Microsoft Sentinel-oplossing voor gegevensreferenties voor SAP-toepassingen®
Belangrijk
Sommige onderdelen van de Microsoft Sentinel Threat Monitoring voor SAP-oplossing zijn momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Sommige logboeken, die hieronder worden vermeld, worden niet standaard naar Microsoft Sentinel verzonden, maar u kunt ze indien nodig handmatig toevoegen. Zie De SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden voor meer informatie.
In dit artikel worden de functies, logboeken en tabellen beschreven die beschikbaar zijn als onderdeel van de Microsoft Sentinel-oplossing voor SAP-toepassingen® en de bijbehorende gegevensconnector. Het is bedoeld voor geavanceerde SAP-gebruikers.
Functies die beschikbaar zijn vanuit de SAP-oplossing
In deze sectie worden de functies beschreven die beschikbaar zijn in uw werkruimte nadat u de Microsoft Sentinel-oplossing voor SAP-toepassingen® hebt geïmplementeerd. Zoek deze functies op de pagina Microsoft Sentinel-logboeken om te gebruiken in uw KQL-query's, vermeld onder Werkruimtefuncties.
Gebruikers worden sterk aangeraden om de functies waar mogelijk te gebruiken als de onderwerpen van hun analyse, in plaats van de onderliggende logboeken of tabellen. Deze functies zijn bedoeld als de principal-gebruikersinterface voor de gegevens. Ze vormen de basis voor alle ingebouwde analyseregels en werkmappen die u standaard beschikbaar hebt. Hierdoor kunnen wijzigingen worden aangebracht in de gegevensinfrastructuur onder de functies, zonder dat de door de gebruiker gemaakte inhoud wordt onderbroken.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAP Verbinding maken orHealth
- SAP Verbinding maken orOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
De functie SAPUsersAssignments verzamelt gegevens uit meerdere SAP-gegevensbronnen en maakt een gebruikersgerichte weergave van de huidige gebruikershoofdgegevens, inclusief de rollen en profielen die momenteel zijn toegewezen.
Met deze functie worden de gebruikerstoewijzingen voor rollen en profielen samengevat en worden de volgende gegevens geretourneerd:
Veld | Beschrijving | Gegevensbron/notities |
---|---|---|
User | SAP-gebruikers-id | Alleen SAL |
E-mailen | SMTP-adres | USR21 (SMTP_ADDR) |
UserType | Gebruikerstype | USR02 (USTYP) |
Tijdzone | Time zone | USR02 (TZONE) |
LockedStatus | Vergrendelingsstatus | USR02 (UFLAG) |
LastSeenDate | Laatst geziene datum | USR02 (TRDAT) |
LastSeenTime | Tijd laatst gezien | USR02 (LTIME) |
UserGroupAuth | Gebruikersgroep in hoofdonderhoud van gebruikers | USR02 (KLASSE) |
Profielen | Set profielen (standaard maximale grootte instellen = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | Set rechtstreeks toegewezen rollen (standaard maximale grootte van set = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
ChildRoles | Set indirect toegewezen rollen (standaard maximale setgrootte = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Klant | Client ID | |
SystemID | Systeem-id | Zoals gedefinieerd in de connector |
SAPUsersGetPrivileged
De functie SAPUsersGetPrivileged retourneert een lijst met bevoegde gebruikers per client en systeem-id.
Gebruikers worden beschouwd als bevoegd wanneer ze worden vermeld in de watchlist sap - bevoegde gebruikers , zijn toegewezen aan een profiel dat wordt vermeld in sap - gevoelige profielen watchlist, of zijn toegevoegd aan een rol die wordt vermeld in SAP - Gevoelige rollen watchlist.
Parameters:
- TimeAgo
- Optioneel
- Standaardwaarde: zeven dagen
- Bepaalt dat de functie hoofdgegevens van de gebruiker zoekt uit de tijd die is gedefinieerd door de
TimeAgo
waarde tot de tijd die door denow()
waarde is gedefinieerd.
De functie SAPUsersGetPrivileged retourneert de volgende gegevens:
Veld | Beschrijving |
---|---|
User | SAP-gebruikers-id |
Klant | Client ID |
SystemID | Systeem-id |
SAPUsersAuthorizations
De functie SAPUsersAuthorizations brengt gegevens uit verschillende tabellen samen om een gebruikersgerichte weergave te maken van de huidige rollen en autorisaties die zijn toegewezen. Alleen gebruikers met actieve rol- en autorisatietoewijzingen worden geretourneerd.
Parameters:
- TimeAgo
- Optioneel
- Standaardwaarde: zeven dagen
- Bepaalt dat de functie hoofdgegevens van de gebruiker zoekt uit de tijd die is gedefinieerd door de
TimeAgo
waarde tot de tijd die door denow()
waarde is gedefinieerd.
De functie SAPUsersAuthorizations retourneert de volgende gegevens:
Veld | Omschrijving | Opmerkingen |
---|---|---|
User | SAP-gebruikers-id | |
Rollen | Set rollen (standaard maximale grootte van set = 50) | ["Role 1", "Role 2",...,"Role 50"] |
AuthorizationsDetails | Set autorisaties (standaard maximale grootte van set = 100) | {{AuthorizationsDeatils1} ,{AuthorizationsDeatils2} , ..., {AuthorizationsDeatils100}} |
Klant | Client ID | |
SystemID | Systeem-id |
SAP Verbinding maken orHealth
De functie SAP Verbinding maken orHealth weerspiegelt de status van de agent en de onderliggende CONNECTIVITEIT van het SAP-systeem. Op basis van het heartbeatlogboek SAP_HeartBeat_CL en andere statusindicatoren worden de volgende gegevens geretourneerd:
Veld | Beschrijving |
---|---|
Agent | Agent-id in de configuratie van de agent (automatisch gegenereerd) |
SystemID | SAP-systeem-id |
Status | Algemene connectiviteitsstatus |
DETAILS | details van Verbinding maken iviteit |
ExtendedDetails | uitgebreide details van Verbinding maken iviteit |
LastSeen | Tijdstempel van de meest recente activiteit |
StatusCode | Code die de status van het systeem weergeeft |
SAP Verbinding maken orOverview
De functie SAP Verbinding maken orOverview toont rijaantallen van elke SAP-tabel per systeem-id. Het retourneert een lijst met gegevensrecords per systeem-id en de gegenereerde tijd.
Parameters:
- TimeAgo
- Optioneel
- Standaardwaarde: zeven dagen
- Bepaalt dat de functie hoofdgegevens van de gebruiker zoekt uit de tijd die is gedefinieerd door de
TimeAgo
waarde tot de tijd die door denow()
waarde is gedefinieerd.
Veld | Beschrijving |
---|---|
TimeGenerated | Een datum/tijd-waarde van de tijdstempel van de generatie van de record |
SystemID_s | Een tekenreeks die de SAP-systeem-id vertegenwoordigt |
Gebruik de volgende Kusto-query om een dagelijkse trendanalyse uit te voeren:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Met de functie SAPUsersEmail kunt u prestatiegericht zoeken naar het e-mailadres van een SAP-gebruiker per SAP-systeem en -client, die normaal gesproken wordt gebruikt om het te koppelen aan een Active Directory-account. Met behulp van gegevens die zijn geëxtraheerd uit SAP-tabellen USR21 (Toewijzing van gebruikersnaam/adressleutel) en ADR6 (E-mailadressen), zoekt de functie SAPUsersEmail naar een e-mailadres. Als er geen gebruikers-id wordt gevonden, wordt de gebruikers-id geretourneerd in plaats van een e-mailadres. Dit gedrag zorgt ervoor dat SAP-serviceaccounts (zoals DDIC), die vaak niet zijn gekoppeld aan een e-mailadres, worden geregistreerd als pseudo AD-accounts, waardoor sommige UEBA-functies worden ingeschakeld, die helpen bij het onderzoeken van incidenten en opsporingsactiviteiten.
Veld | Beschrijving |
---|---|
ClientID | De SAP-client-id |
SystemID | De SAP-systeem-id |
User | De SAP-gebruikers-id |
E-mailen | Het e-mailadres van de SAP-gebruiker |
SAPSystems
De functie SAPSystems wordt gebruikt om de configuratie per systeem centraal weer te geven met behulp van de watchlist 'SAP - Systems'.
Parameters:
- SelectedSystems
- Optioneel
- Standaardwaarde: "Alle systemen"
- Wordt gebruikt om specifieke SAP-systemen te filteren
- SelectedSystemRoles
- Optioneel
- Standaardwaarde: "Alle systeemrollen"
- Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de watchlist SAP - Systems)
Veld | Beschrijving | Gegevensbron/notities |
---|---|---|
SearchKey | Zoeksleutel | Geïndexeerd veld voor SAP-systeem-id |
SystemRole | De rol van het SAP-systeem | Productie, UAT |
SystemUsage | Het belangrijkste gebruik van het SAP-systeem | ERP, CRM |
SystemID | De SAP-systeem-id |
SAPAuditLogConfiguration
De functie SAPAuditLogConfiguration retourneert de lokale configuratie van de SAP-auditlogboekwaarschuwingen van de Sentinel-werkruimte, die moet worden gebruikt voor de verschillende waarschuwingen met betrekking tot het SAP-auditlogboek. Hiermee worden de gegevens samengevoegd in de watchlist 'SAP Dynamic Audit Log Monitor Configuration' en 'SAP - Systems' om een configuratie per systeem te bieden op basis van een taak per systeem.
Parameters:
- SelectedSystems
- Optioneel
- Standaardwaarde: "Alle systemen"
- Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken.
- SelectedSystemRoles
- Optioneel
- Standaardwaarde: "Alle systeemrollen"
- Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de watchlist SAP - Systems).
- SelectedSeverities
- Optioneel
- Standaardwaarde: ["Hoog", "Gemiddeld"]
- Wordt gebruikt om gebeurtenissen te bepalen die moeten worden bekeken in termen van hun ernst. Ernst per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.
- SelectedRuleTypes
- Optioneel
- Standaardwaarde: 'Alle regeltypen'
- Bepaalt welke gebeurtenissen relevant zijn voor het detecteren van de afwijkingen. Regeltypen per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.
Veld | Beschrijving | Gegevensbron/notities |
---|---|---|
CategoryName | SAP-gebeurteniscategorie | Watchlist voor sap Dynamic Audit Log Monitor Configuration |
DestinationEmail | E-mailadres van het toegewezen team | Watchlist voor sap Dynamic Audit Log Monitor Configuration |
DetailedDescription | Een markdown opgemaakte tekst die moet worden weergegeven in waarschuwingen | Watchlist voor sap Dynamic Audit Log Monitor Configuration |
Messageid | De bericht-id van het SAP-auditlogboek | Watchlist voor sap Dynamic Audit Log Monitor Configuration |
MessageText | Een voorbeeldberichttekst | Watchlist voor sap Dynamic Audit Log Monitor Configuration |
RolesTagsToExclude | een ABAP-rol, profiel of vrije teksttag | Watchlist voor sap Dynamic Audit Log Monitor Configuration |
Regeltype | Anomalie of deterministisch | Watchlist voor sap Dynamic Audit Log Monitor Configuration |
Tactieken | De MITRE ATTA&CK-tactiek | Watchlist voor sap Dynamic Audit Log Monitor Configuration |
TeamsChannelID | Teams-kanaal | Watchlist voor sap Dynamic Audit Log Monitor Configuration |
SystemID | De SAP-systeem-id | Watchlist 'SAP - Systems' |
SystemRole | De rol van het SAP-systeem | Watchlist 'SAP - Systems' |
SystemUsage | Het belangrijkste gebruik van het SAP-systeem | Watchlist 'SAP - Systems' |
IsProd | Vlag voor productiesysteem | Watchlist 'SAP - Systems' |
Ernst | De afgeleide ernst | Ernst per systeemgebruik |
Threshold | De afgeleide drempelwaarde | Aantal gebeurtenissen per systeemgebruik |
BagOfDetails | Tas met details | Een woordenlijst met een detail van de gebeurtenisdefinitie |
SAPAuditLogAnomalies
De SAPAuditLogAnomalies maakt gebruik van de ingebouwde machine learning-mogelijkheden van Sentinel van sentinel om afwijkende gebeurtenissen te detecteren die in het SAP-auditlogboek zijn waargenomen. Deze functie is ontwikkeld voor de waarschuwingsregel 'SAP - (experimenteel) dynamisch anomaliecontrolelogboekwaarschuwingen'. Deze functie is oorspronkelijk ontworpen om te waarschuwen voor recente afwijkingen, maar kan ook helpen bij het markeren van historische afwijkingen (zie voorbeelden hieronder).
Parameters:
- LearningTime
- Optioneel
- Standaardwaarde: 14 dagen
- Bepaalt de tijdsduur die wordt gebruikt voor het leren van modellen
- DetectingTime
- Optioneel
- Standaardwaarde: één uur
- Bepaalt de tijdsduur die moet worden bekeken voor het detecteren van afwijkingen. Als u deze functie aanroept met DetectingTime = 0h, worden afwijkingen in de hele LearningTime-periode gemarkeerd
- SelectedSystems
- Optioneel
- Standaardwaarde: "Alle systemen"
- Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken.
- SelectedSystemRoles
- Optioneel
- Standaardwaarde: "Alle systeemrollen"
- Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de watchlist SAP - Systems).
- SelectedSeverities
- Optioneel
- Standaardwaarde: ["Hoog", "Gemiddeld"]
- Wordt gebruikt om gebeurtenissen te bepalen die moeten worden bekeken in termen van hun ernst. Ernst per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.
- SelectedPrefixMask
- Optioneel
- Standaardwaarde: 24
- Wordt gebruikt om het niveau van het subnetmasker te bepalen dat wordt gebruikt voor leren en detecteren.
- SelectedRuleTypes
- Optioneel
- Standaardwaarde: 'AnomaliesOnly'
- Bepaalt welke gebeurtenissen relevant zijn voor het detecteren van de afwijkingen. Regeltypen per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.
Logica
De functie leert het segment van de geschiedenis die is gedefinieerd door de verschillende invoerparameters, op gebruikers-, netwerkkenmerken, systeem-, seizoensgebondenheids- en activiteitsniveaus. Vervolgens worden gebeurtenissen beoordeeld die plaatsvinden binnen de laatste periode van DetectingTime op basis van wat deze heeft geleerd, waarbij drempelwaarden en andere configureerbare uitsluitingscriteria worden toegepast die zijn verkregen uit de watchlist voor de configuratie van het SAP-auditlogboek. Zodra een schuifvenster van de gebruikersactiviteit als afwijkend werd beschouwd, retourneert een tweede query de volledige gebruikersactiviteit als bewijs dat de beslissing ondersteunt.
Aanvullende opmerkingen
Net als bij elke machine learning-oplossing presteert deze functie beter met tijd. Verdere aanpassingen kunnen worden aangebracht met behulp van lokale configuratie. Het is raadzaam om de grootte van de geleerde database te beperken tot minder dan 100 miljoen records met behulp van de vele beschikbare invoerparameters.
Voorbeeld: zoeken naar afwijkingen voor gebeurtenissen met een hoge ernst die zich in het afgelopen uur in productiesystemen hebben voorgedaan voor gebeurtenistypen die zijn gemarkeerd als 'AnomaliesOnly' in de 'SAP_Dynamic_Audit_Log_Monitor_Configuration'
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Voorbeeld: Zoeken naar alle afwijkingen in de afgelopen 14 dagen in systeem "BIP"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Veld | Beschrijving |
---|---|
Meerdere velden uit SAPAuditLog | Sleutelvelden uit het SAP-auditlogboek |
Meerdere velden van SAPAuditLogConfiguration | Sleutelvelden uit de Sentinel-configuratie voor SAP-auditlogboek |
DiscoveredOn | Het afgeronde uur waarop de anomalie werd waargenomen |
EventCount | Aantal gebeurtenissen geteld per rij |
AnomalCount | Aantal gebeurtenissen dat is waargenomen in het relevante schuifvenster |
MinTime | Tijdstip van eerste waargenomen gebeurtenis |
MaxTime | Tijdstip waarop de laatste gebeurtenis is waargenomen |
Score | de anomaliescores zoals geproduceerd door het anomaliemodel |
Zie ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek voor meer informatie.
SAPAuditLogConfigRecommend
De SAPAuditLogConfigRecommend is een helperfunctie die is ontworpen om aanbevelingen te bieden voor de configuratie van de analyseregel SAP - Dynamic Anomaly Based Audit Log Monitor Alerts (PREVIEW). Meer informatie over het configureren van de regels.
SAPUsersGetVIP
De Microsoft Sentinel-oplossing voor SAP-toepassingen® maakt gebruik van een concept van centrale gebruikerstags en expliciete uitsluitingen, ontworpen om u te helpen fout-positieven met minimale inspanning te verlagen. Gebruik de functie SAPUsersGetVIP om gebruikers uit te sluiten van het activeren van waarschuwingen door SAP-gebruikersrollen, SAP-gebruikersfuncties of tags op te geven die deze gebruikers vertegenwoordigen. Zie Fout-positieven afhandelen in Microsoft Sentinel voor meer informatie.
Tags die zijn opgegeven als invoer voor de functie SAPUsersGetVIP sluiten alle gebruikers uit met een tag die wordt vermeld in de SAP_User_Config watchlist. Dezelfde functionaliteit wordt uitgebreid om te werken met jokertekens, zodat u één tag kunt toewijzen aan een groep gebruikers met dezelfde naamgevingssyntaxis.
Tag gebruikers in de SAP_User_Config volglijst als volgt:
Voeg indien nodig meerdere tags toe aan elke gebruiker in de SAP_User_Config volglijst. Elke waarschuwingsregel heeft zijn eigen relevante tags, indien van toepassing, en u kunt indien nodig aangepaste tags toevoegen.
Gebruik een sterretje (*) als jokerteken om gebruikers met een specifieke naamgevingsyntaxissjabloon op te nemen.
Voeg de functie SAPUsersGetVIP toe aan uw analyseregels om de lijsten aan te vragen van gebruikers die u hebt gedefinieerd om te worden uitgesloten van waarschuwingen. Voeg in de functieaanroep een matrix toe met de tags, SAP-rollen en SAP-profielen die u wilt uitsluiten.
Gebruik bijvoorbeeld de volgende KQL-query in uw analyseregel om gebruikers uit te sluiten die zijn geconfigureerd met de Tag RunObsoleteProgOK in de SAP_User_Config volglijst, of gebruikers met de voorbeeldrol SAP_BASIS_ADMIN_ROLE of het voorbeeldprofiel SAP_ADMIN_PROFILE .
Wanneer u deze voorbeeldfunctieoproep kopieert, vervangt u SAP_BASIS_ADMIN_ROLE rol en SAP_ADMIN_PROFILE profiel indien nodig door uw eigen SAP-rollen of -profielen.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
De functie SAPUsersGetVIP wordt vaak gebruikt in deterministische en afwijkende waarschuwingen voor controlelogboekcontrole . Koppel een tag aan een bericht-id van het SAP-auditlogboek of breid de regelsjabloon uit naar een aangepaste regel die overeenkomt met de behoeften van uw organisatie.
Tip
We raden u aan contact op te nemen met uw SAP-systeembeheerder om te begrijpen welke SAP-gebruikers, -rollen en -profielen moeten worden opgenomen in uw SAP_User_Config volglijst.
Parameters:
Name | Omschrijving | Default value |
---|---|---|
SearchForTags (optioneel) | Als SearchForTags dit gelijk is All Tags aan, worden alle gebruikers samen met hun tags geretourneerd. Anders worden alleen gebruikers met de tags, SAP-rollen of SAP-profielen geretourneerd die zijn opgegeven in SearchForTags . TagsIntersect toont de gevonden tags en IntersectionSize bevat het aantal gevonden tags. |
dynamic('All Tags') |
SpecialFocusTags (optioneel) | Retourneert alle gebruikers met de opgegeven SpecialFocusTags tags en markeert deze met specialFocusTagged = true . |
Do not return any in-focus users |
Bron | Veld | Omschrijving | Opmerkingen |
---|---|---|---|
De SAP_User_Config watchlist | SearchKey | Zoeksleutel | |
De SAP_User_Config watchlist | SAPUser | De SAP-gebruiker | OSS, DDIC |
De SAP_User_Config watchlist | Tags | Tekenreeks van tags die aan de gebruiker zijn toegewezen | RunObsoleteProgOK |
De SAP_User_Config watchlist | Microsoft Entra-object-id van gebruiker | Microsoft Entra-object-id | |
De SAP_User_Config watchlist | Gebruikers-id | AD-gebruikers-id | |
De SAP_User_Config watchlist | On-premises sid van gebruiker | ||
De SAP_User_Config watchlist | User Principal Name | ||
De SAP_User_Config watchlist | TagsLijst | Een lijst met tags die aan de gebruiker zijn toegewezen | ChangeUserMasterDataOK; RunObsoleteProgOK |
Logica | TagsIntersect | Een set tags die overeenkomen met SearchForTags | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Logica | SpecialFocusTagged | Speciale focusindicatie | True, False |
Logica | Snijpunt | Het aantal gekruiste tags |
SAPUsersHeader
De functie SAPUsersHeader is ontworpen om een algemeen overzicht van de SAP-gebruiker te bieden. Er worden gegevens gebruikt die zijn geëxtraheerd uit zowel de hoofdgegevenstabellen van de SAP-gebruiker als de recente activiteit in het SAP-auditlogboek om e-mail en IP-adressen te verzamelen. Vervolgens worden laatst bekende e-mailadressen en IP-adressen geretourneerd, samen met primaire e-mailadressen en IP-adressen. Parameters: SelectedSystemRoles:dynamic = dynamic(["Alle systeemrollen"]) SelectedSystems:dynamic = dynamic(["Alle systemen"]) SelectedUsers:dynamic = dynamic(["Alle gebruikers"]) SelectedUser:string = "Alle gebruikers"
- SelectedSystems
- Optioneel
- Standaardwaarde: "Alle systemen"
- Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken.
- SelectedSystemRoles
- Optioneel
- Standaardwaarde: "Alle systeemrollen"
- Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de watchlist SAP - Systems).
- SelectedUsers
- Optioneel
- Standaardwaarde: "Alle gebruikers"
- Kan invoerlijsten van gebruikers invoeren.
- SelectedUser
- Optioneel
- Standaardwaarde: "Alle gebruikers"
- Accepteert slechts één gebruiker
Aanvullende opmerkingen
Voor prestatieoverwegingen wordt slechts een paar dagen aan controleactiviteiten overwogen. Voer voor een volledige geschiedenis van gebruikersactiviteit een aangepaste KQL-query uit op de functie SAPAuditLog.
Bron | Veld | Omschrijving | Opmerkingen |
---|---|---|---|
User | De SAP-gebruiker | ||
SAP-tabellen ADR6 en USR21 | E-mailen | Afkomstig van de hoofdgegevens van de gebruiker | OSS, DDIC |
SAP-tabel USR02 | UserType | tekenreeks van tags die aan de gebruiker zijn toegewezen | RunObsoleteProgOK |
SAP-tabel USR02 | Tijdzone | Microsoft Entra-object-id | |
SAP-tabel USR02 | LockedStatus | AD-gebruikers-id | |
SAP-auditlogboek | LastSeen | Een tijdstempel | laatste controlegebeurtenis waargenomen voor de gebruiker |
SAP-auditlogboek | LastSeenDaysAgo | dagen verstreken sinds LastSeen | |
SAP-auditlogboek | PrimaryIP | Meest gebruikte IP-adres | ChangeUserMasterDataOK; RunObsoleteProgOK |
SAP-auditlogboek | LastKnownIP | Laatst gebruikt IP-adres | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
SAP-auditlogboek | PrimaryEmail | Meestgebruikte e-mailadres | True, False |
SAP-auditlogboek | Bekende IP's | Lijst met bekende IP-adressen | gesorteerd op de meest voorkomende eerste |
SAP-auditlogboek | KnownEmails | Lijst met bekende e-mailadressen | gesorteerd op de meest voorkomende eerste |
Klant | De SAP-client-id | ||
SystemID | De SAP-systeem-id | ||
SystemRole | De rol van het SAP-systeem | Productie, UAT | |
SystemUsage | Het belangrijkste gebruik van het SAP-systeem | ERP, CRM |
Logboeken geproduceerd door de gegevensconnectoragent
In deze sectie worden de SAP-logboeken beschreven die beschikbaar zijn vanuit de Microsoft Sentinel-oplossing voor sap-toepassingen® voor gegevensconnector, inclusief de tabelnamen in Microsoft Sentinel, de logboekdoeleinden en gedetailleerde logboekschema's. Beschrijvingen van schemavelden zijn gebaseerd op de veldbeschrijvingen in de relevante SAP-documentatie.
Voor de beste resultaten gebruikt u de microsoft Sentinel-functies die hieronder worden vermeld om de gegevens te visualiseren, te openen en er query's op uit te voeren.
- ABAP-toepassingslogboek
- ABAP-logboek documenten wijzigen
- ABAP CR-logboek
- ABAP DB-tabelgegevenslogboek (PREVIEW)
- ABAP Gateway-logboek (PREVIEW)
- ABAP ICM-logboek (PREVIEW)
- ABAP-taaklogboek
- ABAP-beveiligingscontrolelogboek
- ABAP Spool-logboek
- APAB Spool-uitvoerlogboek
- ABAP SysLog
- ABAP-werkstroomlogboek
- ABAP WorkProcess-logboek
- Audittrail van HANA DB
- JAVA-bestanden
- SAP-heartbeatlogboek
ABAP-toepassingslogboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPAppLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: registreert de voortgang van de uitvoering van een toepassing, zodat u deze later naar behoefte kunt reconstrueren.
Beschikbaar met behulp van RFC op basis van standaard SAP-tabel en standaardservices van de XBP-interface. Dit logboek wordt per client gegenereerd.
ABAPAppLog_CL logboekschema
Veld | Beschrijving |
---|---|
AppLogDateTime | Datum/tijd van toepassingslogboek |
CallbackProgram | Callback-programma |
CallbackRoutine | Terugbelroutine |
CallbackType | Type callback |
ClientID | ABAP-client-id (MANDT) |
ContextDDIC | Context DDIC-structuur |
ExternalID | Externe logboek-id |
Host | Host |
Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Toepassingslogboekbericht serieel |
LevelofDetail | Detailniveau |
LogHandle | Handle van toepassingslogboek |
LogNumber | Logboeknummer |
Messageclass | Berichtklasse |
MessageNumber | Berichtnummer |
MessageText | Berichttekst |
MessageType | Berichttype |
Object | Toepassingslogboekobject |
OperationMode | Bewerkingsmodus |
ProblemClass | Probleemklasse |
ProgramName | Programmanaam |
SortCriterion | Sorteercriterium |
StandardText | Standaardtekst |
SubObject | Subobject toepassingslogboek |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
TransactionCode | Transactiecode |
User | User |
UserChange | Gebruikerswijziging |
ABAP-logboek documenten wijzigen
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPChangeDocsLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: Records:
SAP NetWeaver Application Server (AS) ABAP-logboekwijzigingen in zakelijke gegevensobjecten in wijzigingsdocumenten.
Andere entiteiten in het SAP-systeem, zoals gebruikersgegevens, rollen, adressen.
Beschikbaar met RFC op basis van standaard SAP-tabellen. Dit logboek wordt per client gegenereerd.
ABAPChangeDocsLog_CL logboekschema
Veld | Beschrijving |
---|---|
ActualChangeNum | Werkelijke wijzigingsnummer |
ChangedTableKey | Tabelsleutel gewijzigd |
ChangeNumber | Nummer wijzigen |
ClientID | ABAP-client-id (MANDT) |
CreatedfromPlannedChange | Gemaakt op basis van geplande wijziging, in de volgende syntaxis: (‘X’ , ‘ ‘) |
CurrencyKeyNew | Valutasleutel: nieuwe waarde |
CurrencyKeyOld | Valutasleutel: oude waarde |
Veldnaam | Veldnaam |
FlagText | Vlagtekst |
Host | Host |
Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
Taal | Taal |
ObjectClass | Objectklasse, zoals BELEG , BPAR , , PFCG IDENTITY |
ObjectID | Object-id |
PlannedChangeNum | Gepland wijzigingsnummer |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
TableName | Tabelnaam |
TransactionCode | Transactiecode |
TypeofChange_Header | Kopteksttype van wijziging, waaronder: U = Wijzigen; I = Invoegen; E = Enkele docu verwijderen; D = Verwijderen; J = Enkele docu invoegen |
TypeofChange_Item | Itemtype van wijziging, waaronder: U = Wijzigen; I = Invoegen; E = Enkele docu verwijderen; D = Verwijderen; J = Enkele docu invoegen |
UOMNew | Maateenheid: nieuwe waarde |
UOMOld | Maateenheid: oude waarde |
User | User |
ValueNew | Veldinhoud: nieuwe waarde |
ValueOld | Veldinhoud: oude waarde |
Versie | Versie |
ABAP CR-logboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPCRLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: bevat de CTS-logboeken (Change & Transport System), inclusief de mapobjecten en aanpassingen waar wijzigingen zijn aangebracht.
Beschikbaar met rfc op basis van standaardtabellen en standaard SAP-services. Dit logboek wordt gegenereerd met gegevens voor alle clients.
Notitie
Naast toepassingslogboekregistratie, wijzigingsdocumenten en tabelopname, worden alle wijzigingen die u aanbrengt in uw productiesysteem met behulp van het Change & Transport System gedocumenteerd in de CTS- en TMS-logboeken.
ABAPCRLog_CL logboekschema
Veld | Beschrijving |
---|---|
Categorie | Categorie (Workbench, aanpassen) |
ClientID | ABAP-client-id (MANDT) |
Beschrijving | Beschrijving |
Host | Host |
Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
ObjectName | Object name |
ObjectType | Object type |
Eigenaar | Eigenaar |
Aanvraag | Wijzigingsaanvraag |
Status | Status |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
TableKey | Tabelsleutel |
TableName | Tabelnaam |
ViewName | Weergavenaam |
ABAP DB-tabelgegevenslogboek (PREVIEW)
Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPTableDataLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: biedt logboekregistratie voor tabellen die kritiek of vatbaar zijn voor controles.
Beschikbaar met RFC met een aangepaste service. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPTableDataLog_CL logboekschema
Veld | Beschrijving |
---|---|
DBLogID | DB-logboek-id |
Host | Host |
Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
Taal | Taal |
LogKey | Logboeksleutel |
NewValue | Nieuwe waarde voor veld |
Oldvalue | Oude waarde van veld |
OperationTypeSQL | Bewerkingstype, Insert , Update Delete |
Programma | Programmanaam |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
TableField | Tabelveld |
TableName | Tabelnaam |
TransactionCode | Transactiecode |
Gebruikersnaam | User |
VersionNumber | Versienummer |
ABAP Gateway-logboek (PREVIEW)
Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPOS_GW
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: bewaakt gatewayactiviteiten. Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPOS_GW_CL logboekschema
Veld | Beschrijving |
---|---|
Host | Host |
Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
MessageText | Berichttekst |
Ernst | Ernst van bericht: Debug , Info , , Warning Error |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
ABAP ICM-logboek (PREVIEW)
Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPOS_ICM
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: registreert inkomende en uitgaande aanvragen en compileert statistieken van de HTTP-aanvragen.
Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPOS_ICM_CL logboekschema
Veld | Beschrijving |
---|---|
Host | Host |
Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
MessageText | Berichttekst |
Ernst | Ernst van bericht, waaronder: Debug , Info , Warning Error |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
ABAP-taaklogboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPJobLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: combineert alle achtergrondverwerkingstaaklogboeken (SM37).
Beschikbaar met behulp van RFC op basis van standaard SAP-tabel en standaardservices van XBP-interfaces. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPJobLog_CL logboekschema
Veld | Beschrijving |
---|---|
ABAPProgram | ABAP-programma |
BgdEventParameters | Parameters voor achtergrondevenementen |
BgdProcessingEvent | Gebeurtenis achtergrondverwerking |
ClientID | ABAP-client-id (MANDT) |
DynproNumber | Dynpro-nummer |
GUIStatus | GUI-status |
Host | Host |
Exemplaar | ABAP-exemplaar (HOST_SYSID_SYSNR), in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
JobClassification | Taakclassificatie |
JobCount | Aantal taken |
JobGroup | Taakgroep |
JobName | Taaknaam |
JobPriority | Jobprioriteit |
Messageclass | Berichtklasse |
MessageNumber | Berichtnummer |
MessageText | Berichttekst |
MessageType | Berichttype |
ReleaseUser | Taakreleasegebruiker |
SchedulingDateTime | Planningsdatumstijd |
StartDateTime | Begindatumtijd |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
TargetServer | Doelserver |
User | User |
UserReleaseInstance | ABAP-exemplaar - gebruikersrelease |
WorkProcessID | Werkproces-id |
WorkProcessNumber | Nummer van werkproces |
ABAP-beveiligingscontrolelogboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPAuditLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: registreert de volgende gegevens:
- Beveiligingsgerelateerde wijzigingen in de SAP-systeemomgeving, zoals wijzigingen in hoofdgebruikersrecords
- Informatie die een hoger gegevensniveau biedt, zoals geslaagde en mislukte aanmeldingspogingen
- Informatie die de wederopbouw van een reeks gebeurtenissen mogelijk maakt, zoals een geslaagde of mislukte transactie, begint
Beschikbaar met RFC XAL/SAL-interfaces. SAL is beschikbaar vanaf versie 7.50. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPAuditLog_CL logboekschema
Veld | Beschrijving |
---|---|
ABAPProgramName | Programmanaam, alleen SAL |
AlertSeverity | Ernst van waarschuwing |
AlertSeverityText | Tekst voor ernst van waarschuwing, alleen SAL |
AlertValue | Waarschuwingswaarde |
AuditClassID | Klasse-id controleren, alleen SAL |
ClientID | ABAP-client-id (MANDT) |
Computer | Gebruikersmachine, alleen SAL |
E-mailen | E-mail van gebruiker |
Host | Host |
Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
Messageclass | Berichtklasse |
MessageContainerID | Berichtcontainer-id, alleen XAL |
Messageid | Bericht-id, zoals ‘AU1’,’AU2’… |
MessageText | Berichttekst |
MonitoringObjectName | MTE Monitor-objectnaam, alleen XAL |
MonitorShortName | Korte naam van MTE Monitor, alleen XAL |
SAPProcesType | Systeemlogboek: SAP-procestype, alleen SAL |
B* - Achtergrondverwerking | |
D* - Dialoogvensterverwerking | |
U* - Taken bijwerken | |
SAPWPName | Systeemlogboek: werkprocesnummer, alleen SAL |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
TerminalIPv6 | IP van gebruikerscomputer, alleen SAL |
TransactionCode | Transactiecode, alleen SAL |
User | User |
Variabele1 | Berichtvariabele 1 |
Variabele2 | Berichtvariabele 2 |
Variabele3 | Berichtvariabele 3 |
Variabele4 | Berichtvariabele 4 |
ABAP Spool-logboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPSpoolLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: fungeert als het hoofdlogboek voor SAP-afdrukken met de geschiedenis van spoolaanvragen. (SP01).
Beschikbaar met RFC op basis van standaard SAP-tabel. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPSpoolLog_CL logboekschema
Veld | Beschrijving |
---|---|
ArchiveStatus | Archiefstatus |
ArchiveType | Archieftype |
ArchivingDevice | Apparaat archiveren |
AutoRereoute | Automatisch omleiden |
ClientID | ABAP-client-id (MANDT) |
CountryKey | Landsleutel |
DeleteSpoolRequestAuto | Aanvraag voor spool automatisch verwijderen |
DelFlag | Verwijderingsvlag |
Afdeling | Kostenplaats |
DocumentType | Documenttype |
ExternalMode | Externe modus |
FormatType | Indelingstype |
Host | Host |
Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
NumofCopies | Aantal exemplaren |
OutputDevice | Uitvoerapparaat |
PrinterLongName | Lange printernaam |
PrintImmediately | Direct afdrukken |
PrintOSCoverPage | OsCover-pagina afdrukken |
PrintSAPCoverPage | SAPCover-pagina afdrukken |
Prioriteit | Prioriteit |
RecipientofSpoolRequest | Ontvanger van spoolaanvraag |
SpoolErrorStatus | Status van Spool-fout |
SpoolRequestCompleted | Voltooide Spool-aanvraag |
SpoolRequestisALogForAnotherRequest | Spool-aanvraag is een logboek voor een andere aanvraag |
SpoolRequestName | Naam van Spool-aanvraag |
SpoolRequestNumber | Aanvraagnummer voor spool |
SpoolRequestSuffix1 | Achtervoegsel van de spoolaanvraag1 |
SpoolRequestSuffix2 | Achtervoegsel van spoolaanvraag2 |
SpoolRequestTitle | Titel van Spool-aanvraag |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
Telecommunicatiepartner | Telecommunicatiepartner |
Telecommunicatiepartnere | Telecommunicatiepartner E |
TemSeGeneralcounter | Temse-teller |
TemseNumAddProtectionRule | Temse-nummer beveiligingsregel toevoegen |
TemseNumChangeProtectionRule | Beveiligingsregel voor temse-nummerwijziging |
TemseNumDeleteProtectionRule | Beveiligingsregel voor verwijderen van Temse-nummer |
TemSeObjectName | Temse-objectnaam |
TemSeObjectPart | TemSe-objectonderdeel |
TemseReadProtectionRule | Temse-regel voor leesbeveiliging |
User | User |
ValueAuthCheck | Verificatiecontrole voor waarde |
APAB Spool-uitvoerlogboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPSpoolOutputLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: fungeert als het hoofdlogboek voor SAP-afdrukken met de geschiedenis van spool-uitvoeraanvragen. (SP02).
Beschikbaar met behulp van RFC met een aangepaste service op basis van standaardtabellen. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPSpoolOutputLog_CL logboekschema
Veld | Beschrijving |
---|---|
AppServer | Toepassingsserver |
ClientID | ABAP-client-id (MANDT) |
Opmerking | Opmerking |
CopyCount | Aantal kopieën |
CopyCounter | Teller kopiëren |
Afdeling | Kostenplaats |
ErrorSpoolRequestNumber | Foutaanvraagnummer |
FormatType | Indelingstype |
Host | Host |
HostName | Hostnaam |
HostSpoolerID | Host-spooler-id |
Exemplaar | ABAP-exemplaar |
LastPage | Laatste pagina |
NumofCopies | Aantal exemplaren |
OutputDevice | Uitvoerapparaat |
OutputRequestNumber | Uitvoeraanvraagnummer |
OutputRequestStatus | Status van uitvoeraanvraag |
PhysicalFormatType | Type fysieke indeling |
PrinterLongName | Lange printernaam |
PrintRequestSize | Grootte van afdrukaanvraag |
Prioriteit | Prioriteit |
ReasonforOutputRequest | Reden voor uitvoeraanvraag |
RecipientofSpoolRequest | Ontvanger van spoolaanvraag |
SpoolNumberofOutputReqProcessed | Aantal uitvoeraanvragen - verwerkt |
SpoolNumberofOutputReqWithErrors | Aantal uitvoeraanvragen - met fouten |
SpoolNumberofOutputReqWithProblems | Aantal uitvoeraanvragen - met problemen |
SpoolRequestNumber | Aanvraagnummer voor spool |
Startpagina | Startpagina |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
Telecommunicatiepartner | Telecommunicatiepartner |
TemSeGeneralcounter | Temse-teller |
Titel | Titel |
User | User |
ABAP Syslog
Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPOS_Syslog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: registreert alle SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP-systeemfouten, waarschuwingen, gebruikersvergrendelingen vanwege mislukte aanmeldingspogingen van bekende gebruikers en procesberichten.
Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPOS_Syslog_CL logboekschema
Veld | Beschrijving |
---|---|
ClientID | ABAP-client-id (MANDT) |
Host | Host |
Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
MessageNumber | Berichtnummer |
MessageText | Berichttekst |
Ernst | Ernst van bericht, een van de volgende waarden: Debug , Info , , Warning Error |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
TransacationCode | Transactiecode |
Type | SAP-procestype |
User | User |
ABAP-werkstroomlogboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPWorkflowLog
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: Met de SAP Business Workflow (WebFlow Engine) kunt u bedrijfsprocessen definiëren die nog niet zijn toegewezen in het SAP-systeem.
Niet-toegewezen bedrijfsprocessen kunnen bijvoorbeeld eenvoudige procedures voor vrijgave of goedkeuring zijn, of complexere bedrijfsprocessen, zoals het maken van basismateriaal en vervolgens het coördineren van de bijbehorende afdelingen.
Beschikbaar met RFC op basis van standaard SAP-tabellen. Dit logboek wordt per client gegenereerd.
ABAPWorkflowLog_CL logboekschema
Veld | Beschrijving |
---|---|
ActualAgent | Werkelijke agent |
Adres | Adres |
ApplicationArea | Toepassingsgebied |
CallbackFunction | Callback, functie |
ClientID | ABAP-client-id (MANDT) |
CreationDateTime | Aanmaakdatumtijd |
Maker | Maker |
CreatorAddress | Adres van maker |
ErrorType | Fouttype |
ExceptionforMethod | Uitzondering voor methode |
Host | Host |
Exemplaar | ABAP-exemplaar (HOST_SYSID_SYSNR), in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
Taal | Taal |
LogCounter | Logboekteller |
MessageNumber | Berichtnummer |
MessageType | Berichttype |
MethodUser | Methodegebruiker |
Prioriteit | Prioriteit |
SimpleContainer | Eenvoudige container, verpakt als een lijst met sleutel-waarde-entiteiten voor het werkitem |
Status | Status |
SuperWI | Super WI |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
Taskid | Taak-id |
TasksClassification | Taakclassificaties |
TaskText | Taaktekst |
TopTaskID | Belangrijkste taak-id |
UserCreated | Gebruiker gemaakt |
WIText | Tekst van werkitem |
WIType | Type werkitem |
WorkflowAction | Werkstroomactie |
WorkItemID | Werkitem-id |
ABAP WorkProcess-logboek
Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPOS_WP
Verwante SAP-documentatie: SAP Help-portal
Logboekdoel: combineert alle werkproceslogboeken. (standaard:
dev_*
).Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.
ABAPOS_WP_CL logboekschema
Veld | Beschrijving |
---|---|
Host | Host |
Exemplaar | ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
MessageText | Berichttekst |
Ernst | Ernst van bericht: Debug , Info , , Warning Error |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
WPNumber | Nummer van werkproces |
Audittrail van HANA DB
Als u dit logboek wilt laten verzenden naar Microsoft Sentinel, moet u een Microsoft Management Agent implementeren om Syslog-gegevens te verzamelen van de computer waarop HANA DB wordt uitgevoerd.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPSyslog
Verwante SAP-documentatie: Algemene | audittrail
Logboekdoel: registreert gebruikersacties of geprobeerde acties in de SAP HANA-database. Hiermee kunt u bijvoorbeeld de leestoegang tot gevoelige gegevens registreren en bewaken.
Beschikbaar door de Sentinel Linux-agent voor Syslog. Dit logboek wordt gegenereerd met gegevens voor alle clients.
Syslog-logboekschema
Veld | Beschrijving |
---|---|
Computer | Hostnaam |
Hostip | HOST-IP |
HostName | Hostnaam |
ProcessID | Process ID |
ProcessName | Procesnaam: HDB* |
SeverityLevel | Waarschuwing |
SourceSystem | Besturingssysteem van bronsysteem, Linux |
SyslogMessage | Bericht, een niet-geparseerd audittrailbericht |
JAVA-bestanden
Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPJAVAFilesLogs
Gerelateerde SAP-documentatie: Algemeen | Java-beveiligingscontrolelogboek
Logboekdoel: combineert alle Java-logboeken op basis van bestanden, waaronder het beveiligingscontrolelogboek en het systeem (cluster- en serverproces), prestaties en gatewaylogboeken. Bevat ook developer-traceringen en standaardtraceringslogboeken.
Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.
JavaFilesLogsCL-logboekschema
Veld | Beschrijving |
---|---|
Aanvraag | Java-toepassing |
ClientID | Client ID |
CSNComponent | CSN-onderdeel, zoals BC-XI-IBD |
DCComponent | DC-onderdeel, zoals com.sap.xi.util.misc |
DSRCounter | DSR-teller |
DSRRootContentID | DSR-context-GUID |
DSRTransaction | GUID van DSR-transactie |
Host | Host |
Exemplaar | Java-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR> |
Locatie | Java-klasse |
LogName | Java logName, zoals: Available , defaulttrace , dev* , enzovoort security |
MessageText | Berichttekst |
MNo | Berichtnummer |
Pid | Process ID |
Programma | Programmanaam |
Sessie | Sessie |
Ernst | Ernst van bericht, waaronder: Debug ,Info ,Warning ,Error |
Oplossing | Oplossing |
SystemID | Systeem-id |
SystemNumber | Systeemnummer |
ThreadName | Threadnaam |
Gegooid | Uitzondering opgetreden |
TimeZone | Tijdzone |
User | User |
SAP-heartbeatlogboek
De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAP Verbinding maken orHealth
Logboekdoel: biedt heartbeat en andere statusinformatie over de connectiviteit tussen de agents en de verschillende SAP-systemen.
Automatisch gemaakt voor agents van de Microsoft Sentinel voor SAP-gegevensconnector.
SAP_HeartBeat_CL logboekschema
Veld | Beschrijving |
---|---|
TimeGenerated | Tijd van het posten van logboeken |
agent_id_s | Agent-id in de configuratie van de agent (automatisch gegenereerd) |
agent_ver_s | Agentversie |
host_s | De hostnaam van de agent |
system_id_s | Netweaver ABAP-systeem-id / Netweaver SAPControl Host (preview) / Java SAPControl-host (preview) |
push_timestamp_d | Tijdstempel van de extractie, volgens de tijdzone van de agent |
agent_timezone_s | Tijdzone van agent |
Tabellen die rechtstreeks worden opgehaald uit SAP-systemen
In deze sectie worden de gegevenstabellen weergegeven die rechtstreeks uit het SAP-systeem worden opgehaald en die precies zoals ze zijn opgenomen in Microsoft Sentinel.
Als u de gegevens uit deze tabellen wilt opnemen in Microsoft Sentinel, configureert u de relevante instellingen in het systemconfig.ini-bestand . Zie Het verzamelen van gebruikershoofdgegevens configureren voor meer informatie.
De gegevens die uit deze tabellen worden opgehaald, bieden een duidelijk overzicht van de autorisatiestructuur, groepslidmaatschap en gebruikersprofielen. Hiermee kunt u ook het proces van autorisatietoekenningen bijhouden en intrekken, en de risico's identificeren en beheren die aan deze processen zijn gekoppeld.
De onderstaande tabellen zijn vereist om functies in te schakelen waarmee bevoegde gebruikers worden geïdentificeerd, gebruikers worden toegewezen aan rollen, groepen en autorisaties.
Raadpleeg deze tabellen met de naam in de kolom Sentinel-functienaam hieronder voor de beste resultaten:
Tabelnaam | Tabelbeschrijving | Naam van de functie Sentinel |
---|---|---|
USR01 | Hoofdrecord van gebruiker (runtimegegevens) | SAP_USR01 |
USR02 | Aanmeldingsgegevens (gebruik aan de kernelzijde) | SAP_USR02 |
UST04 | Gebruikersmodellen Kaarten gebruikers aan profielen |
SAP_UST04 |
AGR_USERS | Toewijzing van rollen aan gebruikers | SAP_AGR_USERS |
AGR_1251 | Autorisatiegegevens voor de activiteitsgroep | SAP_AGR_1251 |
USGRP_USER | Toewijzing van gebruikers aan gebruikersgroepen | SAP_USGRP_USER |
USR21 | Toewijzing van gebruikersnaam/adressleutel | SAP_USR21 |
ADR6 | E-mailadressen (services voor zakelijke adressen) | SAP_ADR6 |
USRSTAMP | Tijdstempel voor alle wijzigingen in de gebruiker | SAP_USRSTAMP |
ADCP | Persoon/adrestoewijzing (services voor bedrijfsadressen) | SAP_ADCP |
USR05 | Parameter-id van gebruikershoofd | SAP_USR05 |
AGR_PROF | Profielnaam voor rol | SAP_AGR_PROF |
AGR_FLAGS | Rolkenmerken | SAP_AGR_FLAGS |
DEVACCESS | Tabel voor ontwikkelingsgebruiker | SAP_DEVACCESS |
AGR_DEFINE | Roldefinitie | SAP_AGR_DEFINE |
AGR_AGRS | Rollen in samengestelde rollen | SAP_AGR_AGRS |
PAHI | Geschiedenis van de systeem-, database- en SAP-parameters | SAP_PAHI |
SNCSYSACL (PREVIEW) | SNC Access Control List (ACL): Systemen | SAP_SNCSYSACL |
USRACL (PREVIEW) | SNC Access Control List (ACL): Gebruiker | SAP_USRACL |
Volgende stappen
Zie voor meer informatie:
- De Microsoft Sentinel-oplossing voor SAP-toepassingen® implementeren
- Microsoft Sentinel-oplossing voor gedetailleerde® SAP-toepassingen
- De Microsoft Sentinel voor SAP-gegevensconnector implementeren met SNC
- Deskundige configuratieopties, on-premises implementatie en SAPControl-logboekbronnen
- Microsoft Sentinel-oplossing voor SAP-toepassingen®: ingebouwde beveiligingsinhoud
- De status van uw SAP-systeem bewaken
- Problemen met uw Microsoft Sentinel-oplossing oplossen voor implementatie van SAP-toepassingen®