Поделиться через

Сбор журналов аудита SAP HANA в Microsoft Sentinel

  • Статья

Статья описывает сбор журналов аудита из базы данных SAP HANA.

Внимание

В настоящее время поддержка Microsoft Sentinel SAP HANA доступна в ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Необходимые компоненты

Журналы SAP HANA отправляются по системным журналам. Убедитесь, что агент AMA или агент Log Analytics (устаревшая версия) настроены для сбора файлов системного журнала. Дополнительные сведения см. в разделе:

Дополнительные сведения см. в разделе "Прием сообщений системного журнала и CEF" в Microsoft Sentinel с помощью агента Azure Monitor.

Получение журналов аудита SAP HANA

  1. Настройте журнал аудита SAP HANA для использования Syslog, как описано в примечании SAP 0002624117 (см. сайт поддержки SAP Launchpad). Дополнительные сведения см. в разделе:

  2. Проверьте файлы системного журнала операционной системы на наличие соответствующих событий базы данных HANA.

  3. Войдите в операционную систему базы данных HANA в качестве пользователя с привилегиями sudo.

  4. Установите агент на компьютере и убедитесь, что компьютер подключен. Дополнительные сведения см. в разделе:

  5. Настройте агент для сбора данных системного журнала. Дополнительные сведения см. в разделе:

    Совет

    Так как объекты, в которых сохраняются события базы данных HANA, могут изменяться между различными дистрибутивами, рекомендуется добавить все объекты. Проверьте их в журналах системного журнала, а затем удалите все, что не относится.

Проверка конфигурации

В Microsoft Sentinel убедитесь в том, что события базы данных HANA отображаются в принимаемых журналах. Например, выполните следующий запрос:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

Добавление правил аналитики для SAP HANA

Используйте следующие встроенные правила аналитики для запуска оповещений Microsoft Sentinel для связанного действия SAP HANA:

  • SAP — HANA DB (предварительная версия) — назначение авторизаций администратора
  • SAP — HANA DB (предварительная версия) — изменения политики журнала аудита
  • SAP — HANA DB (предварительная версия) — отключение журнала аудита
  • SAP — HANA DB (предварительная версия) — действия администратора пользователей

Дополнительные сведения см . в решении Microsoft Sentinel для приложений SAP®: справочник по содержимому безопасности.

Связанный контент

Дополнительные сведения о решении Microsoft Sentinel для приложений SAP®:

Устранение неполадок:

Справочные файлы:

Дополнительные сведения см. в статье Решения Microsoft Sentinel.