Solusi Microsoft Azure Sentinel untuk referensi data aplikasi SAP®

  • Artikel

Penting

Beberapa komponen solusi Pemantauan Ancaman Microsoft Sentinel untuk SAP saat ini sedang dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Beberapa log, yang disebutkan di bawah ini, tidak dikirim ke Microsoft Sentinel secara default, tetapi Anda dapat menambahkannya secara manual sesuai kebutuhan. Untuk informasi selengkapnya, lihat Menentukan log SAP yang dikirim ke Microsoft Sentinel.

Artikel ini menjelaskan fungsi, log, dan tabel yang tersedia sebagai bagian dari solusi Microsoft Sentinel untuk aplikasi SAP® dan konektor datanya. Ini ditujukan untuk pengguna SAP tingkat lanjut.

Fungsi yang tersedia dari solusi SAP

Bagian ini menjelaskan fungsi yang tersedia di ruang kerja Anda setelah Anda menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®. Temukan fungsi-fungsi ini di halaman Log Microsoft Sentinel untuk digunakan dalam kueri KQL Anda, tercantum di bawah fungsi Workspace.

Pengguna sangat dianjurkan untuk menggunakan fungsi sebagai subjek analisis mereka jika memungkinkan, bukan log atau tabel yang mendasarinya. Fungsi-fungsi ini dimaksudkan untuk berfungsi sebagai antarmuka pengguna utama ke data. Fungsi ini membentuk dasar untuk semua aturan analitik bawaan dan buku kerja yang tersedia untuk Anda di luar kotak. Hal ini memungkinkan perubahan yang akan dilakukan pada infrastruktur data di bawah fungsi, tanpa merusak konten yang dibuat pengguna.

SAPUsersAssignments

Fungsi SAPUsersAssignments mengumpulkan data dari beberapa sumber data SAP dan membuat tampilan yang berpusat pada pengguna dari data master pengguna saat ini, termasuk peran dan profil yang saat ini ditetapkan.

Fungsi ini merangkum tugas pengguna ke peran dan profil, dan mengembalikan data berikut:

Bidang Deskripsi Sumber/Catatan Data
Pengguna ID pengguna SAP SAL saja
Email Alamat SMTP USR21 (SMTP_ADDR)
UserType Tipe pengguna USR02 (USTYP)
Timezone Zona waktu USR02 (TZONE)
LockedStatus Status kunci USR02 (UFLAG)
LastSeenDate Tanggal terakhir terlihat USR02 (TRDAT)
LastSeenTime Waktu terakhir terlihat USR02 (LTIME)
UserGroupAuth Grup pengguna dalam pemeliharaan master pengguna USR02 (CLASS)
Profil Kumpulan profil (ukuran set maksimum default = 50) ["Profile 1", "Profile 2",...,"profile 50"]
DirectRoles Kumpulan peran yang ditetapkan langsung (ukuran set maks default = 50) ["Role 1", "Role 2",...,"”"Role 50"]
ChildRoles Kumpulan peran yang ditetapkan secara tidak langsung (ukuran set maks default = 50) ["Role 1", "Role 2",...,"”"Role 50"]
Klien ID klien
SystemID ID Sistem Seperti yang didefinisikan dalam konektor

SAPUsersGetPrivileged

Fungsi SAPUsersGetPrivileged mengembalikan daftar pengguna istimewa per klien dan ID sistem.

Pengguna dianggap memiliki hak istimewa saat mereka terdaftar dalam daftar pantauan SAP - Pengguna dengan Hak Istimewa, telah ditetapkan ke profil yang tercantum dalam daftar pantauan SAP - Profil Sensitif, atau telah ditambahkan ke peran yang tercantum dalam daftar pantauan SAP - Peran Sensitif.

Parameter:

  • TimeAgo
    • Opsional
    • Nilai default: Tujuh hari
    • Menentukan bahwa fungsi mencari data master Pengguna dari waktu yang ditentukan oleh nilai TimeAgo hingga waktu yang ditentukan oleh nilai now().

Fungsi SAPUsersGetPrivileged mengembalikan data berikut:

Bidang Deskripsi
Pengguna ID pengguna SAP
Klien ID klien
SystemID ID Sistem

SAPUsersAuthorizations

Fungsi SAPUsersAuthorizations menyatukan data dari beberapa tabel untuk menghasilkan tampilan yang berpusat pada pengguna dari peran dan otorisasi saat ini yang ditetapkan. Hanya pengguna dengan peran aktif dan penetapan otorisasi yang dikembalikan.

Parameter:

  • TimeAgo
    • Opsional
    • Nilai default: Tujuh hari
    • Menentukan bahwa fungsi mencari data master Pengguna dari waktu yang ditentukan oleh nilai TimeAgo hingga waktu yang ditentukan oleh nilai now().

Fungsi SAPUsersAuthorizations mengembalikan data berikut:

Bidang Deskripsi Catatan
Pengguna ID pengguna SAP
Peran Kumpulan peran (ukuran set maks default = 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails Set otorisasi (ukuran set maks default = 100) {{AuthorizationsDeatils1},
{AuthorizationsDeatils2},
...,
{AuthorizationsDeatils100}}
Klien ID klien
SystemID ID Sistem

SAPConnectorHealth

Fungsi SAPConnectorHealth mencerminkan status agen dan konektivitas sistem SAP yang mendasarinya. Berdasarkan log heartbeat SAP_HeartBeat_CL dan indikator kesehatan lainnya, log mengembalikan data berikut:

Bidang Deskripsi
Agen ID agen dalam konfigurasi agen (dibuat secara otomatis)
SystemID ID Sistem SAP
Keadaan Status konektivitas secara keseluruhan
Detail Detail konektivitas
ExtendedDetails Detail konektivitas yang diperpanjang
LastSeen Stempel waktu aktivitas terbaru
StatusCode Kode yang mencerminkan status sistem

SAPConnectorOverview

Fungsi SAPConnectorOverview menunjukkan jumlah baris setiap tabel SAP per ID Sistem. Ini mengembalikan daftar catatan data per ID sistem, dan waktu yang dihasilkan.

