Coletar logs de auditoria do SAP HANA no Microsoft Sentinel
Este artigo explica como coletar logs de auditoria do banco de dados do SAP HANA.
Importante
O suporte ao Microsoft Sentinel SAP HANA está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Pré-requisitos
Os logs do SAP HANA são enviados pelo Syslog. Verifique se o agente AMA ou o agente do Log Analytics (legado) está configurado para coletar arquivos Syslog. Para obter mais informações, consulte:
Para obter mais informações, consulte Ingerir mensagens syslog e CEF para o Microsoft Sentinel com o Azure Monitor Agent.
Coletar logs de auditoria do SAP HANA
Verifique se a trilha de log de auditoria do SAP HANA está configurada para usar o Syslog, conforme descrito na Nota 0002624117 do SAP, que pode ser acessada no site de suporte do SAP Launchpad. Para obter mais informações, consulte:
Verifique os arquivos Syslog do sistema operacional para quaisquer eventos relevantes do banco de dados HANA.
Entre no seu sistema operacional de banco de dados HANA como um usuário com privilégios sudo.
Instale um agente em sua máquina e confirme se ela está conectada. Para obter mais informações, consulte:
- Azure Monitor Agent
- Agente do Log Analytics (legado)
Configure seu agente para coletar dados do Syslog. Para obter mais informações, consulte:
- Azure Monitor Agent
- Agente do Log Analytics (legado)
Gorjeta
Como os recursos onde os eventos do banco de dados HANA são salvos podem mudar entre diferentes distribuições, recomendamos que você adicione todos os recursos. Verifique-os em relação aos seus logs do Syslog e, em seguida, remova os que não são relevantes.
Verificar a configuração
No Microsoft Sentinel, verifique se os eventos do banco de dados HANA agora são mostrados nos logs ingeridos. Por exemplo, execute a seguinte consulta:
//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];
let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')
Adicionar regras de análise para SAP HANA
Use as seguintes regras de análise internas para que o Microsoft Sentinel comece a disparar alertas sobre a atividade relacionada ao SAP HANA:
- SAP - (PREVIEW) HANA DB -Atribuir autorizações de administrador
- SAP - (PREVIEW) HANA DB -Alterações na política da trilha de auditoria
- SAP - (PREVIEW) HANA DB -Desativação da trilha de auditoria
- SAP - (PREVIEW) HANA DB -User Admin actions
Para obter mais informações, consulte Solução Microsoft Sentinel para aplicativos SAP®: referência de conteúdo de segurança.
Conteúdos relacionados
Saiba mais sobre a solução Microsoft Sentinel para aplicativos SAP®:
- Implantar a solução Microsoft Sentinel para aplicativos SAP®
- Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®
- Implantar solicitações de alteração (CRs) SAP e configurar a autorização
- Implantar o conteúdo da solução a partir do hub de conteúdo
- Implantar e configurar o contêiner que hospeda o agente do conector de dados SAP
- Implante o conector de dados SAP com SNC
- Monitore a integridade do seu sistema SAP
- Habilitar e configurar a auditoria SAP
Resolução de problemas:
Ficheiros de referência:
- Referência de dados da solução Microsoft Sentinel para aplicativos SAP®
- Solução Microsoft Sentinel para aplicativos SAP®: referência de conteúdo de segurança
- Referência de script do Kickstart
- Referência de script de atualização
- Systemconfig.ini referência de arquivo
Para obter mais informações, consulte Soluções do Microsoft Sentinel.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários