Solusi Microsoft Azure Sentinel untuk referensi data aplikasi SAP®
Penting
Beberapa komponen solusi Pemantauan Ancaman Microsoft Sentinel untuk SAP saat ini sedang dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Beberapa log, yang disebutkan di bawah ini, tidak dikirim ke Microsoft Sentinel secara default, tetapi Anda dapat menambahkannya secara manual sesuai kebutuhan. Untuk informasi selengkapnya, lihat Menentukan log SAP yang dikirim ke Microsoft Sentinel.
Artikel ini menjelaskan fungsi, log, dan tabel yang tersedia sebagai bagian dari solusi Microsoft Sentinel untuk aplikasi SAP® dan konektor datanya. Ini ditujukan untuk pengguna SAP tingkat lanjut.
Fungsi yang tersedia dari solusi SAP
Bagian ini menjelaskan fungsi yang tersedia di ruang kerja Anda setelah Anda menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®. Temukan fungsi-fungsi ini di halaman Log Microsoft Sentinel untuk digunakan dalam kueri KQL Anda, tercantum di bawah fungsi Workspace.
Pengguna sangat dianjurkan untuk menggunakan fungsi sebagai subjek analisis mereka jika memungkinkan, bukan log atau tabel yang mendasarinya. Fungsi-fungsi ini dimaksudkan untuk berfungsi sebagai antarmuka pengguna utama ke data. Fungsi ini membentuk dasar untuk semua aturan analitik bawaan dan buku kerja yang tersedia untuk Anda di luar kotak. Hal ini memungkinkan perubahan yang akan dilakukan pada infrastruktur data di bawah fungsi, tanpa merusak konten yang dibuat pengguna.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAPConnectorHealth
- SAPConnectorOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
Fungsi SAPUsersAssignments mengumpulkan data dari beberapa sumber data SAP dan membuat tampilan yang berpusat pada pengguna dari data master pengguna saat ini, termasuk peran dan profil yang saat ini ditetapkan.
Fungsi ini merangkum tugas pengguna ke peran dan profil, dan mengembalikan data berikut:
Bidang | Deskripsi | Sumber/Catatan Data |
---|---|---|
Pengguna | ID pengguna SAP | SAL saja |
Alamat SMTP | USR21 (SMTP_ADDR) | |
UserType | Tipe pengguna | USR02 (USTYP) |
Timezone | Zona waktu | USR02 (TZONE) |
LockedStatus | Status kunci | USR02 (UFLAG) |
LastSeenDate | Tanggal terakhir terlihat | USR02 (TRDAT) |
LastSeenTime | Waktu terakhir terlihat | USR02 (LTIME) |
UserGroupAuth | Grup pengguna dalam pemeliharaan master pengguna | USR02 (CLASS) |
Profil | Kumpulan profil (ukuran set maksimum default = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | Kumpulan peran yang ditetapkan langsung (ukuran set maks default = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
ChildRoles | Kumpulan peran yang ditetapkan secara tidak langsung (ukuran set maks default = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Klien | ID klien | |
SystemID | ID Sistem | Seperti yang didefinisikan dalam konektor |
SAPUsersGetPrivileged
Fungsi SAPUsersGetPrivileged mengembalikan daftar pengguna istimewa per klien dan ID sistem.
Pengguna dianggap memiliki hak istimewa saat mereka terdaftar dalam daftar pantauan SAP - Pengguna dengan Hak Istimewa, telah ditetapkan ke profil yang tercantum dalam daftar pantauan SAP - Profil Sensitif, atau telah ditambahkan ke peran yang tercantum dalam daftar pantauan SAP - Peran Sensitif.
Parameter:
- TimeAgo
- Opsional
- Nilai default: Tujuh hari
- Menentukan bahwa fungsi mencari data master Pengguna dari waktu yang ditentukan oleh nilai
TimeAgo
hingga waktu yang ditentukan oleh nilainow()
.
Fungsi SAPUsersGetPrivileged mengembalikan data berikut:
Bidang | Deskripsi |
---|---|
Pengguna | ID pengguna SAP |
Klien | ID klien |
SystemID | ID Sistem |
SAPUsersAuthorizations
Fungsi SAPUsersAuthorizations menyatukan data dari beberapa tabel untuk menghasilkan tampilan yang berpusat pada pengguna dari peran dan otorisasi saat ini yang ditetapkan. Hanya pengguna dengan peran aktif dan penetapan otorisasi yang dikembalikan.
Parameter:
- TimeAgo
- Opsional
- Nilai default: Tujuh hari
- Menentukan bahwa fungsi mencari data master Pengguna dari waktu yang ditentukan oleh nilai
TimeAgo
hingga waktu yang ditentukan oleh nilainow()
.
Fungsi SAPUsersAuthorizations mengembalikan data berikut:
Bidang | Deskripsi | Catatan |
---|---|---|
Pengguna | ID pengguna SAP | |
Peran | Kumpulan peran (ukuran set maks default = 50) | ["Role 1", "Role 2",...,"Role 50"] |
AuthorizationsDetails | Set otorisasi (ukuran set maks default = 100) | {{AuthorizationsDeatils1} ,{AuthorizationsDeatils2} , ..., {AuthorizationsDeatils100}} |
Klien | ID klien | |
SystemID | ID Sistem |
SAPConnectorHealth
Fungsi SAPConnectorHealth mencerminkan status agen dan konektivitas sistem SAP yang mendasarinya. Berdasarkan log heartbeat SAP_HeartBeat_CL dan indikator kesehatan lainnya, log mengembalikan data berikut:
Bidang | Deskripsi |
---|---|
Agen | ID agen dalam konfigurasi agen (dibuat secara otomatis) |
SystemID | ID Sistem SAP |
Keadaan | Status konektivitas secara keseluruhan |
Detail | Detail konektivitas |
ExtendedDetails | Detail konektivitas yang diperpanjang |
LastSeen | Stempel waktu aktivitas terbaru |
StatusCode | Kode yang mencerminkan status sistem |
SAPConnectorOverview
Fungsi SAPConnectorOverview menunjukkan jumlah baris setiap tabel SAP per ID Sistem. Ini mengembalikan daftar catatan data per ID sistem, dan waktu yang dihasilkan.
Parameter:
- TimeAgo
- Opsional
- Nilai default: Tujuh hari
- Menentukan bahwa fungsi mencari data master Pengguna dari waktu yang ditentukan oleh nilai
TimeAgo
hingga waktu yang ditentukan oleh nilainow()
.
