- Alapértelmezett érték: "Minden felhasználó"
- Beírhatja a felhasználók listáját.
- SelectedUser
- Választható
- Alapértelmezett érték: "Minden felhasználó"
- Csak egyetlen felhasználót fogad el
További megjegyzések
Teljesítménnyel kapcsolatos szempontok esetén a rendszer csak néhány napos naplózási tevékenységet mérlegel. A felhasználói tevékenységek teljes előzményeihez futtasson egy egyéni KQL-lekérdezést a SAPAuditLog függvényen.
| Forrás | Mező | Leírás | Jegyzetek |
|---|---|---|---|
| User | Az SAP-felhasználó | ||
| SAP-táblák ADR6 és USR21 | A felhasználó fő adataiból vett adatok | OSS, DDIC | |
| SAP-tábla USR02 | UserType | a felhasználóhoz rendelt címkék sztringje | RunObsoleteProgOK |
| SAP-tábla USR02 | Időzóna | Microsoft Entra-objektumazonosító | |
| SAP-tábla USR02 | LockedStatus | AD felhasználói azonosító | |
| SAP-naplózási napló | LastSeen | Időbélyeg | utoljára megfigyelt naplózási esemény a felhasználó számára |
| SAP-naplózási napló | LastSeenDaysAgo | a LastSeen óta eltelt napok | |
| SAP-naplózási napló | Elsődleges IP-cím | Leggyakrabban használt IP-cím | ChangeUserMasterDataOK; RunObsoleteProgOK |
| SAP-naplózási napló | LastKnownIP | Legutóbb használt IP-cím | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP-naplózási napló | Elsődlegese-mail | Leggyakrabban használt e-mail-cím | Igaz, Hamis |
| SAP-naplózási napló | Ismert IP-címek | Ismert IP-címek listája | rendezés a leggyakoribb első szerint |
| SAP-naplózási napló | Ismert Emailek | Ismert e-mail-címek listája | rendezés a leggyakoribb első szerint |
| Ügyfél | Az SAP-ügyfél azonosítója | ||
| SystemID | Az SAP rendszerazonosítója | ||
| SystemRole | Az SAP-rendszer szerepköre | Éles környezet, UAT | |
| SystemUsage | Az SAP-rendszer fő használata | ERP, CRM |
Az adatösszekötő-ügynök által előállított naplók
Ez a szakasz az SAP-alkalmazások® adatösszekötőjéhez elérhető Microsoft Sentinel-megoldásból elérhető SAP-naplókat ismerteti, beleértve a Microsoft Sentinel táblaneveit, a naplócélokat és a részletes naplós sémákat. A sémamezők leírása a vonatkozó SAP-dokumentációban szereplő mezőleírásokon alapul.
A legjobb eredmény érdekében használja az alább felsorolt Microsoft Sentinel függvényeket az adatok vizualizációjához, eléréséhez és lekérdezéséhez.
- ABAP-alkalmazásnapló
- ABAP – Dokumentumok módosítása napló
- ABAP CR-napló
- ABAP DB táblaadatnapló (ELŐZETES VERZIÓ)
- ABAP-átjáró naplója (ELŐZETES VERZIÓ)
- ABAP ICM-napló (ELŐZETES VERZIÓ)
- ABAP-feladatnapló
- ABAP biztonsági auditnapló
- ABAP Spool-napló
- APAB Spool kimeneti naplója
- ABAP SysLog
- ABAP-munkafolyamat naplója
- ABAP WorkProcess-napló
- HANA DB auditútvonal
- JAVA-fájlok
- SAP Szívverési napló
ABAP-alkalmazásnapló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPAppLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Rögzíti az alkalmazás végrehajtásának előrehaladását, hogy szükség szerint később rekonstruálhassa.
Az RFC használatával érhető el a standard SAP-tábla és az XBP-interfész standard szolgáltatásai alapján. Ez a napló ügyfélenként jön létre.
ABAPAppLog_CL naplóséma
| Mező | Leírás |
|---|---|
| AppLogDateTime | Alkalmazásnapló dátumának időpontja |
| CallbackProgram | Visszahívási program |
| CallbackRoutine | Visszahívási rutin |
| Visszahívástípus | Visszahívás típusa |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| ContextDDIC | Környezeti DDIC-struktúra |
| ExternalID | Külső naplóazonosító |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Alkalmazásnapló-üzenet soros |
| LevelofDetail | Részletességi szint |
| LogHandle | Alkalmazásnapló-leíró |
| LogNumber | Naplószám |
| MessageClass | Üzenetosztály |
| ÜzenetSzáma | Üzenetszám |
| Üzenetszöveg | Üzenet szövege |
| MessageType | Üzenettípus |
| Objektum | Alkalmazásnapló-objektum |
| OperationMode | Műveleti mód |
| ProblemClass | Problémaosztály |
| ProgramName | Program neve |
| SortCriterion | Rendezési feltétel |
| Standardtext | Normál szöveg |
| Alobjektum | Alkalmazásnapló alobjektuma |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TransactionCode | Tranzakció kódja |
| User | User |
| UserChange | Felhasználó módosítása |
ABAP – Dokumentumok módosítása napló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPChangeDocsLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Napló célja: Rekordok:
Az SAP NetWeaver Application Server (AS) ABAP-naplója megváltozik az üzleti adatobjektumokon a változásdokumentumokban.
Az SAP rendszer egyéb entitásai, például felhasználói adatok, szerepkörök, címek.
Az RFC standard SAP-táblákon alapuló használatával érhető el. Ez a napló ügyfélenként jön létre.
ABAPChangeDocsLog_CL naplóséma
| Mező | Leírás |
|---|---|
| ActualChangeNum | Tényleges változásszám |
| ChangedTableKey | Módosított táblakulcs |
| ChangeNumber | Szám módosítása |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| CreatedfromPlannedChange | Tervezett módosításból jött létre a következő szintaxisban: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Pénznemkulcs: új érték |
| CurrencyKeyOld | Pénznemkulcs: régi érték |
| Mezőnév | Mezőnév |
| Jelölőszöveg | Szöveg megjelölése |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Nyelv | Nyelv |
| ObjectClass | Objektumosztály, például BELEG: , BPAR, PFCGIDENTITY |
| ObjectID | Objektumazonosító |
| PlannedChangeNum | Tervezett módosítás száma |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TableName | Tábla neve |
| TransactionCode | Tranzakció kódja |
| TypeofChange_Header | A módosítás fejléctípusa, beleértve a következőket: U = Változás; I = Beszúrás; E = Egyetlen docu törlése; D = Törlés; J = Egyetlen docu beszúrása |
| TypeofChange_Item | A változás elemtípusa, beleértve a következőket: U = Változás; I = Beszúrás; E = Egyetlen docu törlése; D = Törlés; J = Egyetlen docu beszúrása |
| UOMNew | Mértékegység: új érték |
| UOMOld | Mértékegység: régi érték |
| User | User |
| ValueNew | Mező tartalma: új érték |
| ValueOld | Mező tartalma: régi érték |
| Verzió | Verzió |
ABAP CR-napló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPCRLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Tartalmazza a Change & Transport System (CTS) naplóit, beleértve a címtárobjektumokat és a módosításokat tartalmazó testreszabásokat.
Az RFC standard táblákon és standard SAP-szolgáltatásokon alapuló használatával érhető el. Ez a napló az összes ügyfél adataival jön létre.
Feljegyzés
Az alkalmazásnaplózás, a dokumentumok módosítása és a táblarögzítés mellett a CTS- és TMS-naplók is dokumentálják az éles rendszerben a Change & Transport System használatával végzett összes módosítást.
ABAPCRLog_CL naplóséma
| Mező | Leírás |
|---|---|
| Kategória | Kategória (Workbench, Testreszabás) |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| Leírás | Leírás |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Objektum neve |
| ObjectType | Objektumtípus |
| Tulajdonos | Tulajdonos |
| Kérés | Kérelem módosítása |
| Állapot | Állapot |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TableKey | Táblakulcs |
| TableName | Tábla neve |
| ViewName | Nézet neve |
ABAP DB táblaadatnapló (ELŐZETES VERZIÓ)
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPTableDataLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Naplózást biztosít azokhoz a táblákhoz, amelyek kritikus fontosságúak vagy érzékenyek az auditokra.
Az RFC egyéni szolgáltatással való használatával érhető el. Ez a napló az összes ügyfél adataival jön létre.
ABAPTableDataLog_CL naplóséma
| Mező | Leírás |
|---|---|
| DBLogID | ADATBÁZIS naplóazonosítója |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Nyelv | Nyelv |
| LogKey | Naplókulcs |
| NewValue | Mező új értéke |
| OldValue | Mező régi értéke |
| OperationTypeSQL | Művelet típusa, Insert, , UpdateDelete |
| Program | Program neve |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| Táblamező | Táblamező |
| TableName | Tábla neve |
| TransactionCode | Tranzakció kódja |
| UserName | User |
| VersionNumber | Verziószám |
ABAP-átjáró naplója (ELŐZETES VERZIÓ)
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_GW
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az átjáró tevékenységeinek figyelése. Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.
ABAPOS_GW_CL naplóséma
| Mező | Leírás |
|---|---|
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Üzenetszöveg | Üzenet szövege |
| Súlyosság | Üzenet súlyossága: Debug, Info, Warning, Error |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
ABAP ICM-napló (ELŐZETES VERZIÓ)
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_ICM
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Rögzíti a bejövő és kimenő kéréseket, és statisztikákat készít a HTTP-kérelmekről.
Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.
ABAPOS_ICM_CL naplóséma
| Mező | Leírás |
|---|---|
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Üzenetszöveg | Üzenet szövege |
| Súlyosság | Üzenet súlyossága, beleértve: Debug, Info, , WarningError |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
ABAP-feladatnapló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPJobLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Egyesíti az összes háttérfeldolgozási feladatnaplót (SM37).
Az RFC használatával érhető el a standard SAP-tábla és az XBP-interfészek standard szolgáltatásai alapján. Ez a napló az összes ügyfél adataival jön létre.
naplóséma ABAPJobLog_CL
| Mező | Leírás |
|---|---|
| ABAPProgram | ABAP program |
| BgdEventParameters | Háttéresemény paraméterei |
| BgdProcessingEvent | Háttérfeldolgozási esemény |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| DynproNumber | Dynpro-szám |
| GUIStatus | Grafikus felhasználói felület állapota |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány (HOST_SYSID_SYSNR) a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Feladatbesorolás |
| JobCount | Feladatok száma |
| JobGroup | Feladatcsoport |
| Feladatnév | Feladat neve |
| JobPriority | A feladatok prioritása |
| MessageClass | Üzenetosztály |
| ÜzenetSzáma | Üzenetszám |
| Üzenetszöveg | Üzenet szövege |
| MessageType | Üzenettípus |
| ReleaseUser | Feladat kiadási felhasználója |
| SchedulingDateTime | Ütemezési dátum időpontja |
| StartDateTime | Kezdési dátum időpontja |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TargetServer | Célkiszolgáló |
| User | User |
| UserReleaseInstance | ABAP-példány – felhasználói kiadás |
| WorkProcessID | Munkafolyamat-azonosító |
| WorkProcessNumber | Munkafolyamat száma |
ABAP biztonsági auditnapló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPAuditLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: A következő adatokat rögzíti:
- Az SAP rendszerkörnyezetének biztonsággal kapcsolatos változásai, például a fő felhasználói rekordok módosítása
- Magasabb szintű adatokat, például sikeres és sikertelen bejelentkezési kísérleteket biztosító információk
- Olyan információk, amelyek lehetővé teszik egy eseménysorozat, például a sikeres vagy sikertelen tranzakció indítását
RFC XAL/SAL interfészekkel érhető el. A SAL a Basis 7.50-es verziójától érhető el. Ez a napló az összes ügyfél adataival jön létre.
ABAPAuditLog_CL naplóséma
| Mező | Leírás |
|---|---|
| ABAPProgramName | Programnév, csak SAL |
| AlertSeverity | A riasztás súlyossága |
| AlertSeverityText | Riasztás súlyossági szövege, csak SAL |
| AlertValue | Riasztási érték |
| AuditClassID | Naplózási osztály azonosítója, csak SAL |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| Számítógép | Csak felhasználói gép, csak SAL |
| Felhasználó e-mail-címe | |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Üzenetosztály |
| MessageContainerID | Üzenettároló azonosítója, csak XAL |
| MessageID | Üzenetazonosító, például ‘AU1’,’AU2’… |
| Üzenetszöveg | Üzenet szövege |
| MonitoringObjectName | MTE Monitor objektum neve, csak XAL |
| MonitorShortName | MTE Monitor rövid neve, csak XAL |
| SAPProcesType | Rendszernapló: SAP-folyamat típusa, csak SAL |
| B* – Háttérfeldolgozás | |
| D* – Párbeszédpanel feldolgozása | |
| U* – Feladatok frissítése | |
| SAPWPName | Rendszernapló: Munkafolyamat száma, csak SAL |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TerminalIPv6 | Felhasználói gép IP-címe, csak SAL |
| TransactionCode | Tranzakciós kód, csak SAL |
| User | User |
| Változó1 | 1. üzenetváltozó |
| Változó2 | 2. üzenetváltozó |
| Változó3 | Üzenetváltozó 3 |
| Változó4 | 4. üzenetváltozó |
ABAP Spool-napló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPSpoolLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az SAP-nyomtatás fő naplójaként szolgál a spool-kérelmek előzményeivel. (SP01).
