SAP® 애플리케이션용 Microsoft Sentinel 솔루션 데이터 참조
Important
SAP용 Microsoft Sentinel Threat Monitoring 솔루션의 일부 구성 요소는 현재 미리 보기 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
아래에 설명된 일부 로그는 기본적으로 Microsoft Sentinel로 전송되지 않지만 필요에 따라 수동으로 추가할 수 있습니다. 자세한 내용은 Microsoft Sentinel로 전송되는 SAP 로그 정의를 참조하세요.
이 문서에서는 SAP® 애플리케이션 및 해당 데이터 커넥터용 Microsoft Sentinel 솔루션의 일부로 사용할 수 있는 함수, 로그 및 테이블에 대해 설명합니다. 이는 고급 SAP 사용자를 위한 것입니다.
SAP 솔루션에서 사용할 수 있는 함수
이 섹션에서는 SAP® 애플리케이션용 Microsoft Sentinel 솔루션을 배포한 후 작업 영역에서 사용할 수 있는 함수 에 대해 설명합니다. 작업 영역 함수 아래에 나열된 Microsoft Sentinel 로그 페이지에서 KQL 쿼리에서 사용할 이러한 함수를 찾습니다.
사용자는 가능한 경우 기본 로그나 테이블 대신 함수를 분석의 주체로 사용하는 것이 좋습니다. 이러한 함수는 데이터에 대한 주 사용자 인터페이스 역할을 하기 위한 것입니다. 이는 기본적으로 제공되는 모든 기본 제공 분석 규칙 및 통합 문서의 기초가 됩니다. 따라서 사용자가 만든 콘텐츠를 손상시키지 않고 함수 아래의 데이터 인프라를 변경할 수 있습니다.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAPConnectorHealth
- SAPConnectorOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
SAPUsersAssignments 함수는 여러 SAP 데이터 원본에서 데이터를 수집하고 현재 할당된 역할 및 프로필을 포함하여 현재 사용자 마스터 데이터의 사용자 중심 보기를 만듭니다.
이 함수는 역할 및 프로필에 대한 사용자 할당을 요약하고 다음 데이터를 반환합니다.
| 필드 | 설명 | 데이터 원본/메모 |
|---|---|---|
| 사용자 | SAP 사용자 ID | SAL만 |
| 전자 메일 | SMTP 주소 | USR21(SMTP_ADDR) |
| UserType | 사용자 유형 | USR02(USTYP) |
| 표준 시간대 | 표준 시간대 | USR02(TZONE) |
| LockedStatus | 잠금 상태 | USR02(UFLAG) |
| LastSeenDate | 마지막으로 본 날짜 | USR02(TRDAT) |
| LastSeenTime | 마지막으로 본 시간 | USR02(LTIME) |
| UserGroupAuth | 사용자 마스터 유지 관리의 사용자 그룹 | USR02(CLASS) |
| 프로필 | 프로필 집합(기본 최대 집합 크기 = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | 직접적으로 할당된 역할 집합(기본 최대 집합 크기 = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | 간접적으로 할당된 역할 집합(기본 최대 집합 크기 = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| 클라이언트 | 클라이언트 ID | |
| SystemID | 시스템 ID | 커넥터에 정의된 대로 |
SAPUsersGetPrivileged
SAPUsersGetPrivileged 함수는 클라이언트 및 시스템 ID별로 권한 있는 사용자 목록을 반환합니다.
사용자는 SAP - 권한 있는 사용자 관심 목록에 나열되거나, SAP - 중요한 프로필 관심 목록에 나열된 프로필에 할당되었거나, SAP - 중요한 역할 관심 목록에 나열된 역할에 추가된 경우 권한이 있는 것으로 간주됩니다.
매개 변수:
- TimeAgo
- 선택 사항
- 기본값: 7일
- 함수가
TimeAgo값으로 정의된 시간부터now()값으로 정의된 시간까지 사용자 마스터 데이터를 찾는지 확인합니다.
SAPUsersGetPrivileged 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 |
|---|---|
| 사용자 | SAP 사용자 ID |
| 클라이언트 | 클라이언트 ID |
| SystemID | 시스템 ID |
SAPUsersAuthorizations
SAPUsersAuthorizations 함수는 여러 테이블의 데이터를 결합하여 현재 할당된 역할 및 권한 부여에 대한 사용자 중심 보기를 생성합니다. 활성 역할 및 권한 부여가 할당된 사용자만 반환됩니다.
매개 변수:
- TimeAgo
- 선택 사항
- 기본값: 7일
- 함수가
TimeAgo값으로 정의된 시간부터now()값으로 정의된 시간까지 사용자 마스터 데이터를 찾는지 확인합니다.
SAPUsersAuthorizations 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 | 참고 |
|---|---|---|
| 사용자 | SAP 사용자 ID | |
| 역할 | 역할 집합(기본 최대 집합 크기 = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | 권한 부여 집합(기본 최대 집합 크기 = 100) | {{AuthorizationsDeatils1},{AuthorizationsDeatils2}, ..., {AuthorizationsDeatils100}} |
| 클라이언트 | 클라이언트 ID | |
| SystemID | 시스템 ID |
SAPConnectorHealth
SAPConnectorHealth 함수는 에이전트의 상태와 기본 SAP 시스템의 연결 상태를 반영합니다. 하트비트 로그 SAP_HeartBeat_CL 및 기타 상태 표시기를 기반으로 다음 데이터를 반환합니다.
| 필드 | 설명 |
|---|---|
| 에이전트 | 에이전트 구성의 에이전트 ID(자동으로 생성됨) |
| SystemID | SAP 시스템 ID |
| 상태 | 전체 연결 상태 |
| 세부 정보 | 연결 세부 정보 |
| ExtendedDetails | 연결 확장 세부 정보 |
| LastSeen | 최신 작업의 타임스탬프 |
| StatusCode | 시스템 상태를 반영하는 코드 |
SAPConnectorOverview
SAPConnectorOverview 함수는 시스템 ID당 각 SAP 테이블의 행 수를 표시합니다. 시스템 ID당 데이터 레코드 목록과 생성된 시간을 반환합니다.
매개 변수:
- TimeAgo
- 선택 사항
- 기본값: 7일
- 함수가
TimeAgo값으로 정의된 시간부터now()값으로 정의된 시간까지 사용자 마스터 데이터를 찾는지 확인합니다.
| 필드 | 설명 |
|---|---|
| TimeGenerated | 레코드 생성 타임스탬프의 날짜/시간 값 |
| SystemID_s | SAP 시스템 ID를 나타내는 문자열 |
다음 Kusto 쿼리를 사용하여 일일 추세 분석을 수행합니다.
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
SAPUsersEmail 함수를 사용하면 일반적으로 활성 디렉터리 계정과 연결하는 데 사용되는 SAP 시스템과 클라이언트별 SAP 사용자 이메일 주소 성능 지향 조회를 수행할 수 있습니다. SAP 테이블 USR21(사용자 이름/주소 키 할당) 및 ADR6(이메일 주소)에서 추출된 데이터를 사용하면 SAPUsersEmail 함수에서 이메일 주소를 찾습니다. 이메일 주소를 찾을 수 없으면 이메일 주소 대신 사용자 ID가 반환됩니다. 이 동작을 통해 주로 이메일 주소와 연결되지 않는 SAP 서비스 계정(예: DDIC)이 의사 AD 계정으로 로그되어 일부 UEBA 기능을 사용하고 인시던트 조사와 헌팅 작업을 지원합니다.
| 필드 | 설명 |
|---|---|
| ClientID | SAP 클라이언트 ID |
| SystemID | SAP 시스템 ID |
| 사용자 | SAP 사용자 ID |
| 전자 메일 | SAP 사용자의 이메일 주소입니다. |
SAPSystems
SAPSystems 함수는 'SAP - 시스템' 관심 목록을 사용하여 만든 시스템별 구성을 중앙에서 표시하는 데 사용됩니다.
매개 변수:
- SelectedSystems
- 선택 사항
- 기본값: "All Systems"
- 특정 SAP 시스템을 필터링하는 데 사용됨
- SelectedSystemRoles
- 선택 사항
- 기본값: "All Systems Roles"
- 살펴볼 SAP 시스템의 역할을 결정합니다("SAP - 시스템" 관심 목록에 정의된 대로).
| 필드 | 설명 | 데이터 원본/메모 |
|---|---|---|
| SearchKey | 검색 키 | SAP 시스템 ID의 인덱싱된 필드 |
| SystemRole | SAP 시스템 역할 | 프로덕션, UAT |
| SystemUsage | SAP 시스템의 주요 사용량 | ERP, CRM |
| SystemID | SAP 시스템 ID |
SAPAuditLogConfiguration
SAPAuditLogConfiguration 함수는 다른 SAP 감사 로그 관련 경고에 사용할 Sentinel 작업 영역의 SAP 감사 로그 경고 로컬 구성을 반환합니다. 'SAP 동적 감사 로그 모니터 구성' 및 'SAP - 시스템' 관심 목록의 데이터를 조인하여 per-system-role 활동에서 시스템별 구성을 제공합니다.
매개 변수:
- SelectedSystems
- 선택 사항
- 기본값: "All Systems"
- 살펴볼 특정 SAP 시스템을 필터링하는 데 사용됨
- SelectedSystemRoles
- 선택 사항
- 기본값: "All Systems Roles"
- 살펴볼 SAP 시스템의 역할을 결정합니다("SAP - 시스템" 관심 목록에 정의된 대로).
- SelectedSeverities
- 선택 사항
- 기본값: ["High", "Medium"]
- 심각도 측면에서 살펴볼 이벤트를 결정하는 데 사용됩니다. SAP 감사 로그 메시지 ID 및 시스템 역할별 심각도는 "SAP_Dynamic_Audit_Log_Monitor_Configuration" 관심 목록에 정의되어 있습니다.
- SelectedRuleTypes
- 선택 사항
- 기본값: "All RuleTypes"
- 변칙 검색과 관련된 이벤트를 결정합니다. SAP 감사 로그 메시지 ID 및 시스템 역할별 규칙 형식은 "SAP_Dynamic_Audit_Log_Monitor_Configuration" 관심 목록에 정의되어 있습니다.
| 필드 | 설명 | 데이터 원본/메모 |
|---|---|---|
| CategoryName | SAP 지정된 이벤트 범주 | 'SAP 동적 감사 로그 모니터 구성' 관심 목록 |
| DestinationEmail | 할당된 팀의 이메일 주소 | 'SAP 동적 감사 로그 모니터 구성' 관심 목록 |
| DetailedDescription | 경고에 표시할 마크다운 서식이 지정된 텍스트 | 'SAP 동적 감사 로그 모니터 구성' 관심 목록 |
| MessageID | SAP 감사 로그 메시지 ID | 'SAP 동적 감사 로그 모니터 구성' 관심 목록 |
| MessageText | 샘플 메시지 텍스트 | 'SAP 동적 감사 로그 모니터 구성' 관심 목록 |
| RolesTagsToExclude | ABAP 역할, 프로필 또는 자유 텍스트 태그 | 'SAP 동적 감사 로그 모니터 구성' 관심 목록 |
| RuleType | 변칙 또는 결정적 | 'SAP 동적 감사 로그 모니터 구성' 관심 목록 |
| 전술 | MITRE ATTA&CK 전술 | 'SAP 동적 감사 로그 모니터 구성' 관심 목록 |
| TeamsChannelID | Teams 채널 | 'SAP 동적 감사 로그 모니터 구성' 관심 목록 |
| SystemID | SAP 시스템 ID | ‘SAP - 시스템’ 관심 목록 |
| SystemRole | SAP 시스템 역할 | ‘SAP - 시스템’ 관심 목록 |
| SystemUsage | SAP 시스템의 주요 사용량 | ‘SAP - 시스템’ 관심 목록 |
| IsProd | 프로덕션 시스템 플래그 | ‘SAP - 시스템’ 관심 목록 |
| 심각도 | 파생 심각도 | 시스템 사용량별 심각도 |
| Threshold | 파생 임계값 | 시스템 사용량당 이벤트 수 |
| BagOfDetails | 세부 정보 모음 | 이벤트 정의를 자세히 설명하는 사전 |
SAPAuditLogAnomalies
SAPAuditLogAnomalies는 Sentinel의 기본 Kusto 데이터베이스의 기본 제공 기계 학습 기능을 사용하여 SAP 감사 로그에서 관찰되는 비정상적인 이벤트를 검색하는 데 도움이 됩니다. "SAP - (실험적) 동적 변칙 기반 감사 로그 모니터 경고" 경고 규칙을 위해 개발된 이 함수는 처음에는 최근의 변칙을 경고하도록 설계되었지만 기록 변칙을 강조 표시하는 데에도 도움이 될 수 있습니다(다음 예제 참조).
매개 변수:
- LearningTime
- 선택 사항
- 기본값: 14일
- 모델 학습에 사용되는 시간 간격을 결정합니다.
- DetectingTime
- 선택 사항
- 기본값: 1시간
- 변칙 검색에 사용할 확인 시간 간격을 결정합니다. DetectingTime = 0h로 이 함수를 호출하면 전체 LearningTime 시간 범위에서 변칙이 강조 표시됩니다.
- SelectedSystems
- 선택 사항
- 기본값: "All Systems"
- 살펴볼 특정 SAP 시스템을 필터링하는 데 사용됨
- SelectedSystemRoles
- 선택 사항
- 기본값: "All Systems Roles"
- 살펴볼 SAP 시스템의 역할을 결정합니다("SAP - 시스템" 관심 목록에 정의된 대로).
- SelectedSeverities
- 선택 사항
- 기본값: ["High", "Medium"]
- 심각도 측면에서 살펴볼 이벤트를 결정하는 데 사용됩니다. SAP 감사 로그 메시지 ID 및 시스템 역할별 심각도는 "SAP_Dynamic_Audit_Log_Monitor_Configuration" 관심 목록에 정의되어 있습니다.
- SelectedPrefixMask
- 선택 사항
- 기본값: 24
- 학습 및 검색에 사용되는 서브넷 마스크 수준을 확인하는 데 사용됩니다.
- SelectedRuleTypes
- 선택 사항
- 기본값: "AnomaliesOnly"
- 변칙 검색과 관련된 이벤트를 결정합니다. SAP 감사 로그 메시지 ID 및 시스템 역할별 규칙 형식은 "SAP_Dynamic_Audit_Log_Monitor_Configuration" 관심 목록에 정의되어 있습니다.
논리
이 함수는 사용자, 네트워크 특성, 시스템, 계절성 및 작업 수준에서 다양한 입력 매개 변수에서 정의된 기록 조각을 학습합니다. 그런 다음, 학습한 내용에 따라 마지막 DetectingTime 시간 범위 내에서 발생하는 이벤트를 판단하여 SAP 감사 로그 구성 관심 목록에서 얻은 임계값과 기타 구성 가능한 제외 조건을 적용합니다. 사용자 작업 슬라이딩 윈도우가 비정상으로 간주되면 두 번째 쿼리는 전체 사용자 작업을 결정을 뒷받침하는 증거로 반환합니다.
추가 참고 사항
모든 기계 학습 솔루션과 마찬가지로 이 함수는 시간이 경과함에 따라 더욱 효율적으로 수행됩니다. 로컬 구성을 사용하여 추가 조정을 수행할 수 있습니다. 사용 가능한 많은 입력 매개 변수를 사용하여 학습된 데이터베이스 크기를 레코드 1억 개 미만으로 제한하는 것이 좋습니다.
예제: "SAP_Dynamic_Audit_Log_Monitor_Configuration"에서 "AnomaliesOnly"로 표시된 이벤트 유형에 대해 프로덕션 시스템에서 지난 1시간 이내에 발생한 심각도가 높은 이벤트의 변칙 찾기
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
예제: 시스템 "BIP"에서 지난 14일 동안의 모든 변칙 검색
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
| 필드 | 설명 |
|---|---|
| SAPAuditLog의 여러 필드 | SAP 감사 로그의 키 필드 |
| SAPAuditLogConfiguration의 여러 필드 | SAP용 Sentinel 감사 로그 구성의 키 필드 |
| DiscoveredOn | 변칙이 관찰된 시간(반올림) |
| EventCount | 반환된 행당 계산된 이벤트 수 |
| AnomalCount | 관련 슬라이딩 윈도우 내에서 관찰되는 이벤트 수 |
| MinTime | 첫 번째 이벤트가 관찰된 시간 |
| MaxTime | 마지막으로 관찰된 이벤트의 시간 |
| 점수 | 변칙 모델에서 생성한 변칙 점수 |
자세한 내용은 SAP 감사 로그 모니터링을 위한 기본 제공 SAP 분석 규칙을 참조하세요.
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend는 SAP - 동적 변칙 기반 감사 로그 모니터 경고(미리 보기) 분석 규칙 구성에 대한 권장 사항을 제공하도록 설계된 도우미 함수입니다. 규칙 구성 방법에 대해 알아봅니다.
SAPUsersGetVIP
SAP® 애플리케이션용 Microsoft Sentinel 솔루션은 최소한의 노력으로 가양성 문제를 줄이는 데 도움이 되도록 설계된 중앙 사용자 태그 지정 및 명시적 제외 개념을 사용합니다. SAPUsersGetVIP 함수를 사용하여 SAP 사용자 역할, SAP 사용자 함수 또는 해당 사용자를 나타내는 태그를 지정하여 경고 트리거에서 사용자를 제외합니다. 자세한 내용은 Microsoft Sentinel의 가양성 처리를 참조하세요.
SAPUsersGetVIP 함수에 대한 입력으로 지정된 태그는 SAP_User_Config 관심 목록에 태그가 나열된 모든 사용자를 제외합니다. 동일한 기능이 와일드 카드 작동하도록 확장되어 동일한 명명 구문을 가진 사용자 그룹에 단일 태그를 할당할 수 있습니다.
다음과 같이 SAP_User_Config 관심 목록에 있는 사용자에 태그를 지정합니다.
다양한 시나리오를 다루기 위해 필요에 따라 SAP_User_Config 관심 목록에 있는 각 사용자에게 여러 태그를 추가합니다. 각 경고 규칙에는 고유한 관련 태그(있는 경우)가 있으며 필요에 따라 사용자 지정 태그를 추가할 수 있습니다.
별표(*)를 wild카드 사용하여 특정 명명 구문 템플릿을 가진 사용자를 포함합니다.
분석 규칙에 SAPUsersGetVIP 함수를 추가하여 경고에서 제외하도록 정의한 사용자 목록을 요청합니다. 함수 호출에서 제외하려는 태그, SAP 역할 및 SAP 프로필이 있는 배열을 추가합니다.
예를 들어 분석 규칙에서 다음 KQL 쿼리를 사용하여 SAP_User_Config 관심 목록에서 RunObsoleteProgOK 태그로 구성된 사용자 또는 샘플 SAP_BASIS_ADMIN_ROLE 역할 또는 샘플 SAP_ADMIN_PROFILE 프로필을 가진 사용자를 제외합니다.
이 샘플 함수 호출을 복사할 때 필요에 따라 SAP_BASIS_ADMIN_ROLE 역할 및 SAP_ADMIN_PROFILE 프로필을 사용자 고유의 SAP 역할 또는 프로필로 대체합니다.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
SAPUsersGetVIP 함수는 결정적 및 비정상적인 감사 로그 모니터 경고에서 일반적으로 사용됩니다. 태그를 SAP 감사 로그 메시지 ID와 연결하거나 규칙 템플릿을 조직의 요구 사항과 일치하는 사용자 지정 규칙으로 확장합니다.
팁
SAP 시스템 관리자에게 문의하여 SAP_User_Config 관심 목록에 포함할 SAP 사용자, 역할 및 프로필을 이해하는 것이 좋습니다.
매개 변수:
| 속성 | 설명 | 기본값 |
|---|---|---|
| SearchForTags (선택 사항) | 같All Tags으면 SearchForTags 모든 사용자가 태그와 함께 반환됩니다. 그렇지 않으면 지정된 SearchForTags 태그, SAP 역할 또는 SAP 프로필이 있는 사용자만 반환됩니다. TagsIntersect 는 찾은 태그를 표시하고 IntersectionSize 찾은 태그 수를 보유합니다. |
dynamic('All Tags') |
| SpecialFocusTags (선택 사항) | 지정된 SpecialFocusTags태그를 가진 모든 사용자를 반환하고 해당 태그를 으로 specialFocusTagged = true표시합니다. |
Do not return any in-focus users |
| Source | 필드 | 설명 | 참고 |
|---|---|---|---|
| SAP_User_Config 관심 목록 | SearchKey | 검색 키 | |
| SAP_User_Config 관심 목록 | SAPUser | SAP 사용자 | OSS, DDIC |
| SAP_User_Config 관심 목록 | 태그 | 사용자에게 할당된 태그 문자열 | RunObsoleteProgOK |
| SAP_User_Config 관심 목록 | 사용자의 Microsoft Entra 개체 ID | Microsoft Entra 개체 ID | |
| SAP_User_Config 관심 목록 | 사용자 식별자 | AD 사용자 식별자 | |
| SAP_User_Config 관심 목록 | 사용자 온-프레미스 SID | ||
| SAP_User_Config 관심 목록 | 사용자 계정 이름 | ||
| SAP_User_Config 관심 목록 | TagsList | 사용자에게 할당된 태그의 목록 | ChangeUserMasterDataOK;RunObsoleteProgOK |
| 논리 | TagsIntersect | SearchForTags와 일치하는 태그 세트 | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| 논리 | SpecialFocusTagged | 특수 포커스 표시 | True, False |
| 논리 | IntersectionSize | 교차된 태그 수 |
SAPUsersHeader
SAPUsersHeader 함수는 개략적인 SAP 사용자 보기를 제공하도록 설계되었습니다. SAP 사용자 마스터 데이터 테이블과 SAP 감사 로그의 최근 작업 모두에서 추출된 데이터를 사용하여 이메일과 IP 주소를 수집합니다. 그런 다음, 마지막으로 알려진 이메일과 IP 주소를 기본 이메일과 IP 주소와 함께 반환합니다. 매개 변수: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- 선택 사항
- 기본값: "All Systems"
- 살펴볼 특정 SAP 시스템을 필터링하는 데 사용됨
- SelectedSystemRoles
- 선택 사항
- 기본값: "All Systems Roles"
- 살펴볼 SAP 시스템의 역할을 결정합니다("SAP - 시스템" 관심 목록에 정의된 대로).
- SelectedUsers
- 선택 사항
- 기본값: “All Users”
- 사용자 목록을 입력할 수 있습니다.
- SelectedUser
- 선택 사항
- 기본값: “All Users”
- 단일 사용자만 허용
추가 참고 사항
성능에는 며칠 간의 감사 작업만 고려됩니다. 사용자 작업의 전체 기록을 보려면 SAPAuditLog 함수에 대해 사용자 지정 KQL 쿼리를 실행합니다.
| Source | 필드 | 설명 | 참고 |
|---|---|---|---|
| 사용자 | SAP 사용자 | ||
| SAP 테이블 ADR6 및 USR21 | 전자 메일 | 사용자의 마스터 데이터에서 가져옴 | OSS, DDIC |
| SAP 테이블 USR02 | UserType | 사용자에게 할당된 태그의 문자열 | RunObsoleteProgOK |
| SAP 테이블 USR02 | 표준 시간대 | Microsoft Entra 개체 ID | |
| SAP 테이블 USR02 | LockedStatus | AD 사용자 식별자 | |
| SAP 감사 로그 | LastSeen | 타임스탬프 | 사용자를 관찰한 마지막 감사 이벤트 |
| SAP 감사 로그 | LastSeenDaysAgo | LastSeen 이후 경과된 일 수 | |
| SAP 감사 로그 | PrimaryIP | 가장 많이 사용된 IP 주소 | ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP 감사 로그 | LastKnownIP | 가장 최근에 사용된 IP 주소 | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP 감사 로그 | PrimaryEmail | 가장 많이 사용된 이메일 주소 | True, False |
| SAP 감사 로그 | KnownIPs | 알려진 IP 주소 목록 | 가장 많이 사용되는 순서로 정렬 |
| SAP 감사 로그 | KnownEmails | 알려진 이메일 주소 목록 | 가장 많이 사용되는 순서로 정렬 |
| 클라이언트 | SAP 클라이언트 ID | ||
| SystemID | SAP 시스템 ID | ||
| SystemRole | SAP 시스템 역할 | 프로덕션, UAT | |
| SystemUsage | SAP 시스템의 주요 사용량 | ERP, CRM |
데이터 커넥터 에이전트에서 생성한 로그
이 섹션에서는 Microsoft Sentinel의 테이블 이름, 로그 용도 및 자세한 로그 스키마를 포함하여 SAP 애플리케이션 데이터 커넥터용 Microsoft Sentinel 솔루션에서 사용할 수 있는 SAP® 로그에 대해 설명합니다. 스키마 필드 설명은 관련 SAP 설명서의 필드 설명을 기반으로 합니다.
최상의 결과를 위해 아래에 나열된 Microsoft Sentinel 함수를 사용하여 데이터 시각화, 액세스 및 쿼리를 수행합니다.
- ABAP 애플리케이션 로그
- ABAP 변경 문서 로그
- ABAP CR 로그
- ABAP DB 테이블 데이터 로그(미리 보기)
- ABAP 게이트웨이 로그(미리 보기)
- ABAP ICM 로그(미리 보기)
- ABAP 작업 로그
- ABAP 보안 감사 로그
- ABAP 스풀 로그
- APAB 스풀 출력 로그
- ABAP SysLog
- ABAP 워크플로 로그
- ABAP WorkProcess 로그
- HANA DB 감사 내역
- JAVA 파일
- SAP 하트비트 로그
ABAP 애플리케이션 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPAppLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 나중에 필요에 따라 재구성할 수 있도록 애플리케이션 실행 진행률을 기록합니다.
표준 SAP 테이블 및 XBP 인터페이스의 표준 서비스를 기반으로 RFC를 사용하여 제공됩니다. 이 로그는 클라이언트별로 생성됩니다.
로그 스키마 ABAPAppLog_CL
| 필드 | 설명 |
|---|---|
| AppLogDateTime | 애플리케이션 로그 날짜 시간 |
| CallbackProgram | 콜백 프로그램 |
| CallbackRoutine | 콜백 루틴 |
| CallbackType | 콜백 유형 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| ContextDDIC | 컨텍스트 DDIC 구조체 |
| ExternalID | 외부 로그 ID |
| Host | Host |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | 일련의 애플리케이션 로그 메시지 |
| LevelofDetail | 세부 수준 |
| LogHandle | 애플리케이션 로그 핸들 |
| LogNumber | 로그 번호 |
| MessageClass | Message 클래스 |
| MessageNumber | 메시지 번호 |
| MessageText | 메시지 텍스트 |
| MessageType | 메시지 유형 |
| Object | 애플리케이션 로그 개체 |
| OperationMode | 작업 모드 |
| ProblemClass | 문제 클래스 |
| ProgramName | 프로그램 이름 |
| SortCriterion | 정렬 기준 |
| StandardText | 표준 텍스트 |
| 하위 | 애플리케이션 로그 하위 개체 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TransactionCode | 트랜잭션 코드 |
| 사용자 | 사용자 |
| UserChange | 사용자 변경 |
ABAP 변경 문서 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPChangeDocsLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 레코드:
SAP NetWeaver AS(Application Server) ABAP는 변경 문서에서 비즈니스 데이터 개체에 대한 변경 내용을 기록합니다.
SAP 시스템의 다른 엔터티(예: 사용자 데이터, 역할, 주소)
표준 SAP 테이블을 기반으로 RFC를 사용하여 제공됩니다. 이 로그는 클라이언트별로 생성됩니다.
로그 스키마 ABAPChangeDocsLog_CL
| 필드 | 설명 |
|---|---|
| ActualChangeNum | 실제 변경 번호 |
| ChangedTableKey | 변경된 테이블 키 |
| ChangeNumber | 번호 바꾸기 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| CreatedfromPlannedChange | 다음 구문에서 계획된 변경 내용으로 생성됩니다. (‘X’ , ‘ ‘) |
| CurrencyKeyNew | 통화 키: 새 값 |
| CurrencyKeyOld | 통화 키: 이전 값 |
| FieldName | 필드 이름 |
| FlagText | 텍스트 플래그 지정 |
| Host | Host |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| 언어 | 언어 |
| ObjectClass | 개체 클래스(예: BELEG, , ) BPARPFCGIDENTITY |
| ObjectID | 개체 ID |
| PlannedChangeNum | 계획된 변경 번호 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TableName | 테이블 이름 |
| TransactionCode | 트랜잭션 코드 |
| TypeofChange_Header | 다음을 비롯한 변경의 헤더 형식: U = 변경; I = 삽입; E = 단일 Docu 삭제; D = 삭제; J = 단일 Docu 삽입 |
| TypeofChange_Item | 다음을 비롯한 변경 항목 유형: U = 변경; I = 삽입; E = 단일 Docu 삭제; D = 삭제; J = 단일 Docu 삽입 |
| UOMNew | 측정 단위: 새 값 |
| UOMOld | 측정 단위: 이전 값 |
| 사용자 | 사용자 |
| ValueNew | 필드 콘텐츠: 새 값 |
| ValueOld | 필드 콘텐츠: 이전 값 |
| 버전 | 버전 |
ABAP CR 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPCRLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 디렉터리 개체 및 변경된 사용자 지정을 포함하여 CTS(변경 및 전송 시스템) 로그를 포함합니다.
표준 테이블 및 표준 SAP 서비스를 기반으로 RFC를 사용하여 제공됩니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
참고 항목
애플리케이션 로깅, 변경 문서 및 테이블 기록 외에도 변경 및 전송 시스템을 사용하여 프로덕션 시스템에 적용한 모든 변경 내용은 CTS 및 TMS 로그에 설명되어 있습니다.
ABAPCRLog_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| 범주 | 범주(Workbench, 사용자 지정) |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| 설명 | 설명 |
| Host | Host |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Object name |
| ObjectType | Object type |
| 소유자 | 소유자 |
| 요청 | 요청 변경 |
| 상태 | 상태 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TableKey | 테이블 키 |
| TableName | 테이블 이름 |
| Viewname | 보기 이름 |
ABAP DB 테이블 데이터 로그(미리 보기)
이 로그를 Microsoft Sentinel로 보내려면 systemconfig.ini 파일에 수동으로 추가해야 합니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPTableDataLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 중요하거나 감사에 취약한 테이블에 대한 로깅을 제공합니다.
사용자 지정 서비스와 함께 RFC를 통해 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
ABAPTableDataLog_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| DBLogID | DB 로그 ID |
| Host | Host |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| 언어 | 언어 |
| LogKey | 로그 키 |
| NewValue | 필드 새 값 |
| OldValue | 필드 이전 값 |
| OperationTypeSQL | 작업 유형, Insert, UpdateDelete |
| 프로그램 | 프로그램 이름 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TableField | 테이블 필드 |
| TableName | 테이블 이름 |
| TransactionCode | 트랜잭션 코드 |
| UserName | 사용자 |
| VersionNumber | 버전 번호 |
ABAP 게이트웨이 로그(미리 보기)
이 로그를 Microsoft Sentinel로 보내려면 systemconfig.ini 파일에 수동으로 추가해야 합니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_GW
관련 SAP 문서: SAP 도움말 포털
로그 용도: 게이트웨이 활동을 모니터링합니다. SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
ABAPOS_GW_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| Host | Host |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 메시지 텍스트 |
| 심각도 | 메시지 심각도: Debug, Info, Warning, Error |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
ABAP ICM 로그(미리 보기)
이 로그를 Microsoft Sentinel로 보내려면 systemconfig.ini 파일에 수동으로 추가해야 합니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_ICM
관련 SAP 문서: SAP 도움말 포털
로그 용도: 인바운드 및 아웃바운드 요청을 기록하고 HTTP 요청의 통계를 컴파일합니다.
SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
ABAPOS_ICM_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| Host | Host |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 메시지 텍스트 |
| 심각도 | 메시지 심각도( 포함: Debug, , Info, WarningError |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
ABAP 작업 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPJobLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 모든 백그라운드 처리 작업 로그(SM37)를 결합합니다.
표준 SAP 테이블 및 XBP 인터페이스의 표준 서비스를 기반으로 RFC를 사용하여 제공됩니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPJobLog_CL
| 필드 | 설명 |
|---|---|
| ABAPProgram | ABAP 프로그램 |
| BgdEventParameters | 백그라운드 이벤트 매개 변수 |
| BgdProcessingEvent | 백그라운드 처리 이벤트 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| DynproNumber | Dynpro 번호 |
| GUIStatus | GUI 상태 |
| Host | Host |
| 인스턴스 | ABAP 인스턴스(HOST_SYSID_SYSNR)는 다음 구문에 있습니다. <HOST>_<SYSID>_<SYSNR> |
| JobClassification | 직군 |
| JobCount | 작업 수 |
| JobGroup | 작업 그룹 |
| JobName | 작업 이름 |
| JobPriority | 작업 우선 순위 |
| MessageClass | Message 클래스 |
| MessageNumber | 메시지 번호 |
| MessageText | 메시지 텍스트 |
| MessageType | 메시지 유형 |
| ReleaseUser | 작업 릴리스 사용자 |
| SchedulingDateTime | 날짜 시간 예약 |
| StartDateTime | 시작 날짜 시간 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TargetServer | 대상 서버 |
| 사용자 | 사용자 |
| UserReleaseInstance | ABAP 인스턴스 - 사용자 릴리스 |
| WorkProcessID | 작업 프로세스 ID |
| WorkProcessNumber | 작업 프로세스 번호 |
ABAP 보안 감사 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPAuditLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 다음 데이터를 기록합니다.
- SAP 시스템 환경의 보안 관련 변경 내용(예: 기본 사용자 레코드 변경)
- 성공 및 실패한 로그인 시도와 같은 더 높은 수준의 데이터를 제공하는 정보
- 성공 또는 실패한 트랜잭션 시작과 같은 일련의 이벤트를 재구성할 수 있도록 하는 정보
RFC XAL/SAL 인터페이스를 사용하여 사용할 수 있습니다. SAL은 버전 기준 7.50부터 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
ABAPAuditLog_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| ABAPProgramName | 프로그램 이름, SAL만 |
| AlertSeverity | 경고 심각도 |
| AlertSeverityText | 경고 심각도 텍스트, SAL 전용 |
| AlertValue | 경고 값 |
| AuditClassID | 감사 클래스 ID, SAL만 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| 컴퓨터 | 사용자 컴퓨터, SAL만 |
| 전자 메일 | 사용자 이메일 |
| Host | Host |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Message 클래스 |
| MessageContainerID | 메시지 컨테이너 ID, XAL 전용 |
| MessageID | 메시지 ID(예: ‘AU1’,’AU2’… |
| MessageText | 메시지 텍스트 |
| MonitoringObjectName | MTE Monitor 개체 이름, XAL만 |
| MonitorShortName | MTE 모니터 짧은 이름, XAL만 |
| SAPProcesType | 시스템 로그: SAP 프로세스 유형, SAL만 |
| B* - 백그라운드 처리 중 | |
| D* - 대화 상자 처리 | |
| U* - 작업 업데이트 | |
| SAPWPName | 시스템 로그: 작업 프로세스 번호, SAL만 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TerminalIPv6 | 사용자 컴퓨터 IP, SAL만 |
| TransactionCode | 트랜잭션 코드, SAL만 |
| 사용자 | 사용자 |
| Variable1 | 메시지 변수 1 |
| Variable2 | 메시지 변수 2 |
| Variable3 | 메시지 변수 3 |
| Variable4 | 메시지 변수 4 |
ABAP 스풀 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPSpoolLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 스풀 요청 기록을 사용하여 SAP 인쇄의 기본 로그 역할을 합니다. (SP01).
표준 SAP 테이블을 기반으로 RFC를 사용하여 제공됩니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
ABAPSpoolLog_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| ArchiveStatus | 보관 상태 |
| ArchiveType | 보관 유형 |
| ArchivingDevice | 디바이스 보관 |
| AutoRereoute | 자동 경로 다시 라우팅 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| CountryKey | 국가 키 |
| DeleteSpoolRequestAuto | 스풀 요청 자동 삭제 |
| DelFlag | 삭제 플래그 |
| 부서 | 부서 |
| DocumentType | Document type |
| ExternalMode | 외부 모드 |
| FormatType | 형식 유형 |
| Host | Host |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | 복사본 수 |
| OutputDevice | 출력 디바이스 |
| PrinterLongName | 프린터 긴 이름 |
| PrintImmediately | 즉시 인쇄 |
| PrintOSCoverPage | OSCover 페이지 인쇄 |
| PrintSAPCoverPage | SAPCover 페이지 인쇄 |
| 우선 순위 | 우선 순위 |
| RecipientofSpoolRequest | 스풀 요청의 수신자 |
| SpoolErrorStatus | 스풀 오류 상태 |
| SpoolRequestCompleted | 스풀 요청이 완료됨 |
| SpoolRequestisALogForAnotherRequest | 스풀 요청은 다른 요청에 대한 로그입니다. |
| SpoolRequestName | 스풀 요청 이름 |
| SpoolRequestNumber | 스풀 요청 번호 |
| SpoolRequestSuffix1 | 스풀 요청 접미사1 |
| SpoolRequestSuffix2 | 스풀 요청 접미사2 |
| SpoolRequestTitle | 스풀 요청 제목 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TelecommunicationsPartner | 통신 파트너 |
| TelecommunicationsPartnerE | 통신 파트너 E |
| TemSeGeneralcounter | Temse 카운터 |
| TemseNumAddProtectionRule | Temse 번호 보호 규칙 추가 |
| TemseNumChangeProtectionRule | Temse 번호 변경 보호 규칙 |
| TemseNumDeleteProtectionRule | Temse 번호 삭제 보호 규칙 |
| TemSeObjectName | Temse 개체 이름 |
| TemSeObjectPart | TemSe 개체 부분 |
| TemseReadProtectionRule | Temse 읽기 방지 규칙 |
| 사용자 | 사용자 |
| ValueAuthCheck | 값 인증 검사 |
APAB 스풀 출력 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPSpoolOutputLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 스풀 출력 요청 기록을 사용하여 SAP 인쇄의 기본 로그 역할을 합니다. (SP02).
표준 테이블을 기반으로 하는 사용자 지정 서비스와 함께 RFC를 사용하여 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPSpoolOutputLog_CL
| 필드 | 설명 |
|---|---|
| AppServer | 애플리케이션 서버 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| Comment(설명) | Comment(설명) |
| CopyCount | 복사 횟수 |
| CopyCounter | 카운터 복사 |
| 부서 | 부서 |
| ErrorSpoolRequestNumber | 오류 요청 번호 |
| FormatType | 형식 유형 |
| Host | Host |
| HostName | 호스트 이름 |
| HostSpoolerID | 호스트 스풀러 ID |
| 인스턴스 | ABAP 인스턴스 |
| LastPage | 마지막 페이지 |
| NumofCopies | 복사본 수 |
| OutputDevice | 출력 디바이스 |
| OutputRequestNumber | 출력 요청 번호 |
| OutputRequestStatus | 출력 요청 상태 |
| PhysicalFormatType | 물리적 형식 형식 |
| PrinterLongName | 프린터 긴 이름 |
| PrintRequestSize | 인쇄 요청 크기 |
| 우선 순위 | 우선 순위 |
| ReasonforOutputRequest | 출력 요청 이유 |
| RecipientofSpoolRequest | 스풀 요청의 수신자 |
| SpoolNumberofOutputReqProcessed | 출력 요청 수 - 처리됨 |
| SpoolNumberofOutputReqWithErrors | 출력 요청 수 - 오류 발생 |
| SpoolNumberofOutputReqWithProblems | 출력 요청 수 - 문제 |
| SpoolRequestNumber | 스풀 요청 번호 |
| StartPage | 시작 페이지 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TelecommunicationsPartner | 통신 파트너 |
| TemSeGeneralcounter | Temse 카운터 |
| 타이틀 | 타이틀 |
| 사용자 | 사용자 |
ABAP Syslog
이 로그를 Microsoft Sentinel로 보내려면 systemconfig.ini 파일에 수동으로 추가해야 합니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_Syslog
관련 SAP 문서: SAP 도움말 포털
로그 용도: 모든 SAP NetWeaver AS(SAP NetWeaver Application Server) ABAP 시스템 오류, 경고, 알려진 사용자의 로그인 시도 실패로 인한 사용자 잠금 및 프로세스 메시지를 기록합니다.
SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
ABAPOS_Syslog_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| ClientID | ABAP 클라이언트 ID(MANDT) |
| Host | Host |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | 메시지 번호 |
| MessageText | 메시지 텍스트 |
| 심각도 | 메시지 심각도, 다음 값 중 하나: Debug, Info, WarningError |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TransacationCode | 트랜잭션 코드 |
| Type | SAP 프로세스 유형 |
| 사용자 | 사용자 |
ABAP 워크플로 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPWorkflowLog
관련 SAP 문서: SAP 도움말 포털
로그 용도: SAP 비즈니스 워크플로(WebFlow 엔진)를 사용하면 SAP 시스템에 아직 매핑되지 않은 비즈니스 프로세스를 정의할 수 있습니다.
예를 들어 매핑되지 않은 비즈니스 프로세스는 간단한 릴리스 또는 승인 절차 또는 기본 자료를 만든 다음 관련 부서를 조정하는 등 보다 복잡한 비즈니스 프로세스일 수 있습니다.
표준 SAP 테이블을 기반으로 RFC를 사용하여 제공됩니다. 이 로그는 클라이언트별로 생성됩니다.
ABAPWorkflowLog_CL 로그 스키마
| 필드 | 설명 |
|---|---|
| ActualAgent | 실제 에이전트 |
| 주소 | 주소 |
| ApplicationArea | 애플리케이션 영역 |
| CallbackFunction | 콜백 함수 |
| ClientID | ABAP 클라이언트 ID(MANDT) |
| CreationDateTime | 생성 날짜 시간 |
| 작성자 | 작성자 |
| CreatorAddress | 작성자 주소 |
| ErrorType | 오류 유형 |
| ExceptionforMethod | 메서드에 대한 예외 |
| Host | Host |
| 인스턴스 | ABAP 인스턴스(HOST_SYSID_SYSNR)는 다음 구문에 있습니다. <HOST>_<SYSID>_<SYSNR> |
| 언어 | 언어 |
| LogCounter | 로그 카운터 |
| MessageNumber | 메시지 번호 |
| MessageType | 메시지 유형 |
| MethodUser | 메서드 사용자 |
| 우선 순위 | 우선 순위 |
| SimpleContainer | 간단한 컨테이너, 작업 항목에 대한 키-값 엔터티 목록으로 압축됨 |
| 상태 | 상태 |
| SuperWI | 슈퍼 WI |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| TaskID | 작업 ID |
| TasksClassification | 작업 분류 |
| TaskText | 작업 텍스트 |
| TopTaskID | 상위 작업 ID |
| UserCreated | 사용자 생성됨 |
| WIText | 작업 항목 텍스트 |
| WIType | 작업 항목 형식 |
| WorkflowAction | 워크플로 동작 |
| WorkItemID | 작업 항목 ID |
ABAP WorkProcess 로그
이 로그를 Microsoft Sentinel로 보내려면 systemconfig.ini 파일에 수동으로 추가해야 합니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPOS_WP
관련 SAP 문서: SAP 도움말 포털
로그 용도: 모든 작업 프로세스 로그를 결합합니다. (기본값
dev_*)SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
로그 스키마 ABAPOS_WP_CL
| 필드 | 설명 |
|---|---|
| Host | Host |
| 인스턴스 | 다음 구문의 ABAP 인스턴스: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 메시지 텍스트 |
| 심각도 | 메시지 심각도: Debug, Info, Warning, Error |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| WPNumber | 작업 프로세스 번호 |
HANA DB 감사 내역
이 로그를 Microsoft Sentinel로 보내려면 HANA DB를 실행하는 컴퓨터에서 Syslog 데이터를 수집하기 위해 Microsoft 관리 에이전트를 배포해야 합니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPSyslog
로그 용도: SAP HANA 데이터베이스에서 사용자 작업 또는 시도된 작업을 기록합니다. 예를 들어 중요한 데이터에 대한 읽기 액세스를 기록하고 모니터링할 수 있습니다.
Syslog용 Sentinel Linux 에이전트에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
Syslog 로그 스키마
| 필드 | 설명 |
|---|---|
| 컴퓨터 | 호스트 이름 |
| HostIP | 호스트 IP |
| HostName | 호스트 이름 |
| ProcessID | 프로세스 ID |
| ProcessName | 프로세스 이름: HDB* |
| SeverityLevel | 경고 |
| SourceSystem | 원본 시스템 OS, Linux |
| SyslogMessage | 메시지, 분석되지 않은 감사 내역 메시지 |
JAVA 파일
이 로그를 Microsoft Sentinel로 보내려면 systemconfig.ini 파일에 수동으로 추가해야 합니다.
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPJAVAFilesLogs
관련 SAP 문서: 일반 | Java 보안 감사 로그
로그 용도: 보안 감사 로그 및 시스템(클러스터 및 서버 프로세스), 성능 및 게이트웨이 로그를 비롯한 모든 Java 파일 기반 로그를 결합합니다. 개발자 추적 및 기본 추적 로그도 포함됩니다.
SAP Control 웹 서비스에서 사용할 수 있습니다. 이 로그는 모든 클라이언트에서 데이터를 사용하여 생성됩니다.
JavaFilesLogsCL 로그 스키마
| 필드 | 설명 |
|---|---|
| 애플리케이션 | Java 애플리케이션 |
| ClientID | 클라이언트 ID |
| CSNComponent | CSN 구성 요소(예: BC-XI-IBD |
| DCComponent | DC 구성 요소(예: com.sap.xi.util.misc |
| DSRCounter | DSR 카운터 |
| DSRRootContentID | DSR 컨텍스트 GUID |
| DSRTransaction | DSR 트랜잭션 GUID |
| Host | Host |
| 인스턴스 | Java 인스턴스의 구문은 다음과 같습니다. <HOST>_<SYSID>_<SYSNR> |
| 위치 | Java 클래스 |
| Logname | Java logName(예: Available, , defaulttracedev*, security등) |
| MessageText | 메시지 텍스트 |
| Mno | 메시지 번호 |
| Pid | 프로세스 ID |
| 프로그램 | 프로그램 이름 |
| 세션 | 세션 |
| 심각도 | 메시지 심각도(예: Debug,Info,Warning,Error |
| 해결 방법 | 해결 방법 |
| SystemID | 시스템 ID |
| SystemNumber | 시스템 번호 |
| ThreadName | 스레드 이름 |
| Throw | throw된 예외 |
| TimeZone | 표준 시간대 |
| 사용자 | 사용자 |
SAP 하트비트 로그
이 로그를 쿼리하는 Microsoft Sentinel 함수: SAPConnectorHealth
로그 목적: 에이전트와 다른 SAP 시스템 간의 연결에 대한 하트비트 및 기타 상태 정보를 제공합니다.
SAP용 Microsoft Sentinel 데이터 커넥터의 모든 에이전트에 대해 자동으로 만들어집니다.
SAP_HeartBeat_CL log schema
| 필드 | 설명 |
|---|---|
| TimeGenerated | 로그 게시 이벤트 시간 |
| agent_id_s | 에이전트 구성의 에이전트 ID(자동으로 생성됨) |
| agent_ver_s | 에이전트 버전 |
| host_s | 에이전트의 호스트 이름 |
| system_id_s | Netweaver ABAP 시스템 ID/ Netweaver SAPControl 호스트(미리 보기)/ Java SAPControl 호스트(미리 보기) |
| push_timestamp_d | 추출의 타임스탬프(에이전트의 표준 시간대 기준) |
| agent_timezone_s | 에이전트의 표준 시간대 |
SAP 시스템에서 직접 검색된 테이블
이 섹션에서는 SAP 시스템에서 직접 검색되고 Microsoft Sentinel로 수집되는 데이터 테이블을 그대로 나열합니다.
이러한 테이블의 데이터를 Microsoft Sentinel로 수집하려면 systemconfig.ini 파일에서 관련 설정을 구성합니다. 자세한 내용은 사용자 마스터 데이터 수집 구성을 참조하세요.
이러한 테이블에서 검색된 데이터는 권한 부여 구조, 그룹 멤버 자격 및 사용자 프로필에 대한 명확한 보기를 제공합니다. 또한 권한 부여 및 해지 프로세스를 추적하고 해당 프로세스와 관련된 위험을 식별하고 제어할 수 있게 해줍니다.
아래에 나열된 테이블은 권한 있는 사용자를 식별하고 사용자를 역할, 그룹 및 권한 부여에 매핑하는 함수를 사용하도록 설정하는 데 필요합니다.
최상의 결과를 위해 아래 Sentinel 함수 이름 열의 이름을 사용하여 다음 테이블을 참조하세요.
| 테이블 이름 | 테이블 설명 | Sentinel 함수 이름 |
|---|---|---|
| USR01 | 사용자 마스터 레코드(런타임 데이터) | SAP_USR01 |
| USR02 | 로그온 데이터(커널 쪽 사용) | SAP_USR02 |
| UST04 | 사용자 마스터 프로필에 사용자 매핑 |
SAP_UST04 |
| AGR_USERS | 사용자에게 역할 할당 | SAP_AGR_USERS |
| AGR_1251 | 작업 그룹에 대한 권한 부여 데이터 | SAP_AGR_1251 |
| USGRP_USER | 사용자 그룹에 사용자 할당 | SAP_USGRP_USER |
| USR21 | 사용자 이름/주소 키 할당 | SAP_USR21 |
| ADR6 | 이메일 주소(비즈니스 주소 서비스) | SAP_ADR6 |
| USRSTAMP | 사용자에 대한 모든 변경 내용의 타임스탬프 | SAP_USRSTAMP |
| ADCP | 개인/주소 할당(비즈니스 주소 서비스) | SAP_ADCP |
| USR05 | 사용자 마스터 매개 변수 ID | SAP_USR05 |
| AGR_PROF | 역할의 프로필 이름 | SAP_AGR_PROF |
| AGR_FLAGS | 역할 특성 | SAP_AGR_FLAGS |
| DEVACCESS | 개발 사용자용 테이블 | SAP_DEVACCESS |
| AGR_DEFINE | 역할 정의 | SAP_AGR_DEFINE |
| AGR_AGRS | 복합 역할의 역할 | SAP_AGR_AGRS |
| PAHI | 시스템, 데이터베이스 및 SAP 매개 변수의 기록 | SAP_PAHI |
| SNCSYSACL(미리 보기) | SNC ACL(액세스 제어 목록): 시스템 | SAP_SNCSYSACL |
| USRACL(미리 보기) | SNC ACL(액세스 제어 목록): 사용자 | SAP_USRACL |
다음 단계
자세한 내용은 다음을 참조하세요.