Bidang | Deskripsi |
---|---|
TimeGenerated | Nilai tanggalwaktu stempel waktu dari generasi rekaman |
SystemID_s | String yang mewakili ID Sistem SAP |
Gunakan kueri Kusto berikut untuk melakukan analisis tren harian:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Fungsi SAPUsersEmail memungkinkan pencarian berorientasi performa dari alamat email pengguna SAP per sistem SAP dan klien, biasanya digunakan untuk mengaitkannya dengan akun direktori aktif. Menggunakan data yang diekstrak dari tabel SAP USR21 (Nama Pengguna/Penetapan Kunci Alamat) dan ADR6 (Alamat Email), fungsi SAPUsersEmail mencari alamat Email. Jika tidak ditemukan, ID pengguna dikembalikan sebagai ganti alamat Email. Perilaku ini memastikan bahwa akun layanan SAP (seperti DDIC), yang sering kali tidak terkait dengan alamat email, akan dicatat sebagai akun AD semu, mengaktifkan beberapa fitur UEBA, membantu penyelidikan insiden dan aktivitas berburu.
Bidang | Deskripsi |
---|---|
ClientId | ID Klien SAP |
SystemID | ID Sistem SAP |
Pengguna | ID Pengguna SAP |
Alamat Email Pengguna SAP |
SAPSystems
Fungsi SAPSystems digunakan untuk menyajikan konfigurasi per sistem secara terpusat yang dibuat menggunakan daftar tonton 'SAP - Sistem'.
Parameter:
- SelectedSystems
- Opsional
- Nilai default: "Semua Sistem"
- Digunakan untuk memfilter sistem SAP tertentu
- SelectedSystemRoles
- Opsional
- Nilai default: "Semua Peran Sistem"
- Menentukan peran Sistem SAP yang akan dilihat (seperti yang didefinisikan dalam daftar tonton "SAP - Sistem")
Bidang | Deskripsi | Sumber/Catatan Data |
---|---|---|
SearchKey | Kunci Pencarian | Bidang terindeks untuk ID Sistem SAP |
SystemRole | Peran Sistem SAP | Produksi, UAT |
SystemUsage | Penggunaan utama sistem SAP | ERP, CRM |
SystemID | ID Sistem SAP |
SAPAuditLogConfiguration
Fungsi SAPAuditLogConfiguration mengembalikan konfigurasi lokal pemberitahuan log audit SAP dari ruang kerja Sentinel, yang akan digunakan untuk peringatan terkait log audit SAP yang berbeda. Ini menggabungkan data dalam 'Konfigurasi Monitor Log Audit Dinamis SAP' dan 'SAP - Sistem' daftar pantauan untuk menyediakan konfigurasi per-sistem pada upaya per-sistem-peran.
Parameter:
- SelectedSystems
- Opsional
- Nilai default: "Semua Sistem"
- Digunakan untuk memfilter sistem SAP tertentu untuk dilihat.
- SelectedSystemRoles
- Opsional
- Nilai default: "Semua Peran Sistem"
- Menentukan peran Sistem SAP yang akan dilihat (sebagaimana yang didefinisikan dalam daftar tonton "SAP - Sistem").
- SelectedSeverities
- Opsional
- Nilai default: ["Tinggi", "Sedang"]
- Digunakan untuk menentukan peristiwa yang akan dilihat dalam hal tingkat keparahannya. Tingkat keparahan per ID pesan log audit SAP dan peran sistem ditentukan dalam daftar tonton "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedRuleTypes
- Opsional
- Nilai default: "Semua RuleTypes"
- Menentukan peristiwa apa yang relevan untuk mendeteksi anomali. Jenis aturan per ID pesan log audit SAP dan peran sistem ditentukan dalam daftar tonton "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Bidang | Deskripsi | Sumber/Catatan Data |
---|---|---|
CategoryName | Kategori kejadian yang diberikan SAP | Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP' |
DestinationEmail | Alamat email Tim yang Ditetapkan | Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP' |
DetailedDescription | Teks berformat markdown untuk ditampilkan pada peringatan | Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP' |
MessageID | ID pesan log audit SAP | Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP' |
MessageText | Contoh teks pesan | Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP' |
RolesTagsToExclude | Peran ABAP, Profil, atau tag teks gratis | Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP' |
RuleType | Anomali atau deterministik | Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP' |
Taktik | Taktik MITRE ATTA&CK | Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP' |
TeamsChannelID | Saluran Teams | Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP' |
SystemID | ID Sistem SAP | 'SAP - Daftar tonton Sistem' |
SystemRole | Peran Sistem SAP | 'SAP - Daftar tonton Sistem' |
SystemUsage | Penggunaan utama sistem SAP | 'SAP - Daftar tonton Sistem' |
IsProd | Bendera sistem produksi | 'SAP - Daftar tonton Sistem' |
Tingkat keparahan | Tingkat keparahan turunan | Tingkat keparahan per penggunaan sistem |
Ambang | Ambang turunan | Jumlah peristiwa per Penggunaan sistem |
BagOfDetails | Tas Detail | Kamus yang merinci definisi peristiwa |
SAPAuditLogAnomalies
SAPAuditLogAnomalies menggunakan kemampuan pembelajaran mesin bawaan database Kusto Sentinel yang mendasari untuk membantu mendeteksi peristiwa anomali yang diamati pada log audit SAP. Dikembangkan untuk aturan peringatan “SAP - (Eksperimental) Peringatan Monitor Log Audit berbasis Anomali Dinamis SAP”, fungsi ini awalnya dirancang untuk memperingatkan anomali terkini tetapi juga dapat membantu menyoroti anomali historis (lihat contoh di bawah).
Parameter:
- Pembelajaran Time
- Opsional
- Nilai default: 14 hari
- Menentukan rentang waktu yang digunakan untuk pembelajaran model
- DetectingTime
- Opsional
- Nilai default: Satu jam
- Menentukan rentang waktu yang akan dilihat untuk mendeteksi anomali. Memanggil fungsi ini dengan DetectingTime = 0h akan menyoroti anomali di seluruh rentang waktu LearningTime
- SelectedSystems
- Opsional
- Nilai default: "Semua Sistem"
- Digunakan untuk memfilter sistem SAP tertentu untuk dilihat.
- SelectedSystemRoles
- Opsional
- Nilai default: "Semua Peran Sistem"
- Menentukan peran Sistem SAP yang akan dilihat (sebagaimana yang didefinisikan dalam daftar tonton "SAP - Sistem").
