Partilhar via

Coletar logs de auditoria do SAP HANA no Microsoft Sentinel

  • Artigo

Este artigo explica como coletar logs de auditoria do banco de dados do SAP HANA.

Importante

O suporte ao Microsoft Sentinel SAP HANA está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Pré-requisitos

Os logs do SAP HANA são enviados pelo Syslog. Verifique se o agente AMA ou o agente do Log Analytics (legado) está configurado para coletar arquivos Syslog. Para obter mais informações, consulte:

Para obter mais informações, consulte Ingerir mensagens syslog e CEF para o Microsoft Sentinel com o Azure Monitor Agent.

Coletar logs de auditoria do SAP HANA

  1. Verifique se a trilha de log de auditoria do SAP HANA está configurada para usar o Syslog, conforme descrito na Nota 0002624117 do SAP, que pode ser acessada no site de suporte do SAP Launchpad. Para obter mais informações, consulte:

  2. Verifique os arquivos Syslog do sistema operacional para quaisquer eventos relevantes do banco de dados HANA.

  3. Entre no seu sistema operacional de banco de dados HANA como um usuário com privilégios sudo.

  4. Instale um agente em sua máquina e confirme se ela está conectada. Para obter mais informações, consulte:

  5. Configure seu agente para coletar dados do Syslog. Para obter mais informações, consulte:

    Gorjeta

    Como os recursos onde os eventos do banco de dados HANA são salvos podem mudar entre diferentes distribuições, recomendamos que você adicione todos os recursos. Verifique-os em relação aos seus logs do Syslog e, em seguida, remova os que não são relevantes.

Verificar a configuração

No Microsoft Sentinel, verifique se os eventos do banco de dados HANA agora são mostrados nos logs ingeridos. Por exemplo, execute a seguinte consulta:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

Adicionar regras de análise para SAP HANA

Use as seguintes regras de análise internas para que o Microsoft Sentinel comece a disparar alertas sobre a atividade relacionada ao SAP HANA:

  • SAP - (PREVIEW) HANA DB -Atribuir autorizações de administrador
  • SAP - (PREVIEW) HANA DB -Alterações na política da trilha de auditoria
  • SAP - (PREVIEW) HANA DB -Desativação da trilha de auditoria
  • SAP - (PREVIEW) HANA DB -User Admin actions

Para obter mais informações, consulte Solução Microsoft Sentinel para aplicativos SAP®: referência de conteúdo de segurança.

Conteúdos relacionados

Saiba mais sobre a solução Microsoft Sentinel para aplicativos SAP®:

Resolução de problemas:

Ficheiros de referência:

Para obter mais informações, consulte Soluções do Microsoft Sentinel.