Referência de dados da solução Microsoft Sentinel para aplicativos SAP®
Importante
Alguns componentes da solução Microsoft Sentinel Threat Monitoring for SAP estão atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Alguns logs, observados abaixo, não são enviados para o Microsoft Sentinel por padrão, mas você pode adicioná-los manualmente conforme necessário. Para obter mais informações, consulte Definir os logs SAP enviados ao Microsoft Sentinel.
Este artigo descreve as funções, logs e tabelas disponíveis como parte da solução Microsoft Sentinel para aplicativos SAP® e seu conector de dados. Destina-se a utilizadores avançados do SAP.
Funções disponíveis a partir da solução SAP
Esta seção descreve as funções que estão disponíveis em seu espaço de trabalho depois de implantar a solução Microsoft Sentinel para aplicativos SAP®. Encontre essas funções na página Logs do Microsoft Sentinel para usar em suas consultas KQL, listadas em Funções de espaço de trabalho.
Os usuários são fortemente encorajados a usar as funções como os assuntos de sua análise sempre que possível, em vez dos logs ou tabelas subjacentes. Estas funções destinam-se a servir como a principal interface de utilizador para os dados. Eles formam a base para todas as regras de análise internas e pastas de trabalho disponíveis para você prontamente. Isso permite que alterações sejam feitas na infraestrutura de dados abaixo das funções, sem interromper o conteúdo criado pelo usuário.
- SAPUsersAtribuições
- SAPUsersGetPrivileged
- SAPUsersAutorizações
- SAPConnectorHealth
- SAPConnectorVisão geral
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalias
- SAPAuditLogConfigRecomendar
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAtribuições
A função SAPUsersAssignments reúne dados de várias fontes de dados SAP e cria uma visão centrada no usuário dos dados mestre do usuário atual, incluindo as funções e perfis atribuídos atualmente.
Esta função resume as atribuições de usuário para funções e perfis e retorna os seguintes dados:
Campo | Descrição | Fonte de dados/notas |
---|---|---|
User | ID de usuário SAP | Apenas SAL |
Endereço SMTP | USR21 (SMTP_ADDR) | |
UserType | Tipo de utilizador | USR02 (USTYP) |
Fuso horário | Time zone | USR02 (TZONE) |
LockedStatus | Estado do bloqueio | USR02 (UFLAG) |
LastSeenDate | Data vista pela última vez | USR02 (TRDAT) |
LastSeenTime | Hora da última visualização | USR02 (LTIME) |
UserGroupAuth | Grupo de usuários na manutenção do mestre de usuários | USR02 (CLASSE) |
Perfis | Conjunto de perfis (tamanho máximo padrão = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | Conjunto de funções atribuídas diretamente (tamanho máximo padrão = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Papéis infantis | Conjunto de funções atribuídas indiretamente (tamanho máximo padrão do conjunto = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Cliente | ID de Cliente | |
ID do Sistema | ID do Sistema | Conforme definido no conector |
SAPUsersGetPrivileged
A função SAPUsersGetPrivileged retorna uma lista de usuários privilegiados por cliente e ID do sistema.
Os usuários são considerados privilegiados quando estão listados na lista de observação SAP - Privileged Users , foram atribuídos a um perfil listado na lista de observação SAP - Sensitive Profiles ou foram adicionados a uma função listada na lista de observação SAP - Sensitive Roles .
Parâmetros:
- TimeAgo
- Opcional
- Valor padrão: Sete dias
- Determina que a função procura dados mestre do usuário desde o tempo definido pelo
TimeAgo
valor até o tempo definido pelonow()
valor.
A função SAPUsersGetPrivileged retorna os seguintes dados:
Campo | Descrição |
---|---|
User | ID de usuário SAP |
Cliente | ID de Cliente |
ID do Sistema | ID do Sistema |
SAPUsersAutorizações
A função SAPUsersAuthorizations reúne dados de várias tabelas para produzir uma visão centrada no usuário das funções e autorizações atuais atribuídas. Somente os usuários com atribuições de autorização e função ativa são retornados.
Parâmetros:
- TimeAgo
- Opcional
- Valor padrão: Sete dias
- Determina que a função procura dados mestre do usuário desde o tempo definido pelo
TimeAgo
valor até o tempo definido pelonow()
valor.
A função SAPUsersAuthorizations retorna os seguintes dados:
Campo | Descrição | Notas |
---|---|---|
User | ID de usuário SAP | |
Funções | Conjunto de funções (tamanho máximo padrão = 50) | ["Role 1", "Role 2",...,"Role 50"] |
AutorizaçõesDetalhes | Conjunto de autorizações (tamanho máximo padrão = 100) | {{AuthorizationsDeatils1} ,{AuthorizationsDeatils2} , ..., {AuthorizationsDeatils100}} |
Cliente | ID de Cliente | |
ID do Sistema | ID do Sistema |
SAPConnectorHealth
A função SAPConnectorHealth reflete o status da conectividade do agente e do sistema SAP subjacente. Com base no SAP_HeartBeat_CL de registro de pulsação e outros indicadores de integridade, ele retorna os seguintes dados:
Campo | Descrição |
---|---|
Agente | ID do agente na configuração do agente (gerado automaticamente) |
ID do Sistema | ID do Sistema SAP |
Status | Estado geral da conectividade |
Detalhes | Detalhes de conectividade |
ExtendedDetails | Detalhes estendidos de conectividade |
LastSeen | Carimbo de data/hora da atividade mais recente |
StatusCode | Código que reflete o estado do sistema |
SAPConnectorVisão geral
A função SAPConnectorOverview mostra contagens de linhas de cada tabela SAP por ID do sistema. Ele retorna uma lista de registros de dados por ID do sistema e seu tempo gerado.
Parâmetros:
- TimeAgo
- Opcional
- Valor padrão: Sete dias
- Determina que a função procura dados mestre do usuário desde o tempo definido pelo
TimeAgo
valor até o tempo definido pelonow()
valor.
Campo | Descrição |
---|---|
TimeGenerated | Um valor datetime do carimbo de data/hora da geração do registro |
SystemID_s | Uma cadeia de caracteres que representa o ID do sistema SAP |
Use a seguinte consulta Kusto para executar uma análise de tendência diária:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
A função SAPUsersEmail permite uma pesquisa orientada ao desempenho do endereço de e-mail de um usuário SAP por sistema SAP e cliente, normalmente usado para associá-lo a uma conta do Ative Directory. Usando dados extraídos das tabelas SAP USR21 (User Name/Address Key Assignment) e ADR6 (E-Mail Addresses), a função SAPUsersEmail procura um endereço de e-mail. Caso um não seja encontrado, o ID de usuário é retornado em vez de um endereço de e-mail. Esse comportamento garante que as contas de serviço SAP (como DDIC), que muitas vezes não estão associadas a um endereço de e-mail, serão registradas como pseudo contas AD, habilitando alguns recursos da UEBA, auxiliando na investigação de incidentes e atividades de caça.
Campo | Descrição |
---|---|
ID do Cliente | O ID do cliente SAP |
ID do Sistema | O ID do sistema SAP |
User | O ID de usuário SAP |
O endereço de e-mail do usuário SAP |
SAPSystems
A função SAPSystems é usada para apresentar centralmente a configuração por sistema feita usando a lista de observação 'SAP - Systems'.
Parâmetros:
- Sistemas Selecionados
- Opcional
- Valor padrão: "Todos os sistemas"
- Usado para filtrar sistemas SAP específicos
- SelectedSystemRoles
- Opcional
- Valor padrão: "Todas as funções do sistema"
- Determina as funções dos sistemas SAP a serem examinadas (conforme definido na lista de observação "SAP - Systems")
Campo | Descrição | Fonte de dados/notas |
---|---|---|
Chave de pesquisa | Chave de pesquisa | Campo indexado para SAP System ID |
Função do Sistema | O papel do sistema SAP | Produção, UAT |
Utilização do Sistema | A principal utilização do sistema SAP | ERP, CRM |
ID do Sistema | O ID do sistema SAP |
SAPAuditLogConfiguration
A função SAPAuditLogConfiguration retorna a configuração local do alerta do log de auditoria SAP do espaço de trabalho do Sentinel, a ser usado para os diferentes alertas relacionados ao log de auditoria SAP. Ele junta os dados nas listas de observação 'SAP Dynamic Audit Log Monitor Configuration' e 'SAP - Systems' para fornecer uma configuração por sistema em um esforço por função do sistema.
Parâmetros:
- Sistemas Selecionados
- Opcional
- Valor padrão: "Todos os sistemas"
- Usado para filtrar sistemas SAP específicos para olhar.
- SelectedSystemRoles
- Opcional
- Valor padrão: "Todas as funções do sistema"
- Determina as funções dos sistemas SAP a serem examinadas (conforme definido na lista de observação "SAP - Systems").
- Severidades selecionadas
- Opcional
- Valor padrão: ["High", "Medium"]
- Usado para determinar eventos a serem observados em termos de suas gravidades. As gravidades por ID da mensagem do log de auditoria SAP e função do sistema são definidas na lista de observação "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedRuleTypes
- Opcional
- Valor padrão: "All RuleTypes"
- Determina quais eventos são relevantes para detetar as anomalias. Os tipos de regras por ID da mensagem do log de auditoria SAP e função do sistema são definidos na lista de observação "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Campo | Descrição | Fonte de dados/notas |
---|---|---|
CategoryName | Categoria de evento dada pela SAP | Lista de observação 'Configuração do SAP Dynamic Audit Log Monitor' |
DestinoE-mail | Endereço de e-mail da Equipa Atribuída | Lista de observação 'Configuração do SAP Dynamic Audit Log Monitor' |
Descrição detalhada | Um texto formatado de marcação a ser exibido em alertas | Lista de observação 'Configuração do SAP Dynamic Audit Log Monitor' |
ID da mensagem | O ID da mensagem do log de auditoria do SAP | Lista de observação 'Configuração do SAP Dynamic Audit Log Monitor' |
MessageText | Um exemplo de texto de mensagem | Lista de observação 'Configuração do SAP Dynamic Audit Log Monitor' |
FunçõesTagsParaExcluir | uma função ABAP, perfil ou tag de texto livre | Lista de observação 'Configuração do SAP Dynamic Audit Log Monitor' |
Tipo de regra | Anomalia ou determinística | Lista de observação 'Configuração do SAP Dynamic Audit Log Monitor' |
Táticas | A tática MITRE ATTA&CK | Lista de observação 'Configuração do SAP Dynamic Audit Log Monitor' |
TeamsChannelID | Canal Teams | Lista de observação 'Configuração do SAP Dynamic Audit Log Monitor' |
ID do Sistema | O ID do sistema SAP | Lista de observação 'SAP - Sistemas' |
Função do Sistema | O papel do sistema SAP | Lista de observação 'SAP - Sistemas' |
Utilização do Sistema | A principal utilização do sistema SAP | Lista de observação 'SAP - Sistemas' |
IsProd | Bandeira do sistema de produção | Lista de observação 'SAP - Sistemas' |
Gravidade | A gravidade derivada | Severidade por utilização do sistema |
Threshold | O limiar derivado | Contagem de eventos por utilização do sistema |
BagOfDetalhes | Saco de Detalhes | Um dicionário detalhando a definição do evento |
SAPAuditLogAnomalias
O SAPAuditLogAnomalies usa os recursos de aprendizado de máquina integrados do banco de dados Kusto subjacente do Sentinel para ajudar a detetar eventos anômalos observados no log de auditoria do SAP. Desenvolvida para a regra de alerta "SAP - (Experimental) Dynamic Anomaly based Audit Log Monitor Alerts", esta função foi inicialmente concebida para alertar sobre anomalias recentes, mas também pode ajudar a destacar anomalias históricas (ver exemplos abaixo).
Parâmetros:
- Tempo de Aprendizagem
- Opcional
- Valor padrão: 14 dias
- Determina o período de tempo usado para a aprendizagem do modelo
- DetectingTime
- Opcional
- Valor padrão: Uma hora
- Determina o período de tempo a ser analisado para detetar anomalias. Chamar essa função com DetectingTime = 0h destacará anomalias em todo o período de tempo do LearningTime
- Sistemas Selecionados
- Opcional
- Valor padrão: "Todos os sistemas"
- Usado para filtrar sistemas SAP específicos para olhar.
- SelectedSystemRoles
- Opcional
- Valor padrão: "Todas as funções do sistema"
- Determina as funções dos sistemas SAP a serem examinadas (conforme definido na lista de observação "SAP - Systems").
- Severidades selecionadas
- Opcional
- Valor padrão: ["High", "Medium"]
- Usado para determinar eventos a serem observados em termos de suas gravidades. As gravidades por ID da mensagem do log de auditoria SAP e função do sistema são definidas na lista de observação "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedPrefixMask
- Opcional
- Valor padrão: 24
- Usado para determinar o nível de máscara de sub-rede usado para aprender e detetar.
- SelectedRuleTypes
- Opcional
- Valor padrão: "AnomaliesOnly"
- Determina quais eventos são relevantes para detetar as anomalias. Os tipos de regras por ID da mensagem do log de auditoria SAP e função do sistema são definidos na lista de observação "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Lógica
A função aprende a fatia do histórico definida pelos diferentes parâmetros de entrada, no usuário, atributos de rede, sistema, sazonalidade e níveis de atividade. Em seguida, ele julga os eventos ocorridos no último período de tempo do DetectingTime de acordo com o que aprendeu, aplicando limites e outros critérios de exclusão configuráveis obtidos na lista de observação de configuração do log de auditoria SAP. Uma vez que uma janela deslizante de atividade do usuário foi considerada anômala, uma segunda consulta retorna toda a atividade do usuário como evidência de apoio à decisão.
Notas adicionais
Tal como acontece com qualquer solução de aprendizagem automática, esta função funciona melhor com o tempo. Outros ajustes podem ser feitos usando a configuração local. É aconselhável restringir o tamanho do banco de dados aprendido para ser inferior a 100 milhões de registros usando os muitos parâmetros de entrada disponíveis.
Exemplo: procurar anomalias para eventos de alta gravidade que ocorreram na última hora em sistemas de produção para tipos de eventos marcados como "AnomaliesOnly" no "SAP_Dynamic_Audit_Log_Monitor_Configuration"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Exemplo: Procurar todas as anomalias nos últimos 14 dias no sistema "BIP"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Campo | Descrição |
---|---|
Vários campos do SAPAuditLog | Campos-chave do log de auditoria SAP |
Vários campos do SAPAuditLogConfiguration | Campos-chave da configuração do log de auditoria do Sentinel for SAP |
Descoberto | A hora arredondada em que a anomalia foi observada em |
EventCount | Número de eventos contados por linha retornada |
AnomalCount | Número de acontecimentos observados na janela deslizante relevante |
MinTime | Hora do primeiro acontecimento observado |
Tempo máximo | Hora do último evento observado |
Resultado | os escores de anomalia produzidos pelo modelo de anomalia |
Consulte Regras de análise SAP integradas para monitorar o log de auditoria SAP para obter mais informações.
SAPAuditLogConfigRecomendar
O SAPAuditLogConfigRecommend é uma função auxiliar projetada para oferecer recomendações para a configuração da regra de análise SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW). Saiba como configurar as regras.
SAPUsersGetVIP
A solução Microsoft Sentinel para aplicativos SAP® usa um conceito de marcação de usuário central e exclusões explícitas, projetado para ajudá-lo a reduzir falsos positivos com o mínimo de esforço. Use a função SAPUsersGetVIP para excluir usuários de disparar alertas especificando funções de usuário SAP, funções de usuário SAP ou tags que representam esses usuários. Para obter mais informações, consulte Manipular falsos positivos no Microsoft Sentinel.
As tags especificadas como entrada para a função SAPUsersGetVIP excluem todos os usuários com uma tag listada na lista de observação SAP_User_Config. A mesma funcionalidade é estendida para trabalhar com curingas, permitindo que você atribua uma única tag a um grupo de usuários com a mesma sintaxe de nomenclatura.
Marque os usuários na lista de observação do SAP_User_Config da seguinte maneira:
Adicione várias tags a cada usuário na lista de observação do SAP_User_Config , conforme necessário para cobrir vários cenários. Cada regra de alerta tem suas próprias tags relevantes, se houver, e você pode adicionar tags personalizadas conforme necessário.
Use um asterisco (*) como curinga para incluir usuários com um modelo de sintaxe de nomenclatura específico.
Adicione a função SAPUsersGetVIP em suas regras de análise para solicitar que as listas de usuários que você definiu sejam excluídas dos alertas. Na chamada de função, adicione uma matriz com as tags, funções SAP e perfis SAP que você deseja excluir.
Por exemplo, use a seguinte consulta KQL em sua regra de análise para excluir todos os usuários configurados com a tag RunObsoleteProgOK na lista de observação do SAP_User_Config ou quaisquer usuários com a função de SAP_BASIS_ADMIN_ROLE de exemplo ou o perfil de SAP_ADMIN_PROFILE de exemplo.
Ao copiar esta chamada de função de exemplo, substitua SAP_BASIS_ADMIN_ROLE função e SAP_ADMIN_PROFILE perfil por suas próprias funções ou perfis SAP, conforme necessário.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
A função SAPUsersGetVIP é comumente usada em alertas do Monitor de Log de Auditoria Determinística e Anômalo. Associe uma tag a um ID de mensagem de log de auditoria SAP ou estenda o modelo de regra para uma regra personalizada que corresponda às necessidades da sua organização.
Gorjeta
Recomendamos entrar em contato com o administrador do sistema SAP para entender quais usuários, funções e perfis SAP devem ser incluídos em sua lista de observação SAP_User_Config .
Parâmetros:
Nome | Descrição | Default value |
---|---|---|
SearchForTags (Opcional) | Quando SearchForTags igual , todos os usuários são retornados All Tags junto com suas tags. Caso contrário, somente os usuários com as tags, funções SAP ou perfis SAP especificados serão SearchForTags retornados. TagsIntersect Mostra as tags encontradas e IntersectionSize contém o número de tags encontradas. |
dynamic('All Tags') |
SpecialFocusTags (Opcional) | Retorna todos os usuários com as tags especificadas em SpecialFocusTags e marcadas com specialFocusTagged = true . |
Do not return any in-focus users |
Source | Campo | Descrição | Notas |
---|---|---|---|
A lista de observação SAP_User_Config | Chave de pesquisa | Chave de pesquisa | |
A lista de observação SAP_User_Config | SAPUser | O usuário SAP | OSS, DDIC |
A lista de observação SAP_User_Config | Etiquetas | Cadeia de caracteres de tags atribuídas ao usuário | RunObsoleteProgOK |
A lista de observação SAP_User_Config | ID do objeto Microsoft Entra do usuário | ID de Objeto do Microsoft Entra | |
A lista de observação SAP_User_Config | Identificador de usuário | Identificador de utilizador do AD | |
A lista de observação SAP_User_Config | Sid local do usuário | ||
A lista de observação SAP_User_Config | Nome Principal do Utilizador | ||
A lista de observação SAP_User_Config | Lista de Tags | Uma lista de tags atribuídas ao usuário | ChangeUserMasterDataOK; RunObsoleteProgOK |
Lógica | TagsIntersect | Um conjunto de tags que correspondem a SearchForTags | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Lógica | EspecialFocusTagged | Indicação de foco especial | True, False |
Lógica | IntersectionSize | O número de tags interseccionadas |
SAPUsersHeader
A função SAPUsersHeader foi projetada para fornecer uma visão de alto nível do usuário SAP. Ele usa dados extraídos das tabelas de dados mestre do usuário SAP e da atividade recente no log de auditoria do SAP para coletar endereços de e-mail e IP. Em seguida, retorna o último e-mail conhecido e endereços IP, juntamente com e-mail principal e endereços IP. Parâmetros: selectedSystemRoles:dynamic = dynamic(["Todas as funções do sistema"]) selectedSystems:dynamic = dynamic(["Todos os sistemas"]) selectedUsers:dynamic = dynamic(["Todos os usuários"]) selectedUser:string = "Todos os usuários"
- Sistemas Selecionados
- Opcional
- Valor padrão: "Todos os sistemas"
- Usado para filtrar sistemas SAP específicos para olhar.
- SelectedSystemRoles
- Opcional
- Valor padrão: "Todas as funções do sistema"
- Determina as funções dos sistemas SAP a serem examinadas (conforme definido na lista de observação "SAP - Systems").
- SelectedUsers
- Opcional
- Valor padrão: "Todos os usuários"
- Pode inserir listas de usuários.
- SelectedUser
- Opcional
- Valor padrão: "Todos os usuários"
- Aceita apenas um único utilizador
Notas adicionais
Para considerações de desempenho, são considerados apenas alguns dias de atividade de auditoria. Para obter um histórico completo da atividade do usuário, execute uma consulta KQL personalizada na função SAPAuditLog.
Source | Campo | Descrição | Notas |
---|---|---|---|
User | O usuário SAP | ||
Tabelas SAP ADR6 e USR21 | Extraído dos dados mestre do usuário | OSS, DDIC | |
Tabela SAP USR02 | UserType | string de tags atribuídas ao usuário | RunObsoleteProgOK |
Tabela SAP USR02 | Fuso horário | ID de Objeto do Microsoft Entra | |
Tabela SAP USR02 | LockedStatus | Identificador de utilizador do AD | |
Log de auditoria SAP | LastSeen | Um carimbo de data/hora | último evento de auditoria observado para o usuário |
Log de auditoria SAP | LastSeenDaysAgo | dias se passaram desde o LastSeen | |
Log de auditoria SAP | IP primário | Endereço IP usado com mais freqüência | ChangeUserMasterDataOK; RunObsoleteProgOK |
Log de auditoria SAP | LastKnownIP | Endereço IP usado mais recentemente | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Log de auditoria SAP | PrimaryEmail | Endereço de e-mail usado com mais freqüência | True, False |
Log de auditoria SAP | IPs conhecidos | Lista de endereços IP conhecidos | ordenados por mais frequentes primeiro |
Log de auditoria SAP | E-mails conhecidos | Lista de endereços de e-mail conhecidos | ordenados por mais frequentes primeiro |
Cliente | O ID do cliente SAP | ||
ID do Sistema | O ID do sistema SAP | ||
Função do Sistema | O papel do sistema SAP | Produção, UAT | |
Utilização do Sistema | A principal utilização do sistema SAP | ERP, CRM |
Logs produzidos pelo agente do conector de dados
Esta seção descreve os logs SAP disponíveis no conector de dados da solução Microsoft Sentinel para aplicativos SAP®, incluindo os nomes das tabelas no Microsoft Sentinel, as finalidades do log e os esquemas de log detalhados. As descrições dos campos do esquema baseiam-se nas descrições dos campos na documentação SAP relevante.
Para obter melhores resultados, use as funções do Microsoft Sentinel listadas abaixo para visualizar, acessar e consultar os dados.
- Log do aplicativo ABAP
- Registo de Alteração de Documentos ABAP
- Log CR ABAP
- Log de dados da tabela ABAP DB (VISUALIZAÇÃO)
- Log do gateway ABAP (VISUALIZAÇÃO)
- Log ABAP ICM (VISUALIZAÇÃO)
- Registro de trabalhos ABAP
- Log de auditoria de segurança ABAP
- Log de spool ABAP
- Log de saída do APAB Spool
- ABAP SysLog
- Log de fluxo de trabalho ABAP
- Log do ABAP WorkProcess
- Trilha de auditoria HANA DB
- Arquivos JAVA
- Registro de pulsação SAP
Log do aplicativo ABAP
Função Microsoft Sentinel para consultar este log: SAPAppLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: registra o progresso da execução de um aplicativo para que você possa reconstruí-lo posteriormente, conforme necessário.
Disponível usando RFC baseado em tabela SAP padrão e serviços padrão de interface XBP. Este log é gerado por cliente.
ABAPAppLog_CL esquema de log
Campo | Descrição |
---|---|
AppLogDateTime | Data e hora do log do aplicativo |
Programa de retorno de chamada | Programa de retorno de chamada |
CallbackRotina | Rotina de retorno de chamada |
Tipo de retorno de chamada | Tipo de retorno de chamada |
ID do Cliente | ID do cliente ABAP (MANDT) |
ContextoDDIC | Estrutura DDIC de contexto |
ID Externo | ID de registo externo |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Mensagem de log do aplicativo serial |
Nível de Detalhe | Nível de detalhe |
LogHandle | Identificador de log do aplicativo |
Número de registo | Número do registo |
MessageClass | Classe de mensagem |
MessageNumber | Número da mensagem |
MessageText | Texto da mensagem |
Tipo de mensagem | Tipo de mensagem |
Object | Objeto de log do aplicativo |
Modo de operação | Modo de operação |
ProblemClass | Classe de problema |
ProgramName | Nome do programa |
SortCriterion | Critério de ordenação |
Texto padrão | Texto normalizado |
Subobjeto | Subobjeto de log do aplicativo |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
Código de transação | Código da transação |
User | User |
UserChange | Alteração de utilizador |
Registo de Alteração de Documentos ABAP
Função Microsoft Sentinel para consultar este log: SAPChangeDocsLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do registo: Registos:
O SAP NetWeaver Application Server (AS) ABAP registra alterações em objetos de dados corporativos em documentos de alteração.
Outras entidades no sistema SAP, como dados do usuário, funções, endereços.
Disponível usando RFC com base em tabelas SAP padrão. Este log é gerado por cliente.
ABAPChangeDocsLog_CL esquema de log
Campo | Descrição |
---|---|
ActualChangeNum | Número da alteração real |
ChangedTableKey | Chave de tabela alterada |
AlterarNúmero | Alterar número |
ID do Cliente | ID do cliente ABAP (MANDT) |
CreatedfromPlannedChange | Criado a partir da alteração planejada, na seguinte sintaxe: (‘X’ , ‘ ‘) |
CurrencyKeyNew | Chave de moeda: novo valor |
MoedaKeyOld | Chave de moeda: valor antigo |
Nome do campo | Nome do campo |
FlagText | Texto da bandeira |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
Linguagem | Linguagem |
ObjectClass | Classe de objeto, como BELEG , BPAR , PFCG , , IDENTITY |
ObjectID | ID do Objeto |
PlannedChangeNum | Número de alteração planeada |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
TableName | Nome da tabela |
Código de transação | Código da transação |
TypeofChange_Header | Tipo de alteração de cabeçalho, incluindo: U = Mudança; I = Inserir; E = Excluir documento único; D = Eliminar; J = Inserir documento único |
TypeofChange_Item | Tipo de alteração de item, incluindo: U = Mudança; I = Inserir; E = Excluir documento único; D = Eliminar; J = Inserir documento único |
UOMNew | Unidade de medida: novo valor |
UOMOld | Unidade de medida: valor antigo |
User | User |
ValorNovo | Conteúdo do campo: novo valor |
ValorAntigo | Conteúdo do campo: valor antigo |
Versão | Versão |
Log CR ABAP
Função Microsoft Sentinel para consultar este log: SAPCRLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Inclui os logs Change & Transport System (CTS), incluindo os objetos de diretório e personalizações onde as alterações foram feitas.
Disponível usando RFC com base em tabelas padrão e serviços SAP padrão. Esse log é gerado com dados em todos os clientes.
Nota
Além do registro em log do aplicativo, documentos de alteração e gravação de tabelas, todas as alterações feitas no sistema de produção usando o Change & Transport System são documentadas nos logs CTS e TMS.
ABAPCRLog_CL esquema de log
Campo | Descrição |
---|---|
Categoria | Categoria (Workbench, Customizing) |
ID do Cliente | ID do cliente ABAP (MANDT) |
Description | Description |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
ObjectName | Object name |
Tipo de objeto | Object type |
Proprietário | Proprietário |
Pedir | Pedido de alteração |
Status | Status |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
Chave de tabela | Tecla da tabela |
TableName | Nome da tabela |
ViewName | View name |
Log de dados da tabela ABAP DB (VISUALIZAÇÃO)
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.ini.
Função Microsoft Sentinel para consultar este log: SAPTableDataLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: fornece registro em log para as tabelas que são críticas ou suscetíveis a auditorias.
Disponível usando RFC com um serviço personalizado. Esse log é gerado com dados em todos os clientes.
ABAPTableDataLog_CL esquema de log
Campo | Descrição |
---|---|
DBLogID | ID de log do banco de dados |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
Linguagem | Linguagem |
Chave de registo | Chave de registo |
NovoValor | Novo valor de campo |
OldValue | Valor antigo do campo |
OperationTypeSQL | Tipo de operação, Insert , Update , Delete |
Programa | Nome do programa |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
Campo de tabela | Campo Tabela |
TableName | Nome da tabela |
Código de transação | Código da transação |
Nome de utilizador | User |
VersionNumber | Número de versão |
Log do gateway ABAP (VISUALIZAÇÃO)
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.ini.
Função Microsoft Sentinel para consultar este log: SAPOS_GW
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Monitora as atividades do Gateway. Disponível pelo SAP Control Web Service. Esse log é gerado com dados em todos os clientes.
ABAPOS_GW_CL esquema de log
Campo | Descrição |
---|---|
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
MessageText | Texto da mensagem |
Gravidade | Severidade da mensagem: Debug , Info , Warning , Error |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
Log ABAP ICM (VISUALIZAÇÃO)
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.ini.
Função do Microsoft Sentinel para consultar este log: SAPOS_ICM
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Registra solicitações de entrada e saída e compila estatísticas das solicitações HTTP.
Disponível pelo SAP Control Web Service. Esse log é gerado com dados em todos os clientes.
ABAPOS_ICM_CL esquema de log
Campo | Descrição |
---|---|
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
MessageText | Texto da mensagem |
Gravidade | Gravidade da mensagem, incluindo: Debug , Info , Warning , Error |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
Registro de trabalhos ABAP
Função Microsoft Sentinel para consultar este log: SAPJobLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Combina todos os logs de trabalho de processamento em segundo plano (SM37).
Disponível usando RFC baseado em tabela SAP padrão e serviços padrão de interfaces XBP. Esse log é gerado com dados em todos os clientes.
ABAPJobLog_CL esquema de log
Campo | Descrição |
---|---|
ABAPProgram | Programa ABAP |
BgdEventParameters | Parâmetros de evento em segundo plano |
BgdProcessingEvent | Evento de processamento em segundo plano |
ID do Cliente | ID do cliente ABAP (MANDT) |
DynproNumber | Número Dynpro |
GUIStatus | Status da GUI |
Host | Host |
Instância | Instância ABAP (HOST_SYSID_SYSNR), na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
Classificação Profissional | Classificação das funções |
JobCount | Contagem de empregos |
Grupo JobGroup | Grupo de trabalho |
Nome do Emprego | Nome da tarefa |
JobPriority | Prioridade dos trabalhos |
MessageClass | Classe de mensagem |
MessageNumber | Número da mensagem |
MessageText | Texto da mensagem |
Tipo de mensagem | Tipo de mensagem |
ReleaseUser | Usuário de liberação de trabalho |
AgendamentoDataHora | Agendamento da hora da data |
StartDateTime | Data de início, hora |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
TargetServer | Servidor de destino |
User | User |
UserReleaseInstance | Instância ABAP - liberação do usuário |
WorkProcessID | ID do processo de trabalho |
Número do Processo de Trabalho | Número do processo de trabalho |
Log de auditoria de segurança ABAP
Função Microsoft Sentinel para consultar este log: SAPAuditLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do registo: Regista os seguintes dados:
- Alterações relacionadas à segurança no ambiente do sistema SAP, como alterações nos principais registros de usuários
- Informações que fornecem um nível mais alto de dados, como tentativas de entrada bem-sucedidas e malsucedidas
- Informações que permitem a reconstrução de uma série de eventos, como inícios de transações bem-sucedidas ou malsucedidas
Disponível usando interfaces RFC XAL/SAL. O SAL está disponível a partir da versão Basis 7.50. Esse log é gerado com dados em todos os clientes.
ABAPAuditLog_CL esquema de log
Campo | Descrição |
---|---|
ABAPProgramName | Nome do programa, apenas SAL |
AlertSeverity | Gravidade do alerta |
AlertSeverityText | Texto de gravidade do alerta, apenas SAL |
Valor de alerta | Valor de alerta |
AuditClassID | ID da classe de auditoria, apenas SAL |
ID do Cliente | ID do cliente ABAP (MANDT) |
Computador | Máquina de utilizador, apenas SAL |
E-mail de utilizador | |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
MessageClass | Classe de mensagem |
MessageContainerID | ID do contêiner de mensagens, somente XAL |
ID da mensagem | ID da mensagem, como ‘AU1’,’AU2’… |
MessageText | Texto da mensagem |
MonitoringObjectName | Nome do objeto MTE Monitor, somente XAL |
MonitorShortName | Nome curto do Monitor MTE, apenas XAL |
SAPProcesType | Log do sistema: tipo de processo SAP, apenas SAL |
B* - Processamento em segundo plano | |
D* - Processamento de diálogos | |
U* - Tarefas de atualização | |
SAPWPName | Log do sistema: Número do processo de trabalho, apenas SAL |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
TerminalIPv6 | IP da máquina do utilizador, apenas SAL |
Código de transação | Código de transação, apenas SAL |
User | User |
Variável1 | Variável de mensagem 1 |
Variável2 | Variável de mensagem 2 |
Variável3 | Variável de mensagem 3 |
Variável4 | Variável de mensagem 4 |
Log de spool ABAP
Função Microsoft Sentinel para consultar este log: SAPSpoolLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Serve como o log principal para impressão SAP com o histórico de solicitações de spool. (SP01).
Disponível usando RFC com base na tabela SAP padrão. Esse log é gerado com dados em todos os clientes.
ABAPSpoolLog_CL esquema de log
Campo | Descrição |
---|---|
ArquivamentoStatus | Estado do arquivo |
Tipo de Arquivo | Tipo de arquivo |
ArquivamentoDispositivo | Dispositivo de arquivamento |
AutoRereoute | Reencaminhamento automático |
ID do Cliente | ID do cliente ABAP (MANDT) |
Chave do País | Chave do país |
DeleteSpoolRequestAuto | Excluir solicitação de spool automática |
DelFlag | Sinalizador de exclusão |
Departamento | Departamento |
DocumentType | Document type |
Modo Externo | Modo externo |
FormatType | Tipo de formato |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
NumofCopies | Número de exemplares |
Dispositivo de saída | Dispositivo de saída |
PrinterLongName | Nome longo da impressora |
ImprimirImediatamente | Imprima imediatamente |
PrintOSCoverPage | Imprimir página OSCover |
PrintSAPCoverPage | Imprimir página SAPCover |
Prioridade | Prioridade |
RecipientofSpoolRequest | Destinatário da solicitação de spool |
SpoolErrorStatus | Status de erro do spool |
SpoolRequestCompleted | Pedido de spool concluído |
SpoolRequestisALogForAnotherRequest | A solicitação de spool é um log para outra solicitação |
SpoolRequestName | Nome da solicitação de spool |
SpoolRequestNumber | Número de solicitação de spool |
SpoolRequestSuffix1 | Sufixo de solicitação de spool1 |
SpoolRequestSuffix2 | Sufixo de solicitação de spool2 |
SpoolRequestTitle | Título da solicitação de spool |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
TelecomunicaçõesParceiro | Parceiro de telecomunicações |
TelecomunicaçõesPartnerE | Parceiro de telecomunicações E |
TemSeGeneralcounter | Contador Temse |
TemseNumAddProtectionRule | Regra de adição de proteção de número Temse |
TemseNumChangeProtectionRule | Regra de proteção contra alteração de número Temse |
TemseNumDeleteProtectionRule | Regra de proteção de exclusão de número Temse |
TemSeObjectName | Nome do objeto Temse |
TemSeObjectPart | Parte do objeto TemSe |
TemseReadProtectionRule | Regra de proteção de leitura Temse |
User | User |
ValueAuthCheck | Verificação de autenticação de valor |
Log de saída do APAB Spool
Função Microsoft Sentinel para consultar este log: SAPSpoolOutputLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Serve como o log principal para a impressão SAP com o histórico de solicitações de saída de spool. (SP02).
Disponível usando RFC com um serviço personalizado baseado em tabelas padrão. Esse log é gerado com dados em todos os clientes.
ABAPSpoolOutputLog_CL esquema de log
Campo | Descrição |
---|---|
AppServer | Servidor aplicacional |
ID do Cliente | ID do cliente ABAP (MANDT) |
Comentário | Comentário |
Contagem de Cópias | Contagem de cópias |
CopyCounter | Contador de cópias |
Departamento | Departamento |
ErrorSpoolRequestNumber | Número da solicitação de erro |
FormatType | Tipo de formato |
Host | Host |
Nome do Anfitrião | Nome do anfitrião |
HostSpoolerID | Host spooler ID |
Instância | Instância ABAP |
Última Página | Última página |
NumofCopies | Número de exemplares |
Dispositivo de saída | Dispositivo de saída |
OutputRequestNumber | Número da solicitação de saída |
OutputRequestStatus | Status da solicitação de saída |
PhysicalFormatType | Tipo de formato físico |
PrinterLongName | Nome longo da impressora |
PrintRequestSize | Tamanho do pedido de impressão |
Prioridade | Prioridade |
ReasonforOutputRequest | Motivo do pedido de saída |
RecipientofSpoolRequest | Destinatário da solicitação de spool |
SpoolNumberofOutputReqProcessed | Número de solicitações de saída - processadas |
SpoolNumberofOutputReqWithErrors | Número de solicitações de saída - com erros |
SpoolNumberofOutputReqWithProblems | Número de solicitações de saída - com problemas |
SpoolRequestNumber | Número de solicitação de spool |
Página inicial | Página inicial |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
TelecomunicaçõesParceiro | Parceiro de telecomunicações |
TemSeGeneralcounter | Contador Temse |
Título | Título |
User | User |
ABAP Syslog
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.ini.
Função Microsoft Sentinel para consultar este log: SAPOS_Syslog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: Registra todos os erros do sistema ABAP do SAP NetWeaver Application Server (SAP NetWeaver AS), avisos, bloqueios de usuário devido a tentativas de login com falha de usuários conhecidos e mensagens de processo.
Disponível pelo SAP Control Web Service. Esse log é gerado com dados em todos os clientes.
ABAPOS_Syslog_CL esquema de log
Campo | Descrição |
---|---|
ID do Cliente | ID do cliente ABAP (MANDT) |
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
MessageNumber | Número da mensagem |
MessageText | Texto da mensagem |
Gravidade | Gravidade da mensagem, um dos seguintes valores: Debug , Info , Warning , Error |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
TransacationCode | Código da transação |
Type | Tipo de processo SAP |
User | User |
Log de fluxo de trabalho ABAP
Função Microsoft Sentinel para consultar este log: SAPWorkflowLog
Documentação SAP relacionada: SAP Help Portal
Finalidade do log: O SAP Business Workflow (WebFlow Engine) permite definir processos de negócios que ainda não estão mapeados no sistema SAP.
Por exemplo, os processos de negócios não mapeados podem ser procedimentos simples de liberação ou aprovação, ou processos de negócios mais complexos, como a criação de material de base e, em seguida, a coordenação dos departamentos associados.
Disponível usando RFC com base em tabelas SAP padrão. Este log é gerado por cliente.
ABAPWorkflowLog_CL esquema de log
Campo | Descrição |
---|---|
Agente Atual | Agente real |
Endereço | Endereço |
Área de Aplicação | Área de aplicação |
Função de retorno de chamada | Função de retorno de chamada |
ID do Cliente | ID do cliente ABAP (MANDT) |
CriaçãoDataHora | Data de criação, hora |
Criador | Criador |
Endereço do criador | Endereço do criador |
Tipo de erro | Tipo de erro |
ExceptionforMethod | Exceção para o método |
Host | Host |
Instância | Instância ABAP (HOST_SYSID_SYSNR), na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
Linguagem | Linguagem |
LogCounter | Contador de logs |
MessageNumber | Número da mensagem |
Tipo de mensagem | Tipo de mensagem |
MethodUser | Utilizador do método |
Prioridade | Prioridade |
SimpleContainer | Contêiner simples, embalado como uma lista de entidades Chave-Valor para o item de trabalho |
Status | Status |
SuperWI | Super WI |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
TaskID | ID de tarefa |
TarefasClassificação | Classificações de tarefas |
Texto da tarefa | Texto da tarefa |
TopTaskID | ID da tarefa principal |
UserCreated | Usuário criado |
WIText | Texto do item de trabalho |
WITipe | Tipo de item de trabalho |
WorkflowAction | Acão de Fluxo de Trabalho |
WorkItemID | ID do item de trabalho |
Log do ABAP WorkProcess
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.ini.
Função do Microsoft Sentinel para consultar este log: SAPOS_WP
Documentação SAP relacionada: SAP Help Portal
Objetivo do log: Combina todos os logs do processo de trabalho. (padrão:
dev_*
).Disponível pelo SAP Control Web Service. Esse log é gerado com dados em todos os clientes.
ABAPOS_WP_CL esquema de log
Campo | Descrição |
---|---|
Host | Host |
Instância | Instância ABAP, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
MessageText | Texto da mensagem |
Gravidade | Severidade da mensagem: Debug , Info , Warning , Error |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
WPNumber | Número do processo de trabalho |
Trilha de auditoria HANA DB
Para que esse log seja enviado para o Microsoft Sentinel, você deve implantar um Microsoft Management Agent para coletar dados Syslog da máquina que executa o HANA DB.
Função Microsoft Sentinel para consultar este log: SAPSyslog
Documentação SAP relacionada: Trilha de auditoria geral |
Finalidade do log: registra ações do usuário ou tentativas de ações no banco de dados SAP HANA. Por exemplo, permite registrar e monitorar o acesso de leitura a dados confidenciais.
Disponível pelo Agente Linux Sentinel para Syslog. Esse log é gerado com dados em todos os clientes.
Esquema de log do Syslog
Campo | Descrição |
---|---|
Computador | Nome do anfitrião |
HostIP | Host IP |
Nome do Anfitrião | Nome do anfitrião |
ProcessID | Process ID |
ProcessName | Nome do processo: HDB* |
Nível de Gravidade | Alerta |
SourceSystem | SO do sistema de origem, Linux |
SyslogMessage | Mensagem, uma mensagem de trilha de auditoria não analisada |
Arquivos JAVA
Para que esse log seja enviado ao Microsoft Sentinel, você deve adicioná-lo manualmente ao arquivo systemconfig.ini.
Função Microsoft Sentinel para consultar este log: SAPJAVAFilesLogs
Documentação SAP relacionada: General | Java Security Audit Log
Finalidade do log: Combina todos os logs baseados em arquivos Java, incluindo o Log de Auditoria de Segurança e os logs do Sistema (cluster e processo do servidor), Desempenho e Gateway. Também inclui rastreamentos de desenvolvedor e logs de rastreamento padrão.
Disponível pelo SAP Control Web Service. Esse log é gerado com dados em todos os clientes.
Esquema de log JavaFilesLogsCL
Campo | Descrição |
---|---|
Aplicação | Aplicação Java |
ID do Cliente | ID de Cliente |
CSNComponent | Componente CSN, como BC-XI-IBD |
DCComponent | Componente DC, como com.sap.xi.util.misc |
DSRCounter | Contador DSR |
DSRRootContentID | GUID de contexto DSR |
DSRTransaction | GUID da transação DSR |
Host | Host |
Instância | Instância Java, na seguinte sintaxe: <HOST>_<SYSID>_<SYSNR> |
Localização | Classe Java |
Nome do Log | Java logName, como: Available , defaulttrace , , dev* security , e assim por diante |
MessageText | Texto da mensagem |
MNo | Número da mensagem |
Pid | Process ID |
Programa | Nome do programa |
Sessão | Sessão |
Gravidade | Gravidade da mensagem, incluindo: Debug ,Info ,Warning ,Error |
Solução | Solução |
ID do Sistema | ID do Sistema |
Número do sistema | Número do sistema |
ThreadName | Nome do thread |
Jogado | Exceção lançada |
TimeZone | Fuso horário |
User | User |
Registro de pulsação SAP
Função Microsoft Sentinel para consultar este log: SAPConnectorHealth
Finalidade do log: Fornece pulsação e outras informações de integridade sobre a conectividade entre os agentes e os diferentes sistemas SAP.
Criado automaticamente para qualquer agente do conector de dados do Microsoft Sentinel for SAP.
SAP_HeartBeat_CL esquema de log
Campo | Descrição |
---|---|
TimeGenerated | Hora do evento de lançamento de log |
agent_id_s | ID do agente na configuração do agente (gerado automaticamente) |
agent_ver_s | Versão do agente |
host_s | O nome do host do agente |
system_id_s | ID do sistema Netweaver ABAP / Netweaver SAPControl Host (visualização) / Host Java SAPControl (visualização) |
push_timestamp_d | Carimbo de data/hora da extração, de acordo com o fuso horário do agente |
agent_timezone_s | Fuso horário do agente |
Tabelas recuperadas diretamente dos sistemas SAP
Esta seção lista as tabelas de dados que são recuperadas diretamente do sistema SAP e ingeridas no Microsoft Sentinel exatamente como estão.
Para que os dados dessas tabelas sejam ingeridos no Microsoft Sentinel, configure as configurações relevantes no arquivo systemconfig.ini . Para obter mais informações, consulte Configurando a coleta de dados mestre de usuário.
Os dados recuperados dessas tabelas fornecem uma visão clara da estrutura de autorização, associação de grupo e perfis de usuário. Ele também permite que você acompanhe o processo de concessões e revogações de autorização, e identifique e governe os riscos associados a esses processos.
As tabelas listadas abaixo são necessárias para habilitar funções que identificam usuários privilegiados, mapeiam usuários para funções, grupos e autorizações.
Para obter melhores resultados, consulte estas tabelas usando o nome na coluna Nome da função Sentinel abaixo:
Nome da tabela | Descrição da tabela | Nome da função sentinela |
---|---|---|
USR01 | Registro mestre do usuário (dados de tempo de execução) | SAP_USR01 |
USR02 | Dados de logon (uso do lado do kernel) | SAP_USR02 |
UST04 | Mestres de usuários Mapeia usuários para perfis |
SAP_UST04 |
AGR_USERS | Atribuição de funções aos usuários | SAP_AGR_USERS |
AGR_1251 | Dados de autorização para o grupo de atividades | SAP_AGR_1251 |
USGRP_USER | Atribuição de usuários a grupos de usuários | SAP_USGRP_USER |
USR21 | Atribuição de chave de nome de usuário/endereço | SAP_USR21 |
RAM6 | Endereços de e-mail (serviços de endereços comerciais) | SAP_ADR6 |
USRSTAMP | Carimbo de data/hora para todas as alterações feitas no usuário | SAP_USRSTAMP |
ADCP | Atribuição de pessoa/endereço (serviços de endereço comercial) | SAP_ADCP |
USR05 | ID do parâmetro mestre do usuário | SAP_USR05 |
AGR_PROF | Nome do perfil para a função | SAP_AGR_PROF |
AGR_FLAGS | Atributos de função | SAP_AGR_FLAGS |
DEVACCESS | Tabela para usuário de desenvolvimento | SAP_DEVACCESS |
AGR_DEFINE | Definição da função | SAP_AGR_DEFINE |
AGR_AGRS | Funções em funções compostas | SAP_AGR_AGRS |
PAHI | Histórico do sistema, banco de dados e parâmetros SAP | SAP_PAHI |
SNCSYSACL (VISUALIZAÇÃO) | Lista de Controle de Acesso SNC (ACL): Sistemas | SAP_SNCSYSACL |
USRACL (VISUALIZAÇÃO) | Lista de Controle de Acesso SNC (ACL): Usuário | SAP_USRACL |
Próximos passos
Para obter mais informações, consulte:
- Implantar a solução Microsoft Sentinel para aplicativos SAP®
- Solução Microsoft Sentinel para aplicativos SAP® requisitos detalhados do SAP
- Implantar o conector de dados do Microsoft Sentinel for SAP com SNC
- Opções de configuração especializadas, implantação local e fontes de log SAPControl
- Solução Microsoft Sentinel para aplicações SAP®: conteúdo de segurança incorporado
- Monitore a integridade do seu sistema SAP
- Solução de problemas da implantação da solução Microsoft Sentinel para aplicativos SAP®