- SelectedSeverities
- Opsional
- Nilai default: ["Tinggi", "Sedang"]
- Digunakan untuk menentukan peristiwa yang akan dilihat dalam hal tingkat keparahannya. Tingkat keparahan per ID pesan log audit SAP dan peran sistem ditentukan dalam daftar tonton "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedPrefixMask
- Opsional
- Nilai default: 24
- Digunakan untuk menentukan level subnet mask yang digunakan untuk belajar dan mendeteksi.
- SelectedRuleTypes
- Opsional
- Nilai default: "AnomaliesOnly"
- Menentukan peristiwa apa yang relevan untuk mendeteksi anomali. Jenis aturan per ID pesan log audit SAP dan peran sistem ditentukan dalam daftar tonton "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Logika
Fungsi ini mempelajari irisan riwayat yang ditentukan oleh parameter input yang berbeda, di tingkat pengguna, atribut jaringan, sistem, musim, dan aktivitas. Kemudian menilai peristiwa yang terjadi dalam rentang waktu DetectingTime terakhir sesuai dengan apa yang telah dipelajarinya, menerapkan ambang batas dan kriteria pengecualian lainnya yang dapat dikonfigurasi yang diperoleh dari daftar tonton konfigurasi log audit SAP. Setelah jendela geser aktivitas pengguna dianggap anomali, kueri kedua mengembalikan seluruh aktivitas pengguna sebagai bukti yang mendukung keputusan.
Catatan tambahan
Seperti halnya solusi pembelajaran mesin lainnya, fungsi ini bekerja lebih baik seiring waktu. Penyesuaian lebih lanjut dapat dilakukan dengan menggunakan konfigurasi lokal. Disarankan untuk membatasi ukuran database yang dipelajari di bawah 100 juta rekaman menggunakan banyak parameter input yang tersedia.
Contoh: mencari anomali untuk peristiwa dengan tingkat keparahan tinggi yang terjadi dalam satu jam terakhir pada sistem produksi untuk jenis peristiwa yang ditandai sebagai "Hanya Anomali" di "SAP_Dynamic_Audit_Log_Monitor_Configuration"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Contoh: Mencari semua anomali dalam 14 hari terakhir di sistem "BIP"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Bidang | Deskripsi |
---|---|
Beberapa bidang dari SAPAuditLog | Bidang kunci dari log Audit SAP |
Beberapa bidang dari SAPAuditLogConfiguration | Bidang kunci dari Sentinel untuk konfigurasi log audit SAP |
DiscoveredOn | Jam bulat tempat anomali diamati |
EventCount | Jumlah peristiwa yang dihitung per baris yang dikembalikan |
AnomalCount | Jumlah peristiwa yang diamati dalam jendela geser yang relevan |
MinTime | Waktu peristiwa pertama diamati |
MaxTime | Waktu peristiwa terakhir diamati |
Skor | skor anomali seperti yang dihasilkan oleh model anomali |
Lihat Aturan analitik SAP bawaan untuk memantau log audit SAP untuk informasi selengkapnya.
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend adalah fungsi pembantu yang dirancang untuk menawarkan rekomendasi untuk konfigurasi aturan analitik SAP - Peringatan Pemantauan Log Audit berbasis Anomali Dinamis (PRATINJAU). Pelajari cara mengonfigurasi aturan.
SAPUsersGetVIP
Solusi Microsoft Sentinel untuk aplikasi SAP® menggunakan konsep penandaan pengguna pusat dan pengecualian eksplisit, yang dirancang untuk membantu Anda menurunkan positif palsu dengan upaya minimal. Gunakan fungsi SAPUsersGetVIP untuk mengecualikan pengguna agar tidak memicu pemberitahuan dengan menentukan peran pengguna SAP, fungsi pengguna SAP, atau tag yang mewakili pengguna tersebut. Untuk mengetahui informasi selengkapnya, lihat Menangani positif palsu di Microsoft Azure Sentinel.
Tag yang ditentukan sebagai input untuk fungsi SAPUsersGetVIP mengecualikan semua pengguna dengan tag yang tercantum dalam daftar pengawasan SAP_User_Config . Fungsionalitas yang sama diperluas untuk bekerja dengan wildcard, memungkinkan Anda menetapkan satu tag ke sekelompok pengguna dengan sintaks penamaan yang sama.
Beri tag pengguna dalam daftar pengawasan SAP_User_Config sebagai berikut:
Tambahkan beberapa tag ke setiap pengguna dalam daftar pengawasan SAP_User_Config , sesuai kebutuhan untuk mencakup berbagai skenario. Setiap aturan pemberitahuan memiliki tag yang relevan sendiri, jika ada, dan Anda dapat menambahkan tag kustom sesuai kebutuhan.
Gunakan tanda bintang (*) sebagai kartubebas untuk menyertakan pengguna dengan templat sintaks penamaan tertentu.
Tambahkan fungsi SAPUsersGetVIP dalam aturan analitik Anda untuk meminta daftar pengguna yang telah Anda tentukan untuk dikecualikan dari pemberitahuan. Dalam panggilan fungsi, tambahkan array dengan tag, peran SAP, dan profil SAP yang ingin Anda kecualikan.
Misalnya, gunakan kueri KQL berikut dalam aturan analitik Anda untuk mengecualikan pengguna apa pun yang dikonfigurasi dengan tag RunObsoleteProgOK di daftar pengawasan SAP_User_Config, atau pengguna apa pun dengan peran SAP_BASIS_ADMIN_ROLE sampel atau profil SAP_ADMIN_PROFILE sampel.
Saat menyalin contoh panggilan fungsi ini, ganti peran SAP_BASIS_ADMIN_ROLE dan profil SAP_ADMIN_PROFILE dengan peran atau profil SAP Anda sendiri sesuai kebutuhan.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Fungsi SAPUsersGetVIP umumnya digunakan dalam peringatan Deterministik dan Anomali Monitor Log Audit. Kaitkan tag dengan ID pesan log audit SAP, atau perluas templat aturan ke aturan kustom yang sesuai dengan kebutuhan organisasi Anda.
Tip
Sebaiknya hubungi admin sistem SAP Anda untuk memahami pengguna, peran, dan profil SAP mana yang akan disertakan dalam daftar tonton SAP_User_Config Anda.
