Referência de dados dos aplicativos da Solução do Microsoft Sentinel para SAP®
Importante
No momento, alguns componentes da solução de Monitoramento de Ameaças do Microsoft Sentinel para SAP estão em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Alguns logs, listados abaixo, não são enviados ao Microsoft Sentinel por padrão, mas você pode adicioná-los manualmente conforme necessário. Para obter mais informações, confira Definir os logs SAP que são enviados para o Microsoft Sentinel.
Este artigo descreve as funções, os logs e as tabelas disponíveis como parte dos aplicativos da solução Microsoft Sentinel para SAP® e seu respectivo conector de dados. Ele destina-se a usuários avançados do SAP.
Funções disponíveis da solução SAP
Esta seção descreve as funções que estão disponíveis em seu workspace depois de você ter implantado os aplicativos da solução Microsoft Sentinel para SAP®. Encontre essas funções na página de Logs do Microsoft Sentinel para usar em suas consultas KQL, listadas em Funções do workspace.
Os usuários são altamente incentivados a usar as funções como os assuntos de sua análise sempre que possível, em vez dos logs ou tabelas subjacentes. Essas funções devem servir como a principal interface do usuário para os dados. Elas formam a base de todas as regras de análise e pastas de trabalho internas disponíveis para você. Isso permite que as alterações sejam feitas na infraestrutura de dados sob as funções, sem interromper o conteúdo criado pelo usuário.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAPConnectorHealth
- SAPConnectorOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
A função SAPUsersAssignments coleta dados de várias fontes de dados do SAP e cria uma exibição centrada no usuário dos dados mestre, funções e perfis do usuário atual atribuídos no momento.
Essa função resume as atribuições de usuário a funções e perfis e retorna os seguintes dados:
Campo | Descrição | Fonte de dados/Observações |
---|---|---|
Usuário | ID de usuário do SAP | Somente SAL |
Endereço SMTP | USR21 (SMTP_ADDR) | |
UserType | Tipo de usuário | USR02 (USTYP) |
Fuso horário | Fuso horário | USR02 (TZONE) |
LockedStatus | Bloquear status | USR02 (UFLAG) |
LastSeenDate | Data da última vez em que foi visto | USR02 (TRDAT) |
LastSeenTime | Hora da última vez em que foi visto | USR02 (LTIME) |
UserGroupAuth | Grupo de usuários na manutenção mestre do usuário | USR02 (CLASS) |
Perfis | Conjunto de perfis (tamanho máximo do conjunto padrão = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | Conjunto de funções atribuídas diretamente (tamanho máximo do conjunto padrão = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
ChildRoles | Conjunto de funções atribuídas indiretamente (tamanho máximo do conjunto padrão = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Cliente | ID do Cliente | |
SystemID | ID do sistema | Conforme definido no conector |
SAPUsersGetPrivileged
A função SAPUsersGetPrivileged retorna uma lista de usuários privilegiados por cliente e ID do sistema.
Os usuários são considerados privilegiados quando estão listados na watchlist SAP – Usuários Privilegiados, quando foram atribuídos a um perfil listado na watchlist SAP – Perfis Confidenciais ou quando foram adicionados a uma função listada na watchlist SAP – Funções Confidenciais.
Parâmetros:
- TimeAgo
- Opcional
- Valor padrão: sete dias
- Determina que a função busque dados mestres do usuário do tempo definido pelo valor
TimeAgo
até o tempo definido pelo valornow()
.
A função SAPUsersGetPrivileged retorna os seguintes dados:
Campo | Descrição |
---|---|
Usuário | ID de usuário do SAP |
Cliente | ID do Cliente |
SystemID | ID do sistema |
SAPUsersAuthorizations
A função SAPUsersAuthorizations reúne dados de várias tabelas para produzir uma exibição centrada no usuário das funções e autorizações atuais atribuídas. Somente os usuários com funções ativas e atribuições de autorização são retornados.
Parâmetros:
- TimeAgo
- Opcional
- Valor padrão: sete dias
- Determina que a função busque dados mestres do usuário do tempo definido pelo valor
TimeAgo
até o tempo definido pelo valornow()
.
A função SAPUsersAuthorizations retorna os seguintes dados:
Campo | Descrição | Observações |
---|---|---|
Usuário | ID de usuário do SAP | |
Funções | Conjunto de funções (tamanho máximo do conjunto padrão = 50) | ["Role 1", "Role 2",...,"Role 50"] |
AuthorizationsDetails | Conjunto de autorizações (tamanho máximo do conjunto padrão = 100) | {{AuthorizationsDeatils1} ,{AuthorizationsDeatils2} , ..., {AuthorizationsDeatils100}} |
Cliente | ID do Cliente | |
SystemID | ID do sistema |
SAPConnectorHealth
A função SAPConnectorHealth reflete o status do agente e a conectividade do sistema SAP subjacente. Com base no log de pulsação SAP_HeartBeat_CL e outros indicadores de saúde, ele retorna os seguintes dados:
Campo | Descrição |
---|---|
Agente | ID do agente na configuração do agente (gerada automaticamente) |
SystemID | ID do sistema SAP |
Status | Status da conectividade geral |
Detalhes | Detalhes de conectividade |
ExtendedDetails | Detalhes estendidos da conectividade |
LastSeen | Carimbo de data/hora da atividade mais recente |
StatusCode | Código que reflete o status do sistema |
SAPConnectorOverview
A função SAPConnectorOverview mostra contagens de linhas de cada tabela SAP por ID do sistema. Ele retorna uma lista de registros de dados por ID do sistema e seu tempo gerado.
Parâmetros:
- TimeAgo
- Opcional
- Valor padrão: sete dias
- Determina que a função busque dados mestres do usuário do tempo definido pelo valor
TimeAgo
até o tempo definido pelo valornow()
.
Campo | Descrição |
---|---|
TimeGenerated | Um valor datetime do timestamp da geração do registro |
SystemID_s | Uma cadeia de caracteres que representa a ID do sistema SAP |
Use a seguinte consulta Kusto para executar uma análise de tendência diária:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
A função SAPUsersEmail permite uma pesquisa orientada ao desempenho do endereço de email de um usuário SAP por sistema SAP e cliente, normalmente usado para associá-lo a uma conta do Active Directory. Usando dados extraídos das tabelas SAP USR21 (nome de usuário/atribuição de chave de endereço) e ADR6 (endereços de email), a função SAPUsersEmail procura um endereço de email. Caso não seja encontrado, a ID do usuário será retornada em vez de um endereço de email. Esse comportamento garante que as contas de serviço SAP (como DDIC), que muitas vezes não estão associadas a endereços de email, sejam registradas como contas pseudo AD, habilitando algumas funcionalidades do UEBA, auxiliando na investigação de incidentes e atividades de busca.
Campo | Descrição |
---|---|
ClientID | A ID do cliente SAP |
SystemID | A ID do sistema SAP |
Usuário | A ID de usuário do SAP |
O endereço de email do usuário SAP. |
SAPSystems
A função SAPSystems é usada para apresentar centralmente a configuração por sistema feita usando a watchlist "SAP – Sistemas".
Parâmetros:
- SelectedSystems
- Opcional
- Valor padrão: "All Systems"
- Usado para filtrar sistemas SAP específicos
- SelectedSystemRoles
- Opcional
- Valor padrão: "All System Roles"
- Determina as funções dos Sistemas SAP a serem analisadas (conforme definido na watchlist "SAP – Sistemas").
Campo | Descrição | Fonte de dados/Observações |
---|---|---|
SearchKey | Termo de pesquisa | Campo indexado para a ID do sistema SAP |
SystemRole | A função do sistema SAP | Produção, UAT |
SystemUsage | O uso principal do sistema SAP | ERP, CRM |
SystemID | A ID do sistema SAP |
SAPAuditLogConfiguration
A função SAPAuditLogConfiguration retorna a configuração local do alerta de log de auditoria SAP do workspace do Sentinel, a ser usada para os diferentes alertas relacionados ao log de auditoria do SAP. Isso une os dados nas watchlists "Configuração do monitor de log de auditoria dinâmica SAP" e "SAP – Sistemas" para fornecer uma configuração por sistema em um esforço por função de sistema.
Parâmetros:
- SelectedSystems
- Opcional
- Valor padrão: "All Systems"
- Usado para filtrar sistemas SAP específicos a serem examinados.
- SelectedSystemRoles
- Opcional
- Valor padrão: "All System Roles"
- Determina as funções dos Sistemas SAP a serem analisadas (conforme definido na watchlist "SAP – Sistemas").
- SelectedSeverities
- Opcional
- Valor padrão: ["High", "Medium"]
- Usado para determinar eventos a serem examinados em termos de suas severidades. As severidades por ID de mensagem de log de auditoria SAP e função do sistema são definidas na watchlist "Configuração do monitor de log de auditoria dinâmica SAP".
- SelectedRuleTypes
- Opcional
- Valor padrão: "All RuleTypes"
- Determina quais eventos são relevantes para detectar as anomalias. Os tipos de regra por ID de mensagem de log de auditoria SAP e função do sistema são definidos na watchlist "Configuração do monitor de log de auditoria dinâmica SAP".
Campo | Descrição | Fonte de dados/Observações |
---|---|---|
CategoryName | Categoria de eventos fornecida pelo SAP | Watchlist 'Configuração do monitor de log de auditoria dinâmica SAP' |
DestinationEmail | Email endereço da equipe atribuída | Watchlist 'Configuração do monitor de log de auditoria dinâmica SAP' |
DetailedDescription | Um texto com formatação markdown a ser exibido em alertas | Watchlist 'Configuração do monitor de log de auditoria dinâmica SAP' |
MessageID | A ID da mensagem de log de auditoria do SAP | Watchlist 'Configuração do monitor de log de auditoria dinâmica SAP' |
MessageText | Um texto de mensagem de amostra | Watchlist 'Configuração do monitor de log de auditoria dinâmica SAP' |
RolesTagsToExclude | Uma função ABAP, perfil ou marcação de texto gratuita | Watchlist 'Configuração do monitor de log de auditoria dinâmica SAP' |
RuleType | Anomalia ou determinística | Watchlist 'Configuração do monitor de log de auditoria dinâmica SAP' |
Táticas | A tática MITRE ATTA&CK | Watchlist 'Configuração do monitor de log de auditoria dinâmica SAP' |
TeamsChannelID | Canal do Teams | Watchlist 'Configuração do monitor de log de auditoria dinâmica SAP' |
SystemID | A ID do sistema SAP | Watchlist “SAP – Sistemas” |
SystemRole | A função do sistema SAP | Watchlist “SAP – Sistemas” |
SystemUsage | O uso principal do sistema SAP | Watchlist “SAP – Sistemas” |
IsProd | Sinalizador do sistema de produção | Watchlist “SAP – Sistemas” |
Severidade | A severidade derivada | Severidade por uso do sistema |
Limite | O limite derivado | Contagem de eventos por uso do sistema |
BagOfDetails | Saco de detalhes | Um dicionário que detalha a definição do evento |
SAPAuditLogAnomalies
O SAPAuditLogAnomalies usa os recursos internos de aprendizado de máquina do banco de dados Kusto do Sentinel para ajudar a detectar eventos anormais observados no log de auditoria do SAP. Desenvolvida para a regra de alertas "Alertas do Monitor de Log de Auditoria Baseado em Anomalias Dinâmicas do SAP – (Experimental), essa função foi inicialmente projetada para alertar sobre anomalias recentes, mas também pode ajudar a destacar anomalias históricas (veja exemplos abaixo).
Parâmetros:
- LearningTime
- Opcional
- Valor padrão: 14 dias
- Determina o período de tempo usado para o aprendizado do modelo
- DetectingTime
- Opcional
- Valor padrão: uma hora
- Determina o período de tempo a ser analisado para detectar anomalias. Chamar essa função com DetectingTime = 0h destaca anomalias em todo o período de tempo do LearningTime
- SelectedSystems
- Opcional
- Valor padrão: "All Systems"
- Usado para filtrar sistemas SAP específicos a serem examinados.
- SelectedSystemRoles
- Opcional
- Valor padrão: "All System Roles"
- Determina as funções dos Sistemas SAP a serem analisadas (conforme definido na watchlist "SAP – Sistemas").
- SelectedSeverities
- Opcional
- Valor padrão: ["High", "Medium"]
- Usado para determinar eventos a serem examinados em termos de suas severidades. As severidades por ID de mensagem de log de auditoria SAP e função do sistema são definidas na watchlist "Configuração do monitor de log de auditoria dinâmica SAP".
- SelectedPrefixMask
- Opcional
- Valor padrão: 24
- Usado para determinar o nível de máscara de sub-rede usado para aprendizado e detecção.
- SelectedRuleTypes
- Opcional
- Valor padrão: "AnomaliesOnly"
- Determina quais eventos são relevantes para detectar as anomalias. Os tipos de regra por ID de mensagem de log de auditoria SAP e função do sistema são definidos na watchlist "Configuração do monitor de log de auditoria dinâmica SAP".
Lógica
A função aprende a fatia do histórico definido pelos diferentes parâmetros de entrada, no usuário, nos atributos de rede, no sistema, na sazonalidade e nos níveis de atividade. Em seguida, ele julga os eventos que ocorrem dentro do último período de tempo DetectingTime de acordo com o que aprendeu, aplicando limites e outros critérios de exclusão configuráveis obtidos da watchlist de configuração de log de auditoria SAP. Quando uma janela deslizante da atividade do usuário é considerada anômala, uma segunda consulta retorna toda a atividade do usuário como evidência que dá suporte à decisão.
Observações adicionais
Assim como acontece com qualquer solução de machine learning, essa função tem um desempenho melhor com o tempo. É possível fazer ajustes adicionais usando a configuração local. É recomendável restringir o tamanho do banco de dados aprendido a menos de 100 milhões de registros usando os muitos parâmetros de entrada disponíveis.
Exemplo: procurar anomalias para eventos de alta severidade que ocorreram na última hora em sistemas de produção para tipos de eventos marcados como "AnomaliesOnly" no "SAP_Dynamic_Audit_Log_Monitor_Configuration"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Exemplo: procurar todas as anomalias nos últimos 14 dias no sistema "BIP"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Campo | Descrição |
---|---|
Vários campos do SAPAuditLog | Campos-chave do log de auditoria SAP |
Vários campos de SAPAuditLogConfiguration | Campos-chave da configuração de log de auditoria do Sentinel para SAP |
DiscoveredOn | A hora arredondada na qual a anomalia foi observada |
EventCount | Número de eventos contados por linha retornada |
AnomalCount | Número de eventos observados dentro da janela deslizante relevante |
MinTime | Hora do primeiro evento observado |
MaxTime | Hora do último evento observado |
Pontuação | As pontuações de anomalias, conforme produzido pelo modelo de anomalias |
Para obter mais informações, confira Regras internas de análise do SAP para monitorar o log de auditoria do SAP.
SAPAuditLogConfigRecommend
A SAPAuditLogConfigRecommend é uma função auxiliar projetada para oferecer recomendações para a configuração da regra de análise SAP – Alertas do Monitor de Log de Auditoria Baseado em Anomalias Dinâmicas (VERSÃO PRÉVIA). Saiba como configurar as regras.
SAPUsersGetVIP
A solução Microsoft Sentinel para aplicativos SAP® usa um conceito de marcação central de usuário e exclusões explícitas, projetado para ajudá-lo a reduzir falsos positivos com o mínimo de esforço. Use a função SAPUsersGetVIP para excluir usuários do disparo de alertas especificando funções de usuário SAP, funções de usuário SAP ou marcas que representam esses usuários. Para saber mais, confira Tratar falsos positivos no Microsoft Sentinel.
As marcas especificadas como entrada para a função SAPUsersGetVIP excluem todos os usuários com uma marca listada na lista de observação SAP_User_Config. A mesma funcionalidade é estendida para trabalhar com curingas, permitindo que você atribua uma única marca a um grupo de usuários com a mesma sintaxe de nomenclatura.
Marque os usuários na lista de observação SAP_User_Config da seguinte maneira:
Adicione várias tags a cada usuário na lista de observação SAP_User_Config, conforme necessário para cobrir vários cenários. Cada regra de alerta tem suas próprias tags relevantes, se houver, e você pode adicionar marcas personalizadas conforme necessário.
Use um asterisco (*) como curinga para incluir usuários com um modelo de sintaxe de nomenclatura específico.
Adicione a função SAPUsersGetVIP em suas regras de análise para solicitar que as listas de usuários que você definiu sejam excluídas dos alertas. Na chamada de função, adicione uma matriz com as tags, funções SAP e perfis SAP que você deseja excluir.
Por exemplo, use a seguinte consulta KQL em sua regra de análise para excluir todos os usuários configurados com a marca RunObsoleteProgOK na lista de observação SAP_User_Configou quaisquer usuários com a função SAP_BASIS_ADMIN_ROLE de exemplo ou o perfil de SAP_ADMIN_PROFILE de exemplo.
Ao copiar essa chamada de função de exemplo, substitua SAP_BASIS_ADMIN_ROLE função e SAP_ADMIN_PROFILE perfil por suas próprias funções ou perfis SAP, conforme necessário.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
A função SAPUsersGetVIP é comumente usada em alertas do Monitor de Log de Auditoria Determinístico e Anômalo. Associe uma marca a um ID de mensagem de log de auditoria SAP ou estenda o modelo de regra para uma regra personalizada que corresponda às necessidades da sua organização.
Dica
Recomendamos entrar em contato com o administrador do sistema SAP para entender quais usuários, funções e perfis SAP incluir na lista de observação SAP_User_Config .
Parâmetros:
Nome | Descrição | Valor padrão |
---|---|---|
SearchForTags (Opcional) | Quando SearchForTags igual , todos os usuários são retornados All Tags junto com suas tags. Caso contrário, somente os usuários com as tags, funções SAP ou perfis SAP especificados em SearchForTags serão retornados. TagsIntersect mostra as marcas encontradas e IntersectionSize contém o número de marcas encontradas. |
dynamic('All Tags') |
SpecialFocusTags (Opcional) | Retorna todos os usuários com as tags especificadas em SpecialFocusTags , e marcadas com specialFocusTagged = true . |
Do not return any in-focus users |
Origem | Campo | Descrição | Observações |
---|---|---|---|
A lista de observação SAP_User_Config | SearchKey | Termo de pesquisa | |
A lista de observação SAP_User_Config | SAPUser | O usuário SAP | OSS, DDIC |
A lista de observação SAP_User_Config | Marcações | Cadeia de caracteres de tags atribuídas ao usuário | RunObsoleteProgOK |
A lista de observação SAP_User_Config | ID do objeto do Microsoft Entra do usuário | ID de Objeto do Microsoft Entra | |
A lista de observação SAP_User_Config | Identificador de usuário | Identificador de usuário do AD | |
A lista de observação SAP_User_Config | Sid local do usuário | ||
A lista de observação SAP_User_Config | Nome UPN | ||
A lista de observação SAP_User_Config | TagsList | Uma lista de marcações atribuídas ao usuário | ChangeUserMasterDataOK;RunObsoleteProgOK |
Lógica | TagsIntersect | Um conjunto de marcações que correspondeu a SearchForTags | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Lógica | SpecialFocusTagged | Indicação de foco especial | Verdadeiro, Falso |
Lógica | IntersectionSize | O número de marcações intersecionadas |
SAPUsersHeader
A função SAPUsersHeader foi criada para fornecer uma exibição de alto nível do usuário do SAP. Ela usa dados extraídos das tabelas de dados mestre do usuário SAP e da atividade recente no log de auditoria SAP para coletar email e endereços IP. Em seguida, ela retorna os últimos endereços IP e email conhecidos, juntamente com endereços IP e email primários. Parâmetros: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- Opcional
- Valor padrão: "All Systems"
- Usado para filtrar sistemas SAP específicos a serem examinados.
- SelectedSystemRoles
- Opcional
- Valor padrão: "All System Roles"
- Determina as funções dos Sistemas SAP a serem analisadas (conforme definido na watchlist "SAP – Sistemas").
- SelectedUsers
- Opcional
- Valor padrão: "All Users"
- Pode inserir listas de usuários.
- SelectedUser
- Opcional
- Valor padrão: "All Users"
- Aceita apenas um único usuário
Observações adicionais
Para considerações de desempenho, apenas alguns dias de atividade de auditoria são levados em conta. Para obter um histórico completo de atividades do usuário, execute uma consulta KQL personalizada na função SAPAuditLog.
Fonte | Campo | Descrição | Observações |
---|---|---|---|
Usuário | O usuário SAP | ||
Tabelas SAP ADR6 e USR21 | Obtido dos dados mestres do usuário | OSS, DDIC | |
Tabela SAP USR02 | UserType | cadeia de caracteres de marcações atribuídas ao usuário | RunObsoleteProgOK |
Tabela SAP USR02 | Fuso horário | ID de Objeto do Microsoft Entra | |
Tabela SAP USR02 | LockedStatus | Identificador de usuário do AD | |
O log de auditoria do SAP | LastSeen | Um carimbo de data/hora | Último evento de auditoria observado para o usuário |
O log de auditoria do SAP | LastSeenDaysAgo | Dias passados desde LastSeen | |
O log de auditoria do SAP | PrimaryIP | Endereço IP usado com mais frequência | ChangeUserMasterDataOK;RunObsoleteProgOK |
O log de auditoria do SAP | LastKnownIP | Endereço IP usado mais recentemente | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
O log de auditoria do SAP | PrimaryEmail | Endereço de email usado com mais frequência | Verdadeiro, Falso |
O log de auditoria do SAP | KnownIPs | Lista de endereços IP conhecidos | Classificados pelo mais frequente primeiro |
O log de auditoria do SAP | KnownEmails | Lista de endereços de email conhecidos | Classificados pelo mais frequente primeiro |
Cliente | A ID do cliente SAP | ||
SystemID | A ID do sistema SAP | ||
SystemRole | A função do sistema SAP | Produção, UAT | |
SystemUsage | O uso principal do sistema SAP | ERP, CRM |
Logs produzidos pelo agente do conector de dados
Esta seção descreve os logs SAP disponíveis no conector de dados dos aplicativos da solução Microsoft Sentinel para SAP®, incluindo os nomes das tabelas no Microsoft Sentinel, as finalidades dos logs e os esquemas detalhados dos logs. As descrições do campo do esquema são baseadas nas descrições de campo na documentação do SAP relevante.
Para melhores resultados, use as funções do Microsoft Sentinel listadas abaixo para visualizar, acessar e consultar os dados.
- Log do aplicativo ABAP
- Log de documentos de alteração ABAP
- Log do ABAP CR
- Log de dados de tabela do ABAP DB (VERSÃO PRÉVIA)
- Log do Gateway ABAP (VERSÃO PRÉVIA)
- Log do ICM ABAP (VERSÃO PRÉVIA)
- Log de trabalho ABAP
- Log de auditoria de segurança ABAP
- Log do Spool ABAP
- Log de saída do Spool do APAB
- ABAP SysLog
- Log de fluxo de trabalho do ABAP
- Log WorkProcess do ABAP
- Trilha de auditoria do HANA DB
- Arquivos JAVA
- Log de pulsação do SAP
Log do aplicativo ABAP
Função do Microsoft Sentinel para consultar este log: SAPAppLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: registra o progresso de uma execução de aplicativo para que você possa reconstruí-lo mais tarde, se for necessário.
Disponível usando RFC com base na tabela SAP padrão e nos serviços padrão da interface XBP. Esse log é gerado por cliente.
Esquema de log de ABAPAppLog_CL
Campo | Descrição |
---|---|
AppLogDateTime | Data e hora do log do aplicativo |
CallbackProgram | Programa de retorno de chamada |
CallbackRoutine | Rotina de retorno de chamada |
CallbackType | Tipo de retorno de chamada |
ClientID | ID do cliente ABAP (MANDT) |
ContextDDIC | Estrutura de DDIC de contexto |
ExternalId | ID de log externo |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Serial da mensagem de log do aplicativo |
LevelofDetail | Nível de detalhes |
LogHandle | Identificador de log do aplicativo |
LogNumber | Número de log |
MessageClass | Classe de mensagens |
MessageNumber | Número da mensagem |
MessageText | Texto da mensagem |
MessageType | Tipo de mensagem |
Objeto | Objeto do log do aplicativo |
OperationMode | Modo de operação |
ProblemClass | Classe de problema |
ProgramName | Nome do programa |
SortCriterion | Critério de classificação |
StandardText | Texto padrão |
SubObject | Subobjeto de log do aplicativo |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
TransactionCode | Código da transação |
Usuário | Usuário |
UserChange | Alteração do usuário |
Log de documentos de alteração ABAP
Função do Microsoft Sentinel para consultar este log: SAPChangeDocsLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: registros:
Alterações de log ABAP do servidor de aplicativo (AS) SAP NetWeaver em objetos de dados de negócios em documentos de alteração.
Outras entidades no sistema SAP, como dados de usuário, funções, endereços.
Disponível usando RFC com base em tabelas SAP padrão. Esse log é gerado por cliente.
Esquema de log ABAPChangeDocsLog_CL
Campo | Descrição |
---|---|
ActualChangeNum | Número de alteração real |
ChangedTableKey | Chave de tabela alterada |
ChangeNumber | Número de alteração |
ClientID | ID do cliente ABAP (MANDT) |
CreatedfromPlannedChange | Criado a partir da alteração planejada, na seguinte sintaxe: (‘X’ , ‘ ‘) |
CurrencyKeyNew | Chave de moeda: novo valor |
CurrencyKeyOld | Chave de moeda: valor antigo |
FieldName | Nome do campo |
FlagText | Texto do sinalizador |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
Idioma | Idioma |
ObjectClass | Classe de objeto, como BELEG , BPAR , PFCG , IDENTITY |
ObjectID | ID de objeto |
PlannedChangeNum | Número de alteração planejada |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
TableName | Nome da tabela |
TransactionCode | Código da transação |
TypeofChange_Header | Cabeçalho do tipo de alteração, incluindo: U = Alterar; I = Inserir; E = Excluir documento único; D = Excluir; J = Inserir documento único |
TypeofChange_Item | Tipo de alteração de item, incluindo: U = Alterar; I = Inserir; E = Excluir documento único; D = Excluir; J = Inserir documento único |
UOMNew | Unidade de medida: novo valor |
UOMOld | Unidade de medida: valor antigo |
Usuário | Usuário |
ValueNew | Conteúdo do campo: novo valor |
ValueOld | Conteúdo do campo: valor antigo |
Versão | Versão |
Log do ABAP CR
Função do Microsoft Sentinel para consultar este log: SAPCRLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: inclui os logs de CTS (Sistema de transporte e alteração), incluindo os objetos de diretório e as personalizações em que as alterações foram feitas.
Disponível usando RFC com base em tabelas padrão e serviços SAP padrão. Esse log é gerado com dados em todos os clientes.
Observação
Além do registro em log do aplicativo, da alteração de documentos e da gravação de tabela, todas as alterações feitas no sistema de produção usando o sistema de transporte e alteração são documentadas nos logs CTS e TMS.
Esquema de log de ABAPCRLog_CL
Campo | Descrição |
---|---|
Categoria | Categoria (Workbench, Personalização) |
ClientID | ID do cliente ABAP (MANDT) |
DESCRIÇÃO | Descrição |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
ObjectName | Nome do objeto |
ObjectType | Tipo de objeto |
Proprietário | Proprietário |
Solicitação | Solicitação de alteração |
Status | Status |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
TableKey | Legenda da tabela |
TableName | Nome da tabela |
ViewName | Nome da exibição |
Log de dados de tabela do ABAP DB (VERSÃO PRÉVIA)
Para que esse log seja enviado ao Microsoft Sentinel, você precisa adicioná-lo manualmente ao arquivo systemconfig.ini.
Função do Microsoft Sentinel para consultar este log: SAPTableDataLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: fornece o registro em log para as tabelas que são essenciais ou suscetíveis a auditorias.
Disponível com o uso da RFC com um serviço personalizado. Esse log é gerado com dados em todos os clientes.
Esquema de log de ABAPTableDataLog_CL
Campo | Descrição |
---|---|
DBLogID | ID do log do DB |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
Idioma | Idioma |
LogKey | Chave de log |
NewValue | Novo valor do campo |
OldValue | Valor antigo do campo |
OperationTypeSQL | Tipo de operação, Insert , Update , Delete |
Programa | Nome do programa |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
TableField | Campo de tabela |
TableName | Nome da tabela |
TransactionCode | Código da transação |
UserName | Usuário |
VersionNumber | Número de versão |
Log do Gateway ABAP (VERSÃO PRÉVIA)
Para que esse log seja enviado ao Microsoft Sentinel, você precisa adicioná-lo manualmente ao arquivo systemconfig.ini.
Função do Microsoft Sentinel para consultar este log: SAPOS_GW
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: monitora as atividades do Gateway. Disponível pelo Serviço Web de Controle SAP. Esse log é gerado com dados em todos os clientes.
Esquema de log ABAPOS_GW_CL
Campo | Descrição |
---|---|
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
MessageText | Texto da mensagem |
Severity | Nível de severidade da mensagem: Debug , Info , Warning , Error |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
Log do ICM ABAP (VERSÃO PRÉVIA)
Para que esse log seja enviado ao Microsoft Sentinel, você precisa adicioná-lo manualmente ao arquivo systemconfig.ini.
Função do Microsoft Sentinel para consultar este log: SAPOS_ICM
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: registra solicitações de entrada e saída e compila estatísticas das solicitações HTTP.
Disponível pelo Serviço Web de Controle SAP. Esse log é gerado com dados em todos os clientes.
Esquema de log ABAPOS_ICM_CL
Campo | Descrição |
---|---|
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
MessageText | Texto da mensagem |
Severity | Severidade da mensagem, incluindo: Debug , Info , Warning , Error |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
Log de trabalho ABAP
Função do Microsoft Sentinel para consultar este log: SAPJobLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: combina todos os logs de trabalho de processamento em segundo plano (SM37).
Disponível usando RFC com base na tabela SAP padrão e nos serviços padrão das interfaces XBP. Esse log é gerado com dados em todos os clientes.
Esquema de log de ABAPJobLog_CL
Campo | Descrição |
---|---|
ABAPProgram | Programa ABAP |
BgdEventParameters | Parâmetros de evento em segundo plano |
BgdProcessingEvent | Evento de processamento em segundo plano |
ClientID | ID do cliente ABAP (MANDT) |
DynproNumber | Número de Dynpro |
GUIStatus | Status da GUI |
Host | Host |
Instância | Instância ABAP (HOST_SYSID_SYSNR), na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
JobClassification | Classificação de trabalho |
JobCount | Contagem de trabalhos |
JobGroup | Grupo de trabalho |
JobName | Nome do trabalho |
JobPriority | prioridade de trabalho |
MessageClass | Classe de mensagens |
MessageNumber | Número da mensagem |
MessageText | Texto da mensagem |
MessageType | Tipo de mensagem |
ReleaseUser | Usuário de liberação de trabalho |
SchedulingDateTime | Agendamento de data e hora |
StartDateTime | Data e hora de início |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
TargetServer | Servidor de destino |
Usuário | Usuário |
UserReleaseInstance | Instância ABAP – versão do usuário |
WorkProcessID | ID do processo de trabalho |
WorkProcessNumber | Número do processo de trabalho |
Log de auditoria de segurança ABAP
Função do Microsoft Sentinel para consultar este log: SAPAuditLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: registra os seguintes dados:
- Alterações relacionadas à segurança no ambiente do sistema SAP, como alterações nos registros de usuário principais
- Informações que fornecem um nível mais alto de dados, como tentativas de login com ou sem êxito
- Informações que permitem a reconstrução de uma série de eventos, como inícios de transação com ou sem êxito
Disponível usando interfaces XAL/SAL RFC. O SAL está disponível a partir da versão Base 7.50. Esse log é gerado com dados em todos os clientes.
Esquema de log de ABAPAuditLog_CL
Campo | Descrição |
---|---|
ABAPProgramName | Nome do programa, somente SAL |
AlertSeverity | Severidade do alerta |
AlertSeverityText | Texto de severidade do alerta, somente SAL |
AlertValue | Valor do alerta |
AuditClassID | ID de classe de auditoria, somente SAL |
ClientID | ID do cliente ABAP (MANDT) |
Computador | Computador do usuário, somente SAL |
Email do usuário | |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
MessageClass | Classe de mensagens |
MessageContainerID | ID do contêiner de mensagens, somente XAL |
MessageID | ID da mensagem, como ‘AU1’,’AU2’… |
MessageText | Texto da mensagem |
MonitoringObjectName | Nome do objeto monitor MTE, somente XAL |
MonitorShortName | Nome curto do monitor MTE, somente XAL |
SAPProcesType | Log do sistema: tipo de processo SAP, somente SAL |
B* - Processamento em segundo plano | |
D* – Processamento de caixa de diálogo | |
U* - Atualizar tarefas | |
SAPWPName | Log do Sistema: número do processo de trabalho, somente SAL |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
TerminalIPv6 | IP do computador do usuário, somente SAL |
TransactionCode | Código de transação, somente SAL |
Usuário | Usuário |
Variable1 | Variável de mensagem 1 |
Variable2 | Variável de mensagem 2 |
Variable3 | Variável de mensagem 3 |
Variable4 | Variável de mensagem 4 |
Log do Spool ABAP
Função do Microsoft Sentinel para consultar este log: SAPSpoolLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: serve como o log principal para Impressão SAP com o histórico de solicitações de spool. (SP01).
Disponível usando RFC com base na tabela SAP padrão. Esse log é gerado com dados em todos os clientes.
Esquema de log de ABAPSpoolLog_CL
Campo | Descrição |
---|---|
ArchiveStatus | Status do arquivo |
ArchiveType | Tipo de arquivo |
ArchivingDevice | Dispositivo de arquivamento |
AutoRereoute | Redirecionar automaticamente |
ClientID | ID do cliente ABAP (MANDT) |
CountryKey | Chave do país |
DeleteSpoolRequestAuto | Excluir solicitação de spool automaticamente |
DelFlag | Sinalizador de exclusão |
department | department |
DocumentType | Tipo de documento |
ExternalMode | Modo externo |
FormatType | Tipo de formato |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
NumofCopies | Número de cópias |
OutputDevice | Dispositivo de saída |
PrinterLongName | Nome longo da impressora |
PrintImmediately | Imprimir imediatamente |
PrintOSCoverPage | Imprimir a página OSCover |
PrintSAPCoverPage | Imprimir página SAPCover |
Prioridade | Prioridade |
RecipientofSpoolRequest | Destinatário da solicitação de spool |
SpoolErrorStatus | Status do erro de spool |
SpoolRequestCompleted | A solicitação de spool foi concluída |
SpoolRequestisALogForAnotherRequest | A solicitação de spool é um log para outra solicitação |
SpoolRequestName | Nome da solicitação de spool |
SpoolRequestNumber | Número da solicitação de spool |
SpoolRequestSuffix1 | Suffix1 da solicitação de spool |
SpoolRequestSuffix2 | Suffix2 da solicitação de spool |
SpoolRequestTitle | Título da solicitação de spool |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
TelecommunicationsPartner | Parceiro de telecomunicações |
TelecommunicationsPartnerE | Parceiro de telecomunicações E |
TemSeGeneralcounter | Contador de Temse |
TemseNumAddProtectionRule | Regra de proteção de adição de número Temse |
TemseNumChangeProtectionRule | Regra de proteção de alteração de número Temse |
TemseNumDeleteProtectionRule | Regra de proteção de exclusão de número Temse |
TemSeObjectName | Nome de objeto Temse |
TemSeObjectPart | Parte de objeto TemSe |
TemseReadProtectionRule | Regra de proteção de leitura Temse |
Usuário | Usuário |
ValueAuthCheck | Verificação de auth de valor |
Log de saída do Spool do APAB
Função do Microsoft Sentinel para consultar este log: SAPSpoolOutputLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: serve como o log principal para Impressão SAP com o histórico de solicitações de saída de spool. (SP02).
Disponível com o uso da RFC com um serviço personalizado com base nas tabelas padrão. Esse log é gerado com dados em todos os clientes.
Esquema de log de ABAPSpoolOutputLog_CL
Campo | Descrição |
---|---|
AppServer | Servidor de aplicativos |
ClientID | ID do cliente ABAP (MANDT) |
Comentário | Comentário |
CopyCount | Contagem de cópia |
CopyCounter | Contador de cópia |
department | department |
ErrorSpoolRequestNumber | Número da solicitação de erro |
FormatType | Tipo de formato |
Host | Host |
HostName | Nome do host |
HostSpoolerID | ID do spooler de host |
Instância | Instância de ABAP |
LastPage | Última página |
NumofCopies | Número de cópias |
OutputDevice | Dispositivo de saída |
OutputRequestNumber | Número da solicitação de saída |
OutputRequestStatus | Status da solicitação de saída |
PhysicalFormatType | Tipo de formato físico |
PrinterLongName | Nome longo da impressora |
PrintRequestSize | Tamanho da solicitação de impressão |
Prioridade | Prioridade |
ReasonforOutputRequest | Motivo da solicitação de saída |
RecipientofSpoolRequest | Destinatário da solicitação de spool |
SpoolNumberofOutputReqProcessed | Número de solicitações de saída – processadas |
SpoolNumberofOutputReqWithErrors | Número de solicitações de saída – com erros |
SpoolNumberofOutputReqWithProblems | Número de solicitações de saída – com problemas |
SpoolRequestNumber | Número da solicitação de spool |
StartPage | Página inicial |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
TelecommunicationsPartner | Parceiro de telecomunicações |
TemSeGeneralcounter | Contador de Temse |
Título | Título |
Usuário | Usuário |
ABAP SysLog
Para que esse log seja enviado ao Microsoft Sentinel, você precisa adicioná-lo manualmente ao arquivo systemconfig.ini.
Função do Microsoft Sentinel para consultar este log: SAPOS_Syslog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: registra todos os erros de sistema ABAP do Servidor de Aplicativos SAP NetWeaver (SAP NetWeaver AS), avisos, bloqueios de usuário devido a tentativas de entrada com falha de usuários conhecidos e mensagens de processo.
Disponível pelo Serviço Web de Controle SAP. Esse log é gerado com dados em todos os clientes.
Esquema de log ABAPOS_Syslog_CL
Campo | Descrição |
---|---|
ClientID | ID do cliente ABAP (MANDT) |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
MessageNumber | Número da mensagem |
MessageText | Texto da mensagem |
Severity | Severidade da mensagem, um dos seguintes valores: Debug , Info , Warning , Error |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
TransacationCode | Código da transação |
Tipo | Tipo de processo SAP |
Usuário | Usuário |
Log de fluxo de trabalho do ABAP
Função do Microsoft Sentinel para consultar este log: SAPWorkflowLog
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: o SAP Business Workflow (mecanismo webflow) permite que você defina processos de negócios que ainda não estão mapeados no sistema SAP.
Por exemplo, processos de negócios não mapeados podem ser procedimentos simples de liberação ou de aprovação, ou processos de negócios mais complexos, como a criação de material base e a coordenação dos departamentos associados.
Disponível usando RFC com base em tabelas SAP padrão. Esse log é gerado por cliente.
Esquema de log de ABAPWorkflowLog_CL
Campo | Descrição |
---|---|
ActualAgent | Agente real |
Endereço | Endereço |
ApplicationArea | Área do aplicativo |
CallbackFunction | Função de retorno de chamada |
ClientID | ID do cliente ABAP (MANDT) |
CreationDateTime | Data e hora de criação |
Criador | Criador |
CreatorAddress | Endereço do criador |
ErrorType | Tipo de erro |
ExceptionforMethod | Exceção para o método |
Host | Host |
Instância | Instância ABAP (HOST_SYSID_SYSNR), na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
Idioma | Idioma |
LogCounter | Contador de log |
MessageNumber | Número da mensagem |
MessageType | Tipo de mensagem |
MethodUser | Usuário do método |
Prioridade | Prioridade |
SimpleContainer | Contêiner simples, empacotado como uma lista de entidades chave-valor para o item de trabalho |
Status | Status |
SuperWI | Super WI |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
TaskID | ID da Tarefa |
TasksClassification | Classificações de tarefa |
TaskText | Texto da tarefa |
TopTaskID | ID da tarefa principal |
UserCreated | Criado pelo usuário |
WIText | Texto do item de trabalho |
WIType | Tipo de item de trabalho |
WorkflowAction | Ação do fluxo de trabalho |
WorkItemID | {1>ID<1} do item de trabalho |
Log WorkProcess do ABAP
Para que esse log seja enviado ao Microsoft Sentinel, você precisa adicioná-lo manualmente ao arquivo systemconfig.ini.
Função do Microsoft Sentinel para consultar este log: SAPOS_WP
Documentação do SAP relacionada: Portal de ajuda do SAP
Finalidade do log: combina todos os logs de processo de trabalho. (padrão:
dev_*
).Disponível pelo Serviço Web de Controle SAP. Esse log é gerado com dados em todos os clientes.
Esquema de log ABAPOS_WP_CL
Campo | Descrição |
---|---|
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
MessageText | Texto da mensagem |
Severity | Nível de severidade da mensagem: Debug , Info , Warning , Error |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
WPNumber | Número do processo de trabalho |
Trilha de auditoria do HANA DB
Para que esse log seja enviado para o Microsoft Sentinel, você deve implantar um agente do Microsoft Management para coletar dados de syslog do computador que executa o HANA DB.
Função do Microsoft Sentinel para consultar este log: SAPSyslog
Documentação relacionada do SAP: Geral | - Trilha de auditoria
Finalidade do log: registra ações do usuário ou tentativas de ações no banco de dados do SAP HANA. Por exemplo, permite que você registre e monitore o acesso de leitura a dados confidenciais.
Disponível pelo Agente Linux do Sentinel para Syslog. Esse log é gerado com dados em todos os clientes.
Esquema de log de Syslog
Campo | Descrição |
---|---|
Computador | Nome do host |
HostIP | IP do host |
HostName | Nome do host |
ProcessID | ID do Processo |
ProcessName | Nome do processo: HDB* |
SeverityLevel | Alerta |
SourceSystem | Sistema operacional de origem, Linux |
SyslogMessage | Mensagem, uma mensagem de trilha de auditoria não analisada |
Arquivos JAVA
Para que esse log seja enviado ao Microsoft Sentinel, você precisa adicioná-lo manualmente ao arquivo systemconfig.ini.
Função do Microsoft Sentinel para consultar este log: SAPJAVAFilesLogs
Documentação do SAP relacionada: Geral | - Log de auditoria de segurança do Java
Finalidade do log: combina todos os logs baseados em arquivos Java, incluindo o log de auditoria de segurança e o sistema (processo de cluster e servidor), desempenho e logs de gateway. Também inclui rastreamentos de desenvolvedor e logs de rastreamento padrão.
Disponível pelo Serviço Web de Controle SAP. Esse log é gerado com dados em todos os clientes.
Esquema de log de JavaFilesLogsCL
Campo | Descrição |
---|---|
Aplicativo | Aplicativo Java |
ClientID | ID do Cliente |
CSNComponent | Componente CSN, como BC-XI-IBD |
DCComponent | Componente DC, como com.sap.xi.util.misc |
DSRCounter | Contador DSR |
DSRRootContentID | GUID de contexto de DSR |
DSRTransaction | GUID da transação DSR |
Host | Host |
Instância | Instância Java, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
Localização | Classe Java |
LogName | Java logName, como: Available , defaulttrace , dev* , security e assim por diante |
MessageText | Texto da mensagem |
MNo | Número da mensagem |
Pid | ID do Processo |
Programa | Nome do programa |
Sessão | Sessão |
Severity | Severidade da mensagem, incluindo: Debug , Info , Warning , Error |
Solução | Solução |
SystemID | ID do sistema |
SystemNumber | Número do sistema |
ThreadName | Nome do thread |
Lançada | Exceção lançada |
TimeZone | Fuso horário |
Usuário | Usuário |
Log de pulsação do SAP
Função do Microsoft Sentinel para consultar este log: SAPConnectorHealth
Finalidade do log: fornece pulsação e outras informações de saúde sobre a conectividade entre os agentes e os diferentes sistemas SAP.
Criado automaticamente para agentes do conector de dados do Microsoft Sentinel para SAP.
SAP_HeartBeat_CL de log
Campo | Descrição |
---|---|
TimeGenerated | Hora do evento de postagem de log |
agent_id_s | ID do agente na configuração do agente (gerada automaticamente) |
agent_ver_s | Versão do agente |
host_s | O nome do host do agente |
system_id_s | Netweaver ABAP ID do Sistema / Host SAPControl do Netweaver (versão prévia) / Host SAPControl Java (versão prévia) |
push_timestamp_d | Timestamp da extração, de acordo com o fuso horário do agente |
agent_timezone_s | Fuso horário do agente |
Tabelas recuperadas diretamente de sistemas SAP
Esta seção lista as tabelas de dados que são recuperadas diretamente do sistema SAP e ingeridas no Microsoft Sentinel exatamente como se apresentam.
Para que os dados dessas tabelas sejam ingeridos no Microsoft Sentinel, faça as configurações relevantes no arquivo systemconfig.ini. Para obter mais informações, consulte Configurando a coleta de dados mestre do usuário.
Os dados recuperados dessas tabelas fornecem uma exibição clara da estrutura de autorização, da associação de grupo e dos perfis de usuário. Ele também permite que você acompanhe o processo de concessões e revogações de autorização, além de identificar e controlar os riscos associados a esses processos.
As tabelas listadas abaixo são necessárias para habilitar funções que identificam usuários privilegiados, mapeiam usuários para funções, grupos e autorizações.
Para melhores resultados, consulte estas tabelas usando o nome na coluna Nome da função Sentinel abaixo:
Nome da tabela | Descrição da tabela | Nome da função Sentinel |
---|---|---|
USR01 | Registro mestre do usuário (dados de runtime) | SAP_USR01 |
USR02 | Dados de logon (uso do lado do kernel) | SAP_USR02 |
UST04 | Mestres do usuário Mapeia usuários para perfis |
SAP_UST04 |
AGR_USERS | Atribuição de funções aos usuários | SAP_AGR_USERS |
AGR_1251 | Dados de autorização para o grupo de atividades | SAP_AGR_1251 |
USGRP_USER | Atribuição de usuários a grupos de usuários | SAP_USGRP_USER |
USR21 | Nome de usuário/Atribuição de chave de endereço | SAP_USR21 |
ADR6 | Endereços de email (serviços de endereço comercial) | SAP_ADR6 |
USRSTAMP | Carimbo de data/hora para todas as alterações no usuário | SAP_USRSTAMP |
ADCP | Atribuição de pessoa/endereço (serviços de endereço comercial) | SAP_ADCP |
USR05 | ID do parâmetro mestre do usuário | SAP_USR05 |
AGR_PROF | Nome do perfil para a função | SAP_AGR_PROF |
AGR_FLAGS | Atributos da função | SAP_AGR_FLAGS |
DEVACCESS | Tabela para usuário de desenvolvimento | SAP_DEVACCESS |
AGR_DEFINE | Definição de função | SAP_AGR_DEFINE |
AGR_AGRS | Funções em funções compostas | SAP_AGR_AGRS |
PAHI | Histórico dos parâmetros do sistema, do banco de dados e do SAP | SAP_PAHI |
SNCSYSACL (VERSÃO PRÉVIA) | ACL (Lista de controle de acesso) do SNC: sistemas | SAP_SNCSYSACL |
USRACL (VERSÃO PRÉVIA) | ACL (Lista de controle de acesso) do SNC: usuário | SAP_USRACL |
Próximas etapas
Para obter mais informações, consulte:
- Implante os aplicativos da Solução do Microsoft Sentinel para SAP®
- Requisitos SAP detalhados dos aplicativos da Solução do Microsoft Sentinel para SAP®
- Implantar o conector de dados Microsoft Sentinel para SAP com SNC
- Opções de configuração de especialista, implantação local e fontes de log do SAPControl
- Aplicativos da Solução do Microsoft Sentinel para SAP®: conteúdo de segurança integrado
- Monitore a integridade do seu sistema SAP
- Solução de problemas de implantação dos aplicativos da Solução do Microsoft Sentinel para SAP®