Parameter:

  • TimeAgo
    • Opsional
    • Nilai default: Tujuh hari
    • Menentukan bahwa fungsi mencari data master Pengguna dari waktu yang ditentukan oleh nilai TimeAgo hingga waktu yang ditentukan oleh nilai now().
Bidang Deskripsi
TimeGenerated Nilai tanggalwaktu stempel waktu dari generasi rekaman
SystemID_s String yang mewakili ID Sistem SAP

Gunakan kueri Kusto berikut untuk melakukan analisis tren harian:

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

Fungsi SAPUsersEmail memungkinkan pencarian berorientasi performa dari alamat email pengguna SAP per sistem SAP dan klien, biasanya digunakan untuk mengaitkannya dengan akun direktori aktif. Menggunakan data yang diekstrak dari tabel SAP USR21 (Nama Pengguna/Penetapan Kunci Alamat) dan ADR6 (Alamat Email), fungsi SAPUsersEmail mencari alamat Email. Jika tidak ditemukan, ID pengguna dikembalikan sebagai ganti alamat Email. Perilaku ini memastikan bahwa akun layanan SAP (seperti DDIC), yang sering kali tidak terkait dengan alamat email, akan dicatat sebagai akun AD semu, mengaktifkan beberapa fitur UEBA, membantu penyelidikan insiden dan aktivitas berburu.

Bidang Deskripsi
ClientId ID Klien SAP
SystemID ID Sistem SAP
Pengguna ID Pengguna SAP
Email Alamat Email Pengguna SAP

SAPSystems

Fungsi SAPSystems digunakan untuk menyajikan konfigurasi per sistem secara terpusat yang dibuat menggunakan daftar tonton 'SAP - Sistem'.

Parameter:

  • SelectedSystems
    • Opsional
    • Nilai default: "Semua Sistem"
    • Digunakan untuk memfilter sistem SAP tertentu
  • SelectedSystemRoles
    • Opsional
    • Nilai default: "Semua Peran Sistem"
    • Menentukan peran Sistem SAP yang akan dilihat (seperti yang didefinisikan dalam daftar tonton "SAP - Sistem")
Bidang Deskripsi Sumber/Catatan Data
SearchKey Kunci Pencarian Bidang terindeks untuk ID Sistem SAP
SystemRole Peran Sistem SAP Produksi, UAT
SystemUsage Penggunaan utama sistem SAP ERP, CRM
SystemID ID Sistem SAP

SAPAuditLogConfiguration

Fungsi SAPAuditLogConfiguration mengembalikan konfigurasi lokal pemberitahuan log audit SAP dari ruang kerja Sentinel, yang akan digunakan untuk peringatan terkait log audit SAP yang berbeda. Ini menggabungkan data dalam 'Konfigurasi Monitor Log Audit Dinamis SAP' dan 'SAP - Sistem' daftar pantauan untuk menyediakan konfigurasi per-sistem pada upaya per-sistem-peran.

Parameter:

  • SelectedSystems
    • Opsional
    • Nilai default: "Semua Sistem"
    • Digunakan untuk memfilter sistem SAP tertentu untuk dilihat.
  • SelectedSystemRoles
    • Opsional
    • Nilai default: "Semua Peran Sistem"
    • Menentukan peran Sistem SAP yang akan dilihat (sebagaimana yang didefinisikan dalam daftar tonton "SAP - Sistem").
  • SelectedSeverities
    • Opsional
    • Nilai default: ["Tinggi", "Sedang"]
    • Digunakan untuk menentukan peristiwa yang akan dilihat dalam hal tingkat keparahannya. Tingkat keparahan per ID pesan log audit SAP dan peran sistem ditentukan dalam daftar tonton "SAP_Dynamic_Audit_Log_Monitor_Configuration".
  • SelectedRuleTypes
    • Opsional
    • Nilai default: "Semua RuleTypes"
    • Menentukan peristiwa apa yang relevan untuk mendeteksi anomali. Jenis aturan per ID pesan log audit SAP dan peran sistem ditentukan dalam daftar tonton "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Bidang Deskripsi Sumber/Catatan Data
CategoryName Kategori kejadian yang diberikan SAP Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP'
DestinationEmail Alamat email Tim yang Ditetapkan Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP'
DetailedDescription Teks berformat markdown untuk ditampilkan pada peringatan Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP'
MessageID ID pesan log audit SAP Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP'
MessageText Contoh teks pesan Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP'
RolesTagsToExclude Peran ABAP, Profil, atau tag teks gratis Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP'
RuleType Anomali atau deterministik Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP'
Taktik Taktik MITRE ATTA&CK Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP'
TeamsChannelID Saluran Teams Daftar tonton 'Konfigurasi Monitor Log Audit Dinamis SAP'
SystemID ID Sistem SAP 'SAP - Daftar tonton Sistem'
SystemRole Peran Sistem SAP 'SAP - Daftar tonton Sistem'
SystemUsage Penggunaan utama sistem SAP 'SAP - Daftar tonton Sistem'
IsProd Bendera sistem produksi 'SAP - Daftar tonton Sistem'
Tingkat keparahan Tingkat keparahan turunan Tingkat keparahan per penggunaan sistem
Ambang Ambang turunan Jumlah peristiwa per Penggunaan sistem
BagOfDetails Tas Detail Kamus yang merinci definisi peristiwa

SAPAuditLogAnomalies

SAPAuditLogAnomalies menggunakan kemampuan pembelajaran mesin bawaan database Kusto Sentinel yang mendasari untuk membantu mendeteksi peristiwa anomali yang diamati pada log audit SAP. Dikembangkan untuk aturan peringatan “SAP - (Eksperimental) Peringatan Monitor Log Audit berbasis Anomali Dinamis SAP”, fungsi ini awalnya dirancang untuk memperingatkan anomali terkini tetapi juga dapat membantu menyoroti anomali historis (lihat contoh di bawah).

Parameter:

  • Pembelajaran Time
    • Opsional
    • Nilai default: 14 hari
    • Menentukan rentang waktu yang digunakan untuk pembelajaran model
  • DetectingTime
    • Opsional
    • Nilai default: Satu jam
    • Menentukan rentang waktu yang akan dilihat untuk mendeteksi anomali. Memanggil fungsi ini dengan DetectingTime = 0h akan menyoroti anomali di seluruh rentang waktu LearningTime
  • SelectedSystems
    • Opsional
    • Nilai default: "Semua Sistem"
    • Digunakan untuk memfilter sistem SAP tertentu untuk dilihat.
  • SelectedSystemRoles
    • Opsional
    • Nilai default: "Semua Peran Sistem"
    • Menentukan peran Sistem SAP yang akan dilihat (sebagaimana yang didefinisikan dalam daftar tonton "SAP - Sistem").
  • SelectedSeverities
    • Opsional
    • Nilai default: ["Tinggi", "Sedang"]
    • Digunakan untuk menentukan peristiwa yang akan dilihat dalam hal tingkat keparahannya. Tingkat keparahan per ID pesan log audit SAP dan peran sistem ditentukan dalam daftar tonton "SAP_Dynamic_Audit_Log_Monitor_Configuration".
  • SelectedPrefixMask
    • Opsional
    • Nilai default: 24
    • Digunakan untuk menentukan level subnet mask yang digunakan untuk belajar dan mendeteksi.
  • SelectedRuleTypes
    • Opsional
    • Nilai default: "AnomaliesOnly"
    • Menentukan peristiwa apa yang relevan untuk mendeteksi anomali. Jenis aturan per ID pesan log audit SAP dan peran sistem ditentukan dalam daftar tonton "SAP_Dynamic_Audit_Log_Monitor_Configuration".

Logika

Fungsi ini mempelajari irisan riwayat yang ditentukan oleh parameter input yang berbeda, di tingkat pengguna, atribut jaringan, sistem, musim, dan aktivitas. Kemudian menilai peristiwa yang terjadi dalam rentang waktu DetectingTime terakhir sesuai dengan apa yang telah dipelajarinya, menerapkan ambang batas dan kriteria pengecualian lainnya yang dapat dikonfigurasi yang diperoleh dari daftar tonton konfigurasi log audit SAP. Setelah jendela geser aktivitas pengguna dianggap anomali, kueri kedua mengembalikan seluruh aktivitas pengguna sebagai bukti yang mendukung keputusan.

Catatan tambahan

Seperti halnya solusi pembelajaran mesin lainnya, fungsi ini bekerja lebih baik seiring waktu. Penyesuaian lebih lanjut dapat dilakukan dengan menggunakan konfigurasi lokal. Disarankan untuk membatasi ukuran database yang dipelajari di bawah 100 juta rekaman menggunakan banyak parameter input yang tersedia.

Contoh: mencari anomali untuk peristiwa dengan tingkat keparahan tinggi yang terjadi dalam satu jam terakhir pada sistem produksi untuk jenis peristiwa yang ditandai sebagai "Hanya Anomali" di "SAP_Dynamic_Audit_Log_Monitor_Configuration"

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))

Contoh: Mencari semua anomali dalam 14 hari terakhir di sistem "BIP"

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Bidang Deskripsi
Beberapa bidang dari SAPAuditLog Bidang kunci dari log Audit SAP
Beberapa bidang dari SAPAuditLogConfiguration Bidang kunci dari Sentinel untuk konfigurasi log audit SAP
DiscoveredOn Jam bulat tempat anomali diamati
EventCount Jumlah peristiwa yang dihitung per baris yang dikembalikan
AnomalCount Jumlah peristiwa yang diamati dalam jendela geser yang relevan
MinTime Waktu peristiwa pertama diamati
MaxTime Waktu peristiwa terakhir diamati
Skor skor anomali seperti yang dihasilkan oleh model anomali

Lihat Aturan analitik SAP bawaan untuk memantau log audit SAP untuk informasi selengkapnya.

SAPAuditLogConfigRecommend

SAPAuditLogConfigRecommend adalah fungsi pembantu yang dirancang untuk menawarkan rekomendasi untuk konfigurasi aturan analitik SAP - Peringatan Pemantauan Log Audit berbasis Anomali Dinamis (PRATINJAU). Pelajari cara mengonfigurasi aturan.

SAPUsersGetVIP

Solusi Microsoft Sentinel untuk aplikasi SAP® menggunakan konsep penandaan pengguna pusat dan pengecualian eksplisit, yang dirancang untuk membantu Anda menurunkan positif palsu dengan upaya minimal. Gunakan fungsi SAPUsersGetVIP untuk mengecualikan pengguna agar tidak memicu pemberitahuan dengan menentukan peran pengguna SAP, fungsi pengguna SAP, atau tag yang mewakili pengguna tersebut. Untuk mengetahui informasi selengkapnya, lihat Menangani positif palsu di Microsoft Azure Sentinel.

Tag yang ditentukan sebagai input untuk fungsi SAPUsersGetVIP mengecualikan semua pengguna dengan tag yang tercantum dalam daftar pengawasan SAP_User_Config . Fungsionalitas yang sama diperluas untuk bekerja dengan wildcard, memungkinkan Anda menetapkan satu tag ke sekelompok pengguna dengan sintaks penamaan yang sama.

  1. Beri tag pengguna dalam daftar pengawasan SAP_User_Config sebagai berikut:

    • Tambahkan beberapa tag ke setiap pengguna dalam daftar pengawasan SAP_User_Config , sesuai kebutuhan untuk mencakup berbagai skenario. Setiap aturan pemberitahuan memiliki tag yang relevan sendiri, jika ada, dan Anda dapat menambahkan tag kustom sesuai kebutuhan.

    • Gunakan tanda bintang (*) sebagai kartubebas untuk menyertakan pengguna dengan templat sintaks penamaan tertentu.

  2. Tambahkan fungsi SAPUsersGetVIP dalam aturan analitik Anda untuk meminta daftar pengguna yang telah Anda tentukan untuk dikecualikan dari pemberitahuan. Dalam panggilan fungsi, tambahkan array dengan tag, peran SAP, dan profil SAP yang ingin Anda kecualikan.

Misalnya, gunakan kueri KQL berikut dalam aturan analitik Anda untuk mengecualikan pengguna apa pun yang dikonfigurasi dengan tag RunObsoleteProgOK di daftar pengawasan SAP_User_Config, atau pengguna apa pun dengan peran SAP_BASIS_ADMIN_ROLE sampel atau profil SAP_ADMIN_PROFILE sampel.

