Gegevensreferentie voor Microsoft Sentinel-oplossing voor SAP-toepassingen®

  • Artikel

Belangrijk

Sommige onderdelen van de Microsoft Sentinel Threat Monitoring for SAP-oplossing zijn momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Sommige logboeken, zoals hieronder vermeld, worden niet standaard naar Microsoft Sentinel verzonden, maar u kunt ze indien nodig handmatig toevoegen. Zie De SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden voor meer informatie.

In dit artikel worden de functies, logboeken en tabellen beschreven die beschikbaar zijn als onderdeel van de Microsoft Sentinel-oplossing voor SAP-toepassingen® en de bijbehorende gegevensconnector. Het is bedoeld voor geavanceerde SAP-gebruikers.

Functies die beschikbaar zijn vanuit de SAP-oplossing

In deze sectie worden de functies beschreven die beschikbaar zijn in uw werkruimte nadat u de Microsoft Sentinel-oplossing voor SAP-toepassingen® hebt geïmplementeerd. Zoek deze functies op de pagina Microsoft Sentinel-logboeken voor gebruik in uw KQL-query's, vermeld onder Werkruimtefuncties.

Gebruikers wordt sterk aangeraden om waar mogelijk de functies te gebruiken als het onderwerp van hun analyse, in plaats van de onderliggende logboeken of tabellen. Deze functies zijn bedoeld als de belangrijkste gebruikersinterface voor de gegevens. Ze vormen de basis voor alle ingebouwde analyseregels en werkmappen die standaard voor u beschikbaar zijn. Hierdoor kunnen wijzigingen worden aangebracht in de gegevensinfrastructuur onder de functies, zonder dat de door de gebruiker gemaakte inhoud wordt verbroken.

SAPUsersAssignments

De functie SAPUsersAssignments verzamelt gegevens uit meerdere SAP-gegevensbronnen en maakt een gebruikersgerichte weergave van de huidige hoofdgegevens van de gebruiker, met inbegrip van de rollen en profielen die momenteel zijn toegewezen.

Met deze functie worden de gebruikerstoewijzingen aan rollen en profielen samengevat en worden de volgende gegevens geretourneerd:

Veld Description Gegevensbron/notities
Gebruiker SAP-gebruikers-id Alleen SAL
Email SMTP-adres USR21 (SMTP_ADDR)
UserType Gebruikerstype USR02 (USTYP)
Tijdzone Tijdzone USR02 (TZONE)
LockedStatus Vergrendelingsstatus USR02 (UFLAG)
LastSeenDate Datum laatst gezien USR02 (TRDAT)
LastSeenTime Tijdstip laatst gezien USR02 (LTIME)
UserGroupAuth Gebruikersgroep in onderhoud van de hoofdgebruiker USR02 (KLASSE)
Profielen Set profielen (standaard maximale ingestelde grootte = 50) ["Profile 1", "Profile 2",...,"profile 50"]
DirectRoles Set van rechtstreeks toegewezen rollen (standaard maximale setgrootte = 50) ["Role 1", "Role 2",...,"”"Role 50"]
ChildRoles Set indirect toegewezen rollen (standaard maximale setgrootte = 50) ["Role 1", "Role 2",...,"”"Role 50"]
Client Client-id
SystemID Systeem-id Zoals gedefinieerd in de connector

SAPUsersGetPrivileged

De functie SAPUsersGetPrivileged retourneert een lijst met bevoegde gebruikers per client en systeem-id.

Gebruikers worden als bevoegd beschouwd wanneer ze worden vermeld in de volglijst sap - bevoegde gebruikers , zijn toegewezen aan een profiel dat wordt vermeld in de volglijst sap - gevoelige profielen of zijn toegevoegd aan een rol die wordt vermeld in de volglijst SAP - Gevoelige rollen .

Parameters:

  • TimeAgo
    • Optioneel
    • Standaardwaarde: Zeven dagen
    • Bepaalt dat de functie zoekt naar hoofdgegevens van de gebruiker vanaf de tijd die is gedefinieerd door de TimeAgo waarde tot de tijd die is gedefinieerd door de now() waarde.

De functie SAPUsersGetPrivileged retourneert de volgende gegevens:

Veld Description
Gebruiker SAP-gebruikers-id
Client Client-id
SystemID Systeem-id

SAPUsersAuthorizations

De functie SAPUsersAuthorizations brengt gegevens uit verschillende tabellen samen om een gebruikersgerichte weergave te maken van de huidige toegewezen rollen en autorisaties. Alleen gebruikers met actieve rol- en autorisatietoewijzingen worden geretourneerd.

Parameters:

  • TimeAgo
    • Optioneel
    • Standaardwaarde: Zeven dagen
    • Bepaalt dat de functie zoekt naar hoofdgegevens van de gebruiker vanaf de tijd die is gedefinieerd door de TimeAgo waarde tot de tijd die is gedefinieerd door de now() waarde.

De functie SAPUsersAuthorizations retourneert de volgende gegevens:

Veld Description Notities
Gebruiker SAP-gebruikers-id
Rollen Set rollen (standaard maximale setgrootte = 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails Set autorisaties (standaard maximale ingestelde grootte = 100) {{AuthorizationsDeatils1},
{AuthorizationsDeatils2},
...,
{AuthorizationsDeatils100}}
Client Client-id
SystemID Systeem-id

SAPConnectorHealth

De functie SAPConnectorHealth weerspiegelt de status van de connectiviteit van de agent en het onderliggende SAP-systeem. Op basis van het heartbeatlogboek SAP_HeartBeat_CL en andere statusindicatoren worden de volgende gegevens geretourneerd:

Veld Description
Agent Agent-id in de configuratie van de agent (automatisch gegenereerd)
SystemID SAP-systeem-id
Status Algemene connectiviteitsstatus
Details Connectiviteitsgegevens
ExtendedDetails Uitgebreide details van connectiviteit
LastSeen Tijdstempel van meest recente activiteit
Statuscode Code die de status van het systeem weergeeft

SAPConnectorOverzicht

De functie SAPConnectorOverview toont het aantal rijen van elke SAP-tabel per systeem-id. Er wordt een lijst met gegevensrecords per systeem-id en de gegenereerde tijd geretourneerd.

Parameters:

  • TimeAgo
    • Optioneel
    • Standaardwaarde: Zeven dagen
    • Bepaalt dat de functie zoekt naar hoofdgegevens van de gebruiker vanaf de tijd die is gedefinieerd door de TimeAgo waarde tot de tijd die is gedefinieerd door de now() waarde.
Veld Beschrijving
TimeGenerated Een datum/tijd-waarde van de tijdstempel van het genereren van de record
SystemID_s Een tekenreeks die de SAP-systeem-id vertegenwoordigt

Gebruik de volgende Kusto-query om een dagelijkse trendanalyse uit te voeren:

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

De functie SAPUsersEmail maakt het mogelijk om het e-mailadres van een SAP-gebruiker per SAP-systeem en -client op te zoeken, normaal gesproken gebruikt om het te koppelen aan een Active Directory-account. Met behulp van gegevens die zijn geëxtraheerd uit SAP-tabellen USR21 (gebruikersnaam/adressleuteltoewijzing) en ADR6 (e-mailadressen), zoekt de functie SAPUsersEmail naar een Email adres. Als er geen wordt gevonden, wordt de gebruikers-id geretourneerd in plaats van een Email adres. Dit gedrag zorgt ervoor dat SAP-serviceaccounts (zoals DDIC), die vaak niet zijn gekoppeld aan een e-mailadres, worden geregistreerd als pseudo-AD-accounts, waardoor sommige UEBA-functies worden ingeschakeld en kunnen worden geholpen bij het onderzoeken van incidenten en opsporingsactiviteiten.

Veld Description
ClientID De SAP-client-id
SystemID De SAP-systeem-id
Gebruiker De SAP-gebruikers-id
Email Het Email adres van de SAP-gebruiker

SAPSystems

De functie SAPSystems wordt gebruikt om de configuratie per systeem centraal weer te geven die is gemaakt met behulp van de volglijst 'SAP - Systems'.

Parameters:

  • SelectedSystems
    • Optioneel
    • Standaardwaarde: 'Alle systemen'
    • Wordt gebruikt om specifieke SAP-systemen te filteren
  • SelectedSystemRoles
    • Optioneel
    • Standaardwaarde: 'Alle systeemrollen'
    • Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de volglijst 'SAP - Systemen')
Veld Description Gegevensbron/notities
SearchKey Zoeksleutel Geïndexeerd veld voor SAP-systeem-id
SystemRole De rol van het SAP-systeem Productie, UAT
SystemUsage Het belangrijkste gebruik van het SAP-systeem ERP, CRM
SystemID De SAP-systeem-id

SAPAuditLogConfiguration

De functie SAPAuditLogConfiguration retourneert de lokale configuratie van de SAP-auditlogboekwaarschuwingen van de Sentinel-werkruimte, die moet worden gebruikt voor de verschillende sap-auditlogboekgerelateerde waarschuwingen. De gegevens worden samengevoegd in de volglijsten 'Sap Dynamic Audit Log Monitor Configuration' en 'SAP - Systems' om een configuratie per systeem te bieden voor een inspanning per systeemrol.

Parameters:

  • SelectedSystems
    • Optioneel
    • Standaardwaarde: 'Alle systemen'
    • Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken.
  • SelectedSystemRoles
    • Optioneel
    • Standaardwaarde: 'Alle systeemrollen'
    • Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de volglijst 'SAP - Systems').
  • SelectedSeverities
    • Optioneel
    • Standaardwaarde: ["Hoog", "Gemiddeld"]
    • Wordt gebruikt om gebeurtenissen te bepalen die moeten worden bekeken op basis van hun ernst. Ernst per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.
  • SelectedRuleTypes
    • Optioneel
    • Standaardwaarde: 'Alle regeltypen'
    • Bepaalt welke gebeurtenissen relevant zijn voor het detecteren van de afwijkingen op. Regeltypen per sap-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.
Veld Description Gegevensbron/notities
CategoryName Door SAP gegeven gebeurteniscategorie Volglijst 'Sap Dynamic Audit Log Monitor Configuration'
DestinationEmail Email adres van het toegewezen team Volglijst 'Sap Dynamic Audit Log Monitor Configuration'
DetailedDescription Tekst in Markdown-indeling die moet worden weergegeven in waarschuwingen Volglijst 'Sap Dynamic Audit Log Monitor Configuration'
Messageid De bericht-id van het SAP-auditlogboek Volglijst 'Sap Dynamic Audit Log Monitor Configuration'
MessageText Een voorbeeldberichttekst Volglijst 'Sap Dynamic Audit Log Monitor Configuration'
RolesTagsToExclude een ABAP-rol, profiel of vrije-teksttag Volglijst 'Sap Dynamic Audit Log Monitor Configuration'
Regeltype Anomalie of deterministisch Volglijst 'Sap Dynamic Audit Log Monitor Configuration'
Tactieken De MITRE ATTA&CK-tactiek Volglijst 'Sap Dynamic Audit Log Monitor Configuration'
TeamsChannelID Teams-kanaal Volglijst 'Sap Dynamic Audit Log Monitor Configuration'
SystemID De SAP-systeem-id Volglijst 'SAP - Systemen'
SystemRole De rol van het SAP-systeem Volglijst 'SAP - Systemen'
SystemUsage Het belangrijkste gebruik van het SAP-systeem Volglijst 'SAP - Systemen'
IsProd Markering productiesysteem Volglijst 'SAP - Systemen'
Ernst De afgeleide ernst Ernst per systeemgebruik
Drempelwaarde De afgeleide drempelwaarde Aantal gebeurtenissen per systeemgebruik
BagOfDetails Zak met details Een woordenlijst met de gebeurtenisdefinitie

SAPAuditLogAnomalies

SapAuditLogAnomalies maakt gebruik van de ingebouwde machine learning-mogelijkheden van sentinel van de onderliggende Kusto-database om afwijkende gebeurtenissen te detecteren die zijn waargenomen in het SAP-auditlogboek. Deze functie is ontwikkeld voor de waarschuwingsregel 'SAP - (Experimental) Dynamic Anomaly based Audit Log Monitor Alerts' en is in eerste instantie ontworpen om te waarschuwen bij recente afwijkingen, maar kan ook helpen om historische afwijkingen te markeren (zie de onderstaande voorbeelden).

Parameters:

  • LearningTime
    • Optioneel
    • Standaardwaarde: 14 dagen
    • Bepaalt de periode die wordt gebruikt voor het leren van het model
  • DetectingTime
    • Optioneel
    • Standaardwaarde: Één uur
    • Bepaalt de periode die moet worden bekeken voor het detecteren van afwijkingen. Als u deze functie aanroept met DetectingTime = 0h, worden afwijkingen in de volledige LearningTime-periode gemarkeerd
  • SelectedSystems
    • Optioneel
    • Standaardwaarde: "Alle systemen"
    • Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken.
  • SelectedSystemRoles
    • Optioneel
    • Standaardwaarde: 'Alle systeemrollen'
    • Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de volglijst 'SAP - Systemen').
  • SelectedSeverities
    • Optioneel
    • Standaardwaarde: ["Hoog", "Gemiddeld"]
    • Wordt gebruikt om gebeurtenissen te bepalen die moeten worden bekeken op basis van hun ernst. Ernst per bericht-id van sap-auditlogboek en systeemrol worden gedefinieerd in de volglijst 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.
  • SelectedPrefixMask
    • Optioneel
    • Standaardwaarde: 24
    • Wordt gebruikt om het niveau van het subnetmasker te bepalen dat wordt gebruikt voor leren en detecteren.
  • SelectedRuleTypes
    • Optioneel
    • Standaardwaarde: 'AnomaliesOnly'
    • Bepaalt welke gebeurtenissen relevant zijn voor het detecteren van de afwijkingen op. Regeltypen per sap-auditlogboekbericht-id en systeemrol worden gedefinieerd in de volglijst 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.

Logica

De functie leert het segment van de geschiedenis dat is gedefinieerd door de verschillende invoerparameters, op de gebruiker, netwerkkenmerken, systeem, seizoensgebondenheid en activiteitsniveaus. Vervolgens worden gebeurtenissen in de laatste DetectingTime-periode beoordeeld op basis van wat het heeft geleerd, waarbij drempelwaarden en andere configureerbare uitsluitingscriteria worden toegepast die zijn verkregen uit de volglijst van de configuratie van sap-auditlogboeken. Zodra een sliding window van gebruikersactiviteit als afwijkend werd beschouwd, retourneert een tweede query de volledige gebruikersactiviteit als bewijs ter ondersteuning van de beslissing.

Aanvullende opmerkingen

Net als bij elke machine learning-oplossing werkt deze functie beter met de tijd. Verdere aanpassingen kunnen worden aangebracht met behulp van de lokale configuratie. Het is raadzaam om de grootte van de geleerde database te beperken tot minder dan 100 miljoen records met behulp van de vele beschikbare invoerparameters.

Voorbeeld: zoeken naar afwijkingen voor gebeurtenissen met een hoge ernst die het afgelopen uur zijn opgetreden in productiesystemen voor gebeurtenistypen die zijn gemarkeerd als 'AnomaliesOnly' in de 'SAP_Dynamic_Audit_Log_Monitor_Configuration'

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))

Voorbeeld: Zoeken naar alle afwijkingen in de afgelopen 14 dagen in systeem 'BIP'

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Veld Description
Meerdere velden uit SAPAuditLog Sleutelvelden uit het SAP-auditlogboek
Meerdere velden van SAPAuditLogConfiguration Sleutelvelden uit de configuratie van het SAP-auditlogboek van Sentinel
Gedetecteerd op Het afgeronde uur waarop de anomalie werd waargenomen
EventCount Aantal getelde gebeurtenissen per geretourneerde rij
AnomalCount Aantal gebeurtenissen dat is waargenomen binnen een relevant sliding window
MinTime Tijdstip waarop de eerste gebeurtenis is waargenomen
MaxTime Tijdstip waarop de laatste gebeurtenis is waargenomen
Score de anomaliescores zoals geproduceerd door het anomaliemodel

Zie Ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek voor meer informatie.

SAPAuditLogConfigRecommend

De SAPAuditLogConfigRecommend is een helperfunctie die is ontworpen om aanbevelingen te bieden voor de configuratie van de analyseregel SAP - Dynamic Anomaly-based Audit Log Monitor Alerts (PREVIEW). Meer informatie over het configureren van de regels.

SAPUsersGetVIP

De Sentinel voor SAP-oplossing maakt gebruik van een concept van centrale gebruikerstags, ontworpen om een lager fout-positief percentage mogelijk te maken met minimale inspanning aan de kant van de klant:

  • Gebruikers kunnen worden getagd met behulp van de volglijst 'SAP-gebruikersconfiguratie' (DDIC is bijvoorbeeld toegewezen met 'RunObsoleteProgOK'). Meerdere gebruikers kunnen meerdere tags hebben.
  • Een waarschuwingsregel verzendt de relevante tags naar de functie SAPUsersGetVIP waarin wordt gevraagd om een lijst met gebruikers die moeten worden uitgesloten. De waarschuwingsregel 'SAP - Uitvoering van een verouderd of een onveilig programma' kan vragen naar gebruikers met de tag 'RunObsoleteProgOK'.

Hier volgt een KQL-query die de onderstaande use-case laat zien:

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
let excludeUsersTags= dynamic(['RunObsoleteProgOK']);
let excludedUsers= SAPUsersGetVIP(SearchForTags= dynamic(["RunObsoleteProgOK"]))| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog 
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

Deze functionaliteit wordt intensief gebruikt in de waarschuwingen voor de deterministische en afwijkende controlelogboekcontrole, waarbij tags kunnen worden gekoppeld aan de bericht-id van het SAP-auditlogboek en ook eenvoudig kunnen worden uitgebreid naar aangepaste waarschuwingsregels. Parameters:

  • SearchForTags
    • Optioneel
    • Standaardwaarde: dynamic('All Tags')
    • Wanneer SearchForTags gelijk is aan 'Alle tags', worden alle gebruikers samen met hun tags geretourneerd. Anders worden alleen gebruikers met de tags die zijn opgegeven in SearchForTags geretourneerd. TagsIntersect laat zien welke tags zijn gevonden en IntersectionSize bevat het aantal tags.
  • SpecialFocusTags
    • Optioneel
    • Standaardwaarde: 'Geen gebruikers met focus retourneren'
    • De functie retourneert alle gebruikers met de tags die zijn opgegeven in SpecialFocusTags en markeert deze met specialFocusTagged = true.
Bron Veld Description Notities
De volglijst 'SAP-gebruikersconfiguratie' SearchKey Zoeksleutel
De volglijst 'SAP-gebruikersconfiguratie' SAPUser De SAP-gebruiker OSS, DDIC
De volglijst 'SAP-gebruikersconfiguratie' Tags tekenreeks met tags die zijn toegewezen aan de gebruiker RunObsoleteProgOK
De volglijst 'SAP-gebruikersconfiguratie' Object-id van gebruiker Microsoft Azure Active Directory (Azure AD) object-id Azure AD
De volglijst 'SAP-gebruikersconfiguratie' Gebruikers-id AD-gebruikers-id
De volglijst 'SAP-gebruikersconfiguratie' On-premises sid van gebruiker
De volglijst 'SAP-gebruikersconfiguratie' User Principal Name
De volglijst 'SAP-gebruikersconfiguratie' TagsList Een lijst met tags die zijn toegewezen aan de gebruiker ChangeUserMasterDataOK; RunObsoleteProgOK
Logica TagsIntersect Een set tags die overeenkomen met SearchForTags ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Logica SpecialFocusTagged Speciale focusindicatie Waar, Onwaar
Logica Snijpuntgrootte Het aantal door elkaar gesneden tags

SAPUsersHeader

De functie SAPUsersHeader is ontworpen om een weergave op hoog niveau van de SAP-gebruiker te bieden. Er worden gegevens gebruikt die zijn geëxtraheerd uit zowel de hoofdgegevenstabellen van de SAP-gebruiker als recente activiteiten in het SAP-auditlogboek om Email en IP-adressen te verzamelen. Vervolgens worden de laatst bekende e-mailadressen en IP-adressen geretourneerd, samen met primaire e-mail en IP-adressen. Parameters: SelectedSystemRoles:dynamic = dynamic(["Alle systeemrollen"]) SelectedSystems:dynamic = dynamic(["Alle systemen"]) SelectedUsers:dynamic = dynamic(["Alle gebruikers"]) SelectedUser:string = "Alle gebruikers"

  • SelectedSystems
    • Optioneel
    • Standaardwaarde: 'Alle systemen'
    • Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken.
  • SelectedSystemRoles
    • Optioneel
    • Standaardwaarde: 'Alle systeemrollen'
    • Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de volglijst 'SAP - Systems').
  • SelectedUsers
    • Optioneel
    • Standaardwaarde: 'Alle gebruikers'
    • Kan lijsten met gebruikers invoeren.
  • SelectedUser
    • Optioneel
    • Standaardwaarde: 'Alle gebruikers'
    • Accepteert slechts één gebruiker

Aanvullende opmerkingen

Voor prestatieoverwegingen wordt slechts een paar dagen controleactiviteit overwogen. Voer voor een volledige geschiedenis van gebruikersactiviteiten een aangepaste KQL-query uit op de functie SAPAuditLog.

Bron Veld Description Notities
Gebruiker De SAP-gebruiker
SAP-tabellen ADR6 en USR21 Email Overgenomen uit de hoofdgegevens van de gebruiker OSS, DDIC
SAP-tabel USR02 UserType tekenreeks van tags die zijn toegewezen aan gebruiker RunObsoleteProgOK
SAP-tabel USR02 Tijdzone object-id Azure AD
SAP-tabel USR02 LockedStatus AD-gebruikers-id
SAP-auditlogboek LastSeen Een tijdstempel laatste controlegebeurtenis waargenomen voor de gebruiker
SAP-auditlogboek LastSeenDaysAgo dagen die zijn verstreken sinds LastSeen
SAP-auditlogboek PrimaryIP Meest gebruikte IP-adres ChangeUserMasterDataOK; RunObsoleteProgOK
SAP-auditlogboek LastKnownIP Meest recent gebruikte IP-adres ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
SAP-auditlogboek PrimaryEmail Meest gebruikte Email-adres Waar, Onwaar
SAP-auditlogboek KnownIPs Lijst met bekende IP-adressen gesorteerd op meest voorkomende eerst
SAP-auditlogboek KnownEmails Lijst met bekende Email adressen gesorteerd op meest voorkomende eerst
Client De SAP-client-id
SystemID De SAP-systeem-id
SystemRole De rol van het SAP-systeem Productie, UAT
SystemUsage Het belangrijkste gebruik van het SAP-systeem ERP, CRM

Logboeken die zijn geproduceerd door de gegevensconnectoragent

In deze sectie worden de SAP-logboeken beschreven die beschikbaar zijn via de Microsoft Sentinel-oplossing voor gegevensconnector voor SAP-toepassingen®, inclusief de tabelnamen in Microsoft Sentinel, de logboekdoeleinden en gedetailleerde logboekschema's. Schemaveldbeschrijvingen zijn gebaseerd op de veldbeschrijvingen in de relevante SAP-documentatie.

Voor de beste resultaten gebruikt u de onderstaande Microsoft Sentinel-functies om de gegevens te visualiseren, te openen en er query's op uit te voeren.

ABAP-toepassingslogboek

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPAppLog

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Doel van logboek: Registreert de voortgang van de uitvoering van een toepassing, zodat u deze later indien nodig kunt reconstrueren.

    Beschikbaar met behulp van RFC op basis van standaard SAP-tabel en standaardservices van XBP-interface. Dit logboek wordt per client gegenereerd.

ABAPAppLog_CL logboekschema

Veld Description
AppLogDateTime Datum/tijd van toepassingslogboek
CallbackProgram Callback-programma
CallbackRoutine Callbackroutine
CallbackType Type callback
ClientID ABAP-client-id (MANDT)
ContextDDIC Context-DDIC-structuur
ExternalID Externe logboek-id
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Serieel bericht in toepassingslogboek
LevelofDetail Detailniveau
LogHandle Ingang voor toepassingslogboek
LogNumber Logboeknummer
Messageclass Berichtklasse
MessageNumber Berichtnummer
MessageText Berichttekst
MessageType Berichttype
Object Toepassingslogboekobject
OperationMode Bewerkingsmodus
ProblemClass Probleemklasse
ProgramName Programmanaam
SortCriterion Sorteercriterium
StandardText Standaardtekst
Subobject Subobject voor toepassingslogboek
SystemID Systeem-id
Systeemnummer Systeemnummer
TransactionCode Transactiecode
Gebruiker Gebruiker
UserChange Gebruikerswijziging

ABAP-logboek voor wijzigingsdocumenten

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPChangeDocsLog

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Doel van logboek: Records:

    • SAP NetWeaver Application Server (AS) ABAP-logboekwijzigingen in zakelijke gegevensobjecten in wijzigingsdocumenten.

    • Andere entiteiten in het SAP-systeem, zoals gebruikersgegevens, rollen en adressen.

    Beschikbaar met behulp van RFC op basis van standaard SAP-tabellen. Dit logboek wordt per client gegenereerd.

ABAPChangeDocsLog_CL logboekschema

Veld Description
ActualChangeNum Werkelijk wijzigingsnummer
ChangedTableKey Tabelsleutel gewijzigd
ChangeNumber Nummer wijzigen
ClientID ABAP-client-id (MANDT)
CreatedfromPlannedChange Gemaakt op basis van geplande wijziging, in de volgende syntaxis: (‘X’ , ‘ ‘)
CurrencyKeyNew Valutasleutel: nieuwe waarde
CurrencyKeyOld Valutasleutel: oude waarde
Veldnaam Veldnaam
FlagText Vlagtekst
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
Taal Taal
ObjectKlasse Objectklasse, zoals BELEG, BPAR, , PFCGIDENTITY
ObjectID Object-id
PlannedChangeNum Gepland wijzigingsnummer
SystemID Systeem-id
Systeemnummer Systeemnummer
TableName Tabelnaam
TransactionCode Transactiecode
TypeofChange_Header Kopteksttype wijziging, waaronder:
U = Wijzigen; I = Invoegen; E = Enkele docu verwijderen; D = Verwijderen; J = Enkele docu invoegen
TypeofChange_Item Itemtype wijziging, waaronder:
U = Wijzigen; I = Invoegen; E = Enkele docu verwijderen; D = Verwijderen; J = Enkele docu invoegen
UOMNieuw Maateenheid: nieuwe waarde
UOMOld Maateenheid: oude waarde
Gebruiker Gebruiker
WaardeNieuw Veldinhoud: nieuwe waarde
ValueOld Veldinhoud: oude waarde
Versie Versie

ABAP CR-logboek

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPCRLog

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Logboekdoel: bevat de CTS-logboeken (Change & Transport System), inclusief de mapobjecten en aanpassingen waar wijzigingen zijn aangebracht.

    Beschikbaar met behulp van RFC op basis van standaardtabellen en standaard SAP-services. Dit logboek wordt gegenereerd met gegevens van alle clients.

Notitie

Naast toepassingslogboeken, wijzigingsdocumenten en tabelopname, worden alle wijzigingen die u aanbrengt in uw productiesysteem met behulp van het Change & Transport System gedocumenteerd in de CTS- en TMS-logboeken.

ABAPCRLog_CL logboekschema

Veld Description
Categorie Categorie (Workbench, Aanpassen)
ClientID ABAP-client-id (MANDT)
Description Beschrijving
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
ObjectName Objectnaam
ObjectType Objecttype
Eigenaar Eigenaar
Aanvraag Wijzigingsaanvraag
Status Status
SystemID Systeem-id
SystemNumber Systeemnummer
TableKey Tabelsleutel
TableName Tabelnaam
ViewName Weergavenaam

ABAP DB-tabelgegevenslogboek (PREVIEW)

Als u dit logboek naar Microsoft Sentinel wilt verzenden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPTableDataLog

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Logboekdoel: biedt logboekregistratie voor tabellen die kritiek of gevoelig zijn voor controles.

    Beschikbaar met behulp van RFC met een aangepaste service. Dit logboek wordt gegenereerd met gegevens van alle clients.

ABAPTableDataLog_CL logboekschema

Veld Description
DBLogID DB-logboek-id
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
Taal Taal
LogKey Logboeksleutel
NewValue Nieuwe waarde voor veld
Oldvalue Oude waarde van veld
OperationTypeSQL Bewerkingstype, Insert, , UpdateDelete
Programma Programmanaam
SystemID Systeem-id
SystemNumber Systeemnummer
Tabelveld Tabelveld
TableName Tabelnaam
TransactionCode Transactiecode
UserName Gebruiker
VersionNumber Versienummer

ABAP Gateway-logboek (PREVIEW)

Als u dit logboek naar Microsoft Sentinel wilt verzenden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPOS_GW

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Doel van logboek: Controleert gatewayactiviteiten. Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens van alle clients.

ABAPOS_GW_CL-logboekschema

Veld Beschrijving
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
MessageText Berichttekst
Ernst Ernst van bericht: Debug, Info, , WarningError
SystemID Systeem-id
Systeemnummer Systeemnummer

ABAP ICM-logboek (PREVIEW)

Als u dit logboek naar Microsoft Sentinel wilt verzenden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPOS_ICM

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Doel van logboek: registreert inkomende en uitgaande aanvragen en compileert statistieken van de HTTP-aanvragen.

    Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens van alle clients.

ABAPOS_ICM_CL-logboekschema

Veld Beschrijving
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
MessageText Berichttekst
Ernst Ernst van bericht, waaronder: Debug, Info, Warning, Error
SystemID Systeem-id
Systeemnummer Systeemnummer

ABAP-taaklogboek

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPJobLog

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Doel van logboek: combineert alle achtergrondverwerkingstaaklogboeken (SM37).

    Beschikbaar met behulp van RFC op basis van standaard SAP-tabel en standaardservices van XBP-interfaces. Dit logboek wordt gegenereerd met gegevens van alle clients.

ABAPJobLog_CL logboekschema

Veld Description
ABAPProgram ABAP-programma
BgdEventParameters Parameters voor achtergrond gebeurtenis
BgdProcessingEvent Achtergrondverwerkingsevenement
ClientID ABAP-client-id (MANDT)
DynproNumber Dynpro-nummer
GUIStatus GUI-status
Host Host
Exemplaar ABAP-exemplaar (HOST_SYSID_SYSNR), in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
JobClassification Taakclassificatie
JobCount Aantal taken
JobGroup Taakgroep
JobName Taaknaam
JobPriority Jobprioriteit
Messageclass Berichtklasse
MessageNumber Berichtnummer
MessageText Berichttekst
MessageType Berichttype
ReleaseUser Taakreleasegebruiker
SchedulingDateTime Planningsdatum-tijd
StartDateTime Begindatum-tijd
SystemID Systeem-id
Systeemnummer Systeemnummer
TargetServer Doelserver
Gebruiker Gebruiker
UserReleaseInstance ABAP-exemplaar - gebruikersrelease
WorkProcessID Werkproces-id
WorkProcessNumber Werkprocesnummer

AUDITlogboek van ABAP-beveiliging

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPAuditLog

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Logboekdoel: registreert de volgende gegevens:

    • Beveiligingsgerelateerde wijzigingen in de SAP-systeemomgeving, zoals wijzigingen in hoofdgebruikersrecords
    • Informatie die een hoger gegevensniveau biedt, zoals geslaagde en mislukte aanmeldingspogingen
    • Informatie waarmee een reeks gebeurtenissen kan worden reconstrueert, zoals het starten van een geslaagde of mislukte transactie

    Beschikbaar via RFC XAL/SAL-interfaces. SAL is beschikbaar vanaf versie Basis 7.50. Dit logboek wordt gegenereerd met gegevens van alle clients.

ABAPAuditLog_CL logboekschema

Veld Description
ABAPProgramName Programmanaam, alleen SAL
AlertSeverity Ernst van waarschuwing
AlertSeverityText Tekst over ernst van waarschuwing, alleen SAL
AlertValue Waarschuwingswaarde
AuditClassID Klasse-id controleren, alleen SAL
ClientID ABAP-client-id (MANDT)
Computer Gebruikerscomputer, alleen SAL
Email E-mailadres van de gebruiker
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
Messageclass Berichtklasse
MessageContainerID Berichtcontainer-id, alleen XAL
Messageid Bericht-id, zoals ‘AU1’,’AU2’…
MessageText Berichttekst
MonitoringObjectName MTE Monitor-objectnaam, alleen XAL
MonitorShortName Korte naam van MTE Monitor, alleen XAL
SAPProcesType Systeemlogboek: SAP-procestype, alleen SAL
B* - Achtergrondverwerking
D* - Dialoogvensterverwerking
U* - Taken bijwerken
SAPWPName Systeemlogboek: Werkprocesnummer, alleen SAL
SystemID Systeem-id
SystemNumber Systeemnummer
TerminalIPv6 IP van gebruikerscomputer, alleen SAL
TransactionCode Transactiecode, alleen SAL
Gebruiker Gebruiker
Variabele1 Berichtvariabele 1
Variabele2 Berichtvariabele 2
Variabele3 Berichtvariabele 3
Variabele4 Berichtvariabele 4

ABAP-spoollogboek

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPSpoolLog

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Logboekdoel: fungeert als het hoofdlogboek voor SAP-afdrukken met de geschiedenis van spoolaanvragen. (SP01).

    Beschikbaar met behulp van RFC op basis van standaard SAP-tabel. Dit logboek wordt gegenereerd met gegevens van alle clients.

ABAPSpoolLog_CL logboekschema

Veld Description
ArchiveStatus Archiefstatus
ArchiveType Archieftype
ArchivingDevice Apparaat archiveren
AutoRereoute Automatisch omleiden
ClientID ABAP-client-id (MANDT)
Landsleutel Landsleutel
DeleteSpoolRequestAuto Automatische aanvraag voor spool verwijderen
DelFlag Verwijderingsvlag
Afdeling Afdeling
DocumentType Documenttype
ExternalMode Externe modus
FormatType Opmaaktype
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
NumofCopies Aantal exemplaren
OutputDevice Uitvoerapparaat
PrinterLongName Lange naam van printer
AfdrukkenImmediately Direct afdrukken
PrintOSCoverPage Besturingssysteemcoverpagina afdrukken
PrintSAPCoverPage SAPCover-pagina afdrukken
Prioriteit Prioriteit
RecipientofSpoolRequest Ontvanger van spool-aanvraag
SpoolErrorStatus Foutstatus van spool
SpoolRequestCompleted Spool-aanvraag voltooid
SpoolRequestisALogForAnotherRequest Spool-aanvraag is een logboek voor een andere aanvraag
SpoolRequestName Naam van Spool-aanvraag
SpoolRequestNumber Spool-aanvraagnummer
SpoolRequestSuffix1 Achtervoegsel1 van spoolaanvraag
SpoolRequestSuffix2 Achtervoegsel2 van spoolaanvraag
SpoolRequestTitle Titel van Spool-aanvraag
SystemID Systeem-id
Systeemnummer Systeemnummer
TelecommunicationsPartner Telecommunicatiepartner
TelecommunicationsPartnere Telecommunicatiepartner E
TemSeGeneralcounter Temse-teller
TemseNumAddProtectionRule Beveiligingsregel voor Temse-nummer toevoegen
TemseNumChangeProtectionRule Temse-nummerwijzigingsbeveiligingsregel
TemseNumDeleteProtectionRule Temse-beveiligingsregel voor het verwijderen van nummers
TemSeObjectName Temse-objectnaam
TemSeObjectPart TemSe-objectonderdeel
TemseReadProtectionRule Temse-regel voor leesbeveiliging
Gebruiker Gebruiker
ValueAuthCheck Verificatiecontrole van waarde

ApAB Spool-uitvoerlogboek

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPSpoolOutputLog

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Doel van logboek: fungeert als het hoofdlogboek voor SAP Printing met de geschiedenis van spool-uitvoeraanvragen. (SP02).

    Beschikbaar met behulp van RFC met een aangepaste service op basis van standaardtabellen. Dit logboek wordt gegenereerd met gegevens van alle clients.

ABAPSpoolOutputLog_CL-logboekschema

Veld Description
AppServer Toepassingsserver
ClientID ABAP-client-id (MANDT)
Opmerking Opmerking
CopyCount Aantal kopieën
CopyCounter Teller kopiëren
Afdeling Afdeling
ErrorSpoolRequestNumber Foutaanvraagnummer
FormatType Opmaaktype
Host Host
HostName Hostnaam
HostSpoolerID Hostspooler-id
Exemplaar ABAP-exemplaar
LastPage Laatste pagina
NumofCopies Aantal exemplaren
OutputDevice Uitvoerapparaat
OutputRequestNumber Uitvoeraanvraagnummer
OutputRequestStatus Status van uitvoeraanvraag
PhysicalFormatType Type fysieke indeling
PrinterLongName Lange naam van printer
PrintRequestSize Grootte van aanvraag afdrukken
Prioriteit Prioriteit
ReasonforOutputRequest Reden voor uitvoeraanvraag
RecipientofSpoolRequest Ontvanger van spool-aanvraag
SpoolNumberofOutputReqProcessed Aantal uitvoeraanvragen - verwerkt
SpoolNumberofOutputReqWithErrors Aantal uitvoeraanvragen - met fouten
SpoolNumberofOutputReqWithProblems Aantal uitvoeraanvragen - met problemen
SpoolRequestNumber Spool-aanvraagnummer
Startpagina Startpagina
SystemID Systeem-id
Systeemnummer Systeemnummer
TelecommunicationsPartner Telecommunicatiepartner
TemSeGeneralcounter Temse-teller
Titel Titel
Gebruiker Gebruiker

ABAP Syslog

Als u dit logboek naar Microsoft Sentinel wilt verzenden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPOS_Syslog

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Doel van logboek: registreert alle SAP NetWeaver Application Server (SAP NetWeaver AS) ABAP-systeemfouten, waarschuwingen, gebruikersvergrendelingen vanwege mislukte aanmeldingspogingen van bekende gebruikers en procesberichten.

    Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens van alle clients.

ABAPOS_Syslog_CL-logboekschema

Veld Description
ClientID ABAP-client-id (MANDT)
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
MessageNumber Berichtnummer
MessageText Berichttekst
Ernst Ernst van bericht, een van de volgende waarden: Debug, Info, Warning, Error
SystemID Systeem-id
Systeemnummer Systeemnummer
TransacationCode Transactiecode
Type SAP-procestype
Gebruiker Gebruiker

ABAP-werkstroomlogboek

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPWorkflowLog

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Doel van logboek: met de SAP Business Workflow (WebFlow Engine) kunt u bedrijfsprocessen definiëren die nog niet zijn toegewezen in het SAP-systeem.

    Niet-toegewezen bedrijfsprocessen kunnen bijvoorbeeld eenvoudige release- of goedkeuringsprocedures zijn, of complexere bedrijfsprocessen, zoals het maken van basismateriaal en vervolgens het coördineren van de bijbehorende afdelingen.

    Beschikbaar met behulp van RFC op basis van standaard SAP-tabellen. Dit logboek wordt per client gegenereerd.

ABAPWorkflowLog_CL-logboekschema

Veld Description
ActualAgent Werkelijke agent
Adres Adres
Toepassingsgebied Toepassingsgebied
CallbackFunction Callback-functie
ClientID ABAP-client-id (MANDT)
CreationDateTime Datum/tijd maken
Creator Creator
CreatorAddress Adres van maker
ErrorType Fouttype
ExceptionforMethod Uitzondering voor methode
Host Host
Exemplaar ABAP-exemplaar (HOST_SYSID_SYSNR), in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
Taal Taal
LogCounter Logboekteller
MessageNumber Berichtnummer
MessageType Berichttype
MethodUser Methodegebruiker
Prioriteit Prioriteit
SimpleContainer Eenvoudige container, verpakt als een lijst met Key-Value entiteiten voor het werkitem
Status Status
SuperWI Super WI
SystemID Systeem-id
Systeemnummer Systeemnummer
TaskID Taak-id
TasksClassification Taakclassificaties
Taaktekst Taaktekst
TopTaskID Belangrijkste taak-id
UserCreated Gebruiker gemaakt
WIText Tekst van werkitem
WIType Type werkitem
WorkflowAction Werkstroomactie
WorkItemID Werkitem-id

ABAP WorkProcess-logboek

Als u dit logboek naar Microsoft Sentinel wilt verzenden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPOS_WP

  • Gerelateerde SAP-documentatie: SAP Help-portal

  • Doel van logboek: combineert alle werkproceslogboeken. (standaard: dev_*).

    Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens van alle clients.

ABAPOS_WP_CL-logboekschema

Veld Beschrijving
Host Host
Exemplaar ABAP-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
MessageText Berichttekst
Ernst Ernst van bericht: Debug, Info, , WarningError
SystemID Systeem-id
Systeemnummer Systeemnummer
WPNumber Werkprocesnummer

HANA DB-audittrail

Als u dit logboek naar Microsoft Sentinel wilt laten verzenden, moet u een Microsoft-beheeragent implementeren om Syslog-gegevens te verzamelen van de computer waarop HANA DB wordt uitgevoerd.

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPSyslog

  • Gerelateerde SAP-documentatie: Algemene | audittrail

  • Doel van logboek: registreert gebruikersacties of geprobeerde acties in de SAP HANA-database. Hiermee kunt u bijvoorbeeld leestoegang tot gevoelige gegevens registreren en bewaken.

    Beschikbaar door de Sentinel Linux-agent voor Syslog. Dit logboek wordt gegenereerd met gegevens van alle clients.

Syslog-logboekschema

Veld Description
Computer Hostnaam
Hostip Host-IP
HostName Hostnaam
ProcessID Proces-id
ProcessName Procesnaam: HDB*
Ernstniveau Waarschuwing
SourceSystem Besturingssysteem van het bronsysteem, Linux
SyslogMessage Bericht, een niet-geparseerd audittrailbericht

JAVA-bestanden

Als u dit logboek naar Microsoft Sentinel wilt verzenden, moet u het handmatig toevoegen aan het systemconfig.ini-bestand.

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPJAVAFilesLogs

  • Gerelateerde SAP-documentatie: Algemeen | auditlogboek voor Java-beveiliging

  • Doel van logboek: combineert alle logboeken op basis van Java-bestanden, waaronder het beveiligingscontrolelogboek en systeemlogboeken (cluster- en serverproces), prestaties en gatewaylogboeken. Bevat ook traceringen voor ontwikkelaars en standaardtraceringslogboeken.

    Beschikbaar door de SAP Control-webservice. Dit logboek wordt gegenereerd met gegevens van alle clients.

JavaFilesLogsCL-logboekschema

Veld Description
Toepassing Java-toepassing
ClientID Client-id
CSNComponent CSN-onderdeel, zoals BC-XI-IBD
DCComponent DC-onderdeel, zoals com.sap.xi.util.misc
DSRCounter DSR-teller
DSRRootContentID GUID van DSR-context
DSRTransaction GUID van DSR-transactie
Host Host
Exemplaar Java-exemplaar, in de volgende syntaxis: <HOST>_<SYSID>_<SYSNR>
Locatie Java-klasse
LogName Java logName, zoals: Available, defaulttrace, dev*, security, enzovoort
MessageText Berichttekst
MNo Berichtnummer
Pid Proces-id
Programma Programmanaam
Sessie Sessie
Ernst Ernst van bericht, waaronder: Debug,Info,Warning,Error
Oplossing Oplossing
SystemID Systeem-id
Systeemnummer Systeemnummer
ThreadName Threadnaam
Gegooid Er is een uitzondering opgetreden
Tijdzone Tijdzone
Gebruiker Gebruiker

SAP Heartbeat-logboek

  • Microsoft Sentinel-functie voor het uitvoeren van query's op dit logboek: SAPConnectorHealth

  • Doel van logboek: biedt heartbeat- en andere statusinformatie over de connectiviteit tussen de agents en de verschillende SAP-systemen.

    Automatisch gemaakt voor agents van de Microsoft Sentinel voor SAP-gegevensconnector.

SAP_HeartBeat_CL-logboekschema

Veld Beschrijving
TimeGenerated Tijdstip van de gebeurtenis voor het boeken van logboeken
agent_id_s Agent-id in de configuratie van de agent (automatisch gegenereerd)
agent_ver_s Agentversie
host_s De hostnaam van de agent
system_id_s Netweaver ABAP-systeem-id /
Netweaver SAPControl Host (preview) /
Java SAPControl-host (preview)
push_timestamp_d Tijdstempel van de extractie, volgens de tijdzone van de agent
agent_timezone_s Tijdzone van agent

Tabellen die rechtstreeks uit SAP-systemen zijn opgehaald

In deze sectie worden de gegevenstabellen vermeld die rechtstreeks uit het SAP-systeem worden opgehaald en precies zo worden opgenomen in Microsoft Sentinel.

Als u de gegevens uit deze tabellen wilt opnemen in Microsoft Sentinel, configureert u de relevante instellingen in het systemconfig.ini-bestand . Zie Configuring User Master data collection (Gegevensverzameling van gebruikersmodel configureren) voor meer informatie.

De gegevens die uit deze tabellen worden opgehaald, bieden een duidelijk overzicht van de autorisatiestructuur, groepslidmaatschap en gebruikersprofielen. U kunt ook het proces van autorisatietoekenningen en intrekkingen bijhouden en de risico's identificeren en beheren die aan deze processen zijn gekoppeld.

De onderstaande tabellen zijn vereist om functies in te schakelen waarmee bevoegde gebruikers worden geïdentificeerd en gebruikers worden toegewezen aan rollen, groepen en autorisaties.

Voor de beste resultaten raadpleegt u deze tabellen met de naam in de kolom Sentinel-functienaam hieronder:

Tabelnaam Tabelbeschrijving Sentinel-functienaam
USR01 Hoofdrecord van gebruiker (runtimegegevens) SAP_USR01
USR02 Aanmeldingsgegevens (gebruik aan de kernelzijde) SAP_USR02
UST04 Gebruikersmodellen
Gebruikers toewijzen aan profielen		 SAP_UST04
AGR_USERS Toewijzing van rollen aan gebruikers SAP_AGR_USERS
AGR_1251 Autorisatiegegevens voor de activiteitengroep SAP_AGR_1251
USGRP_USER Toewijzing van gebruikers aan gebruikersgroepen SAP_USGRP_USER
USR21 Toewijzing van gebruikersnaam/adressleutel SAP_USR21
ADR6 Email adressen (zakelijke adresservices) SAP_ADR6
USRSTAMP Tijdstempel voor alle wijzigingen aan de gebruiker SAP_USRSTAMP
ADCP Toewijzing van persoon/adres (zakelijke adresservices) SAP_ADCP
USR05 Id van de hoofdparameter van de gebruiker SAP_USR05
AGR_PROF Profielnaam voor rol SAP_AGR_PROF
AGR_FLAGS Rolkenmerken SAP_AGR_FLAGS
DEVACCESS Tabel voor ontwikkelingsgebruiker SAP_DEVACCESS
AGR_DEFINE Roldefinitie SAP_AGR_DEFINE
AGR_AGRS Rollen in samengestelde rollen SAP_AGR_AGRS
PAHI Geschiedenis van de systeem-, database- en SAP-parameters SAP_PAHI
SNCSYSACL (PREVIEW) SNC Access Control List (ACL): systemen SAP_SNCSYSACL
USRACL (PREVIEW) SNC Access Control List (ACL): Gebruiker SAP_USRACL

Volgende stappen

Zie voor meer informatie: