Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt een selectie van functies beschreven die beschikbaar zijn in uw werkruimte nadat u een Microsoft Sentinel-oplossing voor SAP-toepassingen hebt geïnstalleerd. Ontdek meer functies door in Microsoft Sentinel te bladeren en de functiecode te laden.
Zoek functies als volgt:
- In de Azure Portal, op de pagina Algemene > logboeken, op het tabblad Functies en vermeld onder Werkruimtefuncties.
- Ga in de Defender-portal naar de pagina Onderzoek & antwoord > Geavanceerde opsporing op het tabblad Functies en wordt weergegeven onder Sentinel werkruimtefuncties.
Inhoud in dit artikel is bedoeld voor uw beveiligingsteams .
Functies gebruiken in uw query's in plaats van onderliggende logboeken of tabellen
We raden u ten zeerste aan om waar mogelijk de functies in dit artikel te gebruiken als het onderwerp van hun analyse, in plaats van de onderliggende logboeken of tabellen.
Deze functies zijn bedoeld als de belangrijkste gebruikersinterface voor de gegevens. Ze vormen de basis voor alle ingebouwde analyseregels en werkmappen die standaard voor u beschikbaar zijn. Met behulp van functies kunnen wijzigingen worden aangebracht in de gegevensinfrastructuur onder de functies, zonder dat de door de gebruiker gemaakte inhoud wordt verbroken.
BAPI_XMI_LOGON (preview)
De functie BAPI_XMI_LOGON is relevant wanneer uw SAP-systeem een ouder systeem is met XAL en wordt geverifieerd om SAP XAL-auditlogboeken te verzamelen.
De functie BAPI_XMI_LOGON wordt alleen ondersteund voor de SAP-gegevensconnector zonder agent. Zie Een Microsoft Sentinel-oplossing voor SAP-toepassingen installeren voor meer informatie.
BAPI_SYSTEM_MTE_GETTIDBYNAME (preview)
De functie BAPI_SYSTEM_MTE_GETTIDBYNAME is relevant wanneer uw SAP-systeem een ouder systeem is met XAL en de id van een systeembewakingselement op naam ophaalt.
De functie BAPI_SYSTEM_MTE_GETTIDBYNAME wordt alleen ondersteund voor de SAP-gegevensconnector zonder agent. Zie Een Microsoft Sentinel-oplossing voor SAP-toepassingen installeren voor meer informatie.
BAPI_SYSTEM_MTE_GETTREE (preview)
De functie BAPI_SYSTEM_MTE_GETTREE is relevant wanneer uw SAP-systeem een ouder systeem is met XAL en de structuur van systeembewakingselementen ophaalt.
De functie BAPI_SYSTEM_MTE_GETTREE wordt alleen ondersteund voor de SAP-gegevensconnector zonder agent. Zie Een Microsoft Sentinel-oplossing voor SAP-toepassingen installeren voor meer informatie.
BAPI_SYSTEM_MTE_GETMLHIS (preview)
De functie BAPI_SYSTEM_MTE_GETMLHIS is relevant wanneer uw SAP-systeem een ouder systeem is met XAL en historische prestatie- en statusgegevens ophaalt.
De functie BAPI_SYSTEM_MTE_GETMLHIS wordt alleen ondersteund voor de SAP-gegevensconnector zonder agent. Zie Een Microsoft Sentinel-oplossing voor SAP-toepassingen installeren voor meer informatie.
BAPI_XMI_SET_AUDITLEVEL (preview)
De functie BAPI_XMI_SET_AUDITLEVEL is relevant wanneer uw SAP-systeem een ouder systeem is met XAL en het niveau van XAL-auditlogboeken configureert.
De functie BAPI_XMI_SET_AUDITLEVEL wordt alleen ondersteund voor de SAP-gegevensconnector zonder agent. Zie Een Microsoft Sentinel-oplossing voor SAP-toepassingen installeren voor meer informatie.
BAPI_XMI_GET_LOGHISTORY (preview)
De functie BAPI_XMI_GET_LOGHISTORY is relevant wanneer uw SAP-systeem een ouder systeem is met XAL en eerdere XAL-auditlogboekvermeldingen ophaalt.
