Bagikan melalui

Mengumpulkan log audit SAP Hana di Microsoft Sentinel

  • Artikel

Artikel ini menjelaskan cara mengumpulkan log audit dari database SAP Hana Anda.

Penting

Dukungan SAP HANA Microsoft Sentinel saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Prasyarat

Log SAP Hana dikirim melalui Syslog. Pastikan agen AMA atau agen Log Analytics (warisan) Anda dikonfigurasi untuk mengumpulkan file Syslog. Untuk informasi selengkapnya, lihat:

Untuk informasi selengkapnya, lihat Menyerap pesan syslog dan CEF ke Microsoft Sentinel dengan Agen Azure Monitor.

Mengumpulkan jejak audit SAP Hana

  1. Pastikan bahwa jejak log audit SAP HANA dikonfigurasi untuk menggunakan Syslog seperti yang dijelaskan dalam Catatan SAP 0002624117, yang dapat diakses dari Situs dukungan Launchpad SAP. Untuk informasi selengkapnya, lihat:

  2. Periksa file Syslog sistem operasi Anda untuk setiap kejadian database HANA yang relevan.

  3. Masuk ke sistem operasi database HANA Anda sebagai pengguna dengan hak istimewa sudo.

  4. Instal agen di komputer Anda dan konfirmasikan bahwa komputer Anda tersambung. Untuk informasi selengkapnya, lihat:

  5. Konfigurasikan agen Anda untuk mengumpulkan data Syslog. Untuk informasi selengkapnya, lihat:

    Tip

    Karena fasilitas tempat peristiwa database HANA disimpan dapat berubah di antara distribusi yang berbeda, kami sarankan Anda menambahkan semua fasilitas. Periksa terhadap log Syslog Anda, lalu hapus yang tidak relevan.

Memverifikasi konfigurasi Anda

Di Microsoft Sentinel, periksa untuk melihat bahwa peristiwa database HANA sekarang diperlihatkan dalam log yang diserap. Misalnya, jalankan kueri berikut:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

Menambahkan aturan analitik untuk SAP Hana

Gunakan aturan analitik bawaan berikut agar Microsoft Sentinel mulai memicu pemberitahuan tentang aktivitas SAP Hana terkait:

  • SAP - (PARTINJAU) HANA DB - Tetapkan Otorisasi Admin
  • SAP - (PRATINJAU) HANA DB - Perubahan Policy Jejak Audit
  • SAP - (PRATINJAU) HANA DB - Penonaktifan Jejak Audit
  • SAP - (PRATINJAU) HANA DB -tindakan Admin Pengguna

Untuk informasi selengkapnya, lihat Solusi Microsoft Azure Sentinel untuk aplikasi SAP®: referensi konten keamanan.

Konten terkait

Pelajari selengkapnya tentang solusi Microsoft Azure Sentinel untuk aplikasi SAP®:

Pemecahan Masalah:

File referensi:

Untuk mengetahui informasi selengkapnya, lihat Solusi Microsoft Sentinel.