Elérhető az RFC standard SAP-tábla alapján történő használatával. Ez a napló az összes ügyfél adataival jön létre.
ABAPSpoolLog_CL naplóséma
| Mező | Leírás |
|---|---|
| ArchiveStatus | Archív állapot |
| ArchiveType | Archív típus |
| ArchivingDevice | Archiváló eszköz |
| AutoRereoute | Automatikus átirányítás |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| CountryKey | Országkulcs |
| DeleteSpoolRequestAuto | Spool-kérelem automatikus törlése |
| DelFlag | Törlés jelző |
| Részleg | Részleg |
| DocumentType | Dokumentumtípusok |
| ExternalMode | Külső mód |
| FormatType | Formátum típusa |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Példányszám | Másolatok száma |
| OutputDevice | Kimeneti eszköz |
| PrinterLongName | Nyomtató hosszú neve |
| PrintImmediately | Nyomtatás azonnal |
| PrintOSCoverPage | OsCover lap nyomtatása |
| PrintSAPCoverPage | SAPCover lap nyomtatása |
| Prioritás | Prioritás |
| RecipientofSpoolRequest | Az orsókérés címzettje |
| SpoolErrorStatus | Spool hibaállapot |
| SpoolRequestCompleted | A várólistára vonatkozó kérés befejeződött |
| SpoolRequestisALogForAnotherRequest | A Spool-kérés egy másik kérés naplója |
| SpoolRequestName | Spool-kérelem neve |
| SpoolRequestNumber | Spool-kérelem száma |
| SpoolRequestSuffix1 | Spool request utótag1 |
| SpoolRequestSuffix2 | Spool request utótag2 |
| SpoolRequestTitle | Spool-kérelem címe |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TelecommunicationsPartner | Távközlési partner |
| TelecommunicationsPartnerE | Telekommunikációs partner E |
| TemSeGeneralcounter | Temse számláló |
| TemseNumAddProtectionRule | Temse szám hozzáadása védelmi szabály |
| TemseNumChangeProtectionRule | Temse-számmódosítás védelmi szabálya |
| TemseNumDeleteProtectionRule | Temse-szám törlési védelmi szabálya |
| TemSeObjectName | Temse objektum neve |
| TemSeObjectPart | TemSe objektumrész |
| TemseReadProtectionRule | Temse olvasásvédelmi szabály |
| User | User |
| ValueAuthCheck | Érték hitelesítésének ellenőrzése |
APAB Spool kimeneti naplója
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPSpoolOutputLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az SAP-nyomtatás fő naplójaként szolgál a spool kimeneti kéréseinek előzményeivel. (SP02).
Elérhető az RFC használatával egy standard táblákon alapuló egyéni szolgáltatással. Ez a napló az összes ügyfél adataival jön létre.