Saat menyalin contoh panggilan fungsi ini, ganti peran SAP_BASIS_ADMIN_ROLE dan profil SAP_ADMIN_PROFILE dengan peran atau profil SAP Anda sendiri sesuai kebutuhan.

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

Fungsi SAPUsersGetVIP umumnya digunakan dalam peringatan Deterministik dan Anomali Monitor Log Audit. Kaitkan tag dengan ID pesan log audit SAP, atau perluas templat aturan ke aturan kustom yang sesuai dengan kebutuhan organisasi Anda.

Tip

Sebaiknya hubungi admin sistem SAP Anda untuk memahami pengguna, peran, dan profil SAP mana yang akan disertakan dalam daftar tonton SAP_User_Config Anda.

Parameter:

Nama Deskripsi Nilai default
SearchForTags (Opsional) Jika SearchForTags sama dengan All Tags, semua pengguna dikembalikan bersama dengan tag mereka.

Jika tidak, hanya pengguna yang memiliki tag, peran SAP, atau profil SAP yang ditentukan yang SearchForTags dikembalikan. TagsIntersect memperlihatkan tag yang ditemukan, dan IntersectionSize menyimpan jumlah tag yang ditemukan.		 dynamic('All Tags')
SpecialFocusTags (Opsional) Mengembalikan semua pengguna yang menyandang tag yang ditentukan dalam SpecialFocusTags, dan ditandai dengan specialFocusTagged = true. Do not return any in-focus users
Sumber Bidang Deskripsi Catatan
Daftar pengawasan SAP_User_Config SearchKey Kunci Pencarian
Daftar pengawasan SAP_User_Config SAPUser Pengguna SAP OSS, DDIC
Daftar pengawasan SAP_User_Config Tag String tag yang ditetapkan untuk pengguna RunObsoleteProgOK
Daftar pengawasan SAP_User_Config ID Objek Microsoft Entra pengguna ID Objek Microsoft Entra
Daftar pengawasan SAP_User_Config Pengidentifikasi Pengguna Pengidentifikasi Pengguna AD
Daftar pengawasan SAP_User_Config Sid lokal pengguna
Daftar pengawasan SAP_User_Config Nama Utama Pengguna
Daftar pengawasan SAP_User_Config TagsList Daftar tag yang ditetapkan untuk pengguna ChangeUserMasterDataOK;RunObsoleteProgOK
Logika TagsIntersect Satu set tag yang cocok dengan SearchForTags ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Logika SpecialFocusTagged Indikasi fokus khusus True, False
Logika IntersectionSize Jumlah Tag bersinggungan

SAPUsersHeader

Fungsi SAPUsersHeader dirancang untuk memberikan tampilan tingkat tinggi dari pengguna SAP. Ini menggunakan data yang diekstraksi dari tabel data master pengguna SAP dan aktivitas terbaru pada log audit SAP untuk mengumpulkan alamat Email dan IP. Kemudian mengembalikan email dan alamat IP terakhir yang diketahui bersama dengan email primer dan alamat IP. Parameter: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser: string = "Semua Pengguna"

  • SelectedSystems
    • Opsional
    • Nilai default: "Semua Sistem"
    • Digunakan untuk memfilter sistem SAP tertentu untuk dilihat.
  • SelectedSystemRoles
    • Opsional
    • Nilai default: "Semua Peran Sistem"
    • Menentukan peran Sistem SAP yang akan dilihat (sebagaimana yang didefinisikan dalam daftar tonton "SAP - Sistem").
  • Pengguna terpilih
    • Opsional
    • Nilai default: "Semua Pengguna"
    • Dapat memasukkan daftar pengguna.
  • SelectedUser
    • Opsional
    • Nilai default: "Semua Pengguna"
    • Hanya menerima satu pengguna

Catatan tambahan

Untuk pertimbangan performa, hanya beberapa hari aktivitas audit yang dipertimbangkan. Untuk riwayat lengkap aktivitas pengguna, jalankan kueri KQL kustom terhadap fungsi SAPAuditLog.

Sumber Bidang Deskripsi Catatan
Pengguna Pengguna SAP
Tabel SAP ADR6 dan USR21 Email Diambil dari data master pengguna OSS, DDIC
Tabel SAP USR02 UserType string tag yang ditetapkan untuk pengguna RunObsoleteProgOK
Tabel SAP USR02 Timezone ID Objek Microsoft Entra
Tabel SAP USR02 LockedStatus Pengidentifikasi Pengguna AD
Log audit SAP LastSeen Stempel waktu peristiwa audit terakhir yang diamati untuk pengguna
Log audit SAP LastSeenDaysAgo hari berlalu sejak LastSeen
Log audit SAP PrimaryIP Alamat IP yang paling sering digunakan ChangeUserMasterDataOK;RunObsoleteProgOK
Log audit SAP LastKnownIP Alamat IP yang terakhir digunakan ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Log audit SAP Email Utama Alamat Email yang paling sering digunakan True, False
Log audit SAP KnownIPs Daftar alamat IP yang diketahui diurutkan menurut yang paling sering terlebih dahulu
Log audit SAP KnownEmails Daftar alamat Email yang diketahui diurutkan menurut yang paling sering terlebih dahulu
Klien ID Klien SAP
SystemID ID Sistem SAP
SystemRole Peran Sistem SAP Produksi, UAT
SystemUsage Penggunaan utama sistem SAP ERP, CRM

Log yang dihasilkan oleh agen konektor data

Bagian ini menjelaskan log SAP yang tersedia dari solusi Microsoft Sentinel untuk konektor data aplikasi SAP®, termasuk nama tabel di Microsoft Azure Sentinel, tujuan log, dan skema log terperinci. Deskripsi bidang skema didasarkan pada deskripsi lapangan dalam dokumentasi SAP yang relevan.

Untuk hasil terbaik, gunakan fungsi Microsoft Sentinel yang tercantum di bawah ini untuk memvisualisasikan, mengakses, dan mengkueri data.

Log Aplikasi ABAP

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPAppLog

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log: Merekam kemajuan eksekusi aplikasi sehingga Anda dapat rekonstruksi nanti sesuai kebutuhan.

