SAP HANA-auditlogboeken verzamelen in Microsoft Sentinel
In dit artikel wordt uitgelegd hoe u auditlogboeken van uw SAP HANA-database verzamelt.
Belangrijk
Microsoft Sentinel SAP HANA-ondersteuning is momenteel beschikbaar in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Vereisten
SAP HANA-logboeken worden verzonden via Syslog. Zorg ervoor dat uw Azure Monitor-agent is geconfigureerd voor het verzamelen van Syslog-bestanden. Zie voor meer informatie:
Zie Syslog- en CEF-berichten opnemen in Microsoft Sentinel met de Azure Monitor-agent voor meer informatie.
SAP HANA-auditlogboeken verzamelen
Zorg ervoor dat het SAP HANA-auditlogboektrail is geconfigureerd voor het gebruik van Syslog, zoals beschreven in SAP Note 0002624117, die toegankelijk is vanaf de ondersteuningssite van SAP Launchpad. Zie voor meer informatie:
Controleer de Syslog-bestanden van uw besturingssysteem op relevante HANA-databasegebeurtenissen.
Meld u als gebruiker aan bij uw HANA-databasebesturingssysteem met sudo-bevoegdheden.
Installeer een agent op uw computer en controleer of uw computer is verbonden. Zie Azure Monitor-agent installeren en beheren voor meer informatie.
Configureer uw agent voor het verzamelen van Syslog-gegevens. Zie Syslog-gebeurtenissen verzamelen met Azure Monitor Agent voor meer informatie.
Tip
Omdat de faciliteiten waar HANA-databasegebeurtenissen worden opgeslagen, kunnen wisselen tussen verschillende distributies, raden we u aan alle faciliteiten toe te voegen. Controleer ze op basis van uw Syslog-logboeken en verwijder ze die niet relevant zijn.
Uw configuratie controleren
Gebruik de volgende stappen in zowel Microsoft Sentinel als uw SAP HANA-database om te controleren of uw systeem is geconfigureerd zoals verwacht.
Microsoft Sentinel
Controleer op de pagina Logboeken van Microsoft Sentinel of HANA-databasegebeurtenissen nu worden weergegeven in de opgenomen logboeken. Voer bijvoorbeeld de volgende query uit:
//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];
let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')
SAP HANA
Controleer uw geconfigureerde controlebeleid in uw SAP HANA-database. Zie SAP Note 3016478 voor meer informatie over de vereiste SQL-instructies.
Analyseregels toevoegen voor SAP HANA in Microsoft Sentinel
Gebruik de volgende ingebouwde analyseregels om microsoft Sentinel te laten beginnen met het activeren van waarschuwingen voor gerelateerde SAP HANA-activiteiten:
- SAP - (PREVIEW) HANA DB - Beheerdersautorisaties toewijzen
- SAP - (PREVIEW) HANA DB - Wijzigingen in het audittrailbeleid
- SAP - (PREVIEW) HANA DB -Deactivatie van audittrail
- SAP - (PREVIEW) HANA DB -Gebruikersbeheerdersacties
Zie de Microsoft Sentinel-oplossing voor SAP-toepassingen® voor meer informatie: naslaginformatie over beveiligingsinhoud.
Gerelateerde inhoud
Meer informatie over de Microsoft Sentinel-oplossing voor SAP BTP:
- Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen®
- Microsoft Sentinel-oplossing voor SAP BTP: naslaginformatie over beveiligingsinhoud
Meer informatie over de Microsoft Sentinel-oplossing voor SAP-toepassingen®:
- Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen®
- Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®
- SAP-wijzigingsaanvragen (CA's) implementeren en autorisatie configureren
- De inhoud van de oplossing implementeren vanuit de inhoudshub
- De container implementeren en configureren die als host fungeert voor de SAP-gegevensconnectoragent
- De SAP-gegevensconnector implementeren met SNC
- De status van uw SAP-systeem bewaken
- SAP-controle inschakelen en configureren
Problemen oplossen:
- Problemen met uw Microsoft Sentinel-oplossing oplossen voor implementatie van SAP-toepassingen®
- HANA-auditlogboek wordt niet gegenereerd in SYSLOG | SAP-notitie
- Syslog-controle voor HANA omleiden naar een alternatieve locatie | SAP-notitie
Referentiebestanden:
- Microsoft Sentinel-oplossing voor gegevensreferenties voor SAP-toepassingen®
- Microsoft Sentinel-oplossing voor SAP-toepassingen®: naslaginformatie over beveiligingsinhoud
- Naslaginformatie over Kickstart-scripts
- Scriptreferentie bijwerken
- Systemconfig.ini bestandsreferentie
Zie Microsoft Sentinel-oplossingen voor meer informatie.