naplóséma ABAPSpoolOutputLog_CL
| Mező | Leírás |
|---|---|
| AppServer | Alkalmazáskiszolgáló |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| Megjegyzés | Megjegyzés |
| CopyCount | Másolások száma |
| CopyCounter | Számláló másolása |
| Részleg | Részleg |
| ErrorSpoolRequestNumber | Hibakérés száma |
| FormatType | Formátum típusa |
| Gazdagép | Gazdagép |
| HostName | Gazdagép neve |
| HostSpoolerID | Gazdagépsor-kezelő azonosítója |
| Példány | ABAP-példány |
| LastPage | Utolsó oldal |
| Példányszám | Másolatok száma |
| OutputDevice | Kimeneti eszköz |
| OutputRequestNumber | Kimeneti kérelem száma |
| OutputRequestStatus | Kimeneti kérelem állapota |
| PhysicalFormatType | Fizikai formátum típusa |
| PrinterLongName | Nyomtató hosszú neve |
| PrintRequestSize | Kérelem méretének nyomtatása |
| Prioritás | Prioritás |
| ReasonforOutputRequest | A kimeneti kérelem oka |
| RecipientofSpoolRequest | Az orsókérés címzettje |
| SpoolNumberofOutputReqProcessed | Kimeneti kérelmek száma – feldolgozott |
| SpoolNumberofOutputReqWithErrors | Kimeneti kérelmek száma – hibákkal |
| SpoolNumberofOutputReqWithProblems | Kimeneti kérelmek száma – problémák esetén |
| SpoolRequestNumber | Spool-kérelem száma |
| Startpage | Kezdőlap |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TelecommunicationsPartner | Távközlési partner |
| TemSeGeneralcounter | Temse számláló |
| Cím | Cím |
| User | User |
ABAP Syslog
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_Syslog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Rögzíti az ÖSSZES SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP-rendszerhibát, figyelmeztetést, felhasználói zárolást az ismert felhasználóktól érkező sikertelen bejelentkezési kísérletek és a folyamatüzenetek miatt.
Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.
ABAPOS_Syslog_CL naplóséma
| Mező | Leírás |
|---|---|
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| ÜzenetSzáma | Üzenetszám |
| Üzenetszöveg | Üzenet szövege |
| Súlyosság | Üzenet súlyossága, az alábbi értékek egyike: Debug, Info, , WarningError |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TransacationCode | Tranzakció kódja |
| Típus | SAP-folyamat típusa |
| User | User |
ABAP-munkafolyamat naplója
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPWorkflowLog
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az SAP Business Workflow (WebFlow Engine) lehetővé teszi olyan üzleti folyamatok meghatározását, amelyek még nincsenek leképezve az SAP-rendszerben.
A le nem képezett üzleti folyamatok lehetnek például egyszerű kiadási vagy jóváhagyási eljárások, vagy összetettebb üzleti folyamatok, például alapanyagok létrehozása és a kapcsolódó részlegek koordinálása.
Az RFC standard SAP-táblákon alapuló használatával érhető el. Ez a napló ügyfélenként jön létre.
ABAPWorkflowLog_CL naplóséma
| Mező | Leírás |
|---|---|
| ActualAgent | Tényleges ügynök |
| Cím | Cím |
| ApplicationArea | Alkalmazásterület |
| CallbackFunction | Visszahívási függvény |
| Ügyfélazonosító | ABAP-ügyfélazonosító (MANDT) |
| CreationDateTime | Létrehozás dátuma |
| Szerző | Szerző |
| CreatorAddress | Létrehozó címe |
| ErrorType | Hibatípus |
| ExceptionforMethod | Metódus kivétele |
| Gazdagép | Gazdagép |
| Példány | ABAP-példány (HOST_SYSID_SYSNR) a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Nyelv | Nyelv |
| LogCounter | Naplószámláló |
| ÜzenetSzáma | Üzenetszám |
| MessageType | Üzenettípus |
| MethodUser | Metódusfelhasználó |
| Prioritás | Prioritás |
| SimpleContainer | Egyszerű tároló, a munkaelem kulcs-érték entitásainak listájaként csomagolva |
| Állapot | Állapot |
| SuperWI | Super WI |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| TaskID | Tevékenységazonosító |
| TasksClassification | Tevékenységbesorolások |
| TaskText | Tevékenységszöveg |
| TopTaskID | Legfelső tevékenységazonosító |
| UserCreated | Felhasználó létrehozva |
| WIText | Munkaelem szövege |
| WIType | Munkaelem típusa |
| WorkflowAction | Munkafolyamat-művelet |
| WorkItemID | Munkaelem azonosítója |
ABAP WorkProcess-napló
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPOS_WP
Kapcsolódó SAP-dokumentáció: SAP súgóportál
Naplócél: Az összes munkafolyamat-naplót egyesíti. (alapértelmezett:
dev_*).Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.