De functie BAPI_XMI_GET_LOGHISTORY wordt alleen ondersteund voor de SAP-gegevensconnector zonder agent. Zie Een Microsoft Sentinel-oplossing voor SAP-toepassingen installeren voor meer informatie.
SAPUsersAssignments
De functie SAPUsersAssignments verzamelt gegevens uit meerdere SAP-gegevensbronnen en maakt een gebruikersgerichte weergave van de huidige hoofdgegevens van de gebruiker, inclusief de rollen en profielen die momenteel zijn toegewezen.
Deze functie geeft een overzicht van de gebruikerstoewijzingen aan rollen en profielen en retourneert de volgende gegevens:
| Veld | Beschrijving | Gegevensbron/notities |
|---|---|---|
| Gebruiker | SAP-gebruikers-id | Alleen SAL |
| SMTP-adres | USR21 (SMTP_ADDR) | |
| UserType | Gebruikerstype | USR02 (USTYP) |
| Uurzonee | Tijdzone | USR02 (TZONE) |
| LockedStatus | Vergrendelingsstatus | USR02 (UFLAG) |
| LastSeenDate | Laatst bekeken datum | USR02 (TRDAT) |
| LastSeenTime | Tijdstip laatst gezien | USR02 (LTIME) |
| UserGroupAuth | Gebruikersgroep in hoofdonderhoud van de gebruiker | USR02 (KLASSE) |
| Profielen | Set profielen (standaard maximale setgrootte = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Set van rechtstreeks toegewezen rollen (standaard maximale setgrootte = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Set indirect toegewezen rollen (standaard maximale setgrootte = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Client | Client-id | |
| SystemID | Systeem-id | Zoals gedefinieerd in de connector |
SAPUsersGetPrivileged
De functie SAPUsersGetPrivileged retourneert een lijst met bevoegde gebruikers per client en systeem-id.
Gebruikers worden beschouwd als bevoegd wanneer ze overeenkomen met een van de volgende beschrijvingen:
- Ze worden vermeld in de volglijst van SAP - Bevoegde gebruikers
- Ze zijn toegewezen aan een profiel dat wordt vermeld in de volglijst van SAP - Gevoelige profielen
- Ze worden toegevoegd aan een rol die wordt vermeld in de volglijst van SAP - Gevoelige rollen
Parameters:
| Naam | Optioneel/vereist | Standaard | Omschrijving |
|---|---|---|---|
| TimeAgo | Optioneel | Zeven dagen | Bepaalt dat de functie zoekt naar hoofdgegevens van de gebruiker vanaf de tijd die is gedefinieerd door de TimeAgo waarde tot de tijd die is gedefinieerd door de now() waarde. |
De functie SAPUsersGetPrivileged retourneert de volgende gegevens:
| Veld | Beschrijving |
|---|---|
| Gebruiker | SAP-gebruikers-id |
| Client | Client-id |
| SystemID | Systeem-id |
SAPUsersAuthorizations
De functie SAPUsersAuthorizations brengt gegevens uit verschillende tabellen samen om een gebruikersgerichte weergave te maken van de huidige toegewezen rollen en autorisaties. Alleen gebruikers met actieve rol- en autorisatietoewijzingen worden geretourneerd.
Parameters:
| Naam | Optioneel/vereist | Standaard | Omschrijving |
|---|---|---|---|
| TimeAgo | Optioneel | Zeven dagen | Bepaalt dat de functie zoekt naar hoofdgegevens van de gebruiker vanaf de tijd die is gedefinieerd door de TimeAgo waarde tot de tijd die is gedefinieerd door de now() waarde. |
De functie SAPUsersAuthorizations retourneert de volgende gegevens:
| Veld | Beschrijving | Opmerkingen |
|---|---|---|
| Gebruiker | SAP-gebruikers-id | |
| Rollen | Set rollen (standaard maximale setgrootte = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| Autorisatiedetails | Set autorisaties (standaard maximale setgrootte = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Client | Client-id | |
| SystemID | Systeem-id |
SAPConnectorHealth
De functie SAPConnectorHealth geeft de status weer van de connectiviteit van de agent en het onderliggende SAP-systeem. Op basis van het heartbeatlogboek SAP_HeartBeat_CL en andere statusindicatoren worden de volgende gegevens geretourneerd:
| Veld | Beschrijving |
|---|---|
| Agent | Agent-id in de configuratie van de agent (automatisch gegenereerd) |
| SystemID | SAP-systeem-id |
| Status | Algemene connectiviteitsstatus |
| Details | Connectiviteitsdetails |
| ExtendedDetails | Uitgebreide details van connectiviteit |
| LastSeen | Tijdstempel van meest recente activiteit |
| Statuscode | Code die de status van het systeem weergeeft |
SAPConnectorOverzicht
De functie SAPConnectorOverview toont het aantal rijen van elke SAP-tabel per systeem-id. Het retourneert een lijst met gegevensrecords per systeem-id en de gegenereerde tijd.
Parameters:
| Naam | Optioneel/vereist | Standaard | Omschrijving |
|---|---|---|---|
| TimeAgo | Optioneel | Zeven dagen | Bepaalt dat de functie zoekt naar hoofdgegevens van de gebruiker vanaf de tijd die is gedefinieerd door de TimeAgo waarde tot de tijd die is gedefinieerd door de now() waarde. |
De functie SAPConnectorOverview retourneert de volgende gegevens:
| Veld | Beschrijving |
|---|---|
| TimeGenerated | Een datum/tijd-waarde van de tijdstempel van het genereren van de record |
| SystemID_s | Een tekenreeks die de SAP-systeem-id vertegenwoordigt |
Gebruik de volgende Kusto-query om een dagelijkse trendanalyse uit te voeren:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Met de functie SAPUsersEmail kunt u het e-mailadres van een SAP-gebruiker per SAP-systeem en -client opzoeken op basis van prestaties, die normaal gesproken wordt gebruikt om het te koppelen aan een Active Directory-account.
De functie SAPUsersEmail gebruikt gegevens die zijn geëxtraheerd uit SAP-tabellen USR21 (Toewijzing van gebruikersnaam/adressleutel) en ADR6 (e-mailadressen) om te zoeken naar een e-mailadres. Als er geen e-mailadres wordt gevonden, wordt de gebruikers-id geretourneerd.
Dit gedrag zorgt ervoor dat SAP-serviceaccounts zoals DDIC, die vaak niet zijn gekoppeld aan een e-mailadres, worden geregistreerd als pseudo-AD-accounts. Dit opent ook enkele UEBA-functies, die helpen bij het onderzoeken van incidenten en opsporingsactiviteiten.
De functie SAPUsersEmail retourneert de volgende gegevens:
| Veld | Beschrijving |
|---|---|
| ClientID | De SAP-client-id |
| SystemID | De SAP-systeem-id |
| Gebruiker | De SAP-gebruikers-id |
| Het e-mailadres van de SAP-gebruiker |
SAPSystems
De functie SAPSystems wordt gebruikt om de configuratie per systeem centraal weer te geven die is gemaakt met behulp van de volglijst sap - systemen .
Parameters:
| Naam | Optioneel/vereist | Standaard | Omschrijving |
|---|---|---|---|
| SelectedSystems | Optioneel | All Systems |
Wordt gebruikt om specifieke SAP-systemen te filteren |
| SelectedSystemRoles | Optioneel | All System Roles |
Bepaalt de rollen van de SAP-systemen die moeten worden bekeken, zoals gedefinieerd in de volglijst sap - systemen |
De functie SAPSystems retourneert de volgende gegevens:
| Veld | Beschrijving | Gegevensbron/notities |
|---|---|---|
| SearchKey | Zoeksleutel | Geïndexeerd veld voor SAP-systeem-id |
| SystemRole | De rol van het SAP-systeem | Productie, UAT |
| SystemUsage | Het belangrijkste gebruik van het SAP-systeem | ERP, CRM |
| SystemID | De SAP-systeem-id |
SAPAuditLogConfiguration
De functie SAPAuditLogConfiguration retourneert de lokale configuratie van de SAP-auditlogboekwaarschuwingen naar de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel. Deze configuratie wordt gebruikt voor sap-auditlogboek-gerelateerde waarschuwingen.
Met de functie SAPAuditLogConfiguration worden de gegevens in de sap dynamic audit log monitor configuration en SAP - Systems watchlists samengevoegd om een configuratie per systeem te bieden op basis van een taak per systeemrol.
Parameters:
| Naam | Optioneel/vereist | Standaard | Omschrijving |
|---|---|---|---|
| SelectedSystems | Optioneel | All Systems |
Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken. |
| SelectedSystemRoles | Optioneel | All System Roles |
Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de volglijst sap - systemen ). |
| SelectedSeverities | Optioneel | [High, Medium] |
Wordt gebruikt om gebeurtenissen te bepalen die moeten worden bekeken op basis van hun ernst. Ernst per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst. |
| SelectedRuleTypes | Optioneel | All RuleTypes |
Bepaalt welke gebeurtenissen relevant zijn voor het detecteren van de afwijkingen op. Regeltypen per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst SAP_Dynamic_Audit_Log_Monitor_Configuration . |
De functie SAPAuditLogConfiguration retourneert de volgende gegevens:
| Veld | Beschrijving | Gegevensbron/notities |
|---|---|---|
| Categorienaam | Door SAP gegeven gebeurteniscategorie | Bewakingslijst voor configuratie van dynamische controlelogboeken van SAP |
| DestinationEmail | Email adres van het toegewezen team | Bewakingslijst voor configuratie van dynamische controlelogboeken van SAP |
| DetailedDescription | Een door Markdown opgemaakte tekst die moet worden weergegeven in waarschuwingen | Bewakingslijst voor configuratie van dynamische controlelogboeken van SAP |
| Messageid | De bericht-id van het SAP-auditlogboek | Bewakingslijst voor configuratie van dynamische controlelogboeken van SAP |
| MessageText | Een voorbeeldberichttekst | Bewakingslijst voor configuratie van dynamische controlelogboeken van SAP |
| RolesTagsToExclude | een ABAP-rol, profiel of vrije-teksttag | Bewakingslijst voor configuratie van dynamische controlelogboeken van SAP |
| RuleType | Anomalie of deterministisch | Bewakingslijst voor configuratie van dynamische controlelogboeken van SAP |
| Tactiek | De MITRE ATTA&CK-tactiek | Bewakingslijst voor configuratie van dynamische controlelogboeken van SAP |
| TeamsChannelID | Teams-kanaal | Bewakingslijst voor configuratie van dynamische controlelogboeken van SAP |
| SystemID | De SAP-systeem-id | SAP - Watchlist voor systemen |
| SystemRole | De rol van het SAP-systeem | SAP - Watchlist voor systemen |
| SystemUsage | Het belangrijkste gebruik van het SAP-systeem | SAP - Watchlist voor systemen |
| IsProd | Vlag productiesysteem | SAP - Watchlist voor systemen |
| Ernst | De afgeleide ernst | Ernst per systeemgebruik |
| Drempel | De afgeleide drempelwaarde | Aantal gebeurtenissen per systeemgebruik |
| BagOfDetails | Zak met details | Een woordenlijst met details van de gebeurtenisdefinitie |
Zie Beschikbare volglijsten voor meer informatie.
SAPAuditLogAnomalies
De functie SAPAuditLogAnomalies maakt gebruik van de ingebouwde machine learning-mogelijkheden van Microsoft Sentinel van de onderliggende Kusto-database om afwijkende gebeurtenissen te detecteren die zijn waargenomen in het SAP-auditlogboek.
De functie SAPAuditLogAnomalies is ontwikkeld voor de op SAP - (experimentele) dynamische anomalie gebaseerde controlelogboekcontrolewaarschuwingen . Hoewel het oorspronkelijke ontwerp is om te waarschuwen voor recente afwijkingen, kan het ook helpen om historische afwijkingen te markeren. Zie Voorbeeld van gebruik voor meer informatie.
De functie SAPAuditLogAnomalies leert het segment van de geschiedenis dat is gedefinieerd door de verschillende invoerparameters, op de volgende niveaus:
- Gebruiker
- Netwerkkenmerken
- Systeem
- Seizoensgebonden
- Activiteitsniveaus
De functie SAPAuditLogAnomalies beoordeelt vervolgens gebeurtenissen die zich in de laatste DetectingTime periode hebben voorgedaan op basis van wat er is geleerd, waarbij drempelwaarden en andere configureerbare uitsluitingscriteria worden toegepast die zijn verkregen uit de controlelijst van de configuratie van het SAP-auditlogboek.
Zodra een glijdend venster van gebruikersactiviteit als afwijkend wordt beschouwd, retourneert een tweede query de volledige gebruikersactiviteit als bewijs ter ondersteuning van de beslissing.
Parameters:
| Naam | Optioneel/vereist | Standaard | Omschrijving |
|---|---|---|---|
| LearningTime | Optioneel | 14 dagen | Bepaalt de periode die wordt gebruikt voor het leren van het model. |
| DetectingTime | Optioneel | Eén uur | Bepaalt de periode die moet worden bekeken voor het detecteren van afwijkingen. Het aanroepen van deze functie met DetectingTime = 0h markeringsafwijkingen gedurende de hele LearningTime periode. |
| SelectedSystems | Optioneel | All Systems |
Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken. |
| SelectedSystemRoles | Optioneel | All System Roles |
Bepaalt de rollen van de SAP-systemen die moeten worden bekeken, zoals gedefinieerd in de volglijst sap - systemen |
| SelectedSeverities | Optioneel | [High, Medium] |
Wordt gebruikt om gebeurtenissen te bepalen die moeten worden bekeken op basis van hun ernst. Ernst per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst. |
| SelectedPrefixMask | Optioneel | 24 | Wordt gebruikt om het niveau van het subnetmasker te bepalen dat wordt gebruikt voor leren en detecteren. |
| SelectedRuleTypes | Optioneel | AnomaliesOnly |
Bepaalt welke gebeurtenissen relevant zijn voor het detecteren van de afwijkingen op. Regeltypen per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst SAP_Dynamic_Audit_Log_Monitor_Configuration . |
De functie SAPAuditLogAnomalies retourneert de volgende gegevens:
| Veld | Beschrijving |
|---|---|
| Meerdere velden uit SAPAuditLog | Sleutelvelden uit het SAP-auditlogboek |
| Meerdere velden van SAPAuditLogConfiguration | Sleutelvelden uit de Microsoft Sentinel voor configuratie van SAP-auditlogboek |
| DiscoveredOn | Het afgeronde uur waarop de anomalie werd waargenomen op |
| EventCount | Aantal gebeurtenissen geteld per geretourneerde rij |
| AnomalCount | Aantal waargenomen gebeurtenissen binnen het relevante schuifvenster |
| MinTime | Tijdstip van eerste waargenomen gebeurtenis |
| MaxTime | Tijdstip waarop de laatste gebeurtenis is waargenomen |
| Score | de anomaliescores zoals geproduceerd door het anomaliemodel |
Aanbevelingen:
Net als bij elke machine learning-oplossing presteert de functie SAPAuditLogAnomalies beter met de tijd en kan deze naar behoefte worden aangepast naarmate de tijd vordert.
We raden u aan de grootte van de geleerde database te beperken tot minder dan 100 miljoen records met behulp van de vele beschikbare invoerparameters.
Voorbeelden van toepassingen zijn:
Als u wilt zoeken naar afwijkingen voor gebeurtenissen met een hoge ernst die zich in het afgelopen uur hebben voorgedaan op productiesystemen voor gebeurtenistypen die zijn gemarkeerd als AnomaliesOnly in de volglijst van SAP_Dynamic_Audit_Log_Monitor_Configuration , voert u het volgende uit:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Als u wilt zoeken naar alle afwijkingen in de afgelopen 14 dagen in het BIP-systeem , voert u het volgende uit:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Zie Ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek en Anomaliedetectie in het SAP-auditlogboek met behulp van de Microsoft Sentinel voor SAP-oplossing (blog) voor meer informatie.
SAPAuditLogConfigRecommend
De SAPAuditLogConfigRecommend is een helperfunctie die is ontworpen om aanbevelingen te bieden voor de configuratie van de analyseregel SAP - Dynamic Anomaly Audit Log Monitor Alerts (PREVIEW).
Zie Het SAP-auditlogboek bewaken voor meer informatie.
SAPUsersGetVIP
De Microsoft Sentinel-oplossing voor SAP-toepassingen maakt gebruik van een concept van centrale gebruikerstags en expliciete uitsluitingen, ontworpen om u te helpen fout-positieven met minimale inspanning te verlagen.
