Dela via

Samla in SAP HANA-granskningsloggar i Microsoft Sentinel

  • Artikel

Den här artikeln beskriver hur du samlar in granskningsloggar från din SAP HANA-databas.

Viktigt!

Microsoft Sentinel SAP HANA-stöd finns för närvarande i FÖRHANDSVERSION. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Förutsättningar

SAP HANA-loggar skickas via Syslog. Kontrollera att AMA-agenten eller Log Analytics-agenten (äldre) har konfigurerats för att samla in Syslog-filer. Mer information finns i:

Mer information finns i Mata in syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten.

Samla in SAP HANA-granskningsloggar

  1. Kontrollera att SAP HANA-spårningsloggen är konfigurerad för att använda Syslog, enligt beskrivningen i SAP Note 0002624117, som är tillgänglig från SAP Launchpad-supportwebbplatsen. Mer information finns i:

  2. Kontrollera om det finns relevanta HANA-databashändelser i operativsystemets Syslog-filer.

  3. Logga in på operativsystemet för HANA-databasen som en användare med sudo-behörighet.

  4. Installera en agent på datorn och bekräfta att datorn är ansluten. Mer information finns i:

  5. Konfigurera din agent för att samla in Syslog-data. Mer information finns i:

    Dricks

    Eftersom de anläggningar där HANA-databashändelser sparas kan ändras mellan olika distributioner rekommenderar vi att du lägger till alla faciliteter. Kontrollera dem mot dina Syslog-loggar och ta sedan bort alla som inte är relevanta.

Verifiera konfigurationen

Använd följande steg i både Microsoft Sentinel och DIN SAP HANA-databas för att kontrollera att systemet är konfigurerat som förväntat.

Microsoft Sentinel

På sidan Loggar i Microsoft Sentinel kontrollerar du att HANA-databashändelser nu visas i de inmatade loggarna. Kör till exempel följande fråga:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

Kontrollera dina konfigurerade granskningsprinciper i SAP HANA-databasen. Mer information om nödvändiga SQL-instruktioner finns i SAP Note 3016478.

Lägga till analysregler för SAP HANA i Microsoft Sentinel

Använd följande inbyggda analysregler för att låta Microsoft Sentinel börja utlösa aviseringar om relaterad SAP HANA-aktivitet:

  • SAP – (FÖRHANDSVERSION) HANA DB – Tilldela administratörsauktoriseringar
  • SAP – (FÖRHANDSVERSION) HANA DB – Principändringar för spårningsspårning
  • SAP – (FÖRHANDSVERSION) HANA DB -Inaktivering av spårningslogg
  • SAP – (FÖRHANDSVERSION) HANA DB – Användaradministratörsåtgärder

Mer information finns i Microsoft Sentinel-lösning för SAP-program®: referens för säkerhetsinnehåll.

Relaterat innehåll

Läs mer om Microsoft Sentinel-lösningen för SAP BTP:

Läs mer om Microsoft Sentinel-lösningen för SAP-program®:

Felsökning:

Referensfiler:

Mer information finns i Microsoft Sentinel-lösningar.