naplóséma ABAPOS_WP_CL
| Mező | Leírás |
|---|---|
| Gazdagép | Gazdagép |
| Példány | ABAP-példány a következő szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Üzenetszöveg | Üzenet szövege |
| Súlyosság | Üzenet súlyossága: Debug, Info, Warning, Error |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| WPNumber | Munkafolyamat száma |
HANA DB auditútvonal
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, telepítenie kell egy Microsoft Management Agentet , hogy syslog-adatokat gyűjtsön a HANA DB-t futtató gépről.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPSyslog
Kapcsolódó SAP-dokumentáció: Általános | auditútvonal
Naplócél: Felhasználói műveleteket vagy megkísérelt műveleteket rögzít az SAP HANA-adatbázisban. Lehetővé teszi például a bizalmas adatokhoz való olvasási hozzáférés naplózását és monitorozását.
A Sysloghoz készült Sentinel Linux-ügynök által elérhető. Ez a napló az összes ügyfél adataival jön létre.
Syslog-naplóséma
| Mező | Leírás |
|---|---|
| Számítógép | Gazdagép neve |
| HostIP | Gazdagép IP-címe |
| HostName | Gazdagép neve |
| ProcessID | Folyamatazonosító |
| ProcessName | Folyamat neve: HDB* |
| Súlyossági szint | Riasztás |
| SourceSystem | Forrásrendszer operációs rendszere, Linux |
| SyslogMessage | Üzenet, egy nem elemzett naplónapló-üzenet |
JAVA-fájlok
Ahhoz, hogy ezt a naplót elküldhesse a Microsoft Sentinelnek, manuálisan kell hozzáadnia a systemconfig.ini fájlhoz.
Microsoft Sentinel függvény a napló lekérdezéséhez: SAPJAVAFilesLogs
Kapcsolódó SAP-dokumentáció: Általános | Java biztonsági auditnapló
Naplócél: Egyesíti az összes Java-fájlalapú naplót, beleértve a biztonsági naplózási naplót, valamint a rendszer (fürt- és kiszolgálófolyamat), a teljesítményt és az átjárónaplókat. Fejlesztői nyomkövetéseket és alapértelmezett nyomkövetési naplókat is tartalmaz.
Elérhető az SAP Control Web Service. Ez a napló az összes ügyfél adataival jön létre.
JavaFilesLogsCL-naplóséma
| Mező | Leírás |
|---|---|
| Alkalmazás | Java-alkalmazás |
| Ügyfélazonosító | Ügyfél azonosítója |
| CSNComponent | CSN-összetevő, például BC-XI-IBD |
| DCComponent | DC-összetevő, például com.sap.xi.util.misc |
| DSRCounter | DSR-számláló |
| DSRRootContentID | DSR-környezet GUID azonosítója |
| DSRTransaction | DSR-tranzakció GUID azonosítója |
| Gazdagép | Gazdagép |
| Példány | Java-példány, az alábbi szintaxisban: <HOST>_<SYSID>_<SYSNR> |
| Hely | Java-osztály |
| LogName | Java logName, például: Available, defaulttrace, dev*, securitystb. |
| Üzenetszöveg | Üzenet szövege |
| MNo | Üzenetszám |
| Pid | Folyamatazonosító |
| Program | Program neve |
| Munkamenet | Munkamenet |
| Súlyosság | Üzenet súlyossága, beleértve a következőket: Debug,Info,Warning,Error |
| Megoldás | Megoldás |
| SystemID | Rendszerazonosító |
| SystemNumber | Rendszerszám |
| ThreadName | Szál neve |
| Dobott | Kivétel ki lett dobva |
| Időzóna | Időzóna |
| User | User |
SAP Szívverési napló
Microsoft Sentinel függvény a napló lekérdezéséhez: SAP Csatlakozás orHealth
Naplócél: Szívverést és egyéb állapotinformációkat biztosít az ügynökök és a különböző SAP-rendszerek közötti kapcsolatról.
Automatikusan létrejön az SAP-adatösszekötőhöz készült Microsoft Sentinel bármely ügynöke számára.
SAP_HeartBeat_CL naplóséma
| Mező | Leírás |
|---|---|
| TimeGenerated | Naplóbejegyzési esemény időpontja |
| agent_id_s | Ügynökazonosító az ügynök konfigurációjában (automatikusan generálva) |
| agent_ver_s | Ügynök verziója |
| host_s | Az ügynök állomásneve |
| system_id_s | Netweaver ABAP rendszerazonosító / Netweaver SAPControl-gazdagép (előzetes verzió) / Java SAPControl-gazdagép (előzetes verzió) |
| push_timestamp_d | A kinyerés időbélyege az ügynök időzónája szerint |
| agent_timezone_s | Az ügynök időzónája |
Közvetlenül az SAP-rendszerekből lekért táblák
Ez a szakasz azokat az adattáblákat sorolja fel, amelyek közvetlenül az SAP rendszerből vannak lekérve, és a Microsoft Sentinelbe kerülnek, pontosan úgy, ahogy vannak.
A táblák adatainak a Microsoft Sentinelbe való betöltéséhez konfigurálja a megfelelő beállításokat a systemconfig.ini fájlban. További információ: A felhasználói főkiszolgáló adatgyűjtésének konfigurálása.
Az ezekből a táblákból lekért adatok egyértelmű képet nyújtanak az engedélyezési struktúráról, a csoporttagságról és a felhasználói profilról. Emellett lehetővé teszi az engedélyezési támogatások és visszavonások folyamatának nyomon követését, valamint az ezekhez a folyamatokhoz kapcsolódó kockázatok azonosítását és szabályozását.
Az alábbi táblázatok szükségesek a kiemelt felhasználók azonosítását, a felhasználók szerepkörökhöz, csoportokhoz és engedélyezésekhez való leképezését lehetővé tevő függvények engedélyezéséhez.
A legjobb eredmény érdekében tekintse meg ezeket a táblázatokat az alábbi Sentinel függvénynév oszlopban található névvel:
| Tábla neve | Táblázat leírása | Sentinel függvény neve |
|---|---|---|
| USR01 | Felhasználói főrekord (futtatókörnyezeti adatok) | SAP_USR01 |
| USR02 | Bejelentkezési adatok (kerneloldali használat) | SAP_USR02 |
| UST04 | Felhasználói főkiszolgálók felhasználók Térképek profilokhoz |
SAP_UST04 |
| AGR_U Standard kiadás RS | Szerepkörök hozzárendelése felhasználókhoz | SAP_AGR_U Standard kiadás RS |
| AGR_1251 | A tevékenységcsoport engedélyezési adatai | SAP_AGR_1251 |
| USGRP_U Standard kiadás R | Felhasználók hozzárendelése felhasználói csoportokhoz | SAP_USGRP_U Standard kiadás R |
| USR21 | Felhasználónév/címkulcs hozzárendelése | SAP_USR21 |
| ADR6 | E-mail-címek (üzleti címszolgáltatások) | SAP_ADR6 |
| USRSTAMP | Időbélyeg a felhasználó összes módosításához | SAP_USRSTAMP |
| ADCP | Személy/cím hozzárendelése (üzleti címszolgáltatások) | SAP_ADCP |
| USR05 | Felhasználói fő paraméter azonosítója | SAP_USR05 |
| AGR_PROF | Szerepkör profilneve | SAP_AGR_PROF |
| AGR_FLAGS | Szerepkör-attribútumok | SAP_AGR_FLAGS |
| DEVACCESS | Tábla fejlesztői felhasználó számára | SAP_DEVACCESS |
| AGR_DEFINE | Szerepkör-definíció | SAP_AGR_DEFINE |
| AGR_AGRS | Szerepkörök összetett szerepkörökben | SAP_AGR_AGRS |
| PAHI | A rendszer-, adatbázis- és SAP-paraméterek előzményei | SAP_PAHI |
| SNCSYSACL (ELŐZETES VERZIÓ) | SNC hozzáférés-vezérlési lista (ACL): Rendszerek | SAP_SNCSYSACL |
| USRACL (ELŐZETES VERZIÓ) | SNC hozzáférés-vezérlési lista (ACL): Felhasználó | SAP_USRACL |
Következő lépések
További információkért lásd:
- A Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® részletes SAP-követelmények
- A Microsoft Sentinel for SAP adatösszekötő üzembe helyezése az SNC-vel
- Szakértői konfigurációs lehetőségek, helyszíni üzembe helyezés és SAPControl-naplóforrások
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz®: beépített biztonsági tartalom
- Az SAP-rendszer állapotának monitorozása
- Microsoft Sentinel-megoldás hibaelhárítása AZ SAP-alkalmazások® üzembe helyezéséhez