Gebruik de functie SAPUsersGetVIP om gebruikers uit te sluiten van het activeren van waarschuwingen door SAP-gebruikersrollen, SAP-gebruikersfuncties of tags op te geven die deze gebruikers vertegenwoordigen. Zie Fout-positieven verwerken in Microsoft Sentinel voor meer informatie.
Tags die zijn opgegeven als invoer voor de functie SAPUsersGetVIP , sluiten alle gebruikers uit met een tag die wordt vermeld in de SAP_User_Config volglijst. Dezelfde functionaliteit is uitgebreid voor gebruik met jokertekens, zodat u één tag kunt toewijzen aan een groep gebruikers met dezelfde naamgevingssyntaxis.
Tag gebruikers in de SAP_User_Config volglijst als volgt:
Voeg meerdere tags toe aan elke gebruiker in de SAP_User_Config volglijst, indien nodig om verschillende scenario's te behandelen. Elke waarschuwingsregel heeft zijn eigen relevante tags, indien van toepassing, en u kunt zo nodig aangepaste tags toevoegen.
Gebruik een sterretje (*) als jokerteken om gebruikers met een specifieke naamgevingssyntaxissjabloon op te nemen.
Voeg de functie SAPUsersGetVIP toe aan uw analyseregels om te vragen dat de lijsten met gebruikers die u hebt gedefinieerd, worden uitgesloten van waarschuwingen. Voeg in de functieaanroep een matrix toe met de tags, SAP-rollen en SAP-profielen die u wilt uitsluiten.
Gebruik bijvoorbeeld de volgende KQL-query in uw analyseregel om gebruikers uit te sluiten die zijn geconfigureerd met de tag RunObsoleteProgOK in de volglijst SAP_User_Config , of gebruikers met de voorbeeldrol SAP_BASIS_ADMIN_ROLE of het voorbeeldprofiel SAP_ADMIN_PROFILE .
Wanneer u deze voorbeeldfunctie-aanroep kopieert, vervangt u SAP_BASIS_ADMIN_ROLE rol en SAP_ADMIN_PROFILE profiel zo nodig door uw eigen SAP-rollen of -profielen.
Bijvoorbeeld:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
De functie SAPUsersGetVIP wordt vaak gebruikt in waarschuwingen voor deterministische en afwijkende controlelogboekcontrole . Koppel een tag aan een sap-auditlogboekbericht-id of breid de regelsjabloon uit naar een aangepaste regel die voldoet aan de behoeften van uw organisatie.
Tip
We raden u aan contact op te nemen met uw SAP-systeembeheerder om te begrijpen welke SAP-gebruikers, -rollen en -profielen u in uw SAP_User_Config volglijst wilt opnemen.
Parameters:
| Naam | Optioneel/vereist | Standaard | Omschrijving |
|---|---|---|---|
| SearchForTags | Optioneel | dynamic('All Tags') |
Wanneer SearchForTags gelijk is aan All Tags, worden alle gebruikers samen met hun tags geretourneerd. Anders worden alleen gebruikers met de tags, SAP-rollen of SAP-profielen die zijn opgegeven in SearchForTags geretourneerd.
TagsIntersect toont de tags die worden gevonden en IntersectionSize bevat het aantal tags dat is gevonden. |
| SpecialFocusTags | Optioneel | Do not return any in-focus users |
Retourneert alle gebruikers met de tags die zijn opgegeven in SpecialFocusTagsen hebben deze gemarkeerd met specialFocusTagged = true. |
De functie SAPUsersGetVIP retourneert de volgende uitvoer:
| Source | Veld | Beschrijving | Opmerkingen |
|---|---|---|---|
| De SAP_User_Config volglijst | SearchKey |
Zoeksleutel | |
| De SAP_User_Config volglijst | SAPUser |
De SAP-gebruiker | OSS, DDIC |
| De SAP_User_Config volglijst | Tags |
Tekenreeks van tags die zijn toegewezen aan de gebruiker | RunObsoleteProgOK |
| De SAP_User_Config volglijst | Object-id van gebruiker Microsoft Entra | object-id Microsoft Entra | |
| De SAP_User_Config volglijst | Gebruikers-id | gebruikers-id van Azure Directory | |
| De SAP_User_Config volglijst | On-premises SID van gebruiker | ||
| De SAP_User_Config volglijst | User principal name | ||
| De SAP_User_Config volglijst | TagsList |
Een lijst met tags die zijn toegewezen aan de gebruiker |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logica | TagsIntersect | Een set tags die overeenkomen met SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logica | SpecialFocusTagged | Speciale focusindicatie |
True, False |
| Logica | Snijpunten aanpassen | Het aantal door elkaar gesneden tags |
SAPUsersHeader
De functie SAPUsersHeader is ontworpen om een weergave op hoog niveau van de SAP-gebruiker te bieden. Er worden gegevens gebruikt die zijn geëxtraheerd uit de hoofdgegevenstabellen van sap-gebruikers en recente activiteiten in het SAP-auditlogboek om e-mailadressen en IP-adressen te verzamelen. Vervolgens worden de laatst bekende e-mailadressen en IP-adressen geretourneerd, samen met primaire e-mailadressen en IP-adressen.
Parameters:
| Naam | Optioneel/vereist | Standaard | Omschrijving |
|---|---|---|---|
| SelectedSystems | Optioneel | All Systems |
Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken |
| SelectedSystemRoles | Optioneel | All System Roles |
Bepaalt de rollen van de SAP-systemen die moeten worden bekeken, zoals gedefinieerd in de volglijst sap - systemen . |
| SelectedUsers | Optioneel | All Users |
Kan lijsten met gebruikers invoeren. |
| SelectedUser | Optioneel | All Users |
Accepteert slechts één gebruiker. |
Bijvoorbeeld:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Tip
Voor prestatieoverwegingen wordt slechts een paar dagen controleactiviteit overwogen. Voor een volledige geschiedenis van gebruikersactiviteiten voert u een aangepaste KQL-query uit op de functie SAPAuditLog .
De functie SAPUsersHeader retourneert de volgende uitvoer:
| Source | Veld | Beschrijving | Opmerkingen |
|---|---|---|---|
| Gebruiker | De SAP-gebruiker | ||
| SAP-tabellen ADR6 en USR21 | Afkomstig uit de hoofdgegevens van de gebruiker | OSS, DDIC | |
| SAP-tabel USR02 | UserType | Tekenreeks van tags die zijn toegewezen aan de gebruiker | RunObsoleteProgOK |
| SAP-tabel USR02 | Uurzonee | object-id Microsoft Entra | |
| SAP-tabel USR02 | LockedStatus | gebruikers-id van Azure Directory | |
| SAP-auditlogboek | LastSeen | Een tijdstempel | Laatste controlegebeurtenis waargenomen voor de gebruiker |
| SAP-auditlogboek | LastSeenDaysAgo | Er zijn dagen verstreken sinds LastSeen |
|
| SAP-auditlogboek | PrimaryIP | Meest gebruikte IP-adres |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP-auditlogboek | LastKnownIP | Meest recent gebruikt IP-adres | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP-auditlogboek | PrimaryEmail | Meest gebruikte e-mailadres |
True, False |
| SAP-auditlogboek | KnownIPs | Lijst met bekende IP-adressen | Gesorteerd op meest voorkomende eerst |
| SAP-auditlogboek | KnownEmails | Lijst met bekende e-mailadressen | Gesorteerd op meest voorkomende eerst |
| Client | De SAP-client-id | ||
| SystemID | De SAP-systeem-id | ||
| SystemRole | De rol van het SAP-systeem | Productie, UAT | |
| SystemUsage | Het belangrijkste gebruik van het SAP-systeem | ERP, CRM |
TH_SERVER_LIST (preview)
De functie TH_SERVER_LIST is relevant wanneer uw SAP-systeem een ouder systeem is met XAL en actieve SAP-toepassingsservers vermeldt.
De functie TH_SERVER_LIST wordt alleen ondersteund met de SAP-gegevensconnector zonder agent (preview). Zie Een Microsoft Sentinel-oplossing voor SAP-toepassingen installeren voor meer informatie.
Verwante onderwerpen
Zie voor meer informatie: