Informazioni di riferimento sulla soluzione Microsoft Sentinel per i dati delle applicazioni SAP®
Importante
Alcuni componenti della soluzione Microsoft Sentinel Threat Monitoring per SAP sono attualmente disponibili in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Alcuni log, annotati di seguito, non vengono inviati a Microsoft Sentinel per impostazione predefinita, ma è possibile aggiungerli manualmente in base alle esigenze. Per altre informazioni, vedere Definire i log SAP inviati a Microsoft Sentinel.
Questo articolo descrive le funzioni, i log e le tabelle disponibili come parte della soluzione Microsoft Sentinel per le applicazioni SAP® e il relativo connettore dati. È destinato agli utenti SAP avanzati.
Funzioni disponibili dalla soluzione SAP
Questa sezione descrive le funzioni disponibili nell'area di lavoro dopo aver distribuito la soluzione Microsoft Sentinel per le applicazioni SAP®. Trovare queste funzioni nella pagina Log di Microsoft Sentinel da usare nelle query KQL elencate in Funzioni dell'area di lavoro.
Gli utenti sono fortemente invitati a usare le funzioni come soggetti dell'analisi, quando possibile, anziché i log o le tabelle sottostanti. Queste funzioni sono destinate a fungere da interfaccia utente principale per i dati. Costituiscono la base per tutte le regole di analisi predefinite e le cartelle di lavoro disponibili per l'utente. Ciò consente di apportare modifiche all'infrastruttura dati sotto le funzioni, senza interrompere il contenuto creato dall'utente.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAP Connessione orHealth
- SAP Connessione orOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- S piattaforma di strumenti analitici ystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
La funzione SAPUsersAssignments raccoglie i dati da più origini dati SAP e crea una visualizzazione incentrata sull'utente dei dati master utente correnti, inclusi i ruoli e i profili attualmente assegnati.
Questa funzione riepiloga le assegnazioni utente a ruoli e profili e restituisce i dati seguenti:
Campo | Descrizione | Origine dati/Note |
---|---|---|
User | ID utente SAP | Solo SAL |
Indirizzo SMTP | USR21 (SMTP_ADDR) | |
UserType | Tipo di utente | USR02 (USTYP) |
Fuso orario | Time zone | USR02 (TZONE) |
LockedStatus | Stato di blocco | USR02 (UFLAG) |
LastSeenDate | Data ultima visualizzazione | USR02 (TRDAT) |
LastSeenTime | Ora dell'ultima Visualizzazione | USR02 (LTIME) |
UserGroupAuth | Gruppo di utenti nella manutenzione master utente | USR02 (CLASSE) |
Profili | Set di profili (dimensione massima predefinita impostata = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | Set di ruoli assegnati direttamente (dimensione del set massimo predefinita = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
ChildRoles | Set di ruoli assegnati indirettamente (dimensioni massime massime predefinite = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Client | ID client | |
SystemID | ID sistema | Come definito nel connettore |
SAPUsersGetPrivileged
La funzione SAPUsersGetPrivileged restituisce un elenco di utenti con privilegi per client e ID di sistema.
Gli utenti vengono considerati con privilegi quando sono elencati nell'elenco di controllo SAP - Utenti con privilegi, sono stati assegnati a un profilo elencato nell'elenco di controllo SAP - Profili sensibili oppure sono stati aggiunti a un ruolo elencato nell'elenco di controllo SAP - Ruoli sensibili.
Parametri:
- TimeAgo
- Facoltativo
- Valore predefinito: sette giorni
- Determina che la funzione cerca i dati master utente dall'ora definita dal
TimeAgo
valore fino all'ora definita dalnow()
valore.
La funzione SAPUsersGetPrivileged restituisce i dati seguenti:
Campo | Descrizione |
---|---|
User | ID utente SAP |
Client | ID client |
SystemID | ID sistema |
SAPUsersAuthorizations
La funzione SAPUsersAuthorizations riunisce i dati di diverse tabelle per produrre una visualizzazione incentrata sull'utente dei ruoli e delle autorizzazioni correnti assegnati. Vengono restituiti solo gli utenti con ruoli attivi e assegnazioni di autorizzazione.
Parametri:
- TimeAgo
- Facoltativo
- Valore predefinito: sette giorni
- Determina che la funzione cerca i dati master utente dall'ora definita dal
TimeAgo
valore fino all'ora definita dalnow()
valore.
La funzione SAPUsersAuthorizations restituisce i dati seguenti:
Campo | Descrizione | Note |
---|---|---|
User | ID utente SAP | |
Ruoli | Set di ruoli (dimensioni massime massime predefinite = 50) | ["Role 1", "Role 2",...,"Role 50"] |
AuthorizationsDetails | Set di autorizzazioni (dimensioni massime massime predefinite = 100) | {{AuthorizationsDeatils1} ,{AuthorizationsDeatils2} , ..., {AuthorizationsDeatils100}} |
Client | ID client | |
SystemID | ID sistema |
SAP Connessione orHealth
La funzione SAP Connessione orHealth riflette lo stato della connettività dell'agente e del sistema SAP sottostante. In base al log heartbeat SAP_HeartBeat_CL e ad altri indicatori di integrità, restituisce i dati seguenti:
Campo | Descrizione |
---|---|
Agente | ID agente nella configurazione dell'agente (generato automaticamente) |
SystemID | ID sistema SAP |
Status | Stato complessivo della connettività |
Dettagli | dettagli Connessione ivity |
ExtendedDetails | dettagli estesi di Connessione ivity |
LastSeen | Timestamp dell'attività più recente |
StatusCode | Codice che riflette lo stato del sistema |
SAP Connessione orOverview
La funzione SAP Connessione orOverview mostra i conteggi delle righe di ogni tabella SAP per ID sistema. Restituisce un elenco di record di dati per ID di sistema e il relativo tempo generato.
Parametri:
- TimeAgo
- Facoltativo
- Valore predefinito: sette giorni
- Determina che la funzione cerca i dati master utente dall'ora definita dal
TimeAgo
valore fino all'ora definita dalnow()
valore.
