Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano wybór funkcji dostępnych w obszarze roboczym po zainstalowaniu rozwiązania Microsoft Sentinel dla aplikacji SAP. Odkryj więcej funkcji, przeglądając Microsoft Sentinel i ładując kod funkcji.
Znajdź funkcje w następujący sposób:
- W Azure Portal na stronie Dzienniki ogólne > na karcie Funkcje i w obszarze Funkcje obszaru roboczego.
- W portalu usługi Defender na stronie Wyszukiwanie & odpowiedzi > zaawansowane wyszukiwanie zagrożeń na karcie Funkcje i w obszarze Sentinel funkcji obszaru roboczego.
Zawartość tego artykułu jest przeznaczona dla zespołów ds. zabezpieczeń .
Używanie funkcji w zapytaniach zamiast podstawowych dzienników lub tabel
Zdecydowanie zalecamy używanie funkcji wymienionych w tym artykule jako tematów ich analizy, gdy tylko jest to możliwe, zamiast podstawowych dzienników lub tabel.
Te funkcje mają służyć jako główny interfejs użytkownika danych. Stanowią one podstawę dla wszystkich wbudowanych reguł analizy i skoroszytów dostępnych po wyjętej wersji. Korzystanie z funkcji umożliwia wprowadzanie zmian w infrastrukturze danych pod funkcjami bez naruszania zawartości utworzonej przez użytkownika.
BAPI_XMI_LOGON (wersja zapoznawcza)
Funkcja BAPI_XMI_LOGON jest istotna, gdy system SAP jest starszym systemem korzystającym z biblioteki XAL i uwierzytelnia się w celu zbierania dzienników inspekcji SAP XAL.
Funkcja BAPI_XMI_LOGON jest obsługiwana tylko w przypadku łącznika danych bez agenta SAP. Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania Microsoft Sentinel dla aplikacji SAP.
BAPI_SYSTEM_MTE_GETTIDBYNAME (wersja zapoznawcza)
Funkcja BAPI_SYSTEM_MTE_GETTIDBYNAME jest istotna, gdy system SAP jest starszym systemem korzystającym z biblioteki XAL i pobiera identyfikator elementu monitorowania systemu według nazwy.
Funkcja BAPI_SYSTEM_MTE_GETTIDBYNAME jest obsługiwana tylko w przypadku łącznika danych bez agenta SAP. Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania Microsoft Sentinel dla aplikacji SAP.
BAPI_SYSTEM_MTE_GETTREE (wersja zapoznawcza)
Funkcja BAPI_SYSTEM_MTE_GETTREE jest istotna, gdy system SAP jest starszym systemem korzystającym z biblioteki XAL i pobiera strukturę elementów monitorowania systemu.
Funkcja BAPI_SYSTEM_MTE_GETTREE jest obsługiwana tylko w przypadku łącznika danych bez agenta SAP. Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania Microsoft Sentinel dla aplikacji SAP.
BAPI_SYSTEM_MTE_GETMLHIS (wersja zapoznawcza)
Funkcja BAPI_SYSTEM_MTE_GETMLHIS jest istotna, gdy system SAP jest starszym systemem korzystającym z biblioteki XAL i pobiera historyczne dane dotyczące wydajności i stanu.
Funkcja BAPI_SYSTEM_MTE_GETMLHIS jest obsługiwana tylko w przypadku łącznika danych bez agenta SAP. Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania Microsoft Sentinel dla aplikacji SAP.
BAPI_XMI_SET_AUDITLEVEL (wersja zapoznawcza)
Funkcja BAPI_XMI_SET_AUDITLEVEL jest istotna, gdy system SAP jest starszym systemem korzystającym z biblioteki XAL i konfiguruje poziom rejestrowania inspekcji XAL.
Funkcja BAPI_XMI_SET_AUDITLEVEL jest obsługiwana tylko dla łącznika danych bez agenta SAP. Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania Microsoft Sentinel dla aplikacji SAP.
BAPI_XMI_GET_LOGHISTORY (wersja zapoznawcza)
Funkcja BAPI_XMI_GET_LOGHISTORY jest istotna, gdy system SAP jest starszym systemem korzystającym z biblioteki XAL i pobiera wcześniejsze wpisy dziennika inspekcji XAL.
Funkcja BAPI_XMI_GET_LOGHISTORY jest obsługiwana tylko w przypadku łącznika danych bez agenta SAP. Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania Microsoft Sentinel dla aplikacji SAP.
SAPUsersAssignments
Funkcja SAPUsersAssignments zbiera dane z wielu źródeł danych SAP i tworzy widok danych głównych bieżącego użytkownika, w tym aktualnie przypisane role i profile.
Ta funkcja podsumowuje przypisania użytkowników do ról i profilów i zwraca następujące dane:
| Pole | Opis | Źródło danych/uwagi |
|---|---|---|
| Użytkownik | Identyfikator użytkownika sap | Tylko sal |
| Poczta e-mail | Adres SMTP | USR21 (SMTP_ADDR) |
| Usertype | Typ użytkownika | USR02 (USTYP) |
| Strefa czasowa | Strefa czasowa | USR02 (TZONE) |
| LockedStatus | Stan blokady | USR02 (UFLAG) |
| LastSeenDate | Data ostatniego zobaczenia | USR02 (TRDAT) |
| LastSeenTime | Czas ostatniego zobaczenia | USR02 (LTIME) |
| UserGroupAuth | Grupa użytkowników w konserwacji wzorca użytkownika | USR02 (KLASA) |
| Profile | Zestaw profilów (domyślny maksymalny rozmiar zestawu = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRole | Zestaw ról przypisanych bezpośrednio (domyślny maksymalny rozmiar zestawu = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Zestaw ról przypisanych pośrednio (domyślny maksymalny rozmiar zestawu = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Klient | Identyfikator klienta | |
| Identyfikator SystemID | Identyfikator systemu | Zgodnie z definicją w łączniku |
SAPUsersGetPrivileged
Funkcja SAPUsersGetPrivileged zwraca listę uprzywilejowanych użytkowników na klienta i identyfikator systemu.
Użytkownicy są uważani za uprzywilejowanych, gdy pasują do dowolnego z następujących opisów:
- Są one wyświetlane na liście obserwowanych sap — uprzywilejowani użytkownicy
- Są one przypisane do profilu wymienionego na liście obserwowanych aplikacji SAP — Profile poufne
- Są one dodawane do roli wymienionej na liście kontrolnej SAP — role poufne
Parametry:
| Name (Nazwa) | Opcjonalne/wymagane | Domyślne | Opis |
|---|---|---|---|
| TimeAgo | Opcjonalny | Siedem dni | Określa, że funkcja szuka danych głównych użytkownika od czasu zdefiniowanego TimeAgo przez wartość do czasu zdefiniowanego now() przez wartość. |
Funkcja SAPUsersGetPrivileged zwraca następujące dane:
| Pole | Opis |
|---|---|
| Użytkownik | Identyfikator użytkownika sap |
| Klient | Identyfikator klienta |
| Identyfikator SystemID | Identyfikator systemu |
SAPUsersAuthorizations
Funkcja SAPUsersAuthorizations łączy dane z kilku tabel w celu utworzenia widoku dotyczącego użytkowników bieżących ról i przypisanych autoryzacji. Zwracane są tylko użytkownicy z aktywnymi przypisaniami ról i autoryzacji.
Parametry:
| Name (Nazwa) | Opcjonalne/wymagane | Domyślne | Opis |
|---|---|---|---|
| TimeAgo | Opcjonalny | Siedem dni | Określa, że funkcja szuka danych głównych użytkownika od czasu zdefiniowanego TimeAgo przez wartość do czasu zdefiniowanego now() przez wartość. |
Funkcja SAPUsersAuthorizations zwraca następujące dane:
| Pole | Opis | Uwagi |
|---|---|---|
| Użytkownik | Identyfikator użytkownika sap | |
| Role | Zestaw ról (domyślny maksymalny rozmiar zestawu = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Zestaw autoryzacji (domyślny maksymalny rozmiar zestawu = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Klient | Identyfikator klienta | |
| Identyfikator SystemID | Identyfikator systemu |
SAPConnectorHealth
Funkcja SAPConnectorHealth odzwierciedla stan łączności agenta i bazowego systemu SAP. Na podstawie SAP_HeartBeat_CL dziennika pulsu i innych wskaźników kondycji zwraca następujące dane:
| Pole | Opis |
|---|---|
| Agent | Identyfikator agenta w konfiguracji agenta (wygenerowany automatycznie) |
| Identyfikator SystemID | Identyfikator systemu SAP |
| Stan | Ogólny stan łączności |
| Szczegóły | Szczegóły łączności |
| ExtendedDetails | Szczegóły rozszerzone łączności |
| LastSeen | Sygnatura czasowa najnowszego działania |
| Statuscode | Kod odzwierciedlający stan systemu |
SAPConnectorOverview
Funkcja SAPConnectorOverview pokazuje liczbę wierszy każdej tabeli SAP na identyfikator systemu. Zwraca listę rekordów danych na identyfikator systemu i wygenerowany przez nie czas.
Parametry:
| Name (Nazwa) | Opcjonalne/wymagane | Domyślne | Opis |
|---|---|---|---|
| TimeAgo | Opcjonalny | Siedem dni | Określa, że funkcja szuka danych głównych użytkownika od czasu zdefiniowanego TimeAgo przez wartość do czasu zdefiniowanego now() przez wartość. |
Funkcja SAPConnectorOverview zwraca następujące dane:
| Pole | Opis |
|---|---|
| TimeGenerated | Wartość daty/godziny sygnatury czasowej generowania rekordu |
| SystemID_s | Ciąg reprezentujący identyfikator systemu SAP |
Użyj następującego zapytania Kusto, aby przeprowadzić codzienną analizę trendu:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Funkcja SAPUsersEmail umożliwia zorientowane na wydajność wyszukiwanie adresu e-mail użytkownika SAP dla systemu SAP i klienta, zwykle używanego do kojarzenia go z kontem usługi Active Directory.
Funkcja SAPUsersEmail używa danych wyodrębnionych z tabel SAP USR21 (przypisanie klucza nazwy użytkownika/adresu) i ADR6 (adresy e-mail) w celu wyszukania adresu e-mail. Jeśli nie zostanie znaleziony żaden adres e-mail, zostanie zwrócony identyfikator użytkownika.
To zachowanie gwarantuje, że konta usług SAP, takie jak DDIC, które często nie są skojarzone z adresami e-mail, są rejestrowane jako pseudo konta usługi AD. Otwiera to również niektóre funkcje UEBA, pomagając w badaniu zdarzeń i działaniach związanych z wyszukiwaniem zagrożeń.
Funkcja SAPUsersEmail zwraca następujące dane:
| Pole | Opis |
|---|---|
| Clientid | Identyfikator klienta SAP |
| Identyfikator SystemID | Identyfikator systemu SAP |
| Użytkownik | Identyfikator użytkownika oprogramowania SAP |
| Poczta e-mail | Adres e-mail użytkownika SAP |
SAPSystems
Funkcja SAPSystems służy do centralnego prezentowania konfiguracji systemu wykonanej przy użyciu listy kontrolnej SAP - Systems .
Parametry:
| Name (Nazwa) | Opcjonalne/wymagane | Domyślne | Opis |
|---|---|---|---|
| SelectedSystems | Opcjonalny | All Systems |
Służy do filtrowania określonych systemów SAP |
| SelectedSystemRoles | Opcjonalny | All System Roles |
Określa role systemów SAP, które mają być przeglądane, zgodnie z definicją na liście kontrolnej SAP - Systems |
Funkcja SAPSystems zwraca następujące dane:
| Pole | Opis | Źródło danych/uwagi |
|---|---|---|
| Klucz wyszukiwania | Klucz wyszukiwania | Pole indeksowane dla identyfikatora systemu SAP |
| SystemRole | Rola systemu SAP | Produkcja, UAT |
| SystemUsage | Główne użycie systemu SAP | ERP, CRM |
| Identyfikator SystemID | Identyfikator systemu SAP |
SAPAuditLogConfiguration
Funkcja SAPAuditLogConfiguration zwraca lokalną konfigurację alertów dziennika inspekcji SAP do obszaru roboczego usługi Log Analytics włączonego dla Microsoft Sentinel. Ta konfiguracja jest używana w przypadku alertów związanych z dziennikami inspekcji SAP.
Funkcja SAPAuditLogConfiguration łączy dane z list kontrolnych SAP Dynamic Audit Log Monitor Configuration i SAP - Systems , aby zapewnić konfigurację dla każdego systemu w ramach nakładu pracy na rolę systemu.
Parametry:
| Name (Nazwa) | Opcjonalne/wymagane | Domyślne | Opis |
|---|---|---|---|
| SelectedSystems | Opcjonalny | All Systems |
Służy do filtrowania określonych systemów SAP, które mają być sprawdzane. |
| SelectedSystemRoles | Opcjonalny | All System Roles |
Określa role systemów SAP, które mają być przeglądane (zgodnie z definicją na liście kontrolnej SAP - Systems ). |
| SelectedSeverities | Opcjonalny | [High, Medium] |
Służy do określania zdarzeń, które mają być przeglądane pod względem ich ważności. Ważność dla identyfikatora komunikatu dziennika inspekcji SAP i roli systemu są definiowane na liście obserwowanych SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedRuleTypes | Opcjonalny | All RuleTypes |
Określa, które zdarzenia są istotne dla wykrywania anomalii. Typy reguł dla identyfikatora komunikatu dziennika inspekcji SAP i roli systemu są definiowane na liście obserwowanych SAP_Dynamic_Audit_Log_Monitor_Configuration . |
Funkcja SAPAuditLogConfiguration zwraca następujące dane:
| Pole | Opis | Źródło danych/uwagi |
|---|---|---|
| Categoryname | Sap, dana kategoria zdarzeń | Lista obserwowanych konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| Poczta docelowa | Email adres przypisanego zespołu | Lista obserwowanych konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| DetailedDescription | Tekst sformatowany markdown do wyświetlenia w alertach | Lista obserwowanych konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| Messageid | Identyfikator komunikatu dziennika inspekcji SAP | Lista obserwowanych konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| Messagetext | Przykładowy tekst wiadomości | Lista obserwowanych konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| RolesTagsToExclude | rola, profil lub bezpłatny tag tekstowy ABAP | Lista obserwowanych konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| Typ reguły | Anomalia lub deterministyczne | Lista obserwowanych konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| Taktyki | Taktyka MITRE ATTA&CK | Lista obserwowanych konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| TeamsChannelID | Kanał usługi Teams | Lista obserwowanych konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| Identyfikator SystemID | Identyfikator systemu SAP | SAP — lista obserwowanych systemów |
| SystemRole | Rola systemu SAP | SAP — lista obserwowanych systemów |
| SystemUsage | Główne użycie systemu SAP | SAP — lista obserwowanych systemów |
| IsProd | Flaga systemu produkcyjnego | SAP — lista obserwowanych systemów |
| Waga | Pochodna ważność | Ważność na użycie systemu |
| Próg | Próg pochodny | Liczba zdarzeń na użycie systemu |
| BagOfDetails | Worek szczegółów | Słownik zawierający szczegóły definicji zdarzenia |
Aby uzyskać więcej informacji, zobacz Dostępne listy obserwowanych.
SAPAuditLogAnomalies
Funkcja SAPAuditLogAnomalies używa wbudowanych funkcji uczenia maszynowego bazy danych Kusto Microsoft Sentinel, aby pomóc w wykrywaniu nietypowych zdarzeń obserwowanych w dzienniku inspekcji SAP.
Funkcja SAPAuditLogAnomalies została opracowana dla reguły analizy alertów monitora dzienników inspekcji opartej na systemie SAP — (eksperymentalna) dynamiczna anomalia . Chociaż jego pierwotny projekt ma ostrzegać o ostatnich anomaliach, może również pomóc w wyróżnieniu anomalii historycznych. Aby uzyskać więcej informacji, zobacz Przykładowe zastosowania.
Funkcja SAPAuditLogAnomalies uczy się fragmentu historii zdefiniowanego przez różne parametry wejściowe na następujących poziomach:
- Użytkownik
- Atrybuty sieci
- System
- Sezonowości
- Poziomy aktywności
Funkcja SAPAuditLogAnomalies ocenia zdarzenia występujące w ostatnim DetectingTime przedziale czasu zgodnie z zdobytymi przez siebie danymi, stosując progi i inne konfigurowalne kryteria wykluczania uzyskane z listy obserwowanych konfiguracji dziennika inspekcji SAP.
Gdy przesuwane okno aktywności użytkownika zostanie uznane za nietypowe, drugie zapytanie zwróci całe działanie użytkownika jako dowód potwierdzający decyzję.
Parametry:
| Name (Nazwa) | Opcjonalne/wymagane | Domyślne | Opis |
|---|---|---|---|
| LearningTime | Opcjonalny | 14 dni | Określa przedział czasu używany do uczenia się modelu. |
| DetectingTime | Opcjonalny | Jedna godzina | Określa przedział czasu, który ma być sprawdzany pod kątem wykrywania anomalii. Wywołanie tej funkcji z DetectingTime = 0h wyróżnionymi anomaliami w całym LearningTime okresie. |
| SelectedSystems | Opcjonalny | All Systems |
Służy do filtrowania określonych systemów SAP, które mają być sprawdzane. |
| SelectedSystemRoles | Opcjonalny | All System Roles |
Określa role systemów SAP, które mają być przeglądane, zgodnie z definicją na liście kontrolnej SAP - Systems |
| SelectedSeverities | Opcjonalny | [High, Medium] |
Służy do określania zdarzeń, które mają być przeglądane pod względem ich ważności. Ważność dla identyfikatora komunikatu dziennika inspekcji SAP i roli systemu są definiowane na liście obserwowanych SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedPrefixMask | Opcjonalny | 24 | Służy do określania poziomu maski podsieci używanego do uczenia się i wykrywania. |
| SelectedRuleTypes | Opcjonalny | AnomaliesOnly |
Określa, jakie zdarzenia są istotne dla wykrywania anomalii. Typy reguł dla identyfikatora komunikatu dziennika inspekcji SAP i roli systemu są definiowane na liście obserwowanych SAP_Dynamic_Audit_Log_Monitor_Configuration . |
Funkcja SAPAuditLogAnomalies zwraca następujące dane:
| Pole | Opis |
|---|---|
| Wiele pól z rozwiązania SAPAuditLog | Kluczowe pola z dziennika inspekcji SAP |
| Wiele pól z programu SAPAuditLogConfiguration | Kluczowe pola z Microsoft Sentinel dla konfiguracji dziennika inspekcji SAP |
| Odnalezione | Zaokrąglona godzina, w której zaobserwowano anomalię na |
| EventCount | Liczba zdarzeń zliczanych na zwrócony wiersz |
| AnomalCount | Liczba zdarzeń zaobserwowanych w odpowiednim oknie przesuwnym |
| MinTime | Czas pierwszego zaobserwowanego zdarzenia |
| MaxTime | Czas ostatniego zaobserwowanego zdarzenia |
| Wynik | wyniki anomalii generowane przez model anomalii |
Zalecenia:
Podobnie jak w przypadku każdego rozwiązania do uczenia maszynowego, funkcja SAPAuditLogAnomalies działa lepiej z czasem i może być dostosowana w razie potrzeby w miarę upływu czasu.
Zalecamy ograniczenie rozmiaru wyuczonej bazy danych do mniej niż 100 milionów rekordów przy użyciu wielu dostępnych parametrów wejściowych.
Przykładowe zastosowania obejmują:
Aby wyszukać anomalie dla zdarzeń o wysokiej ważności, które wystąpiły w ciągu ostatniej godziny w systemach produkcyjnych dla typów zdarzeń oznaczonych jako AnomalieOnly na liście obserwowanych SAP_Dynamic_Audit_Log_Monitor_Configuration , uruchom polecenie:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Aby wyszukać wszystkie anomalie w ciągu ostatnich 14 dni w systemie BIP , uruchom polecenie:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Aby uzyskać więcej informacji, zobacz Wbudowane reguły analizy SAP do monitorowania dziennika inspekcji SAP i wykrywania anomalii w dzienniku inspekcji SAP przy użyciu rozwiązania Microsoft Sentinel for SAP (blog).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend to funkcja pomocnicza przeznaczona do oferowania zaleceń dotyczących konfiguracji reguły analizy alertów monitora dzienników inspekcji opartej na protokole SAP — Dynamiczna anomalia (PREVIEW).
Aby uzyskać więcej informacji, zobacz Monitorowanie dziennika inspekcji SAP.
SAPUsersGetVIP
Rozwiązanie Microsoft Sentinel dla aplikacji SAP korzysta z koncepcji centralnego tagowania użytkowników i jawnych wykluczeń, które ułatwiają obniżanie wyników fałszywie dodatnich przy minimalnym wysiłku.
Użyj funkcji SAPUsersGetVIP , aby wykluczyć użytkowników z wyzwalania alertów, określając role użytkowników SAP, funkcje użytkownika SAP lub tagi reprezentujące tych użytkowników. Aby uzyskać więcej informacji, zobacz Handle false positives in Microsoft Sentinel (Obsługa wyników fałszywie dodatnich w Microsoft Sentinel).
Tagi określone jako dane wejściowe dla funkcji SAPUsersGetVIP wykluczają wszystkich użytkowników z tagiem wymienionym na liście obserwowanych SAP_User_Config . Ta sama funkcja jest rozszerzana do pracy z symbolami wieloznaczowymi, co umożliwia przypisanie pojedynczego tagu do grupy użytkowników z tą samą składnią nazewnictwa.
Otaguj użytkowników na liście obserwowanych SAP_User_Config w następujący sposób:
Dodaj wiele tagów do każdego użytkownika na liście obserwowanych SAP_User_Config zgodnie z potrzebami, aby uwzględnić różne scenariusze. Każda reguła alertu ma własne odpowiednie tagi, jeśli istnieje, i można dodać tagi niestandardowe w razie potrzeby.
Użyj gwiazdki (*) jako symbolu wieloznacznego, aby uwzględnić użytkowników z określonym szablonem składni nazewnictwa.
Dodaj funkcję SAPUsersGetVIP w regułach analizy, aby zażądać wykluczenia z alertów list użytkowników zdefiniowanych przez Ciebie. W wywołaniu funkcji dodaj tablicę z tagami, rolami SAP i profilami SAP, które chcesz wykluczyć.
Na przykład użyj następującego zapytania KQL w regule analizy, aby wykluczyć wszystkich użytkowników skonfigurowanych przy użyciu tagu RunObsoleteProgOK na liście obserwowanych SAP_User_Config lub wszystkich użytkowników z przykładową rolą SAP_BASIS_ADMIN_ROLE lub przykładowym profilem SAP_ADMIN_PROFILE .
Podczas kopiowania tego przykładowego wywołania funkcji zastąp SAP_BASIS_ADMIN_ROLE rolę i SAP_ADMIN_PROFILE profil własnymi rolami lub profilami SAP zgodnie z potrzebami.
Przykład:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Funkcja SAPUsersGetVIP jest często używana w alertach deterministycznych i nietypowych monitora dzienników inspekcji . Skojarz tag z identyfikatorem komunikatu dziennika inspekcji SAP lub rozszerz szablon reguły na regułę niestandardową, która odpowiada potrzebom organizacji.
Porada
Zalecamy skontaktowanie się z administratorem systemu SAP w celu zrozumienia użytkowników, ról i profilów systemu SAP, które mają zostać uwzględnione na liście obserwowanych SAP_User_Config .
Parametry:
| Name (Nazwa) | Opcjonalne/wymagane | Domyślne | Opis |
|---|---|---|---|
| SearchForTags | Opcjonalny | dynamic('All Tags') |
Gdy SearchForTags wartość jest równa All Tags, wszyscy użytkownicy są zwracane wraz ze swoimi tagami. W przeciwnym razie zwracane są tylko użytkownicy z tagami, rolami SAP lub profilami SAP określonymi w SearchForTags .
TagsIntersect Pokazuje znalezione tagi i IntersectionSize zawiera liczbę znalezionych tagów. |
| SpecialFocusTags | Opcjonalny | Do not return any in-focus users |
Zwraca wszystkich użytkowników z tagami określonymi w SpecialFocusTagssystemie i oznacza je znakiem specialFocusTagged = true. |
Funkcja SAPUsersGetVIP zwraca następujące dane wyjściowe:
| Źródło | Pole | Opis | Uwagi |
|---|---|---|---|
| Lista obserwowanych SAP_User_Config | SearchKey |
Klucz wyszukiwania | |
| Lista obserwowanych SAP_User_Config | SAPUser |
Użytkownik SAP | System operacyjny, DDIC |
| Lista obserwowanych SAP_User_Config | Tags |
Ciąg tagów przypisanych do użytkownika | RunObsoleteProgOK |
| Lista obserwowanych SAP_User_Config | Identyfikator obiektu Microsoft Entra użytkownika | identyfikator obiektu Microsoft Entra | |
| Lista obserwowanych SAP_User_Config | Identyfikator użytkownika | identyfikator użytkownika katalogu Azure | |
| Lista obserwowanych SAP_User_Config | Lokalny identyfikator SID użytkownika | ||
| Lista obserwowanych SAP_User_Config | Główna nazwa użytkownika | ||
| Lista obserwowanych SAP_User_Config | TagsList |
Lista tagów przypisanych do użytkownika |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logiki | TagsIntersect | Zestaw tagów dopasowanych SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logiki | SpecialFocusTagged | Specjalne wskazanie fokusu |
True, False |
| Logiki | Przecięcie rozmiaru | Liczba przecinanych tagów |
SAPUsersHeader
Funkcja SAPUsersHeader została zaprojektowana w celu zapewnienia wysokiego poziomu widoku użytkownika sap. Używa ona danych wyodrębnionych zarówno z tabel danych głównych użytkowników sap, jak i ostatnich działań w dzienniku inspekcji SAP w celu zebrania adresów e-mail i IP. Następnie zwraca ostatnie znane adresy e-mail i IP wraz z podstawowymi adresami e-mail i IP.
Parametry:
| Name (Nazwa) | Opcjonalne/wymagane | Domyślne | Opis |
|---|---|---|---|
| SelectedSystems | Opcjonalny | All Systems |
Służy do filtrowania określonych systemów SAP w celu przyjrzenia się |
| SelectedSystemRoles | Opcjonalny | All System Roles |
Określa role systemów SAP, które mają być przeglądane, zgodnie z definicją na liście kontrolnej SAP - Systems . |
| SelectedUsers | Opcjonalny | All Users |
Może wprowadzać listy użytkowników. |
| SelectedUser | Opcjonalny | All Users |
Akceptuje tylko jednego użytkownika. |
Przykład:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Porada
W przypadku zagadnień dotyczących wydajności brane są pod uwagę tylko kilka dni działania inspekcji. Aby uzyskać pełną historię aktywności użytkownika, uruchom niestandardowe zapytanie KQL względem funkcji SAPAuditLog .
Funkcja SAPUsersHeader zwraca następujące dane wyjściowe:
| Źródło | Pole | Opis | Uwagi |
|---|---|---|---|
| Użytkownik | Użytkownik SAP | ||
| Tabele SAP ADR6 i USR21 | Poczta e-mail | Pobrane z danych głównych użytkownika | System operacyjny, DDIC |
| TABELA SAP USR02 | Usertype | Ciąg tagów przypisanych do użytkownika | RunObsoleteProgOK |
| TABELA SAP USR02 | Strefa czasowa | identyfikator obiektu Microsoft Entra | |
| TABELA SAP USR02 | LockedStatus | identyfikator użytkownika katalogu Azure | |
| Dziennik inspekcji SAP | LastSeen | Sygnatura czasowa | Ostatnie zdarzenie inspekcji zaobserwowane dla użytkownika |
| Dziennik inspekcji SAP | LastSeenDaysAgo | Minął dzień od LastSeen |
|
| Dziennik inspekcji SAP | Podstawowy adres IP | Najczęściej używany adres IP |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Dziennik inspekcji SAP | LastKnownIP | Ostatnio używany adres IP | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Dziennik inspekcji SAP | Poczta podstawowa | Najczęściej używany adres e-mail |
True, False |
| Dziennik inspekcji SAP | Znane adresy IP | Lista znanych adresów IP | Posortowane według najczęściej używanych pierwszych |
| Dziennik inspekcji SAP | Znane wiadomości e-mail | Lista znanych adresów e-mail | Posortowane według najczęściej używanych pierwszych |
| Klient | Identyfikator klienta SAP | ||
| Identyfikator SystemID | Identyfikator systemu SAP | ||
| SystemRole | Rola systemu SAP | Produkcja, UAT | |
| SystemUsage | Główne użycie systemu SAP | ERP, CRM |
TH_SERVER_LIST (wersja zapoznawcza)
Funkcja TH_SERVER_LIST jest istotna, gdy system SAP jest starszym systemem korzystającym z biblioteki XAL, i wyświetla listę aktywnych serwerów aplikacji SAP.
Funkcja TH_SERVER_LIST jest obsługiwana tylko w przypadku łącznika danych bez agenta SAP (wersja zapoznawcza). Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania Microsoft Sentinel dla aplikacji SAP.
Zawartość pokrewna
Więcej informacji można znaleźć w następujących artykułach: