SAP용 Microsoft Sentinel 솔루션 데이터 참조

중요

SAP용 Microsoft Sentinel Threat Monitoring 솔루션의 일부 구성 요소는 현재 미리 보기 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

아래에 설명된 일부 로그는 기본적으로 Microsoft Sentinel로 전송되지 않지만 필요에 따라 수동으로 추가할 수 있습니다. 자세한 내용은 Microsoft Sentinel로 전송되는 SAP 로그 정의를 참조하세요.

이 문서에서는 SAP용 Microsoft Sentinel 솔루션 및 해당 데이터 커넥터의 일부로 사용할 수 있는 함수, 로그 및 테이블에 대해 설명합니다. 이는 고급 SAP 사용자를 위한 것입니다.

SAP 솔루션에서 사용할 수 있는 함수

이 섹션에서는 SAP용 Microsoft Sentinel 솔루션을 배포한 후 작업 영역에서 사용할 수 있는 함수에 대해 설명합니다. 작업 영역 함수 아래에 나열된 Microsoft Sentinel 로그 페이지에서 KQL 쿼리에서 사용할 이러한 함수를 찾습니다.

사용자는 가능한 경우 기본 로그나 테이블 대신 함수를 분석의 주체로 사용하는 것이 좋습니다. 이러한 함수는 데이터에 대한 주 사용자 인터페이스 역할을 하기 위한 것입니다. 이는 기본적으로 제공되는 모든 기본 제공 분석 규칙 및 통합 문서의 기초가 됩니다. 따라서 사용자가 만든 콘텐츠를 손상시키지 않고 함수 아래의 데이터 인프라를 변경할 수 있습니다.

SAPUsersAssignments

SAPUsersAssignments 함수는 여러 SAP 데이터 원본에서 데이터를 수집하고 현재 할당된 역할 및 프로필을 포함하여 현재 사용자 마스터 데이터의 사용자 중심 보기를 만듭니다.

이 함수는 역할 및 프로필에 대한 사용자 할당을 요약하고 다음 데이터를 반환합니다.

필드 설명 데이터 원본/메모
사용자 SAP 사용자 ID SAL만
Email SMTP 주소 USR21(SMTP_ADDR)
UserType 사용자 유형 USR02(USTYP)
표준 시간대 표준 시간대 USR02(TZONE)
LockedStatus 잠금 상태 USR02(UFLAG)
LastSeenDate 마지막으로 본 날짜 USR02(TRDAT)
LastSeenTime 마지막으로 본 시간 USR02(LTIME)
UserGroupAuth 사용자 마스터 유지 관리의 사용자 그룹 USR02(CLASS)
Profiles 프로필 집합(기본 최대 집합 크기 = 50) ["Profile 1", "Profile 2",...,"profile 50"]
DirectRoles 직접적으로 할당된 역할 집합(기본 최대 집합 크기 = 50) ["Role 1", "Role 2",...,"”"Role 50"]
ChildRoles 간접적으로 할당된 역할 집합(기본 최대 집합 크기 = 50) ["Role 1", "Role 2",...,"”"Role 50"]
클라이언트 클라이언트 ID
SystemID 시스템 ID 커넥터에 정의된 대로

SAPUsersGetPrivileged

SAPUsersGetPrivileged 함수는 클라이언트 및 시스템 ID별로 권한 있는 사용자 목록을 반환합니다.

사용자는 SAP - 권한 있는 사용자 관심 목록에 나열되거나, SAP - 중요한 프로필 관심 목록에 나열된 프로필에 할당되었거나, SAP - 중요한 역할 관심 목록에 나열된 역할에 추가된 경우 권한이 있는 것으로 간주됩니다.

매개 변수:

  • TimeAgo
    • 선택 사항
    • 기본값: 7일
    • 함수가 TimeAgo 값으로 정의된 시간부터 now() 값으로 정의된 시간까지 사용자 마스터 데이터를 찾는지 확인합니다.

SAPUsersGetPrivileged 함수는 다음 데이터를 반환합니다.

필드 Description
사용자 SAP 사용자 ID
클라이언트 클라이언트 ID
SystemID 시스템 ID

SAPUsersAuthorizations

SAPUsersAuthorizations 함수는 여러 테이블의 데이터를 결합하여 현재 할당된 역할 및 권한 부여에 대한 사용자 중심 보기를 생성합니다. 활성 역할 및 권한 부여가 할당된 사용자만 반환됩니다.

매개 변수:

  • TimeAgo
    • 선택 사항
    • 기본값: 7일
    • 함수가 TimeAgo 값으로 정의된 시간부터 now() 값으로 정의된 시간까지 사용자 마스터 데이터를 찾는지 확인합니다.

SAPUsersAuthorizations 함수는 다음 데이터를 반환합니다.

필드 Description 참고
사용자 SAP 사용자 ID
역할 역할 집합(기본 최대 집합 크기 = 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails 권한 부여 집합(기본 최대 집합 크기 = 100) {{AuthorizationsDeatils1},
{AuthorizationsDeatils2},
...,
{AuthorizationsDeatils100}}
클라이언트 클라이언트 ID
SystemID 시스템 ID

SAPConnectorHealth

SAPConnectorHealth 함수는 에이전트의 상태와 기본 SAP 시스템의 연결 상태를 반영합니다. 하트비트 로그 SAP_HeartBeat_CL 및 기타 상태 표시기를 기반으로 다음 데이터를 반환합니다.

필드 설명
에이전트 에이전트 구성의 에이전트 ID(자동으로 생성됨)
SystemID SAP 시스템 ID
상태 전체 연결 상태
세부 정보 연결 세부 정보
ExtendedDetails 연결 확장 세부 정보
LastSeen 최신 작업의 타임스탬프
StatusCode 시스템 상태를 반영하는 코드

SAPConnectorOverview

SAPConnectorOverview 함수는 시스템 ID당 각 SAP 테이블의 행 수를 표시합니다. 시스템 ID당 데이터 레코드 목록과 생성된 시간을 반환합니다.

매개 변수:

  • TimeAgo
    • 선택 사항
    • 기본값: 7일
    • 함수가 TimeAgo 값으로 정의된 시간부터 now() 값으로 정의된 시간까지 사용자 마스터 데이터를 찾는지 확인합니다.
필드 Description
TimeGenerated 레코드 생성 타임스탬프의 날짜/시간 값
SystemID_s SAP 시스템 ID를 나타내는 문자열

다음 Kusto 쿼리를 사용하여 일일 추세 분석을 수행합니다.

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

SAPUsersEmail 함수를 사용하면 일반적으로 활성 디렉터리 계정과 연결하는 데 사용되는 SAP 시스템과 클라이언트별 SAP 사용자 이메일 주소 성능 지향 조회를 수행할 수 있습니다. SAP 테이블 USR21(사용자 이름/주소 키 할당) 및 ADR6(이메일 주소)에서 추출된 데이터를 사용하면 SAPUsersEmail 함수에서 이메일 주소를 찾습니다. 이메일 주소를 찾을 수 없으면 이메일 주소 대신 사용자 ID가 반환됩니다. 이 동작을 통해 주로 이메일 주소와 연결되지 않는 SAP 서비스 계정(예: DDIC)이 의사 AD 계정으로 로그되어 일부 UEBA 기능을 사용하고 인시던트 조사와 헌팅 작업을 지원합니다.

필드 Description
ClientID SAP 클라이언트 ID
SystemID SAP 시스템 ID
사용자 SAP 사용자 ID
메일 SAP 사용자의 이메일 주소입니다.

SAPSystems

SAPSystems 함수는 'SAP - 시스템' 관심 목록을 사용하여 만든 시스템별 구성을 중앙에서 표시하는 데 사용됩니다.

매개 변수:

  • SelectedSystems
    • 선택 사항
    • 기본값: "All Systems"
    • 특정 SAP 시스템을 필터링하는 데 사용됨
  • SelectedSystemRoles
    • 선택 사항
    • 기본값: "All Systems Roles"
    • 살펴볼 SAP 시스템의 역할을 결정합니다("SAP - 시스템" 관심 목록에 정의된 대로).
필드 설명 데이터 원본/메모
SearchKey 검색 키 SAP 시스템 ID의 인덱싱된 필드
SystemRole SAP 시스템 역할 프로덕션, UAT
SystemUsage SAP 시스템의 주요 사용량 ERP, CRM
SystemID SAP 시스템 ID

SAPAuditLogConfiguration

SAPAuditLogConfiguration 함수는 다른 SAP 감사 로그 관련 경고에 사용할 Sentinel 작업 영역의 SAP 감사 로그 경고 로컬 구성을 반환합니다. 'SAP 동적 감사 로그 모니터 구성' 및 'SAP - 시스템' 관심 목록의 데이터를 조인하여 per-system-role 활동에서 시스템별 구성을 제공합니다.

매개 변수:

  • SelectedSystems
    • 선택 사항
    • 기본값: "All Systems"
    • 살펴볼 특정 SAP 시스템을 필터링하는 데 사용됨
  • SelectedSystemRoles
    • 선택 사항
    • 기본값: "All Systems Roles"
    • 살펴볼 SAP 시스템의 역할을 결정합니다("SAP - 시스템" 관심 목록에 정의된 대로).
  • SelectedSeverities
    • 선택 사항
    • 기본값: ["High", "Medium"]
    • 심각도 측면에서 살펴볼 이벤트를 결정하는 데 사용됩니다. SAP 감사 로그 메시지 ID 및 시스템 역할별 심각도는 "SAP_Dynamic_Audit_Log_Monitor_Configuration" 관심 목록에 정의되어 있습니다.
  • SelectedRuleTypes
    • 선택 사항
    • 기본값: "All RuleTypes"
    • 변칙 검색과 관련된 이벤트를 결정합니다. SAP 감사 로그 메시지 ID 및 시스템 역할별 규칙 형식은 "SAP_Dynamic_Audit_Log_Monitor_Configuration" 관심 목록에 정의되어 있습니다.
필드 설명 데이터 원본/메모
CategoryName SAP 지정된 이벤트 범주 'SAP 동적 감사 로그 모니터 구성' 관심 목록
DestinationEmail 할당된 팀의 이메일 주소 'SAP 동적 감사 로그 모니터 구성' 관심 목록
DetailedDescription 경고에 표시할 마크다운 서식이 지정된 텍스트 'SAP 동적 감사 로그 모니터 구성' 관심 목록
MessageID SAP 감사 로그 메시지 ID 'SAP 동적 감사 로그 모니터 구성' 관심 목록
MessageText 샘플 메시지 텍스트 'SAP 동적 감사 로그 모니터 구성' 관심 목록
RolesTagsToExclude ABAP 역할, 프로필 또는 자유 텍스트 태그 'SAP 동적 감사 로그 모니터 구성' 관심 목록
RuleType 변칙 또는 결정적 'SAP 동적 감사 로그 모니터 구성' 관심 목록
전술 MITRE ATTA&CK 전술 'SAP 동적 감사 로그 모니터 구성' 관심 목록
TeamsChannelID Teams 채널 'SAP 동적 감사 로그 모니터 구성' 관심 목록
SystemID SAP 시스템 ID ‘SAP - 시스템’ 관심 목록
SystemRole SAP 시스템 역할 ‘SAP - 시스템’ 관심 목록
SystemUsage SAP 시스템의 주요 사용량 ‘SAP - 시스템’ 관심 목록
IsProd 프로덕션 시스템 플래그 ‘SAP - 시스템’ 관심 목록
심각도 파생 심각도 시스템 사용량별 심각도
임계값 파생 임계값 시스템 사용량당 이벤트 수
BagOfDetails 세부 정보 모음 이벤트 정의를 자세히 설명하는 사전

SAPAuditLogAnomalies

SAPAuditLogAnomalies는 Sentinel의 기본 Kusto 데이터베이스의 기본 제공 기계 학습 기능을 사용하여 SAP 감사 로그에서 관찰되는 비정상적인 이벤트를 검색하는 데 도움이 됩니다. "SAP - (실험적) 동적 변칙 기반 감사 로그 모니터 경고" 경고 규칙을 위해 개발된 이 함수는 처음에는 최근의 변칙을 경고하도록 설계되었지만 기록 변칙을 강조 표시하는 데에도 도움이 될 수 있습니다(다음 예제 참조).

매개 변수:

  • LearningTime
    • 선택 사항
    • 기본값: 14일
    • 모델 학습에 사용되는 시간 간격을 결정합니다.
  • DetectingTime
    • 선택 사항
    • 기본값: 1시간
    • 변칙 검색에 사용할 확인 시간 간격을 결정합니다. DetectingTime = 0h로 이 함수를 호출하면 전체 LearningTime 시간 범위에서 변칙이 강조 표시됩니다.
  • SelectedSystems
    • 선택 사항
    • 기본값: "All Systems"
    • 살펴볼 특정 SAP 시스템을 필터링하는 데 사용됨
  • SelectedSystemRoles
    • 선택 사항
    • 기본값: "All Systems Roles"
    • 살펴볼 SAP 시스템의 역할을 결정합니다("SAP - 시스템" 관심 목록에 정의된 대로).
  • SelectedSeverities
    • 선택 사항
    • 기본값: ["High", "Medium"]
    • 심각도 측면에서 살펴볼 이벤트를 결정하는 데 사용됩니다. SAP 감사 로그 메시지 ID 및 시스템 역할별 심각도는 "SAP_Dynamic_Audit_Log_Monitor_Configuration" 관심 목록에 정의되어 있습니다.
  • SelectedPrefixMask
    • 선택 사항
    • 기본값: 24
    • 학습 및 검색에 사용되는 서브넷 마스크 수준을 확인하는 데 사용됩니다.
  • SelectedRuleTypes
    • 선택 사항
    • 기본값: "AnomaliesOnly"
    • 변칙 검색과 관련된 이벤트를 결정합니다. SAP 감사 로그 메시지 ID 및 시스템 역할별 규칙 형식은 "SAP_Dynamic_Audit_Log_Monitor_Configuration" 관심 목록에 정의되어 있습니다.

논리

이 함수는 사용자, 네트워크 특성, 시스템, 계절성 및 작업 수준에서 다양한 입력 매개 변수에서 정의된 기록 조각을 학습합니다. 그런 다음, 학습한 내용에 따라 마지막 DetectingTime 시간 범위 내에서 발생하는 이벤트를 판단하여 SAP 감사 로그 구성 관심 목록에서 얻은 임계값과 기타 구성 가능한 제외 조건을 적용합니다. 사용자 작업 슬라이딩 윈도우가 비정상으로 간주되면 두 번째 쿼리는 전체 사용자 작업을 결정을 뒷받침하는 증거로 반환합니다.

추가적인 참고 사항

모든 기계 학습 솔루션과 마찬가지로 이 함수는 시간이 경과함에 따라 더욱 효율적으로 수행됩니다. 로컬 구성을 사용하여 추가 조정을 수행할 수 있습니다. 사용 가능한 많은 입력 매개 변수를 사용하여 학습된 데이터베이스 크기를 레코드 1억 개 미만으로 제한하는 것이 좋습니다.

예제: "SAP_Dynamic_Audit_Log_Monitor_Configuration"에서 "AnomaliesOnly"로 표시된 이벤트 유형에 대해 프로덕션 시스템에서 지난 1시간 이내에 발생한 심각도가 높은 이벤트의 변칙 찾기

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))

예제: 시스템 "BIP"에서 지난 14일 동안의 모든 변칙 검색

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
필드 Description
SAPAuditLog의 여러 필드 SAP 감사 로그의 키 필드
SAPAuditLogConfiguration의 여러 필드 SAP용 Sentinel 감사 로그 구성의 키 필드
DiscoveredOn 변칙이 관찰된 시간(반올림)
EventCount 반환된 행당 계산된 이벤트 수
AnomalCount 관련 슬라이딩 윈도우 내에서 관찰되는 이벤트 수
MinTime 첫 번째 이벤트가 관찰된 시간
MaxTime 마지막으로 관찰된 이벤트의 시간
점수 매기기 변칙 모델에서 생성한 변칙 점수

자세한 내용은 SAP 감사 로그 모니터링을 위한 기본 제공 SAP 분석 규칙을 참조하세요.

SAPAuditLogConfigRecommend

SAPAuditLogConfigRecommendSAP - 동적 변칙 기반 감사 로그 모니터 경고(미리 보기) 분석 규칙 구성에 대한 권장 사항을 제공하도록 설계된 도우미 함수입니다. 규칙을 구성하는 방법을 알아봅니다.

SAPUsersGetVIP

SAP용 Sentinel 솔루션은 고객 쪽에서 최소한의 노력으로 가양성 비율을 낮출 수 있도록 설계된 중앙 사용자 태그 지정 개념을 사용합니다.

  • 사용자는 "SAP 사용자 구성" 관심 목록을 사용하여 태그를 지정할 수 있습니다(예: DDIC는 "RunObsoleteProgOK"로 할당됨). 사용자 여러 명에게 태그 여러 개가 있을 수 있습니다.
  • 경고 규칙은 SAPUsersGetVIP 함수에 관련 태그를 전송하여 제외할 사용자 목록을 요청합니다. "SAP - 사용되지 않거나 안전하지 않은 프로그램 실행" 경고 규칙은 "RunObsoleteProgOK" 태그가 있는 사용자를 요청할 수 있습니다.

다음은 아래에 설명된 사용 사례를 보여주는 KQL 쿼리입니다.

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
let excludeUsersTags= dynamic(['RunObsoleteProgOK']);
let excludedUsers= SAPUsersGetVIP(SearchForTags= dynamic(["RunObsoleteProgOK"]))| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog 
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

이 기능은 결정적 및 비정상 감사 로그 모니터 경고에 많이 사용됩니다. 여기서 태그를 SAP 감사 로그 메시지 ID와 연결하고 사용자 지정 경고 규칙으로 쉽게 확장할 수 있습니다. 매개 변수:

  • SearchForTags
    • 선택 사항
    • 기본값: dynamic('All Tags')
    • SearchForTags가 'All Tags'와 같으면 모든 사용자가 태그와 함께 반환되고, 그렇지 않으면 SearchForTags에 지정된 태그를 가진 사용자만 반환됩니다. TagsIntersect는 발견된 태그를 표시하고 IntersectionSize는 해당 태그 수를 보존합니다.
  • SpecialFocusTags
    • 선택 사항
    • 기본값: "Do not return any in-focus users"
    • 이 함수는 SpecialFocusTags에 지정된 태그를 가진 모든 사용자를 반환하고 specialFocusTagged = true로 표시합니다.
원본 필드 Description 참고
"SAP 사용자 구성" 관심 목록 SearchKey 검색 키
"SAP 사용자 구성" 관심 목록 SAPUser SAP 사용자 OSS, DDIC
"SAP 사용자 구성" 관심 목록 태그 사용자에게 할당된 태그의 문자열 RunObsoleteProgOK
"SAP 사용자 구성" 관심 목록 사용자의 Microsoft Azure Active Directory(Azure AD) 개체 ID Azure AD 개체 ID
"SAP 사용자 구성" 관심 목록 사용자 ID AD 사용자 식별자
"SAP 사용자 구성" 관심 목록 사용자 온-프레미스 Sid
"SAP 사용자 구성" 관심 목록 사용자 계정 이름
"SAP 사용자 구성" 관심 목록 TagsList 사용자에게 할당된 태그의 목록 ChangeUserMasterDataOK;RunObsoleteProgOK
논리 TagsIntersect SearchForTags와 일치하는 태그 세트 ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
논리 SpecialFocusTagged 특수 포커스 표시 True, False
논리 IntersectionSize 교차된 태그 수

SAPUsersHeader

SAPUsersHeader 함수는 개략적인 SAP 사용자 보기를 제공하도록 설계되었습니다. SAP 사용자 마스터 데이터 테이블과 SAP 감사 로그의 최근 작업 모두에서 추출된 데이터를 사용하여 이메일과 IP 주소를 수집합니다. 그런 다음, 마지막으로 알려진 이메일과 IP 주소를 기본 이메일과 IP 주소와 함께 반환합니다. 매개 변수: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"

  • SelectedSystems
    • 선택 사항
    • 기본값: "All Systems"
    • 살펴볼 특정 SAP 시스템을 필터링하는 데 사용됨
  • SelectedSystemRoles
    • 선택 사항
    • 기본값: "All Systems Roles"
    • 살펴볼 SAP 시스템의 역할을 결정합니다("SAP - 시스템" 관심 목록에 정의된 대로).
  • SelectedUsers
    • 선택 사항
    • 기본값: “All Users”
    • 사용자 목록을 입력할 수 있습니다.
  • SelectedUser
    • 선택 사항
    • 기본값: “All Users”
    • 단일 사용자만 허용

추가적인 참고 사항

성능에는 며칠 간의 감사 작업만 고려됩니다. 사용자 작업의 전체 기록을 보려면 SAPAuditLog 함수에 대해 사용자 지정 KQL 쿼리를 실행합니다.

원본 필드 Description 참고
사용자 SAP 사용자
SAP 테이블 ADR6 및 USR21 메일 사용자의 마스터 데이터에서 가져옴 OSS, DDIC
SAP 테이블 USR02 UserType 사용자에게 할당된 태그의 문자열 RunObsoleteProgOK
SAP 테이블 USR02 표준 시간대 Azure AD 개체 ID
SAP 테이블 USR02 LockedStatus AD 사용자 식별자
SAP 감사 로그 LastSeen 타임스탬프 사용자를 관찰한 마지막 감사 이벤트
SAP 감사 로그 LastSeenDaysAgo LastSeen 이후 경과된 일 수
SAP 감사 로그 PrimaryIP 가장 많이 사용된 IP 주소 ChangeUserMasterDataOK;RunObsoleteProgOK
SAP 감사 로그 LastKnownIP 가장 최근에 사용된 IP 주소 ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
SAP 감사 로그 PrimaryEmail 가장 많이 사용된 이메일 주소 True, False
SAP 감사 로그 KnownIPs 알려진 IP 주소 목록 가장 많이 사용되는 순서로 정렬
SAP 감사 로그 KnownEmails 알려진 이메일 주소 목록 가장 많이 사용되는 순서로 정렬
클라이언트 SAP 클라이언트 ID
SystemID SAP 시스템 ID
SystemRole SAP 시스템 역할 프로덕션, UAT
SystemUsage SAP 시스템의 주요 사용량 ERP, CRM

데이터 커넥터 에이전트에서 생성한 로그

이 섹션에서는 Microsoft Sentinel의 테이블 이름, 로그 용도 및 자세한 로그 스키마를 포함하여 SAP용 Microsoft Sentinel 솔루션 데이터 커넥터에서 사용할 수 있는 SAP 로그에 대해 설명합니다. 스키마 필드 설명은 관련 SAP 문서의 필드 설명을 기반으로 합니다.

최상의 결과를 위해 아래에 나열된 Microsoft Sentinel 함수를 사용하여 데이터 시각화, 액세스 및 쿼리를 수행합니다.

ABAP 애플리케이션 로그

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPAppLog

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: 나중에 필요에 따라 재구성할 수 있도록 애플리케이션 실행 진행률을 기록합니다.

    표준 SAP 테이블 및 XBP 인터페이스의 표준 서비스를 기반으로 하는 RFC를 사용하여 사용할 수 있습니다. 이 로그는 클라이언트별로 생성됩니다.

ABAPAppLog_CL 로그 스키마

필드 Description
AppLogDateTime 애플리케이션 로그 날짜 시간
CallbackProgram 콜백 프로그램
CallbackRoutine 콜백 루틴
CallbackType 콜백 유형
ClientID ABAP 클라이언트 ID(MANDT)
ContextDDIC 컨텍스트 DDIC 구조
ExternalID 외부 로그 ID
호스트 호스트
인스턴스 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial 일련의 애플리케이션 로그 메시지
LevelofDetail 세부 수준
LogHandle 애플리케이션 로그 핸들
LogNumber 로그 번호
MessageClass Message 클래스
MessageNumber 메시지 번호
MessageText 메시지 텍스트
MessageType 메시지 유형
Object 애플리케이션 로그 개체
OperationMode 작업 모드
ProblemClass 문제 클래스
ProgramName 프로그램 이름
SortCriterion 정렬 기준
StandardText 표준 텍스트
하위 개체 애플리케이션 로그 하위 개체
SystemID 시스템 ID
SystemNumber 시스템 번호
TransactionCode 트랜잭션 코드
사용자 사용자
UserChange 사용자 변경

ABAP 변경 문서 로그

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPChangeDocsLog

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: 기록:

    • SAP NetWeaver AS(Application Server) ABAP는 변경 문서에서 비즈니스 데이터 개체에 대한 변경 내용을 기록합니다.

    • SAP 시스템의 다른 엔터티(예: 사용자 데이터, 역할, 주소)

    표준 SAP 테이블을 기반으로 RFC를 사용하여 사용할 수 있습니다. 이 로그는 클라이언트별로 생성됩니다.

ABAPChangeDocsLog_CL 로그 스키마

필드 Description
ActualChangeNum 실제 변경 번호
ChangedTableKey 변경된 테이블 키
ChangeNumber 번호 바꾸기
ClientID ABAP 클라이언트 ID(MANDT)
CreatedfromPlannedChange 다음 구문의 계획된 변경에서 작성: (‘X’ , ‘ ‘)
CurrencyKeyNew 통화 키: 새 값
CurrencyKeyOld 통화 키: 이전 값
FieldName 필드 이름
FlagText 플래그 텍스트
호스트 호스트
인스턴스 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR>
언어 언어
ObjectClass BELEG, BPAR, PFCG, IDENTITY와 같은 개체 클래스
ObjectID 개체 ID
PlannedChangeNum 계획된 변경 번호
SystemID 시스템 ID
SystemNumber 시스템 번호
TableName 테이블 이름
TransactionCode 트랜잭션 코드
TypeofChange_Header 다음을 포함한 변경의 헤더 형식:
U = 변경; I = 삽입; E = 단일 Docu 삭제; D = 삭제; J = 단일 Docu 삽입
TypeofChange_Item 다음을 포함한 변경의 항목 유형:
U = 변경; I = 삽입; E = 단일 Docu 삭제; D = 삭제; J = 단일 Docu 삽입
UOMNew 측정 단위: 새 값
UOMOld 측정 단위: 이전 값
사용자 사용자
ValueNew 필드 콘텐츠: 새 값
ValueOld 필드 내용: 이전 값
버전 버전

ABAP CR 로그

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPCRLog

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: 변경된 디렉터리 개체 및 사용자 지정을 비롯한 CTS(변경 & 전송 시스템) 로그를 포함합니다.

    표준 테이블 및 표준 SAP 서비스를 기반으로 하는 RFC를 사용하여 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.

참고

애플리케이션 로깅, 변경 문서 및 테이블 기록 외에도 변경 & 전송 시스템을 사용하여 프로덕션 시스템에 적용한 모든 변경 사항은 CTS 및 TMS 로그에 문서화됩니다.

ABAPCRLog_CL 로그 스키마

필드 Description
범주 범주(워크벤치, 사용자 지정)
ClientID ABAP 클라이언트 ID(MANDT)
Description Description
호스트 호스트
인스턴스 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR>
ObjectName 개체 이름
ObjectType 개체 형식
소유자 소유자
요청 변경 요청
상태 상태
SystemID 시스템 ID
SystemNumber 시스템 번호
TableKey 테이블 키
TableName 테이블 이름
ViewName 뷰 이름

ABAP DB 테이블 데이터 로그(미리 보기)

이 로그를 Microsoft Sentinel로 보내려면 systemconfig.ini 파일에 수동으로 추가해야 합니다.

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPTableDataLog

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: 중요하거나 감사에 취약한 테이블에 대한 로깅을 제공합니다.

    사용자 지정 서비스와 함께 RFC를 통해 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.

ABAPTableDataLog_CL 로그 스키마

필드 Description
DBLogID DB 로그 ID
호스트 호스트
인스턴스 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR>
언어 언어
LogKey 로그 키
NewValue 필드 새 값
OldValue 필드 이전 값
OperationTypeSQL 작업 유형, Insert, Update, Delete
프로그램 프로그램 이름
SystemID 시스템 ID
SystemNumber 시스템 번호
TableField 테이블 필드
TableName 테이블 이름
TransactionCode 트랜잭션 코드
UserName 사용자
VersionNumber 버전 번호

ABAP 게이트웨이 로그(미리 보기)

이 로그를 Microsoft Sentinel로 보내려면 systemconfig.ini 파일에 수동으로 추가해야 합니다.

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_GW

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: 게이트웨이 활동을 모니터링합니다. SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.

ABAPOS_GW_CL 로그 스키마

필드 Description
호스트 호스트
인스턴스 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR>
MessageText 메시지 텍스트
심각도 메시지 심각도: Debug, Info, Warning, Error
SystemID 시스템 ID
SystemNumber 시스템 번호

ABAP ICM 로그(미리 보기)

이 로그를 Microsoft Sentinel로 보내려면 systemconfig.ini 파일에 수동으로 추가해야 합니다.

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_ICM

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: 인바운드 및 아웃바운드 요청을 기록하고 HTTP 요청의 통계를 컴파일합니다.

    SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.

ABAPOS_ICM_CL 로그 스키마

필드 Description
호스트 호스트
인스턴스 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR>
MessageText 메시지 텍스트
심각도 Debug, Info, Warning, Error를 포함한 메시지 심각도
SystemID 시스템 ID
SystemNumber 시스템 번호

ABAP 작업 로그

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPJobLog

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: 모든 백그라운드 처리 작업 로그를 결합합니다(SM37).

    표준 SAP 테이블 및 XBP 인터페이스의 표준 서비스를 기반으로 RFC를 사용하여 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.

ABAPJobLog_CL 로그 스키마

필드 Description
ABAPProgram ABAP 프로그램
BgdEventParameters 백그라운드 이벤트 매개 변수
BgdProcessingEvent 백그라운드 프로세스 이벤트
ClientID ABAP 클라이언트 ID(MANDT)
DynproNumber Dynpro 번호
GUIStatus GUI status
호스트 호스트
인스턴스 다음 구문의 ABAP 인스턴스(HOST_SYSID_SYSNR): <HOST>_<SYSID>_<SYSNR>
JobClassification 직군
JobCount 작업 수
JobGroup 작업 그룹
JobName 작업 이름
JobPriority 작업 우선 순위
MessageClass Message 클래스
MessageNumber 메시지 번호
MessageText 메시지 텍스트
MessageType 메시지 유형
ReleaseUser 작업 릴리스 사용자
SchedulingDateTime 날짜 시간 예약
StartDateTime 시작 날짜 시간
SystemID 시스템 ID
SystemNumber 시스템 번호
TargetServer 대상 서버
사용자 사용자
UserReleaseInstance ABAP 인스턴스 - 사용자 릴리스
WorkProcessID 작업 프로세스 ID
WorkProcessNumber 작업 프로세스 번호

ABAP 보안 감사 로그

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPAuditLog

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: 다음 데이터를 기록합니다.

    • 주 사용자 레코드에 대한 변경 사항과 같은 SAP 시스템 환경에 대한 보안 관련 변경 내용
    • 성공 및 실패 로그인 시도와 같은 더 높은 수준의 데이터를 제공하는 정보
    • 성공 또는 실패 트랜잭션 시작과 같은 일련의 이벤트를 재구성하는 데 사용할 수 있는 정보

    RFC XAL/SAL 인터페이스를 통해 사용할 수 있습니다. SAL은 버전 7.50부터 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.

ABAPAuditLog_CL 로그 스키마

필드 Description
ABAPProgramName 프로그램 이름, SAL 전용
AlertSeverity 경고 심각도
AlertSeverityText 경고 심각도 텍스트, SAL 전용
AlertValue 경고 값
AuditClassID 감사 클래스 ID, SAL 전용
ClientID ABAP 클라이언트 ID(MANDT)
Computer 사용자 컴퓨터, SAL 전용
메일 사용자 전자 메일
호스트 호스트
인스턴스 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR>
MessageClass Message 클래스
MessageContainerID 메시지 컨테이너 ID, XAL 전용
MessageID ‘AU1’,’AU2’…와 같은 메시지 ID
MessageText 메시지 텍스트
MonitoringObjectName MTE 모니터 개체 이름, XAL 전용
MonitorShortName MTE 모니터 약식 이름, XAL 전용
SAPProcesType 시스템 로그: SAP 프로세스 유형, SAL 전용
B* - 백그라운드 처리 중
D* - 대화 상자 처리 중
U* - 작업 업데이트
SAPWPName 시스템 로그: 작업 프로세스 번호, SAL 전용
SystemID 시스템 ID
SystemNumber 시스템 번호
TerminalIPv6 사용자 컴퓨터 IP, SAL 전용
TransactionCode 트랜잭션 코드, SAL 전용
사용자 사용자
Variable1 메시지 변수 1
Variable2 메시지 변수 2
Variable3 메시지 변수 3
Variable4 메시지 변수 4

ABAP 스풀 로그

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPSpoolLog

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: 스풀 요청 기록이 있는 SAP 인쇄의 기본 로그 역할을 합니다. (SP01).

    표준 SAP 테이블을 기반으로 RFC를 사용하여 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.

ABAPSpoolLog_CL 로그 스키마

필드 Description
ArchiveStatus 보관 상태
ArchiveType 보관 형식
ArchivingDevice 보관 디바이스
AutoRereoute 자동 경로 다시 라우팅
ClientID ABAP 클라이언트 ID(MANDT)
CountryKey 국가 키
DeleteSpoolRequestAuto 스풀 요청 자동 삭제
DelFlag 삭제 플래그
department department
DocumentType 문서 형식
ExternalMode 외부 모드
FormatType 형식 유형
호스트 호스트
인스턴스 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR>
NumofCopies 매수
OutputDevice 출력 디바이스
PrinterLongName 프린터 긴 이름
PrintImmediately 즉시 인쇄
PrintOSCoverPage OSCover 페이지 인쇄
PrintSAPCoverPage SAPCover 페이지 인쇄
우선 순위 우선 순위
RecipientofSpoolRequest 스풀 요청의 수신자
SpoolErrorStatus 스풀 오류 상태
SpoolRequestCompleted 스풀 요청이 완료됨
SpoolRequestisALogForAnotherRequest 스풀 요청아 다른 요청에 대한 로그임
SpoolRequestName 스풀 요청 이름
SpoolRequestNumber 스풀 요청 번호
SpoolRequestSuffix1 스풀 요청 접미사1
SpoolRequestSuffix2 스풀 요청 접미사2
SpoolRequestTitle 스풀 요청 제목
SystemID 시스템 ID
SystemNumber 시스템 번호
TelecommunicationsPartner 통신 파트너
TelecommunicationsPartnerE 통신 파트너 E
TemSeGeneralcounter Temse 카운터
TemseNumAddProtectionRule Temse 번호 추가 보호 규칙
TemseNumChangeProtectionRule Temse 번호 변경 보호 규칙
TemseNumDeleteProtectionRule Temse 번호 삭제 보호 규칙
TemSeObjectName Temse 개체 이름
TemSeObjectPart TemSe 개체 부분
TemseReadProtectionRule Temse 읽기 방지 규칙
사용자 사용자
ValueAuthCheck 값 인증 확인

APAB 스풀 출력 로그

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPSpoolOutputLog

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: 스풀 출력 요청 기록이 있는 SAP 인쇄의 기본 로그 역할을 합니다. (SP02).

    표준 테이블을 기반으로 하는 사용자 지정 서비스와 함께 RFC를 통해 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.

ABAPSpoolOutputLog_CL 로그 스키마

필드 Description
AppServer 애플리케이션 서버
ClientID ABAP 클라이언트 ID(MANDT)
의견 의견
CopyCount 횟수 복사
CopyCounter 카운터 복사
department department
ErrorSpoolRequestNumber 오류 요청 번호
FormatType 형식 유형
호스트 호스트
HostName 호스트 이름
HostSpoolerID 호스트 스풀러 ID
인스턴스 ABAP 인스턴스
LastPage 마지막 페이지
NumofCopies 매수
OutputDevice 출력 디바이스
OutputRequestNumber 출력 요청 번호
OutputRequestStatus 출력 요청 상태
PhysicalFormatType 물리적 형식 유형
PrinterLongName 프린터 긴 이름
PrintRequestSize 인쇄 요청 크기
우선 순위 우선 순위
ReasonforOutputRequest 출력 요청 이유
RecipientofSpoolRequest 스풀 요청의 수신자
SpoolNumberofOutputReqProcessed 출력 요청 수 - 처리됨
SpoolNumberofOutputReqWithErrors 출력 요청 수 - 오류 발생
SpoolNumberofOutputReqWithProblems 출력 요청 수 - 문제 발생
SpoolRequestNumber 스풀 요청 번호
StartPage 시작 페이지
SystemID 시스템 ID
SystemNumber 시스템 번호
TelecommunicationsPartner 통신 파트너
TemSeGeneralcounter Temse 카운터
제목 제목
사용자 사용자

ABAP Syslog

이 로그를 Microsoft Sentinel로 보내려면 systemconfig.ini 파일에 수동으로 추가해야 합니다.

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_Syslog

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: 모든 SAP NetWeaver AS(SAP NetWeaver Application Server) ABAP 시스템 오류, 경고, 알려진 사용자의 로그인 시도 실패로 인한 사용자 잠금 및 프로세스 메시지를 기록합니다.

    SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.

ABAPOS_Syslog_CL 로그 스키마

필드 Description
ClientID ABAP 클라이언트 ID(MANDT)
호스트 호스트
인스턴스 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR>
MessageNumber 메시지 번호
MessageText 메시지 텍스트
심각도 메시지 심각도, 다음 값 중 하나: Debug, Info, Warning, Error
SystemID 시스템 ID
SystemNumber 시스템 번호
TransacationCode 트랜잭션 코드
Type SAP 프로세스 유형
사용자 사용자

ABAP 워크플로 로그

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPWorkflowLog

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: SAP Business Workflow(WebFlow 엔진)를 사용하면 아직 SAP 시스템에 매핑되지 않은 비즈니스 프로세스를 정의할 수 있습니다.

    예를 들어 매핑되지 않은 비즈니스 프로세스는 간단한 릴리스 또는 승인 절차일 수 있거나, 기본 자료를 만든 다음 관련 부서를 조정하는 등 더 복잡한 비즈니스 프로세스일 수 있습니다.

    표준 SAP 테이블을 기반으로 RFC를 사용하여 사용할 수 있습니다. 이 로그는 클라이언트별로 생성됩니다.

ABAPWorkflowLog_CL 로그 스키마

필드 Description
ActualAgent 실제 에이전트
주소 주소
ApplicationArea 애플리케이션 영역
CallbackFunction 콜백 함수
ClientID ABAP 클라이언트 ID(MANDT)
CreationDateTime 만든 날짜 시간
만든 이 만든 이
CreatorAddress 작성자 주소
ErrorType 오류 유형
ExceptionforMethod 메서드에 대한 예외
호스트 호스트
인스턴스 다음 구문의 ABAP 인스턴스(HOST_SYSID_SYSNR): <HOST>_<SYSID>_<SYSNR>
언어 언어
LogCounter 로그 카운터
MessageNumber 메시지 번호
MessageType 메시지 유형
MethodUser 메서드 사용자
우선 순위 우선 순위
SimpleContainer 간단한 컨테이너, 작업 항목에 대한 키-값 엔터티 목록으로 압축됨
상태 상태
SuperWI 슈퍼 WI
SystemID 시스템 ID
SystemNumber 시스템 번호
TaskID 작업 ID
TasksClassification 작업 분류
TaskText 작업 텍스트
TopTaskID 상위 작업 ID
UserCreated 사용자가 생성함
WIText 작업 항목 텍스트
WIType 작업 항목 형식
WorkflowAction 워크플로 작업
WorkItemID 작업 항목 ID

ABAP 작업 프로세스 로그

이 로그를 Microsoft Sentinel로 보내려면 systemconfig.ini 파일에 수동으로 추가해야 합니다.

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_WP

  • 관련 SAP 문서: SAP 도움말 포털

  • 로그 용도: 모든 작업 프로세스 로그를 결합합니다. (기본값 dev_*)

    SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.

ABAPOS_WP_CL 로그 스키마

필드 Description
호스트 호스트
인스턴스 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR>
MessageText 메시지 텍스트
심각도 메시지 심각도: Debug, Info, Warning, Error
SystemID 시스템 ID
SystemNumber 시스템 번호
WPNumber 작업 프로세스 번호

HANA DB 감사 내역

이 로그를 Microsoft Sentinel로 보내려면 HANA DB를 실행하는 컴퓨터에서 Syslog 데이터를 수집하기 위해 Microsoft 관리 에이전트를 배포해야 합니다.

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPSyslog

  • 관련 SAP 문서: 일반 | 감사 내역

  • 로그 용도: SAP HANA 데이터베이스에 사용자 작업 또는 시도한 작업을 기록합니다. 예를 들어 이를 통해 중요한 데이터에 대한 읽기 액세스를 기록하고 모니터링할 수 있습니다.

    Syslog용 Sentinel Linux 에이전트에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.

Syslog 로그 스키마

필드 Description
Computer 호스트 이름
HostIP 호스트 IP
HostName 호스트 이름
ProcessID 프로세스 ID
ProcessName 프로세스 이름: HDB*
SeverityLevel 경고
SourceSystem 원본 시스템 OS, Linux
SyslogMessage 메시지, 구문 분석되지 않은 감사 내역 메시지

JAVA 파일

이 로그를 Microsoft Sentinel로 보내려면 systemconfig.ini 파일에 수동으로 추가해야 합니다.

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPJAVAFilesLogs

  • 관련 SAP 문서: 일반 | Java 보안 감사 로그

  • 로그 용도: 보안 감사 로그, 시스템(클러스터 및 서버 프로세스), 성능 및 게이트웨이 로그를 포함한 모든 Java 파일 기반 로그를 결합합니다. 개발자 추적 및 기본 추적 로그도 포함합니다.

    SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.

JavaFilesLogsCL 로그 스키마

필드 Description
애플리케이션 Java 애플리케이션
ClientID 클라이언트 ID
CSNComponent CSN 구성 요소(예: BC-XI-IBD)
DCComponent DC 구성 요소(예: com.sap.xi.util.misc)
DSRCounter DSR 카운터
DSRRootContentID DSR 컨텍스트 GUID
DSRTransaction DSR 트랜잭션 GUIDMNo
호스트 호스트
인스턴스 다음 구문의 Java 인스턴스: <HOST>_<SYSID>_<SYSNR>
Location Java 클래스
LogName Java logName(예: Available, defaulttrace, dev*, security 등)
MessageText 메시지 텍스트
MNO 메시지 번호
Pid 프로세스 ID
프로그램 프로그램 이름
세션 세션
심각도 메시지 심각도(예: Debug, Info, Warning, Error 등)
해결 방법 해결 방법
SystemID 시스템 ID
SystemNumber 시스템 번호
ThreadName 스레드 이름
Throw됨 throw된 예외
TimeZone 표준 시간대
사용자 사용자

SAP 하트비트 로그

  • 이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPConnectorHealth

  • 로그 목적: 에이전트와 다른 SAP 시스템 간의 연결에 대한 하트비트 및 기타 상태 정보를 제공합니다.

    SAP용 Microsoft Sentinel 데이터 커넥터의 모든 에이전트에 대해 자동으로 만들어집니다.

SAP_HeartBeat_CL log schema

필드 Description
TimeGenerated 로그 게시 이벤트 시간
agent_id_s 에이전트 구성의 에이전트 ID(자동으로 생성됨)
agent_ver_s 에이전트 버전
host_s 에이전트의 호스트 이름
system_id_s Netweaver ABAP 시스템 ID/
Netweaver SAPControl 호스트(미리 보기)/
Java SAPControl 호스트(미리 보기)
push_timestamp_d 추출의 타임스탬프(에이전트의 표준 시간대 기준)
agent_timezone_s 에이전트의 표준 시간대

SAP 시스템에서 직접 검색된 테이블

이 섹션에서는 SAP 시스템에서 직접 검색되고 Microsoft Sentinel로 수집되는 데이터 테이블을 그대로 나열합니다.

이러한 테이블의 데이터를 Microsoft Sentinel로 수집하려면 systemconfig.ini 파일에서 관련 설정을 구성합니다. 자세한 내용은 사용자 마스터 데이터 수집 구성을 참조하세요.

이러한 테이블에서 검색된 데이터는 권한 부여 구조, 그룹 멤버 자격 및 사용자 프로필에 대한 명확한 보기를 제공합니다. 또한 권한 부여 및 해지 프로세스를 추적하고 해당 프로세스와 관련된 위험을 식별하고 제어할 수 있게 해줍니다.

아래에 나열된 테이블은 권한 있는 사용자를 식별하고 사용자를 역할, 그룹 및 권한 부여에 매핑하는 함수를 사용하도록 설정하는 데 필요합니다.

최상의 결과를 위해 아래 Sentinel 함수 이름 열의 이름을 사용하여 다음 테이블을 참조하세요.

테이블 이름 테이블 설명 Sentinel 함수 이름
USR01 사용자 마스터 레코드(런타임 데이터) SAP_USR01
USR02 로그온 데이터(커널 쪽 사용) SAP_USR02
UST04 사용자 마스터
프로필에 사용자 매핑
SAP_UST04
AGR_USERS 사용자에게 역할 할당 SAP_AGR_USERS
AGR_1251 작업 그룹에 대한 권한 부여 데이터 SAP_AGR_1251
USGRP_USER 사용자 그룹에 사용자 할당 SAP_USGRP_USER
USR21 사용자 이름/주소 키 할당 SAP_USR21
ADR6 이메일 주소(비즈니스 주소 서비스) SAP_ADR6
USRSTAMP 사용자에 대한 모든 변경 내용의 타임스탬프 SAP_USRSTAMP
ADCP 개인/주소 할당(비즈니스 주소 서비스) SAP_ADCP
USR05 사용자 마스터 매개 변수 ID SAP_USR05
AGR_PROF 역할의 프로필 이름 SAP_AGR_PROF
AGR_FLAGS 역할 특성 SAP_AGR_FLAGS
DEVACCESS 개발 사용자용 테이블 SAP_DEVACCESS
AGR_DEFINE 역할 정의 SAP_AGR_DEFINE
AGR_AGRS 복합 역할의 역할 SAP_AGR_AGRS
PAHI 시스템, 데이터베이스 및 SAP 매개 변수의 기록 SAP_PAHI
SNCSYSACL(미리 보기) SNC ACL(액세스 제어 목록): 시스템 SAP_SNCSYSACL
USRACL(미리 보기) SNC ACL(액세스 제어 목록): 사용자 SAP_USRACL

다음 단계

자세한 내용은 다음을 참조하세요.