Campo | Descrizione |
---|---|
TimeGenerated | Valore datetime del timestamp della generazione del record |
SystemID_s | Stringa che rappresenta l'ID sistema SAP |
Usare la query Kusto seguente per eseguire un'analisi delle tendenze giornaliera:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
La funzione SAPUsersEmail consente una ricerca orientata alle prestazioni dell'indirizzo di posta elettronica di un utente SAP per ogni sistema SAP e client, normalmente usata per associarla a un account active directory. Usando i dati estratti dalle tabelle SAP USR21 (assegnazione nome utente/chiave indirizzo) e ADR6 (indirizzi di posta elettronica), la funzione SAPUsersEmail cerca un indirizzo di posta elettronica. Nel caso in cui non venga trovato, l'ID utente viene restituito anziché un indirizzo di posta elettronica. Questo comportamento garantisce che gli account del servizio SAP (ad esempio DDIC), che spesso non sono associati a un indirizzo di posta elettronica, vengano registrati come account pseudo AD, abilitando alcune funzionalità UEBA, agevolando l'analisi degli eventi imprevisti e delle attività di ricerca.
Campo | Descrizione |
---|---|
ClientID | The SAP Client ID |
SystemID | ID sistema SAP |
User | ID utente SAP |
Indirizzo di posta elettronica dell'utente SAP |
S piattaforma di strumenti analitici ystems
La funzione S piattaforma di strumenti analitici ystems viene usata per presentare centralmente la configurazione per sistema eseguita usando l'elenco di controllo "SAP - Systems".
Parametri:
- SelectedSystems
- Facoltativo
- Valore predefinito: "Tutti i sistemi"
- Usato per filtrare sistemi SAP specifici
- SelectedSystemRoles
- Facoltativo
- Valore predefinito: "Tutti i ruoli di sistema"
- Determina i ruoli dei sistemi SAP da esaminare (come definito nell'elenco di controllo "SAP - Systems")
Campo | Descrizione | Origine dati/Note |
---|---|---|
SearchKey | Chiave di ricerca | Campo indicizzato per l'ID sistema SAP |
SystemRole | Ruolo del sistema SAP | Produzione, UAT |
SystemUsage | Uso principale del sistema SAP | ERP, CRM |
SystemID | ID sistema SAP |
SAPAuditLogConfiguration
La funzione SAPAuditLogConfiguration restituisce la configurazione locale degli avvisi del log di controllo SAP dell'area di lavoro Sentinel, da usare per i diversi avvisi correlati al log di controllo SAP. Unisce i dati negli elenchi di controllo "SAP Dynamic Audit Log Monitor Configuration" e "SAP - Systems" per fornire una configurazione per sistema in base al ruolo di sistema.
Parametri:
- SelectedSystems
- Facoltativo
- Valore predefinito: "Tutti i sistemi"
- Usato per filtrare sistemi SAP specifici da esaminare.
- SelectedSystemRoles
- Facoltativo
- Valore predefinito: "Tutti i ruoli di sistema"
- Determina i ruoli dei sistemi SAP da esaminare (come definito nell'elenco di controllo "SAP - Systems").
- SelectedSeverities
- Facoltativo
- Valore predefinito: ["High", "Medium"]
- Usato per determinare gli eventi da esaminare in termini di gravità. I livelli di gravità per ID messaggio del log di controllo SAP e il ruolo di sistema vengono definiti nell'elenco di controllo "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedRuleTypes
- Facoltativo
- Valore predefinito: "All RuleTypes"
- Determina gli eventi rilevanti per rilevare le anomalie. I tipi di regola per ID messaggio del log di controllo SAP e il ruolo di sistema vengono definiti nell'elenco di controllo "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Campo | Descrizione | Origine dati/Note |
---|---|---|
CategoryName | Categoria di eventi specificata da SAP | Watchlist 'SAP Dynamic Audit Log Monitor Configuration' |
DestinationEmail | Indirizzo di posta elettronica del team assegnato | Watchlist 'SAP Dynamic Audit Log Monitor Configuration' |
DetailedDescription | Testo formattato markdown da visualizzare sugli avvisi | Watchlist 'SAP Dynamic Audit Log Monitor Configuration' |
MessageID | ID messaggio del log di controllo SAP | Watchlist 'SAP Dynamic Audit Log Monitor Configuration' |
MessageText | Testo di un messaggio di esempio | Watchlist 'SAP Dynamic Audit Log Monitor Configuration' |
RolesTagsToExclude | un tag di testo libero, un profilo o un ruolo ABAP | Watchlist 'SAP Dynamic Audit Log Monitor Configuration' |
RuleType | Anomalia o deterministica | Watchlist 'SAP Dynamic Audit Log Monitor Configuration' |
Tattiche | La tattica MITRE ATTA&CK | Watchlist 'SAP Dynamic Audit Log Monitor Configuration' |
TeamsChannelID | Canale Teams | Watchlist 'SAP Dynamic Audit Log Monitor Configuration' |
SystemID | ID sistema SAP | Watchlist 'SAP - Systems' |
SystemRole | Ruolo del sistema SAP | Watchlist 'SAP - Systems' |
SystemUsage | Uso principale del sistema SAP | Watchlist 'SAP - Systems' |
IsProd | Flag del sistema di produzione | Watchlist 'SAP - Systems' |
Gravità | Gravità derivata | Gravità per utilizzo del sistema |
Threshold | Soglia derivata | Conteggio eventi per utilizzo sistema |
BagOfDetails | Borsa dei dettagli | Dizionario che descrive in dettaglio la definizione dell'evento |
SAPAuditLogAnomalies
SAPAuditLogAnomalies usa le funzionalità di Machine Learning predefinite del database Kusto sottostante di Sentinel per rilevare gli eventi anomali osservati nel log di controllo SAP. Sviluppato per la regola di avviso "Avvisi di monitoraggio dei log di controllo basati su anomalie dinamiche (sperimentale), questa funzione è stata inizialmente progettata per segnalare anomalie recenti, ma può anche aiutare a evidenziare le anomalie cronologiche (vedere gli esempi seguenti).
Parametri:
- LearningTime
- Facoltativo
- Valore predefinito: 14 giorni
- Determina l'intervallo di tempo usato per l'apprendimento del modello
- DetectingTime
- Facoltativo
- Valore predefinito: un'ora
- Determina l'intervallo di tempo da esaminare per rilevare le anomalie. La chiamata a questa funzione con DetectingTime = 0h evidenzia le anomalie nell'intero intervallo di tempo LearningTime
- SelectedSystems
- Facoltativo
- Valore predefinito: "Tutti i sistemi"
- Usato per filtrare sistemi SAP specifici da esaminare.
- SelectedSystemRoles
- Facoltativo
- Valore predefinito: "Tutti i ruoli di sistema"
- Determina i ruoli dei sistemi SAP da esaminare (come definito nell'elenco di controllo "SAP - Systems").
- SelectedSeverities
- Facoltativo
- Valore predefinito: ["High", "Medium"]
- Usato per determinare gli eventi da esaminare in termini di gravità. I livelli di gravità per ID messaggio del log di controllo SAP e il ruolo di sistema vengono definiti nell'elenco di controllo "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedPrefixMask
- Facoltativo
- Valore predefinito: 24
- Usato per determinare il livello di subnet mask usato per l'apprendimento e il rilevamento.
- SelectedRuleTypes
- Facoltativo
- Valore predefinito: "AnomaliesOnly"
- Determina gli eventi rilevanti per rilevare le anomalie. I tipi di regola per ID messaggio del log di controllo SAP e il ruolo di sistema vengono definiti nell'elenco di controllo "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Logica
La funzione apprende la sezione della cronologia definita dai diversi parametri di input, all'utente, agli attributi di rete, al sistema, alla stagionalità e ai livelli di attività. Giudica quindi gli eventi che si verificano nell'ultimo intervallo di tempo DetectingTime in base a quanto appreso, applicando soglie e altri criteri di esclusione configurabili ottenuti dall'elenco di controllo della configurazione del log di controllo SAP. Dopo che una finestra temporale scorrevole dell'attività utente è stata considerata anomale, una seconda query restituisce l'intera attività utente come evidenza che supporta la decisione.
Note aggiuntive
Come per qualsiasi soluzione di Machine Learning, questa funzione offre prestazioni migliori con il tempo. È possibile apportare ulteriori modifiche usando la configurazione locale. È consigliabile limitare le dimensioni del database appreso a un massimo di 100 milioni di record usando i numerosi parametri di input disponibili.
Esempio: ricerca di anomalie per gli eventi con gravità elevata che si sono verificati nell'ultima ora nei sistemi di produzione per i tipi di evento contrassegnati come "AnomaliesOnly" in "SAP_Dynamic_Audit_Log_Monitor_Configuration"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Esempio: Ricerca di tutte le anomalie negli ultimi 14 giorni nel sistema "BIP"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Campo | Descrizione |
---|---|
Più campi da SAPAuditLog | Campi chiave del log di controllo SAP |
Più campi da SAPAuditLogConfiguration | Campi chiave della configurazione del log di controllo SAP di Sentinel |
DiscoveredOn | Ora arrotondata in cui è stata osservata l'anomalia |
EventCount | Numero di eventi conteggiati per riga restituiti |
AnomalCount | Numero di eventi osservati all'interno di una finestra temporale scorrevole pertinente |
MinTime | Ora del primo evento osservato |
MaxTime | Ora dell'ultimo evento osservato |
Punteggio | punteggi di anomalie generati dal modello di anomalie |
Per altre informazioni, vedere Regole di analisi SAP predefinite per il monitoraggio del log di controllo SAP.
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend è una funzione helper progettata per offrire raccomandazioni per la configurazione della regola di analisi degli avvisi di Monitoraggio log di controllo (ANTEPRIMA) basata su ANOMALIE di SAP. Informazioni su come configurare le regole.
SAPUsersGetVIP
La soluzione Microsoft Sentinel per le applicazioni SAP® usa un concetto di assegnazione di tag utente centrale ed esclusioni esplicite, progettate per ridurre i falsi positivi con un minimo sforzo. Usare la funzione SAPUsersGetVIP per escludere gli utenti dall'attivazione degli avvisi specificando ruoli utente SAP, funzioni utente SAP o tag che rappresentano tali utenti. Per altre informazioni, vedere Gestire i falsi positivi in Microsoft Sentinel.
I tag specificati come input per la funzione SAPUsersGetVIP escludono tutti gli utenti con un tag elencato nell'elenco di controllo SAP_User_Config . La stessa funzionalità viene estesa per funzionare con i caratteri jolly, consentendo di assegnare un singolo tag a un gruppo di utenti con la stessa sintassi di denominazione.
Contrassegnare gli utenti nell'elenco di controllo SAP_User_Config come indicato di seguito:
Aggiungere più tag a ogni utente nell'elenco di controllo SAP_User_Config , in base alle esigenze per coprire vari scenari. Ogni regola di avviso ha tag pertinenti, se presenti, ed è possibile aggiungere tag personalizzati in base alle esigenze.
Usare un asterisco (*) come carattere jolly per includere gli utenti con un modello di sintassi di denominazione specifico.
Aggiungere la funzione SAPUsersGetVIP nelle regole di analisi per richiedere gli elenchi di utenti definiti per essere esclusi dagli avvisi. Nella chiamata di funzione aggiungere una matrice con i tag, i ruoli SAP e i profili SAP da escludere.
Ad esempio, usare la query KQL seguente nella regola di analisi per escludere tutti gli utenti configurati con il tag RunObsoleteProgOK nell'elenco di controllo SAP_User_Config oppure qualsiasi utente con il ruolo di esempio SAP_BASIS_ADMIN_ROLE o il profilo di esempio SAP_ADMIN_PROFILE.
Quando si copia questa chiamata di funzione di esempio, sostituire SAP_BASIS_ADMIN_ROLE ruolo e SAP_ADMIN_PROFILE profilo con i propri ruoli o profili SAP in base alle esigenze.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
La funzione SAPUsersGetVIP viene comunemente usata negli avvisi deterministici e anomali di Monitoraggio log di controllo. Associare un tag a un ID messaggio del log di controllo SAP o estendere il modello di regola a una regola personalizzata che soddisfi le esigenze dell'organizzazione.
Suggerimento
È consigliabile contattare l'amministratore del sistema SAP per comprendere quali utenti, ruoli e profili SAP includere nell'elenco di controllo di SAP_User_Config .
Parametri:
Nome | Descrizione | Default value |
---|---|---|
SearchForTags (facoltativo) | Quando SearchForTags è uguale All Tags a , tutti gli utenti vengono restituiti insieme ai relativi tag. In caso contrario, vengono restituiti solo gli utenti che contengono i tag, i ruoli SAP o i profili SAP specificati in SearchForTags . TagsIntersect mostra i tag trovati e IntersectionSize contiene il numero di tag trovati. |
dynamic('All Tags') |
SpecialFocusTags (facoltativo) | Restituisce tutti gli utenti con i tag specificati in SpecialFocusTags e contrassegnati con specialFocusTagged = true . |
Do not return any in-focus users |
Origine | Campo | Descrizione | Note |
---|---|---|---|
Elenco di controllo SAP_User_Config | SearchKey | Chiave di ricerca | |
Elenco di controllo SAP_User_Config | SAPUser | L'utente SAP | OSS, DDIC |
Elenco di controllo SAP_User_Config | Tag | Stringa di tag assegnati all'utente | RunObsoleteProgOK |
Elenco di controllo SAP_User_Config | ID oggetto Microsoft Entra dell'utente | ID oggetto Microsoft Entra | |
Elenco di controllo SAP_User_Config | Identificatore user | Identificatore utente di ACTIVE Directory | |
Elenco di controllo SAP_User_Config | Sid locale dell'utente | ||
Elenco di controllo SAP_User_Config | Nome entità utente | ||
Elenco di controllo SAP_User_Config | TagsList | Elenco di tag assegnati all'utente | ChangeUserMasterDataOK; RunObsoleteProgOK |
Logica | TagsIntersect | Set di tag corrispondenti a SearchForTags | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Logica | SpecialFocusTagged | Indicazione speciale dello stato attivo | Vero, falso |
Logica | IntersectionSize | Numero di tag intersecati |
SAPUsersHeader
La funzione SAPUsersHeader è progettata per offrire una visualizzazione generale dell'utente SAP. Usa i dati estratti dalle tabelle dei dati master dell'utente SAP e dalle attività recenti nel log di controllo SAP per raccogliere indirizzi IP e di posta elettronica. Restituisce quindi l'ultimo indirizzo di posta elettronica e ip noto insieme agli indirizzi IP e di posta elettronica primari. Parametri: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- Facoltativo
- Valore predefinito: "Tutti i sistemi"
- Usato per filtrare sistemi SAP specifici da esaminare.
- SelectedSystemRoles
- Facoltativo
- Valore predefinito: "Tutti i ruoli di sistema"
- Determina i ruoli dei sistemi SAP da esaminare (come definito nell'elenco di controllo "SAP - Systems").
- SelectedUsers
- Facoltativo
- Valore predefinito: "Tutti gli utenti"
- Può inserire elenchi di utenti.
- SelectedUser
- Facoltativo
- Valore predefinito: "Tutti gli utenti"
- Accetta solo un singolo utente
Note aggiuntive
Per considerazioni sulle prestazioni, vengono considerati solo alcuni giorni di attività di controllo. Per una cronologia completa dell'attività utente, eseguire una query KQL personalizzata sulla funzione SAPAuditLog.
Origine | Campo | Descrizione | Note |
---|---|---|---|
User | L'utente SAP | ||
Tabelle SAP ADR6 e USR21 | Ricavato dai dati master dell'utente | OSS, DDIC | |
TABELLA SAP USR02 | UserType | stringa di tag assegnati all'utente | RunObsoleteProgOK |
TABELLA SAP USR02 | Fuso orario | ID oggetto Microsoft Entra | |
TABELLA SAP USR02 | LockedStatus | Identificatore utente di ACTIVE Directory | |
Log di controllo SAP | LastSeen | Timestamp | ultimo evento di controllo osservato per l'utente |
Log di controllo SAP | LastSeenDaysAgo | giorni trascorsi da LastSeen | |
Log di controllo SAP | PrimaryIP | Indirizzo IP usato più di frequente | ChangeUserMasterDataOK; RunObsoleteProgOK |
Log di controllo SAP | LastKnownIP | Indirizzo IP usato più di recente | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Log di controllo SAP | PrimaryEmail | Indirizzo di posta elettronica usato più di frequente | Vero, falso |
Log di controllo SAP | Indirizzi IP noti | Elenco di indirizzi IP noti | ordinato per primo più frequente |
Log di controllo SAP | Messaggi noti | Elenco di indirizzi di posta elettronica noti | ordinato per primo più frequente |
Client | The SAP Client ID | ||
SystemID | ID di sistema SAP | ||
SystemRole | Ruolo del sistema SAP | Produzione, UAT | |
SystemUsage | Uso principale del sistema SAP | ERP, CRM |
Log prodotti dall'agente del connettore dati
Questa sezione descrive i log SAP disponibili dalla soluzione Microsoft Sentinel per il connettore dati delle applicazioni SAP®, inclusi i nomi delle tabelle in Microsoft Sentinel, gli scopi del log e gli schemi di log dettagliati. Le descrizioni dei campi dello schema sono basate sulle descrizioni dei campi nella documentazione SAP pertinente.
Per ottenere risultati ottimali, usare le funzioni di Microsoft Sentinel elencate di seguito per visualizzare, accedere ed eseguire query sui dati.
- Registro applicazioni ABAP
- Log dei documenti di modifica ABAP
- Log ABAP CR
- Log dei dati della tabella ABAP DB (ANTEPRIMA)
- Log del gateway ABAP (ANTEPRIMA)
- Log ABAP ICM (ANTEPRIMA)
- Log processo ABAP
- Log di controllo della sicurezza ABAP
- Log di ABAP Spool
- Log di output di Spooling APAB
- ABAP SysLog
- Log del flusso di lavoro ABAP
- Log di ABAP WorkProcess
- Audit Trail del database HANA
- File JAVA
- SAP Heartbeat Log
Registro applicazioni ABAP
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPAppLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: registra lo stato di avanzamento di un'esecuzione dell'applicazione in modo da poterlo ricostruire in un secondo momento in base alle esigenze.
Disponibile usando RFC basato su tabelle SAP standard e servizi standard dell'interfaccia XBP. Questo log viene generato per ogni client.
schema del log ABAPAppLog_CL
Campo | Descrizione |
---|---|
AppLogDateTime | Data e ora del log applicazioni |
CallbackProgram | Programma di callback |
CallbackRoutine | Routine di callback |
CallbackType | Tipo di callback |
ClientID | ID client ABAP (MANDT) |
ContextDDIC | Struttura DDIC del contesto |
ExternalID | ID log esterno |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Seriale del messaggio del log applicazioni |
LevelofDetail | Livello di dettaglio |
LogHandle | Handle del log applicazioni |
LogNumber | Numero di log |
MessageClass | Classe Message |
MessageNumber | Numero di messaggio |
MessageText | Testo del messaggio |
MessageType | Tipo di messaggio |
Object | Oggetto log applicazioni |
OperationMode | Modalità operativa |
ProblemClass | Classe Problem |
ProgramName | Nome programma |
SortCriterion | Criterio di ordinamento |
StandardText | Testo standard |
Suboggetto | Oggetto secondario del log applicazioni |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TransactionCode | Codice transazione |
User | User |
UserChange | Modifica utente |
Log dei documenti di modifica ABAP
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPChangeDocsLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: Record:
Modifiche al log ABAP di SAP NetWeaver Application Server (AS) apportate agli oggetti dati aziendali nei documenti delle modifiche.
Altre entità nel sistema SAP, ad esempio dati utente, ruoli, indirizzi.
Disponibile usando RFC basato su tabelle SAP standard. Questo log viene generato per ogni client.
schema del log ABAPChangeDocsLog_CL
Campo | Descrizione |
---|---|
ActualChangeNum | Numero di modifica effettivo |
ChangedTableKey | Chiave di tabella modificata |
ChangeNumber | Cambia numero |
ClientID | ID client ABAP (MANDT) |
CreatedfromPlannedChange | Creato dalla modifica pianificata, nella sintassi seguente: (‘X’ , ‘ ‘) |
CurrencyKeyNew | Chiave di valuta: nuovo valore |
CurrencyKeyOld | Chiave di valuta: valore precedente |
Fieldname | Nome del campo |
FlagText | Contrassegna testo |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
Lingua | Lingua |
Objectclass | Classe oggetto, ad esempio BELEG , BPAR , PFCG , IDENTITY |
ObjectID | ID dell'oggetto. |
PlannedChangeNum | Numero di modifica pianificata |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TableName | Nome tabella |
TransactionCode | Codice transazione |
TypeofChange_Header | Tipo di intestazione di modifica, tra cui: U = Modifica; I = Inserisci; E = Delete Single Docu; D = Elimina; J = Inserisci docu singolo |
TypeofChange_Item | Tipo di elemento di modifica, tra cui: U = Modifica; I = Inserisci; E = Delete Single Docu; D = Elimina; J = Inserisci docu singolo |
UOMNew | Unità di misura: nuovo valore |
UOMOld | Unità di misura: valore precedente |
User | User |
ValueNew | Contenuto del campo: nuovo valore |
ValueOld | Contenuto del campo: valore precedente |
Versione | Versione |
Log ABAP CR
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPCRLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: include i log di Change & Transport System (CTS), inclusi gli oggetti directory e le personalizzazioni in cui sono state apportate modifiche.
Disponibile usando RFC basato su tabelle standard e servizi SAP standard. Questo log viene generato con i dati in tutti i client.
Nota
Oltre alla registrazione delle applicazioni, alla modifica dei documenti e alla registrazione delle tabelle, tutte le modifiche apportate al sistema di produzione tramite change &transport system sono documentate nei log CTS e TMS.
schema del log ABAPCRLog_CL
Campo | Descrizione |
---|---|
Categoria | Categoria (Workbench, personalizzazione) |
ClientID | ID client ABAP (MANDT) |
Descrizione | Descrizione |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
ObjectName | Object name |
ObjectType | Object type |
Proprietario | Proprietario |
Richiedi | Richiesta di modifica |
Status | Status |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TableKey | Chiave tabella |
TableName | Nome tabella |
Viewname | Nome visualizzazione |
Log dei dati della tabella ABAP DB (ANTEPRIMA)
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file systemconfig.ini.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPTableDataLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: fornisce la registrazione per le tabelle critiche o soggette ai controlli.
Disponibile tramite RFC con un servizio personalizzato. Questo log viene generato con i dati in tutti i client.
schema del log ABAPTableDataLog_CL
Campo | Descrizione |
---|---|
DBLogID | ID log del database |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
Lingua | Lingua |
LogKey | Chiave del log |
Newvalue | Campo nuovo valore |
Oldvalue | Valore precedente del campo |
OperationTypeSQL | Tipo di operazione, Insert , Update , Delete |
Programma | Nome programma |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TableField | Campo Tabella |
TableName | Nome tabella |
TransactionCode | Codice transazione |
UserName | User |
VersionNumber | Numero versione |
Log del gateway ABAP (ANTEPRIMA)
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file systemconfig.ini.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPOS_GW
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: monitora le attività del gateway. Disponibile dal servizio Web di controllo SAP. Questo log viene generato con i dati in tutti i client.
schema del log ABAPOS_GW_CL
Campo | Descrizione |
---|---|
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
MessageText | Testo del messaggio |
Gravità | Gravità del messaggio: Debug , Info , Warning , Error |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
Log ABAP ICM (ANTEPRIMA)
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file systemconfig.ini.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPOS_ICM
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: registra le richieste in ingresso e in uscita e compila le statistiche delle richieste HTTP.
Disponibile dal servizio Web di controllo SAP. Questo log viene generato con i dati in tutti i client.
schema del log ABAPOS_ICM_CL
Campo | Descrizione |
---|---|
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
MessageText | Testo del messaggio |
Gravità | Gravità del messaggio, tra cui: Debug , Info , Warning , Error |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
Log processo ABAP
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPJobLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: combina tutti i log dei processi di elaborazione in background (SM37).
Disponibile usando RFC basato su tabelle SAP standard e servizi standard di interfacce XBP. Questo log viene generato con i dati in tutti i client.
schema del log ABAPJobLog_CL
Campo | Descrizione |
---|---|
ABAPProgram | Programma ABAP |
BgdEventParameters | Parametri dell'evento in background |
BgdProcessingEvent | Evento di elaborazione in background |
ClientID | ID client ABAP (MANDT) |
DynproNumber | Numero Dynpro |
GUIStatus | Stato dell'interfaccia utente grafica |
Host | Host |
Istanza | Istanza ABAP (HOST_SYSID_SYSNR), nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
JobClassification | Classificazione dei processi |
JobCount | Conteggio processi |
JobGroup | Gruppo di processi |
JobName | Nome processo |
JobPriority | Priorità del processo |
MessageClass | Classe Message |
MessageNumber | Numero di messaggio |
MessageText | Testo del messaggio |
MessageType | Tipo di messaggio |
ReleaseUser | Utente della versione del processo |
SchedulingDateTime | Pianificazione dell'ora di data |
StartDateTime | Data di inizio |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TargetServer | Server di destinazione |
User | User |
UserReleaseInstance | Istanza di ABAP - Versione utente |
WorkProcessID | ID processo di lavoro |
WorkProcessNumber | Numero processo di lavoro |
Log di controllo della sicurezza ABAP
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPAuditLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: registra i dati seguenti:
- Modifiche correlate alla sicurezza nell'ambiente di sistema SAP, ad esempio modifiche ai record utente principali
- Informazioni che forniscono un livello superiore di dati, ad esempio tentativi di accesso riusciti e non riusciti
- Informazioni che consentono la ricostruzione di una serie di eventi, ad esempio l'avvio di una transazione riuscita o non riuscita
Disponibile usando le interfacce XAL/SAL RFC. SAL è disponibile a partire dalla versione Base 7.50. Questo log viene generato con i dati in tutti i client.
schema del log ABAPAuditLog_CL
Campo | Descrizione |
---|---|
ABAPProgramName | Nome programma, solo SAL |
AlertSeverity | Gravità dell'avviso |
AlertSeverityText | Testo di gravità dell'avviso, solo SAL |
AlertValue | Valore avviso |
AuditClassID | ID classe audit, solo SAL |
ClientID | ID client ABAP (MANDT) |
Computer | Computer utente, solo SAL |
Indirizzo e-mail dell'utente | |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
MessageClass | Classe Message |
MessageContainerID | ID contenitore messaggi, solo XAL |
MessageID | ID messaggio, ad esempio ‘AU1’,’AU2’… |
MessageText | Testo del messaggio |
MonitoringObjectName | Nome dell'oggetto monitor MTE, solo XAL |
MonitorShortName | Nome breve di MTE Monitor, solo XAL |
SAPProcesType | Log di sistema: tipo di processo SAP, solo SAL |
B* - Elaborazione in background | |
D* - Elaborazione dei dialoghi | |
U* - Aggiorna attività | |
SAPWPName | Log di sistema: numero di processo di lavoro, solo SAL |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TerminalIPv6 | IP del computer utente, solo SAL |
TransactionCode | Codice transazione, solo SAL |
User | User |
Variabile 1 | Variabile messaggio 1 |
Variabile 2 | Variabile messaggio 2 |
Variabile3 | Variabile messaggio 3 |
Variabile4 | Variabile messaggio 4 |
Log di ABAP Spool
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: S piattaforma di strumenti analitici poolLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: funge da log principale per la stampa SAP con la cronologia delle richieste di spooling. (SP01).
Disponibile usando RFC basato sulla tabella SAP standard. Questo log viene generato con i dati in tutti i client.
AB piattaforma di strumenti analitici poolLog_CL schema del log
Campo | Descrizione |
---|---|
ArchiveStatus | Stato archivio |
ArchiveType | Tipo di archivio |
ArchiviazioneDispositivi | Dispositivo di archiviazione |
AutoRereoute | Reindirizzamento automatico |
ClientID | ID client ABAP (MANDT) |
CountryKey | Chiave paese |
DeleteSpoolRequestAuto | Eliminare automaticamente la richiesta di spooling |
DelFlag | Flag di eliminazione |
Reparto | Reparto |
DocumentType | Tipo di documento |
ExternalMode | Modalità esterna |
Formattype | Tipo di formato |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
NumofCopies | Numero di copie |
OutputDevice | Dispositivo di output |
PrinterLongName | Nome lungo stampante |
PrintImmediately | Stampa immediatamente |
PrintOSCoverPage | Pagina Stampa osCover |
PrintSAPCoverPage | Stampare la pagina SAPCover |
Priorità | Priorità |
RecipientofSpoolRequest | Destinatario della richiesta di spooling |
SpoolErrorStatus | Stato errore Spool |
SpoolRequestCompleted | Richiesta di Spool completata |
SpoolRequestisALogForAnotherRequest | La richiesta di Spool è un log per un'altra richiesta |
SpoolRequestName | Nome della richiesta di Spool |
SpoolRequestNumber | Numero di richiesta Spool |
SpoolRequestSuffix1 | Suffisso della richiesta Spool1 |
SpoolRequestSuffix2 | Suffisso di richiesta Spool2 |
SpoolRequestTitle | Titolo richiesta Spool |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TelecommunicationsPartner | Partner di telecomunicazioni |
TelecommunicationsPartnerE | Partner delle telecomunicazioni E |
TemSeGeneralcounter | Contatore Temse |
TemseNumAddProtectionRule | Numero temse aggiungere la regola di protezione |
TemseNumChangeProtectionRule | Regola di protezione della modifica del numero di Temse |
TemseNumDeleteProtectionRule | Regola di protezione per l'eliminazione del numero di temse |
TemSeObjectName | Nome dell'oggetto Temse |
TemSeObjectPart | Parte dell'oggetto TemSe |
TemseReadProtectionRule | Regola di protezione di temse read |
User | User |
ValueAuthCheck | Verifica autenticazione valore |
Log di output di Spooling APAB
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: S piattaforma di strumenti analitici poolOutputLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: funge da log principale per la stampa SAP con la cronologia delle richieste di output di spooling. (SP02).
Disponibile usando RFC con un servizio personalizzato basato su tabelle standard. Questo log viene generato con i dati in tutti i client.
Schema del log AB piattaforma di strumenti analitici poolOutputLog_CL
Campo | Descrizione |
---|---|
AppServer | Server applicazioni |
ClientID | ID client ABAP (MANDT) |
Commento | Commento |
CopyCount | Numero di copie |
CopyCounter | Copia contatore |
Reparto | Reparto |
ErrorSpoolRequestNumber | Numero richiesta di errore |
Formattype | Tipo di formato |
Host | Host |
HostName | Nome host |
HostSpoolerID | Host spooler ID |
Istanza | Istanza di ABAP |
UltimaPagina | Ultima pagina |
NumofCopies | Numero di copie |
OutputDevice | Dispositivo di output |
OutputRequestNumber | Numero di richiesta di output |
OutputRequestStatus | Stato della richiesta di output |
PhysicalFormatType | Tipo di formato fisico |
PrinterLongName | Nome lungo stampante |
PrintRequestSize | Stampare le dimensioni delle richieste |
Priorità | Priorità |
ReasonforOutputRequest | Motivo della richiesta di output |
RecipientofSpoolRequest | Destinatario della richiesta di spooling |
SpoolNumberofOutputReqProcessed | Numero di richieste di output - elaborate |
SpoolNumberofOutputReqWithErrors | Numero di richieste di output- con errori |
SpoolNumberofOutputReqWithProblems | Numero di richieste di output- con problemi |
SpoolRequestNumber | Numero di richiesta Spool |
StartPage | Pagina iniziale |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TelecommunicationsPartner | Partner di telecomunicazioni |
TemSeGeneralcounter | Contatore Temse |
Title | Title |
User | User |
ABAP Syslog
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file systemconfig.ini.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPOS_Syslog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: registra tutti gli errori di sistema ABAP di SAP NetWeaver Application Server (SAP NetWeaver AS), avvisi, blocchi utente a causa di tentativi di accesso non riusciti da utenti noti ed elaborare messaggi.
Disponibile dal servizio Web di controllo SAP. Questo log viene generato con i dati in tutti i client.
schema del log ABAPOS_Syslog_CL
Campo | Descrizione |
---|---|
ClientID | ID client ABAP (MANDT) |
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
MessageNumber | Numero di messaggio |
MessageText | Testo del messaggio |
Gravità | Gravità del messaggio, uno dei valori seguenti: Debug , Info , Warning , Error |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TransacationCode | Codice transazione |
Type | Tipo di processo SAP |
User | User |
Log del flusso di lavoro ABAP
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPWorkflowLog
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: il flusso di lavoro aziendale SAP (motore WebFlow) consente di definire processi aziendali non ancora mappati nel sistema SAP.
Ad esempio, i processi aziendali non mappati possono essere semplici procedure di rilascio o approvazione o processi aziendali più complessi, ad esempio la creazione di materiale di base e il coordinamento dei reparti associati.
Disponibile usando RFC basato su tabelle SAP standard. Questo log viene generato per ogni client.
schema del log ABAPWorkflowLog_CL
Campo | Descrizione |
---|---|
ActualAgent | Agente effettivo |
Indirizzo | Indirizzo |
ApplicationArea | Area dell'applicazione |
CallbackFunction | Funzione di callback |
ClientID | ID client ABAP (MANDT) |
CreationDateTime | Data di creazione |
Autore | Autore |
CreatorAddress | Indirizzo creatore |
ErrorType | Tipo di errore |
ExceptionforMethod | Eccezione per il metodo |
Host | Host |
Istanza | Istanza ABAP (HOST_SYSID_SYSNR), nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
Lingua | Lingua |
LogCounter | Contatore log |
MessageNumber | Numero di messaggio |
MessageType | Tipo di messaggio |
MethodUser | Utente del metodo |
Priorità | Priorità |
SimpleContainer | Contenitore semplice, compresso come elenco di entità Chiave-Valore per l'elemento di lavoro |
Status | Status |
SuperWI | Super WI |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
TaskID | ID attività |
TasksClassification | Classificazioni delle attività |
TaskText | Testo attività |
TopTaskID | ID attività principale |
UserCreated | Utente creato |
WIText | Testo dell'elemento di lavoro |
WIType | Tipo di elemento di lavoro |
WorkflowAction | Azione flusso di lavoro |
WorkItemID | ID elemento di lavoro |
Log di ABAP WorkProcess
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file systemconfig.ini.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPOS_WP
Documentazione SAP correlata: Portale della Guida di SAP
Scopo del log: combina tutti i log dei processi di lavoro. (impostazione predefinita:
dev_*
).Disponibile dal servizio Web di controllo SAP. Questo log viene generato con i dati in tutti i client.
schema del log ABAPOS_WP_CL
Campo | Descrizione |
---|---|
Host | Host |
Istanza | Istanza di ABAP, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
MessageText | Testo del messaggio |
Gravità | Gravità del messaggio: Debug , Info , Warning , Error |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
WPNumber | Numero processo di lavoro |
Audit Trail del database HANA
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario distribuire un agente di gestione Microsoft per raccogliere dati Syslog dal computer che esegue il database HANA.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: S piattaforma di strumenti analitici yslog
Documentazione SAP correlata: Audit Trail generale |
Scopo del log: registra le azioni dell'utente o tenta azioni nel database SAP HANA. Ad esempio, consente di registrare e monitorare l'accesso in lettura ai dati sensibili.
Disponibile dall'agente Linux di Sentinel per Syslog. Questo log viene generato con i dati in tutti i client.
Schema del log syslog
Campo | Descrizione |
---|---|
Computer | Nome host |
HostIP | Host IP |
HostName | Nome host |
ProcessID | Process ID |
ProcessName | Nome processo: HDB* |
SeverityLevel | Avviso |
SourceSystem | Sistema operativo di origine, Linux |
SyslogMessage | Messaggio, messaggio di audit trail non analizzato |
File JAVA
Per fare in modo che questo log venga inviato a Microsoft Sentinel, è necessario aggiungerlo manualmente al file systemconfig.ini.
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAPJAVAFilesLogs
Documentazione SAP correlata: Log | di controllo generale della sicurezza Java
Scopo del log: combina tutti i log basati su file Java, inclusi il log di controllo della sicurezza e il sistema (processo cluster e server), i log delle prestazioni e del gateway. Include anche tracce per sviluppatori e log di traccia predefiniti.
Disponibile dal servizio Web di controllo SAP. Questo log viene generato con i dati in tutti i client.
Schema del log JavaFilesLogsCL
Campo | Descrizione |
---|---|
Applicazione | Applicazione Java |
ClientID | ID client |
CSNComponent | Componente CSN, ad esempio BC-XI-IBD |
DCComponent | Componente del controller di dominio, ad esempio com.sap.xi.util.misc |
DSRCounter | Contatore DSR |
DSRRootContentID | GUID del contesto DSR |
DSRTransaction | GUID transazione DSR |
Host | Host |
Istanza | Istanza java, nella sintassi seguente: <HOST>_<SYSID>_<SYSNR> |
Ufficio | Classe Java |
LogName | Java logName, ad esempio: Available , defaulttrace dev* , , security e così via |
MessageText | Testo del messaggio |
Mno | Numero di messaggio |
Pid | Process ID |
Programma | Nome programma |
Sessione | Sessione |
Gravità | Gravità del messaggio, tra cui: Debug ,Info ,,Warning Error |
Soluzione | Soluzione |
SystemID | ID sistema |
SystemNumber | Numero di sistema |
ThreadName | Nome del thread |
Gettato | Generazione di eccezione |
TimeZone | Fuso orario |
User | User |
SAP Heartbeat Log
Funzione di Microsoft Sentinel per l'esecuzione di query su questo log: SAP Connessione orHealth
Scopo del log: fornisce heartbeat e altre informazioni sull'integrità sulla connettività tra gli agenti e i diversi sistemi SAP.
Creato automaticamente per qualsiasi agente di Microsoft Sentinel per il connettore dati SAP.
schema del log SAP_HeartBeat_CL
Campo | Descrizione |
---|---|
TimeGenerated | Ora dell'evento di registrazione |
agent_id_s | ID agente nella configurazione dell'agente (generato automaticamente) |
agent_ver_s | Versione agente |
host_s | Nome host dell'agente |
system_id_s | NETweaver ABAP SYSTEM ID /Netweaver ABAP System ID / Netweaver SAPControl Host (anteprima) / Host SAPControl Java (anteprima) |
push_timestamp_d | Timestamp dell'estrazione, in base al fuso orario dell'agente |
agent_timezone_s | Fuso orario dell'agente |
Tabelle recuperate direttamente dai sistemi SAP
Questa sezione elenca le tabelle dati recuperate direttamente dal sistema SAP e inserite in Microsoft Sentinel esattamente come sono.
Per inserire i dati di queste tabelle in Microsoft Sentinel, configurare le impostazioni pertinenti nel file systemconfig.ini . Per altre informazioni, vedere Configurazione della raccolta dati master utente.
I dati recuperati da queste tabelle offrono una visualizzazione chiara della struttura di autorizzazione, dell'appartenenza ai gruppi e dei profili utente. Consente inoltre di tenere traccia del processo di concessione e revoca dell'autorizzazione e di identificare e gestire i rischi associati a tali processi.
Le tabelle elencate di seguito sono necessarie per abilitare le funzioni che identificano gli utenti con privilegi, eseguono il mapping degli utenti a ruoli, gruppi e autorizzazioni.
Per ottenere risultati ottimali, fare riferimento a queste tabelle usando il nome nella colonna del nome della funzione Sentinel seguente:
Nome tabella | Descrizione tabella | Nome della funzione Sentinel |
---|---|---|
USR01 | Record master utente (dati di runtime) | SAP_USR01 |
USR02 | Dati di accesso (uso lato kernel) | SAP_USR02 |
UST04 | Master utente Mappe utenti ai profili |
SAP_UST04 |
AGR_U edizione Standard RS | Assegnazione di ruoli agli utenti | SAP_AGR_U edizione Standard RS |
AGR_1251 | Dati di autorizzazione per il gruppo di attività | SAP_AGR_1251 |
USGRP_U edizione Standard R | Assegnazione di utenti a gruppi di utenti | SAP_USGRP_U edizione Standard R |
USR21 | Assegnazione di chiave nome utente/indirizzo | SAP_USR21 |
ADR6 | Indirizzi di posta elettronica (servizi di indirizzi aziendali) | SAP_ADR6 |
USRSTAMP | Timestamp per tutte le modifiche apportate all'utente | SAP_USRSTAMP |
ADCP | Assegnazione di persona/indirizzo (servizi di indirizzo aziendale) | SAP_ADCP |
USR05 | ID parametro master utente | SAP_USR05 |
AGR_PROF | Nome del profilo per il ruolo | SAP_AGR_PROF |
AGR_FLAGS | Attributi del ruolo | SAP_AGR_FLAGS |
DEVACCESS | Tabella per l'utente di sviluppo | SAP_DEVACCESS |
AGR_DEFINE | Definizione del ruolo | SAP_AGR_DEFINE |
AGR_AGRS | Ruoli nei ruoli compositi | SAP_AGR_AGRS |
PAHI | Cronologia dei parametri di sistema, database e SAP | SAP_PAHI |
SNCSYSACL (ANTEPRIMA) | Elenco Controllo di accesso SNC (ACL): Sistemi | SAP_SNCSYSACL |
USRACL (ANTEPRIMA) | Elenco Controllo di accesso SNC (ACL): Utente | SAP_USRACL |
Passaggi successivi
Per altre informazioni, vedi:
- Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP®
- Soluzione Microsoft Sentinel per applicazioni SAP dettagliate sui requisiti SAP®
- Distribuire microsoft Sentinel per il connettore dati SAP con SNC
- Opzioni di configurazione esperti, distribuzione locale e origini di log SAPControl
- Soluzione Microsoft Sentinel per le applicazioni SAP®: contenuto di sicurezza predefinito
- Monitorare l'integrità del sistema SAP
- Risoluzione dei problemi della soluzione Microsoft Sentinel per la distribuzione di applicazioni SAP®