Microsoft Sentinel-oplossing voor gegevensreferenties voor SAP-toepassingen®

  • Artikel

Belangrijk

Sommige onderdelen van de Microsoft Sentinel Threat Monitoring voor SAP-oplossing zijn momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Sommige logboeken, die hieronder worden vermeld, worden niet standaard naar Microsoft Sentinel verzonden, maar u kunt ze indien nodig handmatig toevoegen. Zie De SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden voor meer informatie.

In dit artikel worden de functies, logboeken en tabellen beschreven die beschikbaar zijn als onderdeel van de Microsoft Sentinel-oplossing voor SAP-toepassingen® en de bijbehorende gegevensconnector. Het is bedoeld voor geavanceerde SAP-gebruikers.

Functies die beschikbaar zijn vanuit de SAP-oplossing

In deze sectie worden de functies beschreven die beschikbaar zijn in uw werkruimte nadat u de Microsoft Sentinel-oplossing voor SAP-toepassingen® hebt geïmplementeerd. Zoek deze functies op de pagina Microsoft Sentinel-logboeken om te gebruiken in uw KQL-query's, vermeld onder Werkruimtefuncties.

Gebruikers worden sterk aangeraden om de functies waar mogelijk te gebruiken als de onderwerpen van hun analyse, in plaats van de onderliggende logboeken of tabellen. Deze functies zijn bedoeld als de principal-gebruikersinterface voor de gegevens. Ze vormen de basis voor alle ingebouwde analyseregels en werkmappen die u standaard beschikbaar hebt. Hierdoor kunnen wijzigingen worden aangebracht in de gegevensinfrastructuur onder de functies, zonder dat de door de gebruiker gemaakte inhoud wordt onderbroken.

SAPUsersAssignments

De functie SAPUsersAssignments verzamelt gegevens uit meerdere SAP-gegevensbronnen en maakt een gebruikersgerichte weergave van de huidige gebruikershoofdgegevens, inclusief de rollen en profielen die momenteel zijn toegewezen.

Met deze functie worden de gebruikerstoewijzingen voor rollen en profielen samengevat en worden de volgende gegevens geretourneerd:

Veld Beschrijving Gegevensbron/notities
User SAP-gebruikers-id Alleen SAL
E-mailen SMTP-adres USR21 (SMTP_ADDR)
UserType Gebruikerstype USR02 (USTYP)
Tijdzone Time zone USR02 (TZONE)
LockedStatus Vergrendelingsstatus USR02 (UFLAG)
LastSeenDate Laatst geziene datum USR02 (TRDAT)
LastSeenTime Tijd laatst gezien USR02 (LTIME)
UserGroupAuth Gebruikersgroep in hoofdonderhoud van gebruikers USR02 (KLASSE)
Profielen Set profielen (standaard maximale grootte instellen = 50) ["Profile 1", "Profile 2",...,"profile 50"]
DirectRoles Set rechtstreeks toegewezen rollen (standaard maximale grootte van set = 50) ["Role 1", "Role 2",...,"”"Role 50"]
ChildRoles Set indirect toegewezen rollen (standaard maximale setgrootte = 50) ["Role 1", "Role 2",...,"”"Role 50"]
Klant Client ID
SystemID Systeem-id Zoals gedefinieerd in de connector

SAPUsersGetPrivileged

De functie SAPUsersGetPrivileged retourneert een lijst met bevoegde gebruikers per client en systeem-id.

Gebruikers worden beschouwd als bevoegd wanneer ze worden vermeld in de watchlist sap - bevoegde gebruikers , zijn toegewezen aan een profiel dat wordt vermeld in sap - gevoelige profielen watchlist, of zijn toegevoegd aan een rol die wordt vermeld in SAP - Gevoelige rollen watchlist.

Parameters:

  • TimeAgo
    • Optioneel
    • Standaardwaarde: zeven dagen
    • Bepaalt dat de functie hoofdgegevens van de gebruiker zoekt uit de tijd die is gedefinieerd door de TimeAgo waarde tot de tijd die door de now() waarde is gedefinieerd.

De functie SAPUsersGetPrivileged retourneert de volgende gegevens:

Veld Beschrijving
User SAP-gebruikers-id
Klant Client ID
SystemID Systeem-id

SAPUsersAuthorizations

De functie SAPUsersAuthorizations brengt gegevens uit verschillende tabellen samen om een gebruikersgerichte weergave te maken van de huidige rollen en autorisaties die zijn toegewezen. Alleen gebruikers met actieve rol- en autorisatietoewijzingen worden geretourneerd.

Parameters:

  • TimeAgo
    • Optioneel
    • Standaardwaarde: zeven dagen
    • Bepaalt dat de functie hoofdgegevens van de gebruiker zoekt uit de tijd die is gedefinieerd door de TimeAgo waarde tot de tijd die door de now() waarde is gedefinieerd.

De functie SAPUsersAuthorizations retourneert de volgende gegevens:

Veld Omschrijving Opmerkingen
User SAP-gebruikers-id
Rollen Set rollen (standaard maximale grootte van set = 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails Set autorisaties (standaard maximale grootte van set = 100) {{AuthorizationsDeatils1},
{AuthorizationsDeatils2},
...,
{AuthorizationsDeatils100}}
Klant Client ID
SystemID Systeem-id

SAP Verbinding maken orHealth

De functie SAP Verbinding maken orHealth weerspiegelt de status van de agent en de onderliggende CONNECTIVITEIT van het SAP-systeem. Op basis van het heartbeatlogboek SAP_HeartBeat_CL en andere statusindicatoren worden de volgende gegevens geretourneerd:

Veld Beschrijving
Agent Agent-id in de configuratie van de agent (automatisch gegenereerd)
SystemID SAP-systeem-id
Status Algemene connectiviteitsstatus
DETAILS details van Verbinding maken iviteit
ExtendedDetails uitgebreide details van Verbinding maken iviteit
LastSeen Tijdstempel van de meest recente activiteit
StatusCode Code die de status van het systeem weergeeft

SAP Verbinding maken orOverview

De functie SAP Verbinding maken orOverview toont rijaantallen van elke SAP-tabel per systeem-id. Het retourneert een lijst met gegevensrecords per systeem-id en de gegenereerde tijd.

Parameters:

  • TimeAgo
    • Optioneel
    • Standaardwaarde: zeven dagen
    • Bepaalt dat de functie hoofdgegevens van de gebruiker zoekt uit de tijd die is gedefinieerd door de TimeAgo waarde tot de tijd die door de now() waarde is gedefinieerd.
Veld Beschrijving
TimeGenerated Een datum/tijd-waarde van de tijdstempel van de generatie van de record
SystemID_s Een tekenreeks die de SAP-systeem-id vertegenwoordigt

Gebruik de volgende Kusto-query om een dagelijkse trendanalyse uit te voeren:

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

Met de functie SAPUsersEmail kunt u prestatiegericht zoeken naar het e-mailadres van een SAP-gebruiker per SAP-systeem en -client, die normaal gesproken wordt gebruikt om het te koppelen aan een Active Directory-account. Met behulp van gegevens die zijn geëxtraheerd uit SAP-tabellen USR21 (Toewijzing van gebruikersnaam/adressleutel) en ADR6 (E-mailadressen), zoekt de functie SAPUsersEmail naar een e-mailadres. Als er geen gebruikers-id wordt gevonden, wordt de gebruikers-id geretourneerd in plaats van een e-mailadres. Dit gedrag zorgt ervoor dat SAP-serviceaccounts (zoals DDIC), die vaak niet zijn gekoppeld aan een e-mailadres, worden geregistreerd als pseudo AD-accounts, waardoor sommige UEBA-functies worden ingeschakeld, die helpen bij het onderzoeken van incidenten en opsporingsactiviteiten.

Veld Beschrijving
ClientID De SAP-client-id
SystemID De SAP-systeem-id
User De SAP-gebruikers-id
E-mailen Het e-mailadres van de SAP-gebruiker

SAPSystems

De functie SAPSystems wordt gebruikt om de configuratie per systeem centraal weer te geven met behulp van de watchlist 'SAP - Systems'.

Parameters:

  • SelectedSystems
    • Optioneel
    • Standaardwaarde: "Alle systemen"
    • Wordt gebruikt om specifieke SAP-systemen te filteren
  • SelectedSystemRoles
    • Optioneel
    • Standaardwaarde: "Alle systeemrollen"
    • Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de watchlist SAP - Systems)
Veld Beschrijving Gegevensbron/notities
SearchKey Zoeksleutel Geïndexeerd veld voor SAP-systeem-id
SystemRole De rol van het SAP-systeem Productie, UAT
SystemUsage Het belangrijkste gebruik van het SAP-systeem ERP, CRM
SystemID De SAP-systeem-id

SAPAuditLogConfiguration

De functie SAPAuditLogConfiguration retourneert de lokale configuratie van de SAP-auditlogboekwaarschuwingen van de Sentinel-werkruimte, die moet worden gebruikt voor de verschillende waarschuwingen met betrekking tot het SAP-auditlogboek. Hiermee worden de gegevens samengevoegd in de watchlist 'SAP Dynamic Audit Log Monitor Configuration' en 'SAP - Systems' om een configuratie per systeem te bieden op basis van een taak per systeem.

Parameters:

  • SelectedSystems
    • Optioneel
    • Standaardwaarde: "Alle systemen"
    • Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken.
  • SelectedSystemRoles
    • Optioneel
    • Standaardwaarde: "Alle systeemrollen"
    • Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de watchlist SAP - Systems).
  • SelectedSeverities
    • Optioneel
    • Standaardwaarde: ["Hoog", "Gemiddeld"]
    • Wordt gebruikt om gebeurtenissen te bepalen die moeten worden bekeken in termen van hun ernst. Ernst per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.
  • SelectedRuleTypes
    • Optioneel
    • Standaardwaarde: 'Alle regeltypen'
    • Bepaalt welke gebeurtenissen relevant zijn voor het detecteren van de afwijkingen. Regeltypen per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.
Veld Beschrijving Gegevensbron/notities
CategoryName SAP-gebeurteniscategorie Watchlist voor sap Dynamic Audit Log Monitor Configuration
DestinationEmail E-mailadres van het toegewezen team Watchlist voor sap Dynamic Audit Log Monitor Configuration
DetailedDescription Een markdown opgemaakte tekst die moet worden weergegeven in waarschuwingen Watchlist voor sap Dynamic Audit Log Monitor Configuration
Messageid De bericht-id van het SAP-auditlogboek Watchlist voor sap Dynamic Audit Log Monitor Configuration
MessageText Een voorbeeldberichttekst Watchlist voor sap Dynamic Audit Log Monitor Configuration
RolesTagsToExclude een ABAP-rol, profiel of vrije teksttag Watchlist voor sap Dynamic Audit Log Monitor Configuration
Regeltype Anomalie of deterministisch Watchlist voor sap Dynamic Audit Log Monitor Configuration
Tactieken De MITRE ATTA&CK-tactiek Watchlist voor sap Dynamic Audit Log Monitor Configuration
TeamsChannelID Teams-kanaal Watchlist voor sap Dynamic Audit Log Monitor Configuration
SystemID De SAP-systeem-id Watchlist 'SAP - Systems'
SystemRole De rol van het SAP-systeem Watchlist 'SAP - Systems'
SystemUsage Het belangrijkste gebruik van het SAP-systeem Watchlist 'SAP - Systems'
IsProd Vlag voor productiesysteem Watchlist 'SAP - Systems'
Ernst De afgeleide ernst Ernst per systeemgebruik
Threshold De afgeleide drempelwaarde Aantal gebeurtenissen per systeemgebruik
BagOfDetails Tas met details Een woordenlijst met een detail van de gebeurtenisdefinitie

SAPAuditLogAnomalies

De SAPAuditLogAnomalies maakt gebruik van de ingebouwde machine learning-mogelijkheden van Sentinel van sentinel om afwijkende gebeurtenissen te detecteren die in het SAP-auditlogboek zijn waargenomen. Deze functie is ontwikkeld voor de waarschuwingsregel 'SAP - (experimenteel) dynamisch anomaliecontrolelogboekwaarschuwingen'. Deze functie is oorspronkelijk ontworpen om te waarschuwen voor recente afwijkingen, maar kan ook helpen bij het markeren van historische afwijkingen (zie voorbeelden hieronder).

Parameters:

  • LearningTime
    • Optioneel
    • Standaardwaarde: 14 dagen
    • Bepaalt de tijdsduur die wordt gebruikt voor het leren van modellen
  • DetectingTime
    • Optioneel
    • Standaardwaarde: één uur
    • Bepaalt de tijdsduur die moet worden bekeken voor het detecteren van afwijkingen. Als u deze functie aanroept met DetectingTime = 0h, worden afwijkingen in de hele LearningTime-periode gemarkeerd
  • SelectedSystems
    • Optioneel
    • Standaardwaarde: "Alle systemen"
    • Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken.
  • SelectedSystemRoles
    • Optioneel
    • Standaardwaarde: "Alle systeemrollen"
    • Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de watchlist SAP - Systems).
  • SelectedSeverities
    • Optioneel
    • Standaardwaarde: ["Hoog", "Gemiddeld"]
    • Wordt gebruikt om gebeurtenissen te bepalen die moeten worden bekeken in termen van hun ernst. Ernst per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.
  • SelectedPrefixMask
    • Optioneel
    • Standaardwaarde: 24
    • Wordt gebruikt om het niveau van het subnetmasker te bepalen dat wordt gebruikt voor leren en detecteren.
  • SelectedRuleTypes
    • Optioneel
    • Standaardwaarde: 'AnomaliesOnly'
    • Bepaalt welke gebeurtenissen relevant zijn voor het detecteren van de afwijkingen. Regeltypen per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.

Logica

De functie leert het segment van de geschiedenis die is gedefinieerd door de verschillende invoerparameters, op gebruikers-, netwerkkenmerken, systeem-, seizoensgebondenheids- en activiteitsniveaus. Vervolgens worden gebeurtenissen beoordeeld die plaatsvinden binnen de laatste periode van DetectingTime op basis van wat deze heeft geleerd, waarbij drempelwaarden en andere configureerbare uitsluitingscriteria worden toegepast die zijn verkregen uit de watchlist voor de configuratie van het SAP-auditlogboek. Zodra een schuifvenster van de gebruikersactiviteit als afwijkend werd beschouwd, retourneert een tweede query de volledige gebruikersactiviteit als bewijs dat de beslissing ondersteunt.

Aanvullende opmerkingen

Net als bij elke machine learning-oplossing presteert deze functie beter met tijd. Verdere aanpassingen kunnen worden aangebracht met behulp van lokale configuratie. Het is raadzaam om de grootte van de geleerde database te beperken tot minder dan 100 miljoen records met behulp van de vele beschikbare invoerparameters.

Voorbeeld: zoeken naar afwijkingen voor gebeurtenissen met een hoge ernst die zich in het afgelopen uur in productiesystemen hebben voorgedaan voor gebeurtenistypen die zijn gemarkeerd als 'AnomaliesOnly' in de 'SAP_Dynamic_Audit_Log_Monitor_Configuration'

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))

Voorbeeld: Zoeken naar alle afwijkingen in de afgelopen 14 dagen in systeem "BIP"

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Veld Beschrijving
Meerdere velden uit SAPAuditLog Sleutelvelden uit het SAP-auditlogboek
Meerdere velden van SAPAuditLogConfiguration Sleutelvelden uit de Sentinel-configuratie voor SAP-auditlogboek
DiscoveredOn Het afgeronde uur waarop de anomalie werd waargenomen
EventCount Aantal gebeurtenissen geteld per rij
AnomalCount Aantal gebeurtenissen dat is waargenomen in het relevante schuifvenster
MinTime Tijdstip van eerste waargenomen gebeurtenis
MaxTime Tijdstip waarop de laatste gebeurtenis is waargenomen
Score de anomaliescores zoals geproduceerd door het anomaliemodel

Zie ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek voor meer informatie.

SAPAuditLogConfigRecommend

De SAPAuditLogConfigRecommend is een helperfunctie die is ontworpen om aanbevelingen te bieden voor de configuratie van de analyseregel SAP - Dynamic Anomaly Based Audit Log Monitor Alerts (PREVIEW). Meer informatie over het configureren van de regels.

SAPUsersGetVIP

De Microsoft Sentinel-oplossing voor SAP-toepassingen® maakt gebruik van een concept van centrale gebruikerstags en expliciete uitsluitingen, ontworpen om u te helpen fout-positieven met minimale inspanning te verlagen. Gebruik de functie SAPUsersGetVIP om gebruikers uit te sluiten van het activeren van waarschuwingen door SAP-gebruikersrollen, SAP-gebruikersfuncties of tags op te geven die deze gebruikers vertegenwoordigen. Zie Fout-positieven afhandelen in Microsoft Sentinel voor meer informatie.

Tags die zijn opgegeven als invoer voor de functie SAPUsersGetVIP sluiten alle gebruikers uit met een tag die wordt vermeld in de SAP_User_Config watchlist. Dezelfde functionaliteit wordt uitgebreid om te werken met jokertekens, zodat u één tag kunt toewijzen aan een groep gebruikers met dezelfde naamgevingssyntaxis.

  1. Tag gebruikers in de SAP_User_Config volglijst als volgt:

    • Voeg indien nodig meerdere tags toe aan elke gebruiker in de SAP_User_Config volglijst. Elke waarschuwingsregel heeft zijn eigen relevante tags, indien van toepassing, en u kunt indien nodig aangepaste tags toevoegen.

    • Gebruik een sterretje (*) als jokerteken om gebruikers met een specifieke naamgevingsyntaxissjabloon op te nemen.

  2. Voeg de functie SAPUsersGetVIP toe aan uw analyseregels om de lijsten aan te vragen van gebruikers die u hebt gedefinieerd om te worden uitgesloten van waarschuwingen. Voeg in de functieaanroep een matrix toe met de tags, SAP-rollen en SAP-profielen die u wilt uitsluiten.

Gebruik bijvoorbeeld de volgende KQL-query in uw analyseregel om gebruikers uit te sluiten die zijn geconfigureerd met de Tag RunObsoleteProgOK in de SAP_User_Config volglijst, of gebruikers met de voorbeeldrol SAP_BASIS_ADMIN_ROLE of het voorbeeldprofiel SAP_ADMIN_PROFILE .

Wanneer u deze voorbeeldfunctieoproep kopieert, vervangt u SAP_BASIS_ADMIN_ROLE rol en SAP_ADMIN_PROFILE profiel indien nodig door uw eigen SAP-rollen of -profielen.

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

De functie SAPUsersGetVIP wordt vaak gebruikt in deterministische en afwijkende waarschuwingen voor controlelogboekcontrole . Koppel een tag aan een bericht-id van het SAP-auditlogboek of breid de regelsjabloon uit naar een aangepaste regel die overeenkomt met de behoeften van uw organisatie.

Tip

We raden u aan contact op te nemen met uw SAP-systeembeheerder om te begrijpen welke SAP-gebruikers, -rollen en -profielen moeten worden opgenomen in uw SAP_User_Config volglijst.

Parameters:

Name Omschrijving Default value
SearchForTags (optioneel) Als SearchForTags dit gelijk is All Tagsaan, worden alle gebruikers samen met hun tags geretourneerd.

Anders worden alleen gebruikers met de tags, SAP-rollen of SAP-profielen geretourneerd die zijn opgegeven in SearchForTags . TagsIntersect toont de gevonden tags en IntersectionSize bevat het aantal gevonden tags.		 dynamic('All Tags')
SpecialFocusTags (optioneel) Retourneert alle gebruikers met de opgegeven SpecialFocusTagstags en markeert deze met specialFocusTagged = true. Do not return any in-focus users
Bron Veld Omschrijving Opmerkingen
De SAP_User_Config watchlist SearchKey Zoeksleutel
De SAP_User_Config watchlist SAPUser De SAP-gebruiker OSS, DDIC
De SAP_User_Config watchlist Tags Tekenreeks van tags die aan de gebruiker zijn toegewezen RunObsoleteProgOK
De SAP_User_Config watchlist Microsoft Entra-object-id van gebruiker Microsoft Entra-object-id
De SAP_User_Config watchlist Gebruikers-id AD-gebruikers-id
De SAP_User_Config watchlist On-premises sid van gebruiker
De SAP_User_Config watchlist User Principal Name
De SAP_User_Config watchlist TagsLijst Een lijst met tags die aan de gebruiker zijn toegewezen ChangeUserMasterDataOK; RunObsoleteProgOK
Logica TagsIntersect Een set tags die overeenkomen met SearchForTags ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Logica SpecialFocusTagged Speciale focusindicatie True, False
Logica Snijpunt Het aantal gekruiste tags

SAPUsersHeader

De functie SAPUsersHeader is ontworpen om een algemeen overzicht van de SAP-gebruiker te bieden. Er worden gegevens gebruikt die zijn geëxtraheerd uit zowel de hoofdgegevenstabellen van de SAP-gebruiker als de recente activiteit in het SAP-auditlogboek om e-mail en IP-adressen te verzamelen. Vervolgens worden laatst bekende e-mailadressen en IP-adressen geretourneerd, samen met primaire e-mailadressen en IP-adressen. Parameters: SelectedSystemRoles:dynamic = dynamic(["Alle systeemrollen"]) SelectedSystems:dynamic = dynamic(["Alle systemen"]) SelectedUsers:dynamic = dynamic(["Alle gebruikers"]) SelectedUser:string = "Alle gebruikers"

  • SelectedSystems
    • Optioneel
    • Standaardwaarde: "Alle systemen"
    • Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken.
  • SelectedSystemRoles
    • Optioneel
    • Standaardwaarde: "Alle systeemrollen"
    • Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de watchlist SAP - Systems).
  • SelectedUsers
    • Optioneel
    • Standaardwaarde: "Alle gebruikers"
    • Kan invoerlijsten van gebruikers invoeren.
  • SelectedUser
    • Optioneel
    • Standaardwaarde: "Alle gebruikers"
    • Accepteert slechts één gebruiker

Aanvullende opmerkingen

Voor prestatieoverwegingen wordt slechts een paar dagen aan controleactiviteiten overwogen. Voer voor een volledige geschiedenis van gebruikersactiviteit een aangepaste KQL-query uit op de functie SAPAuditLog.

Bron Veld Omschrijving Opmerkingen
User De SAP-gebruiker
SAP-tabellen ADR6 en USR21 E-mailen Afkomstig van de hoofdgegevens van de gebruiker OSS, DDIC
SAP-tabel USR02 UserType tekenreeks van tags die aan de gebruiker zijn toegewezen RunObsoleteProgOK
SAP-tabel USR02 Tijdzone Microsoft Entra-object-id
SAP-tabel USR02 LockedStatus AD-gebruikers-id
SAP-auditlogboek LastSeen Een tijdstempel laatste controlegebeurtenis waargenomen voor de gebruiker
SAP-auditlogboek LastSeenDaysAgo dagen verstreken sinds LastSeen
SAP-auditlogboek PrimaryIP Meest gebruikte IP-adres ChangeUserMasterDataOK; RunObsoleteProgOK
SAP-auditlogboek LastKnownIP Laatst gebruikt IP-adres ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
SAP-auditlogboek PrimaryEmail Meestgebruikte e-mailadres True, False
SAP-auditlogboek Bekende IP's Lijst met bekende IP-adressen gesorteerd op de meest voorkomende eerste
SAP-auditlogboek KnownEmails Lijst met bekende e-mailadressen gesorteerd op de meest voorkomende eerste
Klant De SAP-client-id
SystemID De SAP-systeem-id
SystemRole De rol van het SAP-systeem Productie, UAT
SystemUsage Het belangrijkste gebruik van het SAP-systeem ERP, CRM

Logboeken geproduceerd door de gegevensconnectoragent

In deze sectie worden de SAP-logboeken beschreven die beschikbaar zijn vanuit de Microsoft Sentinel-oplossing voor sap-toepassingen® voor gegevensconnector, inclusief de tabelnamen in Microsoft Sentinel, de logboekdoeleinden en gedetailleerde logboekschema's. Beschrijvingen van schemavelden zijn gebaseerd op de veldbeschrijvingen in de relevante SAP-documentatie.

Voor de beste resultaten gebruikt u de microsoft Sentinel-functies die hieronder worden vermeld om de gegevens te visualiseren, te openen en er query's op uit te voeren.

ABAP-toepassingslogboek

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPAppLog

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: registreert de voortgang van de uitvoering van een toepassing, zodat u deze later naar behoefte kunt reconstrueren.

    Beschikbaar met behulp van RFC op basis van standaard SAP-tabel en standaardservices van de XBP-interface. Dit logboek wordt per client gegenereerd.

ABAPAppLog_CL logboekschema

Veld Beschrijving
AppLogDateTime Datum/tijd van toepassingslogboek
CallbackProgram Callback-programma
CallbackRoutine Terugbelroutine
CallbackType Type callback
ClientID ABAP-client-id (MANDT)
ContextDDIC Context DDIC-structuur
ExternalID Externe logboek-id
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Toepassingslogboekbericht serieel
LevelofDetail Detailniveau
LogHandle Handle van toepassingslogboek
LogNumber Logboeknummer
Messageclass Berichtklasse
MessageNumber Berichtnummer
MessageText Berichttekst
MessageType Berichttype
Object Toepassingslogboekobject
OperationMode Bewerkingsmodus
ProblemClass Probleemklasse
ProgramName Programmanaam
SortCriterion Sorteercriterium
StandardText Standaardtekst
SubObject Subobject toepassingslogboek
SystemID Systeem-id
SystemNumber Systeemnummer
TransactionCode Transactiecode
User User
UserChange Gebruikerswijziging

ABAP-logboek documenten wijzigen

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPChangeDocsLog

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: Records:

    • SAP NetWeaver Application Server (AS) ABAP-logboekwijzigingen in zakelijke gegevensobjecten in wijzigingsdocumenten.

    • Andere entiteiten in het SAP-systeem, zoals gebruikersgegevens, rollen, adressen.

    Beschikbaar met RFC op basis van standaard SAP-tabellen. Dit logboek wordt per client gegenereerd.

ABAPChangeDocsLog_CL logboekschema

Veld Beschrijving
ActualChangeNum Werkelijke wijzigingsnummer
ChangedTableKey Tabelsleutel gewijzigd
ChangeNumber Nummer wijzigen
ClientID ABAP-client-id (MANDT)
CreatedfromPlannedChange Gemaakt op basis van geplande wijziging, in de volgende syntaxis: (‘X’ , ‘ ‘)
CurrencyKeyNew Valutasleutel: nieuwe waarde
CurrencyKeyOld Valutasleutel: oude waarde
Veldnaam Veldnaam
FlagText Vlagtekst
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
Taal Taal
ObjectClass Objectklasse, zoals BELEG, BPAR, , PFCGIDENTITY
ObjectID Object-id
PlannedChangeNum Gepland wijzigingsnummer
SystemID Systeem-id
SystemNumber Systeemnummer
TableName Tabelnaam
TransactionCode Transactiecode
TypeofChange_Header Kopteksttype van wijziging, waaronder:
U = Wijzigen; I = Invoegen; E = Enkele docu verwijderen; D = Verwijderen; J = Enkele docu invoegen
TypeofChange_Item Itemtype van wijziging, waaronder:
U = Wijzigen; I = Invoegen; E = Enkele docu verwijderen; D = Verwijderen; J = Enkele docu invoegen
UOMNew Maateenheid: nieuwe waarde
UOMOld Maateenheid: oude waarde
User User
ValueNew Veldinhoud: nieuwe waarde
ValueOld Veldinhoud: oude waarde
Versie Versie

ABAP CR-logboek

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPCRLog

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: bevat de CTS-logboeken (Change & Transport System), inclusief de mapobjecten en aanpassingen waar wijzigingen zijn aangebracht.

    Beschikbaar met rfc op basis van standaardtabellen en standaard SAP-services. Dit logboek wordt gegenereerd met gegevens voor alle clients.

Notitie

Naast toepassingslogboekregistratie, wijzigingsdocumenten en tabelopname, worden alle wijzigingen die u aanbrengt in uw productiesysteem met behulp van het Change & Transport System gedocumenteerd in de CTS- en TMS-logboeken.

ABAPCRLog_CL logboekschema

Veld Beschrijving
Categorie Categorie (Workbench, aanpassen)
ClientID ABAP-client-id (MANDT)
Beschrijving Beschrijving
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
ObjectName Object name
ObjectType Object type
Eigenaar Eigenaar
Aanvraag Wijzigingsaanvraag
Status Status
SystemID Systeem-id
SystemNumber Systeemnummer
TableKey Tabelsleutel
TableName Tabelnaam
ViewName Weergavenaam

ABAP DB-tabelgegevenslogboek (PREVIEW)

Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPTableDataLog

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: biedt logboekregistratie voor tabellen die kritiek of vatbaar zijn voor controles.

    Beschikbaar met RFC met een aangepaste service. Dit logboek wordt gegenereerd met gegevens voor alle clients.

ABAPTableDataLog_CL logboekschema

Veld Beschrijving
DBLogID DB-logboek-id
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
Taal Taal
LogKey Logboeksleutel
NewValue Nieuwe waarde voor veld
Oldvalue Oude waarde van veld
OperationTypeSQL Bewerkingstype, Insert, UpdateDelete
Programma Programmanaam
SystemID Systeem-id
SystemNumber Systeemnummer
TableField Tabelveld
TableName Tabelnaam
TransactionCode Transactiecode
Gebruikersnaam User
VersionNumber Versienummer

ABAP Gateway-logboek (PREVIEW)

Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPOS_GW

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: bewaakt gatewayactiviteiten. Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.

ABAPOS_GW_CL logboekschema

Veld Beschrijving
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
MessageText Berichttekst
Ernst Ernst van bericht: Debug, Info, , WarningError
SystemID Systeem-id
SystemNumber Systeemnummer

ABAP ICM-logboek (PREVIEW)

Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPOS_ICM

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: registreert inkomende en uitgaande aanvragen en compileert statistieken van de HTTP-aanvragen.

    Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.

ABAPOS_ICM_CL logboekschema

Veld Beschrijving
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
MessageText Berichttekst
Ernst Ernst van bericht, waaronder: Debug, Info, WarningError
SystemID Systeem-id
SystemNumber Systeemnummer

ABAP-taaklogboek

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPJobLog

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: combineert alle achtergrondverwerkingstaaklogboeken (SM37).

    Beschikbaar met behulp van RFC op basis van standaard SAP-tabel en standaardservices van XBP-interfaces. Dit logboek wordt gegenereerd met gegevens voor alle clients.

ABAPJobLog_CL logboekschema

Veld Beschrijving
ABAPProgram ABAP-programma
BgdEventParameters Parameters voor achtergrondevenementen
BgdProcessingEvent Gebeurtenis achtergrondverwerking
ClientID ABAP-client-id (MANDT)
DynproNumber Dynpro-nummer
GUIStatus GUI-status
Host Host
Exemplaar ABAP-exemplaar (HOST_SYSID_SYSNR), in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
JobClassification Taakclassificatie
JobCount Aantal taken
JobGroup Taakgroep
JobName Taaknaam
JobPriority Jobprioriteit
Messageclass Berichtklasse
MessageNumber Berichtnummer
MessageText Berichttekst
MessageType Berichttype
ReleaseUser Taakreleasegebruiker
SchedulingDateTime Planningsdatumstijd
StartDateTime Begindatumtijd
SystemID Systeem-id
SystemNumber Systeemnummer
TargetServer Doelserver
User User
UserReleaseInstance ABAP-exemplaar - gebruikersrelease
WorkProcessID Werkproces-id
WorkProcessNumber Nummer van werkproces

ABAP-beveiligingscontrolelogboek

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPAuditLog

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: registreert de volgende gegevens:

    • Beveiligingsgerelateerde wijzigingen in de SAP-systeemomgeving, zoals wijzigingen in hoofdgebruikersrecords
    • Informatie die een hoger gegevensniveau biedt, zoals geslaagde en mislukte aanmeldingspogingen
    • Informatie die de wederopbouw van een reeks gebeurtenissen mogelijk maakt, zoals een geslaagde of mislukte transactie, begint

    Beschikbaar met RFC XAL/SAL-interfaces. SAL is beschikbaar vanaf versie 7.50. Dit logboek wordt gegenereerd met gegevens voor alle clients.

ABAPAuditLog_CL logboekschema

Veld Beschrijving
ABAPProgramName Programmanaam, alleen SAL
AlertSeverity Ernst van waarschuwing
AlertSeverityText Tekst voor ernst van waarschuwing, alleen SAL
AlertValue Waarschuwingswaarde
AuditClassID Klasse-id controleren, alleen SAL
ClientID ABAP-client-id (MANDT)
Computer Gebruikersmachine, alleen SAL
E-mailen E-mail van gebruiker
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
Messageclass Berichtklasse
MessageContainerID Berichtcontainer-id, alleen XAL
Messageid Bericht-id, zoals ‘AU1’,’AU2’…
MessageText Berichttekst
MonitoringObjectName MTE Monitor-objectnaam, alleen XAL
MonitorShortName Korte naam van MTE Monitor, alleen XAL
SAPProcesType Systeemlogboek: SAP-procestype, alleen SAL
B* - Achtergrondverwerking
D* - Dialoogvensterverwerking
U* - Taken bijwerken
SAPWPName Systeemlogboek: werkprocesnummer, alleen SAL
SystemID Systeem-id
SystemNumber Systeemnummer
TerminalIPv6 IP van gebruikerscomputer, alleen SAL
TransactionCode Transactiecode, alleen SAL
User User
Variabele1 Berichtvariabele 1
Variabele2 Berichtvariabele 2
Variabele3 Berichtvariabele 3
Variabele4 Berichtvariabele 4

ABAP Spool-logboek

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPSpoolLog

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: fungeert als het hoofdlogboek voor SAP-afdrukken met de geschiedenis van spoolaanvragen. (SP01).

    Beschikbaar met RFC op basis van standaard SAP-tabel. Dit logboek wordt gegenereerd met gegevens voor alle clients.

ABAPSpoolLog_CL logboekschema

Veld Beschrijving
ArchiveStatus Archiefstatus
ArchiveType Archieftype
ArchivingDevice Apparaat archiveren
AutoRereoute Automatisch omleiden
ClientID ABAP-client-id (MANDT)
CountryKey Landsleutel
DeleteSpoolRequestAuto Aanvraag voor spool automatisch verwijderen
DelFlag Verwijderingsvlag
Afdeling Kostenplaats
DocumentType Documenttype
ExternalMode Externe modus
FormatType Indelingstype
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
NumofCopies Aantal exemplaren
OutputDevice Uitvoerapparaat
PrinterLongName Lange printernaam
PrintImmediately Direct afdrukken
PrintOSCoverPage OsCover-pagina afdrukken
PrintSAPCoverPage SAPCover-pagina afdrukken
Prioriteit Prioriteit
RecipientofSpoolRequest Ontvanger van spoolaanvraag
SpoolErrorStatus Status van Spool-fout
SpoolRequestCompleted Voltooide Spool-aanvraag
SpoolRequestisALogForAnotherRequest Spool-aanvraag is een logboek voor een andere aanvraag
SpoolRequestName Naam van Spool-aanvraag
SpoolRequestNumber Aanvraagnummer voor spool
SpoolRequestSuffix1 Achtervoegsel van de spoolaanvraag1
SpoolRequestSuffix2 Achtervoegsel van spoolaanvraag2
SpoolRequestTitle Titel van Spool-aanvraag
SystemID Systeem-id
SystemNumber Systeemnummer
Telecommunicatiepartner Telecommunicatiepartner
Telecommunicatiepartnere Telecommunicatiepartner E
TemSeGeneralcounter Temse-teller
TemseNumAddProtectionRule Temse-nummer beveiligingsregel toevoegen
TemseNumChangeProtectionRule Beveiligingsregel voor temse-nummerwijziging
TemseNumDeleteProtectionRule Beveiligingsregel voor verwijderen van Temse-nummer
TemSeObjectName Temse-objectnaam
TemSeObjectPart TemSe-objectonderdeel
TemseReadProtectionRule Temse-regel voor leesbeveiliging
User User
ValueAuthCheck Verificatiecontrole voor waarde

APAB Spool-uitvoerlogboek

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPSpoolOutputLog

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: fungeert als het hoofdlogboek voor SAP-afdrukken met de geschiedenis van spool-uitvoeraanvragen. (SP02).

    Beschikbaar met behulp van RFC met een aangepaste service op basis van standaardtabellen. Dit logboek wordt gegenereerd met gegevens voor alle clients.

ABAPSpoolOutputLog_CL logboekschema

Veld Beschrijving
AppServer Toepassingsserver
ClientID ABAP-client-id (MANDT)
Opmerking Opmerking
CopyCount Aantal kopieën
CopyCounter Teller kopiëren
Afdeling Kostenplaats
ErrorSpoolRequestNumber Foutaanvraagnummer
FormatType Indelingstype
Host Host
HostName Hostnaam
HostSpoolerID Host-spooler-id
Exemplaar ABAP-exemplaar
LastPage Laatste pagina
NumofCopies Aantal exemplaren
OutputDevice Uitvoerapparaat
OutputRequestNumber Uitvoeraanvraagnummer
OutputRequestStatus Status van uitvoeraanvraag
PhysicalFormatType Type fysieke indeling
PrinterLongName Lange printernaam
PrintRequestSize Grootte van afdrukaanvraag
Prioriteit Prioriteit
ReasonforOutputRequest Reden voor uitvoeraanvraag
RecipientofSpoolRequest Ontvanger van spoolaanvraag
SpoolNumberofOutputReqProcessed Aantal uitvoeraanvragen - verwerkt
SpoolNumberofOutputReqWithErrors Aantal uitvoeraanvragen - met fouten
SpoolNumberofOutputReqWithProblems Aantal uitvoeraanvragen - met problemen
SpoolRequestNumber Aanvraagnummer voor spool
Startpagina Startpagina
SystemID Systeem-id
SystemNumber Systeemnummer
Telecommunicatiepartner Telecommunicatiepartner
TemSeGeneralcounter Temse-teller
Titel Titel
User User

ABAP Syslog

Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPOS_Syslog

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: registreert alle SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP-systeemfouten, waarschuwingen, gebruikersvergrendelingen vanwege mislukte aanmeldingspogingen van bekende gebruikers en procesberichten.

    Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.

ABAPOS_Syslog_CL logboekschema

Veld Beschrijving
ClientID ABAP-client-id (MANDT)
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
MessageNumber Berichtnummer
MessageText Berichttekst
Ernst Ernst van bericht, een van de volgende waarden: Debug, Info, , WarningError
SystemID Systeem-id
SystemNumber Systeemnummer
TransacationCode Transactiecode
Type SAP-procestype
User User

ABAP-werkstroomlogboek

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPWorkflowLog

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: Met de SAP Business Workflow (WebFlow Engine) kunt u bedrijfsprocessen definiëren die nog niet zijn toegewezen in het SAP-systeem.

    Niet-toegewezen bedrijfsprocessen kunnen bijvoorbeeld eenvoudige procedures voor vrijgave of goedkeuring zijn, of complexere bedrijfsprocessen, zoals het maken van basismateriaal en vervolgens het coördineren van de bijbehorende afdelingen.

    Beschikbaar met RFC op basis van standaard SAP-tabellen. Dit logboek wordt per client gegenereerd.

ABAPWorkflowLog_CL logboekschema

Veld Beschrijving
ActualAgent Werkelijke agent
Adres Adres
ApplicationArea Toepassingsgebied
CallbackFunction Callback, functie
ClientID ABAP-client-id (MANDT)
CreationDateTime Aanmaakdatumtijd
Maker Maker
CreatorAddress Adres van maker
ErrorType Fouttype
ExceptionforMethod Uitzondering voor methode
Host Host
Exemplaar ABAP-exemplaar (HOST_SYSID_SYSNR), in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
Taal Taal
LogCounter Logboekteller
MessageNumber Berichtnummer
MessageType Berichttype
MethodUser Methodegebruiker
Prioriteit Prioriteit
SimpleContainer Eenvoudige container, verpakt als een lijst met sleutel-waarde-entiteiten voor het werkitem
Status Status
SuperWI Super WI
SystemID Systeem-id
SystemNumber Systeemnummer
Taskid Taak-id
TasksClassification Taakclassificaties
TaskText Taaktekst
TopTaskID Belangrijkste taak-id
UserCreated Gebruiker gemaakt
WIText Tekst van werkitem
WIType Type werkitem
WorkflowAction Werkstroomactie
WorkItemID Werkitem-id

ABAP WorkProcess-logboek

Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPOS_WP

  • Verwante SAP-documentatie: SAP Help-portal

  • Logboekdoel: combineert alle werkproceslogboeken. (standaard: dev_*).

    Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.

ABAPOS_WP_CL logboekschema

Veld Beschrijving
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
MessageText Berichttekst
Ernst Ernst van bericht: Debug, Info, , WarningError
SystemID Systeem-id
SystemNumber Systeemnummer
WPNumber Nummer van werkproces

Audittrail van HANA DB

Als u dit logboek wilt laten verzenden naar Microsoft Sentinel, moet u een Microsoft Management Agent implementeren om Syslog-gegevens te verzamelen van de computer waarop HANA DB wordt uitgevoerd.

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPSyslog

  • Verwante SAP-documentatie: Algemene | audittrail

  • Logboekdoel: registreert gebruikersacties of geprobeerde acties in de SAP HANA-database. Hiermee kunt u bijvoorbeeld de leestoegang tot gevoelige gegevens registreren en bewaken.

    Beschikbaar door de Sentinel Linux-agent voor Syslog. Dit logboek wordt gegenereerd met gegevens voor alle clients.

Syslog-logboekschema

Veld Beschrijving
Computer Hostnaam
Hostip HOST-IP
HostName Hostnaam
ProcessID Process ID
ProcessName Procesnaam: HDB*
SeverityLevel Waarschuwing
SourceSystem Besturingssysteem van bronsysteem, Linux
SyslogMessage Bericht, een niet-geparseerd audittrailbericht

JAVA-bestanden

Als u wilt dat dit logboek naar Microsoft Sentinel wordt verzonden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAPJAVAFilesLogs

  • Gerelateerde SAP-documentatie: Algemeen | Java-beveiligingscontrolelogboek

  • Logboekdoel: combineert alle Java-logboeken op basis van bestanden, waaronder het beveiligingscontrolelogboek en het systeem (cluster- en serverproces), prestaties en gatewaylogboeken. Bevat ook developer-traceringen en standaardtraceringslogboeken.

    Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens voor alle clients.

JavaFilesLogsCL-logboekschema

Veld Beschrijving
Aanvraag Java-toepassing
ClientID Client ID
CSNComponent CSN-onderdeel, zoals BC-XI-IBD
DCComponent DC-onderdeel, zoals com.sap.xi.util.misc
DSRCounter DSR-teller
DSRRootContentID DSR-context-GUID
DSRTransaction GUID van DSR-transactie
Host Host
Exemplaar Java-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
Locatie Java-klasse
LogName Java logName, zoals: Available, defaulttrace, dev*, enzovoort security
MessageText Berichttekst
MNo Berichtnummer
Pid Process ID
Programma Programmanaam
Sessie Sessie
Ernst Ernst van bericht, waaronder: Debug,Info,Warning,Error
Oplossing Oplossing
SystemID Systeem-id
SystemNumber Systeemnummer
ThreadName Threadnaam
Gegooid Uitzondering opgetreden
TimeZone Tijdzone
User User

SAP-heartbeatlogboek

  • De functie Microsoft Sentinel voor het uitvoeren van query's op dit logboek: SAP Verbinding maken orHealth

  • Logboekdoel: biedt heartbeat en andere statusinformatie over de connectiviteit tussen de agents en de verschillende SAP-systemen.

    Automatisch gemaakt voor agents van de Microsoft Sentinel voor SAP-gegevensconnector.

SAP_HeartBeat_CL logboekschema

Veld Beschrijving
TimeGenerated Tijd van het posten van logboeken
agent_id_s Agent-id in de configuratie van de agent (automatisch gegenereerd)
agent_ver_s Agentversie
host_s De hostnaam van de agent
system_id_s Netweaver ABAP-systeem-id /
Netweaver SAPControl Host (preview) /
Java SAPControl-host (preview)
push_timestamp_d Tijdstempel van de extractie, volgens de tijdzone van de agent
agent_timezone_s Tijdzone van agent

Tabellen die rechtstreeks worden opgehaald uit SAP-systemen

In deze sectie worden de gegevenstabellen weergegeven die rechtstreeks uit het SAP-systeem worden opgehaald en die precies zoals ze zijn opgenomen in Microsoft Sentinel.

Als u de gegevens uit deze tabellen wilt opnemen in Microsoft Sentinel, configureert u de relevante instellingen in het systemconfig.ini-bestand . Zie Het verzamelen van gebruikershoofdgegevens configureren voor meer informatie.

De gegevens die uit deze tabellen worden opgehaald, bieden een duidelijk overzicht van de autorisatiestructuur, groepslidmaatschap en gebruikersprofielen. Hiermee kunt u ook het proces van autorisatietoekenningen bijhouden en intrekken, en de risico's identificeren en beheren die aan deze processen zijn gekoppeld.

De onderstaande tabellen zijn vereist om functies in te schakelen waarmee bevoegde gebruikers worden geïdentificeerd, gebruikers worden toegewezen aan rollen, groepen en autorisaties.

Raadpleeg deze tabellen met de naam in de kolom Sentinel-functienaam hieronder voor de beste resultaten:

Tabelnaam Tabelbeschrijving Naam van de functie Sentinel
USR01 Hoofdrecord van gebruiker (runtimegegevens) SAP_USR01
USR02 Aanmeldingsgegevens (gebruik aan de kernelzijde) SAP_USR02
UST04 Gebruikersmodellen
Kaarten gebruikers aan profielen		 SAP_UST04
AGR_USERS Toewijzing van rollen aan gebruikers SAP_AGR_USERS
AGR_1251 Autorisatiegegevens voor de activiteitsgroep SAP_AGR_1251
USGRP_USER Toewijzing van gebruikers aan gebruikersgroepen SAP_USGRP_USER
USR21 Toewijzing van gebruikersnaam/adressleutel SAP_USR21
ADR6 E-mailadressen (services voor zakelijke adressen) SAP_ADR6
USRSTAMP Tijdstempel voor alle wijzigingen in de gebruiker SAP_USRSTAMP
ADCP Persoon/adrestoewijzing (services voor bedrijfsadressen) SAP_ADCP
USR05 Parameter-id van gebruikershoofd SAP_USR05
AGR_PROF Profielnaam voor rol SAP_AGR_PROF
AGR_FLAGS Rolkenmerken SAP_AGR_FLAGS
DEVACCESS Tabel voor ontwikkelingsgebruiker SAP_DEVACCESS
AGR_DEFINE Roldefinitie SAP_AGR_DEFINE
AGR_AGRS Rollen in samengestelde rollen SAP_AGR_AGRS
PAHI Geschiedenis van de systeem-, database- en SAP-parameters SAP_PAHI
SNCSYSACL (PREVIEW) SNC Access Control List (ACL): Systemen SAP_SNCSYSACL
USRACL (PREVIEW) SNC Access Control List (ACL): Gebruiker SAP_USRACL

Volgende stappen

Zie voor meer informatie: