Zbieranie dzienników inspekcji oprogramowania SAP HANA w usłudze Microsoft Sentinel
W tym artykule wyjaśniono, jak zbierać dzienniki inspekcji z bazy danych SAP HANA.
Ważne
Obsługa oprogramowania SAP HANA w usłudze Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Wymagania wstępne
Dzienniki platformy SAP HANA są wysyłane za pośrednictwem dziennika systemowego. Upewnij się, że agent usługi AMA lub agent usługi Log Analytics (starsza wersja) jest skonfigurowany do zbierania plików dziennika systemowego. Aby uzyskać więcej informacji, zobacz:
Aby uzyskać więcej informacji, zobacz Ingest syslog and CEF messages to Microsoft Sentinel with the Azure Monitor Agent (Pozyskiwanie dzienników systemu i komunikatów CEF do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor).
Zbieranie dzienników inspekcji oprogramowania SAP HANA
Upewnij się, że dziennik inspekcji sap HANA jest skonfigurowany do używania dziennika syslog zgodnie z opisem w artykule SAP Note 0002624117, który jest dostępny z witryny pomocy technicznej programu SAP Launchpad. Aby uzyskać więcej informacji, zobacz:
Sprawdź pliki dziennika systemu operacyjnego pod kątem wszelkich odpowiednich zdarzeń bazy danych HANA.
Zaloguj się do systemu operacyjnego bazy danych HANA jako użytkownik z uprawnieniami sudo.
Zainstaluj agenta na maszynie i upewnij się, że maszyna jest połączona. Aby uzyskać więcej informacji, zobacz:
- Azure Monitor Agent
- Agent usługi Log Analytics (starsza wersja)
Skonfiguruj agenta do zbierania danych dziennika systemowego. Aby uzyskać więcej informacji, zobacz:
- Azure Monitor Agent
- Agent usługi Log Analytics (starsza wersja)
Napiwek
Ponieważ obiekty, w których są zapisywane zdarzenia bazy danych HANA, mogą ulec zmianie między różnymi dystrybucjami, zalecamy dodanie wszystkich obiektów. Sprawdź je względem dzienników usługi Syslog, a następnie usuń wszystkie, które nie są istotne.
Weryfikowanie konfiguracji
Wykonaj poniższe kroki zarówno w usłudze Microsoft Sentinel, jak i w bazie danych SAP HANA, aby sprawdzić, czy system jest skonfigurowany zgodnie z oczekiwaniami.
Microsoft Sentinel
Na stronie Dzienniki usługi Microsoft Sentinel sprawdź, czy zdarzenia bazy danych HANA są teraz wyświetlane w pozyskanych dziennikach. Na przykład uruchom następujące zapytanie:
//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];
let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')
SAP HANA
W bazie danych SAP HANA sprawdź skonfigurowane zasady inspekcji. Aby uzyskać więcej informacji na temat wymaganych instrukcji SQL, zobacz sap Note 3016478.
Dodawanie reguł analizy dla platformy SAP HANA w usłudze Microsoft Sentinel
Użyj następujących wbudowanych reguł analitycznych, aby usługa Microsoft Sentinel zaczęła wyzwalać alerty dotyczące powiązanego działania platformy SAP HANA:
- SAP — (WERSJA ZAPOZNAWCZA) HANA DB — Przypisywanie autoryzacji administratora
- SAP — (WERSJA ZAPOZNAWCZA) BAZA danych HANA — zmiany zasad dziennika inspekcji
- SAP — (WERSJA ZAPOZNAWCZA) BAZA danych HANA — dezaktywacja dziennika inspekcji
- SAP — (WERSJA ZAPOZNAWCZA) HANA DB — akcje administratora użytkowników
Aby uzyskać więcej informacji, zobacz Rozwiązanie Microsoft Sentinel dla aplikacji SAP®: dokumentacja zawartości zabezpieczeń.
Powiązana zawartość
Dowiedz się więcej o rozwiązaniu Microsoft Sentinel dla oprogramowania SAP BTP:
- Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
- Microsoft Sentinel Solution for SAP BTP: security content reference (Rozwiązanie Microsoft Sentinel dla oprogramowania SAP BTP: dokumentacja zawartości zabezpieczeń)
Dowiedz się więcej o rozwiązaniu Microsoft Sentinel dla aplikacji SAP®:
- Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
- Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP®
- Wdrażanie żądań zmian (CRS) sap i konfigurowanie autoryzacji
- Wdrażanie zawartości rozwiązania z centrum zawartości
- Wdrażanie i konfigurowanie kontenera hostowania agenta łącznika danych SAP
- Wdrażanie łącznika danych SAP za pomocą usługi SNC
- Monitorowanie kondycji systemu SAP
- Włączanie i konfigurowanie inspekcji sap
Rozwiązywanie problemów:
- Rozwiązywanie problemów z rozwiązaniem Microsoft Sentinel na potrzeby wdrażania aplikacji SAP®
- Dziennik inspekcji platformy HANA nie jest generowany w dzienniku SYSLOG | Uwaga SAP
- Jak przekierować inspekcję dziennika systemowego dla platformy HANA do lokalizacji alternatywnej | Uwaga SAP
Pliki referencyjne:
- Dokumentacja danych aplikacji SAP® dla rozwiązania Microsoft Sentinel
- Rozwiązanie Microsoft Sentinel dla aplikacji SAP®: dokumentacja zawartości zabezpieczeń
- Dokumentacja skryptu Kickstart
- Aktualizowanie odwołania do skryptu
- dokumentacja pliku Systemconfig.ini
Aby uzyskać więcej informacji, zobacz Rozwiązania usługi Microsoft Sentinel.