Parameter:
Nama | Deskripsi | Nilai default |
---|---|---|
SearchForTags (Opsional) | Jika SearchForTags sama dengan All Tags , semua pengguna dikembalikan bersama dengan tag mereka. Jika tidak, hanya pengguna yang memiliki tag, peran SAP, atau profil SAP yang ditentukan yang SearchForTags dikembalikan. TagsIntersect memperlihatkan tag yang ditemukan, dan IntersectionSize menyimpan jumlah tag yang ditemukan. |
dynamic('All Tags') |
SpecialFocusTags (Opsional) | Mengembalikan semua pengguna yang menyandang tag yang ditentukan dalam SpecialFocusTags , dan ditandai dengan specialFocusTagged = true . |
Do not return any in-focus users |
Sumber | Bidang | Deskripsi | Catatan |
---|---|---|---|
Daftar pengawasan SAP_User_Config | SearchKey | Kunci Pencarian | |
Daftar pengawasan SAP_User_Config | SAPUser | Pengguna SAP | OSS, DDIC |
Daftar pengawasan SAP_User_Config | Tag | String tag yang ditetapkan untuk pengguna | RunObsoleteProgOK |
Daftar pengawasan SAP_User_Config | ID Objek Microsoft Entra pengguna | ID Objek Microsoft Entra | |
Daftar pengawasan SAP_User_Config | Pengidentifikasi Pengguna | Pengidentifikasi Pengguna AD | |
Daftar pengawasan SAP_User_Config | Sid lokal pengguna | ||
Daftar pengawasan SAP_User_Config | Nama Utama Pengguna | ||
Daftar pengawasan SAP_User_Config | TagsList | Daftar tag yang ditetapkan untuk pengguna | ChangeUserMasterDataOK;RunObsoleteProgOK |
Logika | TagsIntersect | Satu set tag yang cocok dengan SearchForTags | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Logika | SpecialFocusTagged | Indikasi fokus khusus | True, False |
Logika | IntersectionSize | Jumlah Tag bersinggungan |
SAPUsersHeader
Fungsi SAPUsersHeader dirancang untuk memberikan tampilan tingkat tinggi dari pengguna SAP. Ini menggunakan data yang diekstraksi dari tabel data master pengguna SAP dan aktivitas terbaru pada log audit SAP untuk mengumpulkan alamat Email dan IP. Kemudian mengembalikan email dan alamat IP terakhir yang diketahui bersama dengan email primer dan alamat IP. Parameter: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser: string = "Semua Pengguna"
- SelectedSystems
- Opsional
- Nilai default: "Semua Sistem"
- Digunakan untuk memfilter sistem SAP tertentu untuk dilihat.
- SelectedSystemRoles
- Opsional
- Nilai default: "Semua Peran Sistem"
- Menentukan peran Sistem SAP yang akan dilihat (sebagaimana yang didefinisikan dalam daftar tonton "SAP - Sistem").
- Pengguna terpilih
- Opsional
- Nilai default: "Semua Pengguna"
- Dapat memasukkan daftar pengguna.
- SelectedUser
- Opsional
- Nilai default: "Semua Pengguna"
- Hanya menerima satu pengguna
Catatan tambahan
Untuk pertimbangan performa, hanya beberapa hari aktivitas audit yang dipertimbangkan. Untuk riwayat lengkap aktivitas pengguna, jalankan kueri KQL kustom terhadap fungsi SAPAuditLog.
Sumber | Bidang | Deskripsi | Catatan |
---|---|---|---|
Pengguna | Pengguna SAP | ||
Tabel SAP ADR6 dan USR21 | Diambil dari data master pengguna | OSS, DDIC | |
Tabel SAP USR02 | UserType | string tag yang ditetapkan untuk pengguna | RunObsoleteProgOK |
Tabel SAP USR02 | Timezone | ID Objek Microsoft Entra | |
Tabel SAP USR02 | LockedStatus | Pengidentifikasi Pengguna AD | |
Log audit SAP | LastSeen | Stempel waktu | peristiwa audit terakhir yang diamati untuk pengguna |
Log audit SAP | LastSeenDaysAgo | hari berlalu sejak LastSeen | |
Log audit SAP | PrimaryIP | Alamat IP yang paling sering digunakan | ChangeUserMasterDataOK;RunObsoleteProgOK |
Log audit SAP | LastKnownIP | Alamat IP yang terakhir digunakan | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Log audit SAP | Email Utama | Alamat Email yang paling sering digunakan | True, False |
Log audit SAP | KnownIPs | Daftar alamat IP yang diketahui | diurutkan menurut yang paling sering terlebih dahulu |
Log audit SAP | KnownEmails | Daftar alamat Email yang diketahui | diurutkan menurut yang paling sering terlebih dahulu |
Klien | ID Klien SAP | ||
SystemID | ID Sistem SAP | ||
SystemRole | Peran Sistem SAP | Produksi, UAT | |
SystemUsage | Penggunaan utama sistem SAP | ERP, CRM |
Log yang dihasilkan oleh agen konektor data
Bagian ini menjelaskan log SAP yang tersedia dari solusi Microsoft Sentinel untuk konektor data aplikasi SAP®, termasuk nama tabel di Microsoft Azure Sentinel, tujuan log, dan skema log terperinci. Deskripsi bidang skema didasarkan pada deskripsi lapangan dalam dokumentasi SAP yang relevan.
Untuk hasil terbaik, gunakan fungsi Microsoft Sentinel yang tercantum di bawah ini untuk memvisualisasikan, mengakses, dan mengkueri data.
- Log Aplikasi ABAP
- Log Dokumen Perubahan ABAP
- Log ABAP CR
- Log data tabel ABAP DB (PRATINJAU)
- Log Gateway ABAP (PRATINJAU)
- Log ICM ABAP (PRATINJAU)
- Log Pekerjaan ABAP
- Log Audit Keamanan ABAP
- Log ABAP Spool
- Log Output Spool APAB
- ABAP SysLog
- Log Alur Kerja ABAP
- Log ABAP WorkProcess
- Jejak Audit HANA DB
- File JAVA
- Log Heartbeat SAP
Log Aplikasi ABAP
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPAppLog
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log: Merekam kemajuan eksekusi aplikasi sehingga Anda dapat rekonstruksi nanti sesuai kebutuhan.
Tersedia dengan menggunakan RFC berdasarkan tabel SAP standar dan layanan standar antarmuka XBP. Log ini dihasilkan per klien.
Skema log ABAPAppLog_CL
Bidang | Deskripsi |
---|---|
AppLogDateTime | Waktu tanggal log aplikasi |
CallbackProgram | Program panggilan balik |
CallbackRoutine | Rutinitas panggilan balik |
CallbackType | Jenis panggilan balik |
ClientId | ID klien ABAP (MANDT) |
ContextDDIC | Struktur konteks DDIC |
externalId | ID log eksternal |
Host | Host |
Instans | Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Seri pesan log aplikasi |
LevelofDetail | Tingkat detail |
LogHandle | Handel log aplikasi |
LogNumber | Nomor log |
MessageClass | Kelas pesan |
MessageNumber | Nomor pesan |
MessageText | Teks pesan |
MessageType | Jenis pesan |
Objek | Objek log aplikasi |
OperationMode | Mode operasi |
ProblemClass | Kelas masalah |
ProgramName | Nama Program |
SortCriterion | Urutkan kriteria |
StandardText | Teks standar |
SubObject | Sub objek log aplikasi |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
TransactionCode | Kode transaksi |
Pengguna | Pengguna |
UserChange | Perubahan pengguna |
Log Dokumen Perubahan ABAP
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPChangeDocsLog
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log: Rekaman:
Log ABAP SAP NetWeaver Application Server (AS) berubah menjadi objek data bisnis dalam dokumen perubahan.
Entitas lain dalam sistem SAP, seperti data pengguna, peran, alamat.
Tersedia dengan menggunakan RFC berdasarkan tabel SAP standar. Log ini dihasilkan per klien.
Skema log ABAPChangeDocsLog_CL
Bidang | Deskripsi |
---|---|
ActualChangeNum | Nomor perubahan aktual |
ChangedTableKey | Kunci tabel yang diubah |
ChangeNumber | Nomor perubahan |
ClientId | ID klien ABAP (MANDT) |
CreatedfromPlannedChange | Dibuat dari perubahan yang direncanakan, dalam sintaksis berikut: (‘X’ , ‘ ‘) |
CurrencyKeyNew | Kunci mata uang: nilai baru |
CurrencyKeyOld | Kunci mata uang: nilai lama |
FieldName | Nama bidang |
FlagText | Teks bendera |
Host | Host |
Instans | Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
Bahasa | Bahasa |
ObjectClass | Kelas objek, seperti BELEG , BPAR , PFCG , IDENTITY |
ObjectID | ID Objek |
PlannedChangeNum | Nomor perubahan yang direncanakan |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
TableName | Nama tabel |
TransactionCode | Kode transaksi |
TypeofChange_Header | Jenis perubahan header, termasuk: U =Perubahan; I =Sisipkan; E =Hapus Dokumen Tunggal; D =Hapus; J =Masukkan Dokumen Tunggal |
TypeofChange_Item | Jenis perubahan item, termasuk: U =Perubahan; I =Sisipkan; E =Hapus Dokumen Tunggal; D =Hapus; J =Masukkan Dokumen Tunggal |
UOMNew | Satuan pengukuran: nilai baru |
UOMOld | Satuan pengukuran: nilai lama |
Pengguna | Pengguna |
ValueNew | Konten bidang: nilai baru |
ValueOld | Konten bidang: nilai lama |
Versi | Versi |
Log ABAP CR
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPCRLog
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log: Menyertakan log Change & Transport System (CTS), termasuk objek direktori dan penyesuaian tempat perubahan dilakukan.
Tersedia dengan menggunakan RFC berdasarkan tabel standar dan layanan SAP standar. Log ini dihasilkan dengan data di semua klien.
Catatan
Selain pencatatan aplikasi, perubahan dokumen, dan perekaman tabel, semua perubahan yang Anda lakukan pada sistem produksi Anda menggunakan Change & Transport System didokumentasikan dalam log CTS dan TMS.
Skema log ABAPCRLog_CL
Bidang | Deskripsi |
---|---|
Kategori | Kategori (Workbench, Penyesuaian) |
ClientId | ID klien ABAP (MANDT) |
Deskripsi | Deskripsi |
Host | Host |
Instans | Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
ObjectName | Nama Objek |
ObjectType | Tipe objek |
Pemilik | Pemilik |
Minta | Permintaan perubahan |
Keadaan | Keadaan |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
TableKey | Kunci tabel |
TableName | Nama tabel |
ViewName | Melihat nama |
Log data tabel ABAP DB (PRATINJAU)
Agar log ini dikirim ke Microsoft Sentinel, Anda harus menambahkannya secara manual ke file systemconfig.ini.
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPTableDataLog
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log: Menyediakan pencatatan untuk tabel yang penting atau rentan terhadap audit.
Tersedia dengan menggunakan RFC dengan layanan kustom. Log ini dihasilkan dengan data di semua klien.
Skema log ABAPTableDataLog_CL
Bidang | Deskripsi |
---|---|
DBLogID | ID log DB |
Host | Host |
Instans | Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
Bahasa | Bahasa |
LogKey | Kunci log |
NewValue | Nilai baru bidang |
OldValue | Nilai lama bidang |
OperationTypeSQL | Jenis operasi, Insert , Update , Delete |
Program | Nama Program |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
TableField | Bidang Tabel |
TableName | Nama tabel |
TransactionCode | Kode transaksi |
UserName | Pengguna |
VersionNumber | Nomor versi |
Log Gateway ABAP (PRATINJAU)
Agar log ini dikirim ke Microsoft Sentinel, Anda harus menambahkannya secara manual ke file systemconfig.ini.
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPOS_GW
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log: Memantau aktivitas Gateway. Tersedia oleh Layanan Web Kontrol SAP. Log ini dihasilkan dengan data di semua klien.
Skema log ABAPOS_GW_CL
Bidang | Deskripsi |
---|---|
Host | Host |
Instans | Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
MessageText | Teks pesan |
Tingkat keparahan | Tingkat keparahan pesan: Debug , Info , Warning , Error |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
Log ICM ABAP (PRATINJAU)
Agar log ini dikirim ke Microsoft Sentinel, Anda harus menambahkannya secara manual ke file systemconfig.ini.
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPOS_ICM
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log:Merekam permintaan masuk dan keluar dan mengompilasi statistik permintaan HTTP.
Tersedia oleh Layanan Web Kontrol SAP. Log ini dihasilkan dengan data di semua klien.
Skema log ABAPOS_ICM_CL
Bidang | Deskripsi |
---|---|
Host | Host |
Instans | Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
MessageText | Teks pesan |
Tingkat keparahan | Tingkat keparahan pesan, termasuk: Debug , Info , Warning , Error |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
Log Pekerjaan ABAP
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPJobLog
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log: Menggabungkan semua log pekerjaan pemrosesan latar belakang (SM37).
Tersedia dengan menggunakan RFC berdasarkan tabel SAP standar dan layanan standar antarmuka XBP. Log ini dihasilkan dengan data di semua klien.
Skema log ABAPJobLog_CL
Bidang | Deskripsi |
---|---|
ABAPProgram | Program ABAP |
BgdEventParameters | Parameter peristiwa latar belakang |
BgdProcessingEvent | Peristiwa pemrosesan latar belakang |
ClientId | ID klien ABAP (MANDT) |
DynproNumber | Nomor Dynpro |
GUIStatus | Status GUI |
Host | Host |
Instans | Instans ABAP (HOST_SYSID_SYSNR), dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
JobClassification | Klasifikasi pekerjaan |
JobCount | Jumlah pekerjaan |
JobGroup | Grup pekerjaan |
JobName | Nama pekerjaan |
JobPriority | Prioritas pekerjaan |
MessageClass | Kelas pesan |
MessageNumber | Nomor pesan |
MessageText | Teks pesan |
MessageType | Jenis pesan |
ReleaseUser | Rilis pekerjaan pengguna |
SchedulingDateTime | Waktu tanggal penjadwalan |
StartDateTime | Waktu tanggal mulai |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
TargetServer | Server target |
Pengguna | Pengguna |
UserReleaseInstance | Instans ABAP - rilis pengguna |
WorkProcessID | ID Proses Kerja |
WorkProcessNumber | Nomor proses kerja |
Log Audit Keamanan ABAP
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPAuditLog
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log: Merekam data berikut:
- Perubahan terkait keamanan pada lingkungan sistem SAP, seperti perubahan pada catatan pengguna utama
- Informasi yang menyediakan tingkat data yang lebih tinggi, seperti upaya masuk yang berhasil dan tidak berhasil
- Informasi yang memungkinkan rekonstruksi serangkaian peristiwa, seperti transaksi berhasil atau tidak berhasil dimulai
Tersedia dengan menggunakan antarmuka RFC XAL/SAL. SAL tersedia mulai dari versi Basis 7.50. Log ini dihasilkan dengan data di semua klien.
Skema log ABAPAuditLog_CL
Bidang | Deskripsi |
---|---|
ABAPProgramName | Nama program, hanya SAL |
AlertSeverity | Tingkat keparahan peringatan |
AlertSeverityText | Teks tingkat keparahan pemberitahuan, hanya SAL |
AlertValue | Nilai pemberitahuan |
AuditClassID | ID kelas audit, hanya SAL |
ClientId | ID klien ABAP (MANDT) |
Komputer | Mesin pengguna, hanya SAL |
Email pengguna | |
Host | Host |
Instans | Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
MessageClass | Kelas pesan |
MessageContainerID | ID kontainer pesan, Hanya XAL |
MessageID | ID Pesan, seperti ‘AU1’,’AU2’… |
MessageText | Teks pesan |
MonitoringObjectName | Nama objek Monitor MTE, hanya XAL |
MonitorShortName | Nama pendek Monitor MTE, hanya XAL |
SAPProcesType | Log Sistem: Jenis proses SAP, hanya SAL |
B* - pemrosesan latar belakang | |
D* - Pemrosesan Dialog | |
U* - Perbarui Tugas | |
SAPWPName | Log Sistem: Nomor proses kerja, hanya SAL |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
TerminalIPv6 | IP mesin pengguna, hanya SAL |
TransactionCode | Kode transaksi, hanya SAL |
Pengguna | Pengguna |
Variabel1 | Variabel pesan 1 |
Variabel2 | Variabel pesan 2 |
Variabel3 | Variabel pesan 3 |
Variabel4 | Variabel pesan 4 |
Log Penampung ABAP
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPSpoolLog
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log: Berfungsi sebagai log utama untuk Pencetakan SAP dengan riwayat permintaan penampung. (SP01).
Tersedia dengan menggunakan RFC berdasarkan tabel SAP standar. Log ini dihasilkan dengan data di semua klien.
Skema log ABAPSpoolLog_CL
Bidang | Deskripsi |
---|---|
ArchiveStatus | Status arsip |
ArchiveType | Jenis arsip |
ArchivingDevice | Perangkat pengarsipan |
AutoRereoute | Merutekan ulang otomatis |
ClientId | ID klien ABAP (MANDT) |
CountryKey | Kunci negara |
DeleteSpoolRequestAuto | Hapus permintaan penampung secara otomatis |
DelFlag | Bendera penghapusan |
Departemen | Departemen |
DocumentType | Jenis dokumen |
ExternalMode | Mode eksternal |
FormatType | Jenis format |
Host | Host |
Instans | Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
NumofCopies | Jumlah salinan |
OutputDevice | Perangkat output |
PrinterLongName | Nama panjang printer |
PrintImmediately | Segera cetak |
PrintOSCoverPage | Cetak halaman OSCover |
PrintSAPCoverPage | Cetak halaman SAPCover |
Prioritas | Prioritas |
RecipientofSpoolRequest | Penerima permintaan penampung |
SpoolErrorStatus | Status kesalahan penampung |
SpoolRequestCompleted | Permintaan penampung selesai |
SpoolRequestisALogForAnotherRequest | Permintaan penampung adalah log untuk permintaan lain |
SpoolRequestName | Nama permintaan penampung |
SpoolRequestNumber | Jumlah permintaan penampung |
SpoolRequestSuffix1 | Akhiran1 permintaan penampung |
SpoolRequestSuffix2 | Akhiran2 permintaan penampung |
SpoolRequestTitle | Judul permintaan penampung |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
TelecommunicationsPartner | Mitra telekomunikasi |
TelecommunicationsPartnerE | Mitra E telekomunikasi |
TemSeGeneralcounter | Penghitung Temse |
TemseNumAddProtectionRule | Aturan proteksi tambahkan nomor Temse |
TemseNumChangeProtectionRule | Aturan proteksi perubahan nomor Temse |
TemseNumDeleteProtectionRule | Aturan proteksi hapus nomor Temse |
TemSeObjectName | Nama objek Temse |
TemSeObjectPart | Bagian objek TemSe |
TemseReadProtectionRule | Aturan proteksi baca Temse |
Pengguna | Pengguna |
ValueAuthCheck | Pemeriksaan autentikasi nilai |
Log Output Penampung APAB
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPSpoolOutputLog
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log: Berfungsi sebagai log utama untuk Pencetakan SAP dengan riwayat permintaan penampung. (SP02).
Tersedia dengan menggunakan RFC dengan layanan kustom berdasarkan tabel standar. Log ini dihasilkan dengan data di semua klien.
Skema log ABAPSpoolOutputLog_CL
Bidang | Deskripsi |
---|---|
AppServer | Server aplikasi |
ClientId | ID klien ABAP (MANDT) |
Komentar | Komentar |
CopyCount | Jumlah salin |
CopyCounter | Penghitung salin |
Departemen | Departemen |
ErrorSpoolRequestNumber | Jumlah permintaan kesalahan |
FormatType | Jenis format |
Host | Host |
HostName | Nama host |
HostSpoolerID | ID penampung host |
Instans | Instans ABAP |
LastPage | Halaman terakhir |
NumofCopies | Jumlah salinan |
OutputDevice | Perangkat output |
OutputRequestNumber | Nomor permintaan output |
OutputRequestStatus | Status permintaan output |
PhysicalFormatType | Jenis format fisik |
PrinterLongName | Nama panjang printer |
PrintRequestSize | Cetak ukuran permintaan |
Prioritas | Prioritas |
ReasonforOutputRequest | Alasan permintaan output |
RecipientofSpoolRequest | Penerima permintaan penampung |
SpoolNumberofOutputReqProcessed | Jumlah permintaan output - diproses |
SpoolNumberofOutputReqWithErrors | Jumlah permintaan output - dengan kesalahan |
SpoolNumberofOutputReqWithProblems | Jumlah permintaan output - dengan masalah |
SpoolRequestNumber | Jumlah permintaan penampung |
StartPage | Halaman awal |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
TelecommunicationsPartner | Mitra telekomunikasi |
TemSeGeneralcounter | Penghitung Temse |
Judul | Judul |
Pengguna | Pengguna |
Syslog ABAP
Agar log ini dikirim ke Microsoft Sentinel, Anda harus menambahkannya secara manual ke file systemconfig.ini.
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPOS_Syslog
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log: Merekam semua kesalahan sistem, peringatan, penguncian pengguna karena upaya masuk yang gagal dari pengguna yang dikenal, dan pesan proses dari ABAP SAP NetWeaver Application Server (SAP NetWeaver AS).
Tersedia oleh Layanan Web Kontrol SAP. Log ini dihasilkan dengan data di semua klien.
Skema log ABAPOS_Syslog_CL
Bidang | Deskripsi |
---|---|
ClientId | ID klien ABAP (MANDT) |
Host | Host |
Instans | Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
MessageNumber | Nomor pesan |
MessageText | Teks pesan |
Tingkat keparahan | Tingkat keparahan pesan, salah satu nilai berikut: Debug , Info , Warning , Error |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
TransacationCode | Kode transaksi |
Jenis | Jenis proses SAP |
Pengguna | Pengguna |
Log Alur Kerja ABAP
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPWorkflowLog
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log:Alur Kerja Bisnis SAP (Mesin WebFlow) memungkinkan Anda menentukan proses bisnis yang belum dipetakan dalam sistem SAP.
Misalnya, proses bisnis yang belum dipetakan mungkin merupakan prosedur rilis atau persetujuan sederhana, atau proses bisnis yang lebih kompleks seperti membuat materi dasar dan kemudian mengoordinasikan departemen terkait.
Tersedia dengan menggunakan RFC berdasarkan tabel SAP standar. Log ini dihasilkan per klien.
Skema log ABAPWorkflowLog_CL
Bidang | Deskripsi |
---|---|
ActualAgent | Agen aktual |
Alamat | Alamat |
ApplicationArea | Area aplikasi |
CallbackFunction | Fungsi panggilan balik |
ClientId | ID klien ABAP (MANDT) |
CreationDateTime | Waktu tanggal Pembuatan |
Pembuat | Pembuat |
CreatorAddress | Alamat pembuat |
ErrorType | Jenis kesalahan |
ExceptionforMethod | Pengecualian untuk metode |
Host | Host |
Instans | Instans ABAP (HOST_SYSID_SYSNR), dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
Bahasa | Bahasa |
LogCounter | Penghitung log |
MessageNumber | Nomor pesan |
MessageType | Jenis pesan |
MethodUser | Pengguna metode |
Prioritas | Prioritas |
SimpleContainer | Kontainer sederhana, dipaketkan sebagai daftar Nilai-Kunci untuk item kerja |
Keadaan | Keadaan |
SuperWI | WI Super |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
TaskID | ID Tugas |
TasksClassification | Klasifikasi tugas |
TaskText | Teks tugas |
TopTaskID | ID tugas teratas |
UserCreated | Dibuat pengguna |
WIText | Teks item pekerjaan |
WIType | Jenis item pekerjaan |
WorkflowAction | Tindakan alur kerja |
WorkItemID | ID item pekerjaan |
Log WorkProcess ABAP
Agar log ini dikirim ke Microsoft Sentinel, Anda harus menambahkannya secara manual ke file systemconfig.ini.
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPOS_WP
Dokumentasi SAP terkait: Portal Bantuan SAP
Tujuan log: Menggabungkan semua log proses kerja. (default:
dev_*
).Tersedia oleh Layanan Web Kontrol SAP. Log ini dihasilkan dengan data di semua klien.
Skema log ABAPOS_WP_CL
Bidang | Deskripsi |
---|---|
Host | Host |
Instans | Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
MessageText | Teks pesan |
Tingkat keparahan | Tingkat keparahan pesan: Debug , Info , Warning , Error |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
WPNumber | Nomor proses kerja |
Jejak Audit HANA DB
Agar log ini dikirim ke Microsoft Sentinel, Anda harus menyebarkan Agen Manajemen Microsoft untuk mengumpulkan data Syslog dari mesin yang menjalankan HANA DB.
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPSyslog
Dokumentasi SAP terkait: Umum | Jejak Audit
Tujuan log: Merekam tindakan pengguna, atau percobaan tindakan dalam database SAP Hana. Misalnya, memungkinkan Anda untuk mencatat dan memantau akses baca ke data sensitif.
Tersedia oleh Agen Sentinel Linux untuk Syslog. Log ini dihasilkan dengan data di semua klien.
Skema log Syslog
Bidang | Deskripsi |
---|---|
Komputer | Nama host |
HostIP | IP Host |
HostName | Nama host |
ProcessID | ID Proses |
ProcessName | Nama proses: HDB* |
SeverityLevel | Peringatan |
SourceSystem | Sumber Sistem OS, Linux |
SyslogMessage | Pesan, pesan jejak audit yang tidak diuraikan |
File JAVA
Agar log ini dikirim ke Microsoft Sentinel, Anda harus menambahkannya secara manual ke file systemconfig.ini.
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPJAVAFilesLogs
Dokumentasi SAP terkait: Umum | Jejak Audit Keamanan Java
Tujuan log: Menggabungkan semua log berbasis file Java, termasuk Jejak Audit Keamanan, dan Sistem (proses kluster dan server), Performa, dan log Gateway. Juga termasuk Jejak Pengembang dan log Jejak Default.
Tersedia oleh Layanan Web Kontrol SAP. Log ini dihasilkan dengan data di semua klien.
Skema log JavaFilesLogsCL
Bidang | Deskripsi |
---|---|
Aplikasi | Aplikasi Java |
ClientId | ID klien |
CSNComponent | komponen CSN, seperti BC-XI-IBD |
DCComponent | komponen DC, seperti com.sap.xi.util.misc |
DSRCounter | Penghitung DSR |
DSRRootContentID | Konteks DSR GUID |
DSRTransaction | Transaksi DSR GUID |
Host | Host |
Instans | Instans Java, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR> |
Lokasi | Kelas Java |
LogName | logName Java, seperti: Available , defaulttrace , dev* , security , dan sebagainya |
MessageText | Teks pesan |
MNo | Nomor pesan |
Pid | ID Proses |
Program | Nama Program |
Sesi | Sesi |
Tingkat keparahan | Tingkat keparahan pesan, termasuk: Debug ,Info ,Warning ,Error |
Solusi | Solusi |
SystemID | ID Sistem |
SystemNumber | Nomor sistem |
ThreadName | Nama alur |
Dilemparkan | Pengecualian dilemparkan |
TimeZone | Timezone |
Pengguna | Pengguna |
Log Heartbeat SAP
Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPConnectorHealth
Tujuan log: Memberikan heartbeat dan informasi kesehatan lainnya tentang konektivitas antara agen dan sistem SAP yang berbeda.
Dibuat secara otomatis untuk semua agen konektor data Microsoft Sentinel untuk SAP.
Skema log SAP_HeartBeat_CL
Bidang | Deskripsi |
---|---|
TimeGenerated | Waktu acara posting log |
agent_id_s | ID agen dalam konfigurasi agen (dibuat secara otomatis) |
agent_ver_s | Versi agen |
host_s | Nama host agen |
system_id_s | ID Sistem ABAP Netweaver / Host SAPControl Netweaver (pratinjau) / Host SAPControl Java (pratinjau) |
push_timestamp_d | Stempel waktu ekstraksi, sesuai dengan zona waktu agen |
agent_timezone_s | Zona waktu agen |
Tabel diambil langsung dari sistem SAP
Bagian ini mencantumkan tabel data yang diambil langsung dari sistem SAP dan diserap ke Microsoft Sentinel apa adanya.
Agar data dari tabel ini diserap ke Microsoft Sentinel, konfigurasikan pengaturan yang relevan dalam file systemconfig.ini. Untuk informasi selengkapnya, lihat Mengonfigurasi pengumpulan data Master Pengguna.
Data yang diambil dari tabel ini memberikan pandangan yang jelas tentang struktur otorisasi, keanggotaan grup, dan profil pengguna. Data juga memungkinkan Anda melacak proses hibah otorisasi dan mencabut, serta mengidentifikasi dan mengatur risiko yang terkait dengan proses tersebut.
Tabel yang tercantum di bawah ini diperlukan untuk mengaktifkan fungsi yang mengidentifikasi pengguna istimewa, memetakan pengguna ke peran, grup, dan otorisasi.
Untuk hasil terbaik, lihat tabel ini menggunakan nama di kolom nama fungsi Sentinel di bawah ini:
Nama tabel | Deskripsi tabel | Nama fungsi Sentinel |
---|---|---|
USR01 | Catatan master pengguna (data runtime) | SAP_USR01 |
USR02 | Data masuk (penggunaan sisi kernel) | SAP_USR02 |
UST04 | Master pengguna Memetakan pengguna ke profil |
SAP_UST04 |
AGR_USERS | Penetapan peran kepada pengguna | SAP_AGR_USERS |
AGR_1251 | Data otorisasi untuk grup aktivitas | SAP_AGR_1251 |
USGRP_USER | Penetapan pengguna ke grup pengguna | SAP_USGRP_USER |
USR21 | Penetapan kunci nama pengguna/alamat | SAP_USR21 |
ADR6 | Alamat email (layanan alamat bisnis) | SAP_ADR6 |
USRSTAMP | Stempel waktu untuk semua perubahan pada pengguna | SAP_USRSTAMP |
ADCP | Penetapan orang/alamat (layanan alamat bisnis) | SAP_ADCP |
USR05 | ID parameter master pengguna | SAP_USR05 |
AGR_PROF | Nama profil untuk peran | SAP_AGR_PROF |
AGR_FLAGS | Atribut peran | SAP_AGR_FLAGS |
DEVACCESS | Tabel untuk pengguna pengembangan | SAP_DEVACCESS |
AGR_DEFINE | Definisi peran | SAP_AGR_DEFINE |
AGR_AGRS | Peran dalam peran komposit | SAP_AGR_AGRS |
PAHI | Riwayat sistem, database, dan parameter SAP | SAP_PAHI |
SNCSYSACL (PRATINJAU) | Daftar Access Control SNC (ACL): Sistem | SAP_SNCSYSACL |
USRACL (PRATINJAU) | Daftar Access Control SNC (ACL): Pengguna | SAP_USRACL |
Langkah berikutnya
Untuk informasi selengkapnya, lihat:
- Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
- Solusi Microsoft Azure Sentinel untuk persyaratan SAP terperinci aplikasi SAP®
- Menyebarkan konektor data Microsoft Sentinel untuk SAP dengan SNC
- Opsi konfigurasi ahli, penyebaran lokal, dan sumber log SAPControl
- Solusi Microsoft Azure Sentinel untuk aplikasi SAP®: konten keamanan bawaan
- Memantau kesehatan sistem SAP Anda
- Memecahkan masalah solusi Microsoft Azure Sentinel Anda untuk penyebaran aplikasi SAP®