    Tersedia dengan menggunakan RFC berdasarkan tabel SAP standar dan layanan standar antarmuka XBP. Log ini dihasilkan per klien.

Skema log ABAPAppLog_CL

Bidang Deskripsi
AppLogDateTime Waktu tanggal log aplikasi
CallbackProgram Program panggilan balik
CallbackRoutine Rutinitas panggilan balik
CallbackType Jenis panggilan balik
ClientId ID klien ABAP (MANDT)
ContextDDIC Struktur konteks DDIC
externalId ID log eksternal
Host Host
Instans Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Seri pesan log aplikasi
LevelofDetail Tingkat detail
LogHandle Handel log aplikasi
LogNumber Nomor log
MessageClass Kelas pesan
MessageNumber Nomor pesan
MessageText Teks pesan
MessageType Jenis pesan
Objek Objek log aplikasi
OperationMode Mode operasi
ProblemClass Kelas masalah
ProgramName Nama Program
SortCriterion Urutkan kriteria
StandardText Teks standar
SubObject Sub objek log aplikasi
SystemID ID Sistem
SystemNumber Nomor sistem
TransactionCode Kode transaksi
Pengguna Pengguna
UserChange Perubahan pengguna

Log Dokumen Perubahan ABAP

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPChangeDocsLog

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log: Rekaman:

    • Log ABAP SAP NetWeaver Application Server (AS) berubah menjadi objek data bisnis dalam dokumen perubahan.

    • Entitas lain dalam sistem SAP, seperti data pengguna, peran, alamat.

    Tersedia dengan menggunakan RFC berdasarkan tabel SAP standar. Log ini dihasilkan per klien.

Skema log ABAPChangeDocsLog_CL

Bidang Deskripsi
ActualChangeNum Nomor perubahan aktual
ChangedTableKey Kunci tabel yang diubah
ChangeNumber Nomor perubahan
ClientId ID klien ABAP (MANDT)
CreatedfromPlannedChange Dibuat dari perubahan yang direncanakan, dalam sintaksis berikut: (‘X’ , ‘ ‘)
CurrencyKeyNew Kunci mata uang: nilai baru
CurrencyKeyOld Kunci mata uang: nilai lama
FieldName Nama bidang
FlagText Teks bendera
Host Host
Instans Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
Bahasa Bahasa
ObjectClass Kelas objek, seperti BELEG, BPAR, PFCG, IDENTITY
ObjectID ID Objek
PlannedChangeNum Nomor perubahan yang direncanakan
SystemID ID Sistem
SystemNumber Nomor sistem
TableName Nama tabel
TransactionCode Kode transaksi
TypeofChange_Header Jenis perubahan header, termasuk:
U =Perubahan; I =Sisipkan; E =Hapus Dokumen Tunggal; D =Hapus; J =Masukkan Dokumen Tunggal
TypeofChange_Item Jenis perubahan item, termasuk:
U =Perubahan; I =Sisipkan; E =Hapus Dokumen Tunggal; D =Hapus; J =Masukkan Dokumen Tunggal
UOMNew Satuan pengukuran: nilai baru
UOMOld Satuan pengukuran: nilai lama
Pengguna Pengguna
ValueNew Konten bidang: nilai baru
ValueOld Konten bidang: nilai lama
Versi Versi

Log ABAP CR

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPCRLog

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log: Menyertakan log Change & Transport System (CTS), termasuk objek direktori dan penyesuaian tempat perubahan dilakukan.

    Tersedia dengan menggunakan RFC berdasarkan tabel standar dan layanan SAP standar. Log ini dihasilkan dengan data di semua klien.

Catatan

Selain pencatatan aplikasi, perubahan dokumen, dan perekaman tabel, semua perubahan yang Anda lakukan pada sistem produksi Anda menggunakan Change & Transport System didokumentasikan dalam log CTS dan TMS.

Skema log ABAPCRLog_CL

Bidang Deskripsi
Kategori Kategori (Workbench, Penyesuaian)
ClientId ID klien ABAP (MANDT)
Deskripsi Deskripsi
Host Host
Instans Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
ObjectName Nama Objek
ObjectType Tipe objek
Pemilik Pemilik
Minta Permintaan perubahan
Keadaan Keadaan
SystemID ID Sistem
SystemNumber Nomor sistem
TableKey Kunci tabel
TableName Nama tabel
ViewName Melihat nama

Log data tabel ABAP DB (PRATINJAU)

Agar log ini dikirim ke Microsoft Sentinel, Anda harus menambahkannya secara manual ke file systemconfig.ini.

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPTableDataLog

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log: Menyediakan pencatatan untuk tabel yang penting atau rentan terhadap audit.

    Tersedia dengan menggunakan RFC dengan layanan kustom. Log ini dihasilkan dengan data di semua klien.

Skema log ABAPTableDataLog_CL

Bidang Deskripsi
DBLogID ID log DB
Host Host
Instans Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
Bahasa Bahasa
LogKey Kunci log
NewValue Nilai baru bidang
OldValue Nilai lama bidang
OperationTypeSQL Jenis operasi, Insert, Update, Delete
Program Nama Program
SystemID ID Sistem
SystemNumber Nomor sistem
TableField Bidang Tabel
TableName Nama tabel
TransactionCode Kode transaksi
UserName Pengguna
VersionNumber Nomor versi

Log Gateway ABAP (PRATINJAU)

Agar log ini dikirim ke Microsoft Sentinel, Anda harus menambahkannya secara manual ke file systemconfig.ini.

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPOS_GW

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log: Memantau aktivitas Gateway. Tersedia oleh Layanan Web Kontrol SAP. Log ini dihasilkan dengan data di semua klien.

Skema log ABAPOS_GW_CL

Bidang Deskripsi
Host Host
Instans Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
MessageText Teks pesan
Tingkat keparahan Tingkat keparahan pesan: Debug, Info, Warning, Error
SystemID ID Sistem
SystemNumber Nomor sistem

Log ICM ABAP (PRATINJAU)

Agar log ini dikirim ke Microsoft Sentinel, Anda harus menambahkannya secara manual ke file systemconfig.ini.

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPOS_ICM

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log:Merekam permintaan masuk dan keluar dan mengompilasi statistik permintaan HTTP.

    Tersedia oleh Layanan Web Kontrol SAP. Log ini dihasilkan dengan data di semua klien.

Skema log ABAPOS_ICM_CL

Bidang Deskripsi
Host Host
Instans Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
MessageText Teks pesan
Tingkat keparahan Tingkat keparahan pesan, termasuk: Debug, Info, Warning, Error
SystemID ID Sistem
SystemNumber Nomor sistem

Log Pekerjaan ABAP

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPJobLog

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log: Menggabungkan semua log pekerjaan pemrosesan latar belakang (SM37).

    Tersedia dengan menggunakan RFC berdasarkan tabel SAP standar dan layanan standar antarmuka XBP. Log ini dihasilkan dengan data di semua klien.

Skema log ABAPJobLog_CL

Bidang Deskripsi
ABAPProgram Program ABAP
BgdEventParameters Parameter peristiwa latar belakang
BgdProcessingEvent Peristiwa pemrosesan latar belakang
ClientId ID klien ABAP (MANDT)
DynproNumber Nomor Dynpro
GUIStatus Status GUI
Host Host
Instans Instans ABAP (HOST_SYSID_SYSNR), dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
JobClassification Klasifikasi pekerjaan
JobCount Jumlah pekerjaan
JobGroup Grup pekerjaan
JobName Nama pekerjaan
JobPriority Prioritas pekerjaan
MessageClass Kelas pesan
MessageNumber Nomor pesan
MessageText Teks pesan
MessageType Jenis pesan
ReleaseUser Rilis pekerjaan pengguna
SchedulingDateTime Waktu tanggal penjadwalan
StartDateTime Waktu tanggal mulai
SystemID ID Sistem
SystemNumber Nomor sistem
TargetServer Server target
Pengguna Pengguna
UserReleaseInstance Instans ABAP - rilis pengguna
WorkProcessID ID Proses Kerja
WorkProcessNumber Nomor proses kerja

Log Audit Keamanan ABAP

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPAuditLog

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log: Merekam data berikut:

    • Perubahan terkait keamanan pada lingkungan sistem SAP, seperti perubahan pada catatan pengguna utama
    • Informasi yang menyediakan tingkat data yang lebih tinggi, seperti upaya masuk yang berhasil dan tidak berhasil
    • Informasi yang memungkinkan rekonstruksi serangkaian peristiwa, seperti transaksi berhasil atau tidak berhasil dimulai

    Tersedia dengan menggunakan antarmuka RFC XAL/SAL. SAL tersedia mulai dari versi Basis 7.50. Log ini dihasilkan dengan data di semua klien.

Skema log ABAPAuditLog_CL

Bidang Deskripsi
ABAPProgramName Nama program, hanya SAL
AlertSeverity Tingkat keparahan peringatan
AlertSeverityText Teks tingkat keparahan pemberitahuan, hanya SAL
AlertValue Nilai pemberitahuan
AuditClassID ID kelas audit, hanya SAL
ClientId ID klien ABAP (MANDT)
Komputer Mesin pengguna, hanya SAL
Email Email pengguna
Host Host
Instans Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
MessageClass Kelas pesan
MessageContainerID ID kontainer pesan, Hanya XAL
MessageID ID Pesan, seperti ‘AU1’,’AU2’…
MessageText Teks pesan
MonitoringObjectName Nama objek Monitor MTE, hanya XAL
MonitorShortName Nama pendek Monitor MTE, hanya XAL
SAPProcesType Log Sistem: Jenis proses SAP, hanya SAL
B* - pemrosesan latar belakang
D* - Pemrosesan Dialog
U* - Perbarui Tugas
SAPWPName Log Sistem: Nomor proses kerja, hanya SAL
SystemID ID Sistem
SystemNumber Nomor sistem
TerminalIPv6 IP mesin pengguna, hanya SAL
TransactionCode Kode transaksi, hanya SAL
Pengguna Pengguna
Variabel1 Variabel pesan 1
Variabel2 Variabel pesan 2
Variabel3 Variabel pesan 3
Variabel4 Variabel pesan 4

Log Penampung ABAP

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPSpoolLog

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log: Berfungsi sebagai log utama untuk Pencetakan SAP dengan riwayat permintaan penampung. (SP01).

    Tersedia dengan menggunakan RFC berdasarkan tabel SAP standar. Log ini dihasilkan dengan data di semua klien.

Skema log ABAPSpoolLog_CL

Bidang Deskripsi
ArchiveStatus Status arsip
ArchiveType Jenis arsip
ArchivingDevice Perangkat pengarsipan
AutoRereoute Merutekan ulang otomatis
ClientId ID klien ABAP (MANDT)
CountryKey Kunci negara
DeleteSpoolRequestAuto Hapus permintaan penampung secara otomatis
DelFlag Bendera penghapusan
Departemen Departemen
DocumentType Jenis dokumen
ExternalMode Mode eksternal
FormatType Jenis format
Host Host
Instans Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
NumofCopies Jumlah salinan
OutputDevice Perangkat output
PrinterLongName Nama panjang printer
PrintImmediately Segera cetak
PrintOSCoverPage Cetak halaman OSCover
PrintSAPCoverPage Cetak halaman SAPCover
Prioritas Prioritas
RecipientofSpoolRequest Penerima permintaan penampung
SpoolErrorStatus Status kesalahan penampung
SpoolRequestCompleted Permintaan penampung selesai
SpoolRequestisALogForAnotherRequest Permintaan penampung adalah log untuk permintaan lain
SpoolRequestName Nama permintaan penampung
SpoolRequestNumber Jumlah permintaan penampung
SpoolRequestSuffix1 Akhiran1 permintaan penampung
SpoolRequestSuffix2 Akhiran2 permintaan penampung
SpoolRequestTitle Judul permintaan penampung
SystemID ID Sistem
SystemNumber Nomor sistem
TelecommunicationsPartner Mitra telekomunikasi
TelecommunicationsPartnerE Mitra E telekomunikasi
TemSeGeneralcounter Penghitung Temse
TemseNumAddProtectionRule Aturan proteksi tambahkan nomor Temse
TemseNumChangeProtectionRule Aturan proteksi perubahan nomor Temse
TemseNumDeleteProtectionRule Aturan proteksi hapus nomor Temse
TemSeObjectName Nama objek Temse
TemSeObjectPart Bagian objek TemSe
TemseReadProtectionRule Aturan proteksi baca Temse
Pengguna Pengguna
ValueAuthCheck Pemeriksaan autentikasi nilai

Log Output Penampung APAB

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPSpoolOutputLog

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log: Berfungsi sebagai log utama untuk Pencetakan SAP dengan riwayat permintaan penampung. (SP02).

    Tersedia dengan menggunakan RFC dengan layanan kustom berdasarkan tabel standar. Log ini dihasilkan dengan data di semua klien.

Skema log ABAPSpoolOutputLog_CL

Bidang Deskripsi
AppServer Server aplikasi
ClientId ID klien ABAP (MANDT)
Komentar Komentar
CopyCount Jumlah salin
CopyCounter Penghitung salin
Departemen Departemen
ErrorSpoolRequestNumber Jumlah permintaan kesalahan
FormatType Jenis format
Host Host
HostName Nama host
HostSpoolerID ID penampung host
Instans Instans ABAP
LastPage Halaman terakhir
NumofCopies Jumlah salinan
OutputDevice Perangkat output
OutputRequestNumber Nomor permintaan output
OutputRequestStatus Status permintaan output
PhysicalFormatType Jenis format fisik
PrinterLongName Nama panjang printer
PrintRequestSize Cetak ukuran permintaan
Prioritas Prioritas
ReasonforOutputRequest Alasan permintaan output
RecipientofSpoolRequest Penerima permintaan penampung
SpoolNumberofOutputReqProcessed Jumlah permintaan output - diproses
SpoolNumberofOutputReqWithErrors Jumlah permintaan output - dengan kesalahan
SpoolNumberofOutputReqWithProblems Jumlah permintaan output - dengan masalah
SpoolRequestNumber Jumlah permintaan penampung
StartPage Halaman awal
SystemID ID Sistem
SystemNumber Nomor sistem
TelecommunicationsPartner Mitra telekomunikasi
TemSeGeneralcounter Penghitung Temse
Judul Judul
Pengguna Pengguna

Syslog ABAP

Agar log ini dikirim ke Microsoft Sentinel, Anda harus menambahkannya secara manual ke file systemconfig.ini.

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPOS_Syslog

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log: Merekam semua kesalahan sistem, peringatan, penguncian pengguna karena upaya masuk yang gagal dari pengguna yang dikenal, dan pesan proses dari ABAP SAP NetWeaver Application Server (SAP NetWeaver AS).

    Tersedia oleh Layanan Web Kontrol SAP. Log ini dihasilkan dengan data di semua klien.

Skema log ABAPOS_Syslog_CL

Bidang Deskripsi
ClientId ID klien ABAP (MANDT)
Host Host
Instans Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
MessageNumber Nomor pesan
MessageText Teks pesan
Tingkat keparahan Tingkat keparahan pesan, salah satu nilai berikut: Debug, Info, Warning, Error
SystemID ID Sistem
SystemNumber Nomor sistem
TransacationCode Kode transaksi
Jenis Jenis proses SAP
Pengguna Pengguna

Log Alur Kerja ABAP

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPWorkflowLog

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log:Alur Kerja Bisnis SAP (Mesin WebFlow) memungkinkan Anda menentukan proses bisnis yang belum dipetakan dalam sistem SAP.

    Misalnya, proses bisnis yang belum dipetakan mungkin merupakan prosedur rilis atau persetujuan sederhana, atau proses bisnis yang lebih kompleks seperti membuat materi dasar dan kemudian mengoordinasikan departemen terkait.

    Tersedia dengan menggunakan RFC berdasarkan tabel SAP standar. Log ini dihasilkan per klien.

Skema log ABAPWorkflowLog_CL

Bidang Deskripsi
ActualAgent Agen aktual
Alamat Alamat
ApplicationArea Area aplikasi
CallbackFunction Fungsi panggilan balik
ClientId ID klien ABAP (MANDT)
CreationDateTime Waktu tanggal Pembuatan
Pembuat Pembuat
CreatorAddress Alamat pembuat
ErrorType Jenis kesalahan
ExceptionforMethod Pengecualian untuk metode
Host Host
Instans Instans ABAP (HOST_SYSID_SYSNR), dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
Bahasa Bahasa
LogCounter Penghitung log
MessageNumber Nomor pesan
MessageType Jenis pesan
MethodUser Pengguna metode
Prioritas Prioritas
SimpleContainer Kontainer sederhana, dipaketkan sebagai daftar Nilai-Kunci untuk item kerja
Keadaan Keadaan
SuperWI WI Super
SystemID ID Sistem
SystemNumber Nomor sistem
TaskID ID Tugas
TasksClassification Klasifikasi tugas
TaskText Teks tugas
TopTaskID ID tugas teratas
UserCreated Dibuat pengguna
WIText Teks item pekerjaan
WIType Jenis item pekerjaan
WorkflowAction Tindakan alur kerja
WorkItemID ID item pekerjaan

Log WorkProcess ABAP

Agar log ini dikirim ke Microsoft Sentinel, Anda harus menambahkannya secara manual ke file systemconfig.ini.

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPOS_WP

  • Dokumentasi SAP terkait: Portal Bantuan SAP

  • Tujuan log: Menggabungkan semua log proses kerja. (default: dev_*).

    Tersedia oleh Layanan Web Kontrol SAP. Log ini dihasilkan dengan data di semua klien.

Skema log ABAPOS_WP_CL

Bidang Deskripsi
Host Host
Instans Instans ABAP, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
MessageText Teks pesan
Tingkat keparahan Tingkat keparahan pesan: Debug, Info, Warning, Error
SystemID ID Sistem
SystemNumber Nomor sistem
WPNumber Nomor proses kerja

Jejak Audit HANA DB

Agar log ini dikirim ke Microsoft Sentinel, Anda harus menyebarkan Agen Manajemen Microsoft untuk mengumpulkan data Syslog dari mesin yang menjalankan HANA DB.

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPSyslog

  • Dokumentasi SAP terkait: Umum | Jejak Audit

  • Tujuan log: Merekam tindakan pengguna, atau percobaan tindakan dalam database SAP Hana. Misalnya, memungkinkan Anda untuk mencatat dan memantau akses baca ke data sensitif.

    Tersedia oleh Agen Sentinel Linux untuk Syslog. Log ini dihasilkan dengan data di semua klien.

Skema log Syslog

Bidang Deskripsi
Komputer Nama host
HostIP IP Host
HostName Nama host
ProcessID ID Proses
ProcessName Nama proses: HDB*
SeverityLevel Peringatan
SourceSystem Sumber Sistem OS, Linux
SyslogMessage Pesan, pesan jejak audit yang tidak diuraikan

File JAVA

Agar log ini dikirim ke Microsoft Sentinel, Anda harus menambahkannya secara manual ke file systemconfig.ini.

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPJAVAFilesLogs

  • Dokumentasi SAP terkait: Umum | Jejak Audit Keamanan Java

  • Tujuan log: Menggabungkan semua log berbasis file Java, termasuk Jejak Audit Keamanan, dan Sistem (proses kluster dan server), Performa, dan log Gateway. Juga termasuk Jejak Pengembang dan log Jejak Default.

    Tersedia oleh Layanan Web Kontrol SAP. Log ini dihasilkan dengan data di semua klien.

Skema log JavaFilesLogsCL

Bidang Deskripsi
Aplikasi Aplikasi Java
ClientId ID klien
CSNComponent komponen CSN, seperti BC-XI-IBD
DCComponent komponen DC, seperti com.sap.xi.util.misc
DSRCounter Penghitung DSR
DSRRootContentID Konteks DSR GUID
DSRTransaction Transaksi DSR GUID
Host Host
Instans Instans Java, dalam sintaksis berikut: <HOST>_<SYSID>_<SYSNR>
Lokasi Kelas Java
LogName logName Java, seperti: Available, defaulttrace, dev*, security, dan sebagainya
MessageText Teks pesan
MNo Nomor pesan
Pid ID Proses
Program Nama Program
Sesi Sesi
Tingkat keparahan Tingkat keparahan pesan, termasuk: Debug,Info,Warning,Error
Solusi Solusi
SystemID ID Sistem
SystemNumber Nomor sistem
ThreadName Nama alur
Dilemparkan Pengecualian dilemparkan
TimeZone Timezone
Pengguna Pengguna

Log Heartbeat SAP

  • Fungsi Microsoft Sentinel untuk mengkueri log ini: SAPConnectorHealth

  • Tujuan log: Memberikan heartbeat dan informasi kesehatan lainnya tentang konektivitas antara agen dan sistem SAP yang berbeda.

    Dibuat secara otomatis untuk semua agen konektor data Microsoft Sentinel untuk SAP.

Skema log SAP_HeartBeat_CL

Bidang Deskripsi
TimeGenerated Waktu acara posting log
agent_id_s ID agen dalam konfigurasi agen (dibuat secara otomatis)
agent_ver_s Versi agen
host_s Nama host agen
system_id_s ID Sistem ABAP Netweaver /
Host SAPControl Netweaver (pratinjau) /
Host SAPControl Java (pratinjau)
push_timestamp_d Stempel waktu ekstraksi, sesuai dengan zona waktu agen
agent_timezone_s Zona waktu agen

Tabel diambil langsung dari sistem SAP

Bagian ini mencantumkan tabel data yang diambil langsung dari sistem SAP dan diserap ke Microsoft Sentinel apa adanya.

Agar data dari tabel ini diserap ke Microsoft Sentinel, konfigurasikan pengaturan yang relevan dalam file systemconfig.ini. Untuk informasi selengkapnya, lihat Mengonfigurasi pengumpulan data Master Pengguna.

Data yang diambil dari tabel ini memberikan pandangan yang jelas tentang struktur otorisasi, keanggotaan grup, dan profil pengguna. Data juga memungkinkan Anda melacak proses hibah otorisasi dan mencabut, serta mengidentifikasi dan mengatur risiko yang terkait dengan proses tersebut.

Tabel yang tercantum di bawah ini diperlukan untuk mengaktifkan fungsi yang mengidentifikasi pengguna istimewa, memetakan pengguna ke peran, grup, dan otorisasi.

Untuk hasil terbaik, lihat tabel ini menggunakan nama di kolom nama fungsi Sentinel di bawah ini:

Nama tabel Deskripsi tabel Nama fungsi Sentinel
USR01 Catatan master pengguna (data runtime) SAP_USR01
USR02 Data masuk (penggunaan sisi kernel) SAP_USR02
UST04 Master pengguna
Memetakan pengguna ke profil		 SAP_UST04
AGR_USERS Penetapan peran kepada pengguna SAP_AGR_USERS
AGR_1251 Data otorisasi untuk grup aktivitas SAP_AGR_1251
USGRP_USER Penetapan pengguna ke grup pengguna SAP_USGRP_USER
USR21 Penetapan kunci nama pengguna/alamat SAP_USR21
ADR6 Alamat email (layanan alamat bisnis) SAP_ADR6
USRSTAMP Stempel waktu untuk semua perubahan pada pengguna SAP_USRSTAMP
ADCP Penetapan orang/alamat (layanan alamat bisnis) SAP_ADCP
USR05 ID parameter master pengguna SAP_USR05
AGR_PROF Nama profil untuk peran SAP_AGR_PROF
AGR_FLAGS Atribut peran SAP_AGR_FLAGS
DEVACCESS Tabel untuk pengguna pengembangan SAP_DEVACCESS
AGR_DEFINE Definisi peran SAP_AGR_DEFINE
AGR_AGRS Peran dalam peran komposit SAP_AGR_AGRS
PAHI Riwayat sistem, database, dan parameter SAP SAP_PAHI
SNCSYSACL (PRATINJAU) Daftar Access Control SNC (ACL): Sistem SAP_SNCSYSACL
USRACL (PRATINJAU) Daftar Access Control SNC (ACL): Pengguna SAP_USRACL

Langkah berikutnya

Untuk informasi selengkapnya, lihat: