SAP HANA-auditlogboeken verzamelen in Microsoft Sentinel

In dit artikel wordt uitgelegd hoe u auditlogboeken van uw SAP HANA-database verzamelt.

Belangrijk

Microsoft Sentinel SAP HANA-ondersteuning is momenteel beschikbaar in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Vereisten

SAP HANA-logboeken worden verzonden via Syslog. Zorg ervoor dat uw AMA-agent of uw Log Analytics-agent (verouderd) is geconfigureerd voor het verzamelen van Syslog-bestanden. Zie voor meer informatie:

Zie Syslog- en CEF-berichten opnemen in Microsoft Sentinel met de Azure Monitor-agent voor meer informatie.

SAP HANA-auditlogboeken verzamelen

1. Zorg ervoor dat het SAP HANA-auditlogboektrail is geconfigureerd voor het gebruik van Syslog, zoals beschreven in SAP Note 0002624117, die toegankelijk is vanaf de ondersteuningssite van SAP Launchpad. Zie voor meer informatie:

   • SAP HANA-audittrail - Best Practice
   • Aanbevelingen voor controle
   • SAP HANA-beveiligingshandleiding voor SAP HANA-platform

2. Controleer de Syslog-bestanden van uw besturingssysteem op relevante HANA-databasegebeurtenissen.

3. Meld u als gebruiker aan bij uw HANA-databasebesturingssysteem met sudo-bevoegdheden.

4. Installeer een agent op uw computer en controleer of uw computer is verbonden. Zie voor meer informatie:

   • Azure Monitor-agent
   • Log Analytics-agent (verouderd)

5. Configureer uw agent voor het verzamelen van Syslog-gegevens. Zie voor meer informatie:

   • Azure Monitor-agent
   • Log Analytics-agent (verouderd)

   Tip

   Omdat de faciliteiten waar HANA-databasegebeurtenissen worden opgeslagen, kunnen wisselen tussen verschillende distributies, raden we u aan alle faciliteiten toe te voegen. Controleer ze op basis van uw Syslog-logboeken en verwijder ze die niet relevant zijn.

Uw configuratie controleren

Gebruik de volgende stappen in zowel Microsoft Sentinel als uw SAP HANA-database om te controleren of uw systeem is geconfigureerd zoals verwacht.

Microsoft Sentinel

Controleer op de pagina Logboeken van Microsoft Sentinel of HANA-databasegebeurtenissen nu worden weergegeven in de opgenomen logboeken. Voer bijvoorbeeld de volgende query uit:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

Controleer uw geconfigureerde controlebeleid in uw SAP HANA-database. Zie SAP Note 3016478 voor meer informatie over de vereiste SQL-instructies.

Analyseregels toevoegen voor SAP HANA in Microsoft Sentinel

Gebruik de volgende ingebouwde analyseregels om microsoft Sentinel te laten beginnen met het activeren van waarschuwingen voor gerelateerde SAP HANA-activiteiten:

• SAP - (PREVIEW) HANA DB - Beheerdersautorisaties toewijzen
• SAP - (PREVIEW) HANA DB - Wijzigingen in het audittrailbeleid
• SAP - (PREVIEW) HANA DB -Deactivatie van audittrail
• SAP - (PREVIEW) HANA DB -Gebruikersbeheerdersacties

Zie de Microsoft Sentinel-oplossing voor SAP-toepassingen® voor meer informatie: naslaginformatie over beveiligingsinhoud.

Gerelateerde inhoud

Meer informatie over de Microsoft Sentinel-oplossing voor SAP BTP:

• Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen®
• Microsoft Sentinel-oplossing voor SAP BTP: naslaginformatie over beveiligingsinhoud

Meer informatie over de Microsoft Sentinel-oplossing voor SAP-toepassingen®:

• Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen®
• Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®
• SAP-wijzigingsaanvragen (CA's) implementeren en autorisatie configureren
• De inhoud van de oplossing implementeren vanuit de inhoudshub
• De container implementeren en configureren die als host fungeert voor de SAP-gegevensconnectoragent
• De SAP-gegevensconnector implementeren met SNC
• De status van uw SAP-systeem bewaken
• SAP-controle inschakelen en configureren

Problemen oplossen:

• Problemen met uw Microsoft Sentinel-oplossing oplossen voor implementatie van SAP-toepassingen®
• HANA-auditlogboek wordt niet gegenereerd in SYSLOG | SAP-notitie
• Syslog-controle voor HANA omleiden naar een alternatieve locatie | SAP-notitie

Referentiebestanden:

• Microsoft Sentinel-oplossing voor gegevensreferenties voor SAP-toepassingen®
• Microsoft Sentinel-oplossing voor SAP-toepassingen®: naslaginformatie over beveiligingsinhoud
• Naslaginformatie over Kickstart-scripts
• Scriptreferentie bijwerken
• Systemconfig.ini bestandsreferentie

Zie Microsoft Sentinel-oplossingen voor meer informatie.