I den här artikeln visas de ABAP-auktoriseringar som krävs för att säkerställa att DET SAP-användarkonto som används av Microsoft Sentinels SAP-dataanslutning kan hämta loggar från SAP-systemen korrekt och köra åtgärder för angreppsavbrott.
De nödvändiga auktoriseringarna anges här med deras syfte. Du behöver bara de auktoriseringar som anges för de typer av loggar som du vill använda i Microsoft Sentinel och de åtgärder för attackstörningar som du vill tillämpa.
Om det behövs kan du ta bort användarrollen och valfri CR som är installerad i ABAP-systemet.
ABAP-programlogg
| Auktoriseringsobjekt |
Fält |
Värde |
| S_RFC |
RFC_NAME |
BAPI_XBP_APPL_LOG_CONTENT_GET |
| S_RFC |
RFC_NAME |
BAPI_XMI_LOGOFF |
| S_RFC |
RFC_NAME |
BAPI_XMI_LOGON |
| S_RFC |
RFC_NAME |
BAPI_XMI_SET_AUDITLEVEL |
| S_TABU_NAM |
TABELL |
BALHDR |
| S_XMI_PROD |
EXTCOMPANY |
Microsoft |
| S_XMI_PROD |
EXTPRODUCT |
Azure Sentinel |
| S_XMI_PROD |
GRÄNSSNITT |
XBP (XBP) |
| S_APPL_LOG |
ALG_OBJECT |
* |
| S_APPL_LOG |
ALG_SUBOBJ |
* |
| S_APPL_LOG |
ACTVT |
Skärm |
Loggen för ABAP-ändringsdokument
| Auktoriseringsobjekt |
Fält |
Värde |
| S_TABU_NAM |
TABELL |
CDHDR (CDHDR) |
| S_TABU_NAM |
TABELL |
CDPOS (CDPOS) |
ABAP CR-logg
| Auktoriseringsobjekt |
Fält |
Värde |
| S_RFC |
RFC_NAME |
CTS_API_LÄSA_ÄNDRINGSBEGÄRAN |
| S_TABU_NAM |
TABELL |
E070 |
| S_TRANSPORT |
TTYPE (Typ |
* |
| S_TRANSPORT |
ACTVT |
Skärm |
ABAP DB-tabelldatalogg
| Auktoriseringsobjekt |
Fält |
Värde |
| S_TABU_NAM |
TABELL |
DBTA-blogg |
| S_TABU_NAM |
TABELL |
SACF_ALERT |
| S_TABU_NAM |
TABELL |
SOUD |
| S_TABU_NAM |
TABELL |
USR41 |
| S_TABU_NAM |
TABELL |
TMSQAFILTER |
ABAP-jobblogg
| Auktoriseringsobjekt |
Fält |
Värde |
| S_RFC |
RFC_NAME |
BAPI_XBP_JOB_JOBLOG_READ |
| S_RFC |
RFC_NAME |
BAPI_XMI_LOGOFF |
| S_RFC |
RFC_NAME |
BAPI_XMI_LOGON |
| S_RFC |
RFC_NAME |
BAPI_XMI_SET_AUDITLEVEL |
| S_TABU_NAM |
TABELL |
TBTCO (på engelska) |
| S_XMI_PROD |
EXTCOMPANY |
Microsoft |
| S_XMI_PROD |
EXTPRODUCT |
Azure Sentinel |
| S_XMI_PROD |
GRÄNSSNITT |
XBP (XBP) |
ABAP-säkerhetsgranskningslogg
| Auktoriseringsobjekt |
Fält |
Värde |
| S_RFC |
RFC_NAME |
BAPI_USER_GET_DETAIL |
| S_RFC |
RFC_NAME |
BAPI_XMI_LOGOFF |
| S_RFC |
RFC_NAME |
BAPI_XMI_LOGON |
| S_RFC |
RFC_NAME |
BAPI_XMI_SET_AUDITLEVEL |
| S_RFC |
RFC_NAME |
BAPI_SYSTEM_MTE_GETMLHIS |
| S_RFC |
RFC_NAME |
BAPI_SYSTEM_MTE_GETTREE |
| S_RFC |
RFC_NAME |
BAPI_SYSTEM_MTE_GETTIDBYNAME |
| S_RFC |
RFC_NAME |
BAPI_SYSTEM_MS_GETLIST |
| S_RFC |
RFC_NAME |
BAPI_SYSTEM_MON_GETLIST |
| S_RFC |
RFC_NAME |
BAPI_SYSTEM_MON_GETTREE |
| S_RFC |
RFC_NAME |
BAPI_SYSTEM_MTE_GETPERFCURVAL |
| S_RFC |
RFC_NAME |
BAPI_SYSTEM_MT_GETALERTDATA |
| S_RFC |
RFC_NAME |
BAPI_SYSTEM_ALERT_BEKRÄFTA |
| S_ADMI_FCD |
S_ADMI_FCD |
AUDD (Basgranskningsvisningsautentisering.) |
| S_SAL |
SAL_ACTVT |
SHOW_LOG (Utvärdera den filbaserade loggen) |
| S_USER_GRP |
KLASS |
SUPER |
| S_USER_GRP |
ACTVT |
Skärm |
| S_USER_GRP |
KLASS |
SUPER |
| S_USER_GRP |
ACTVT |
Lås |
| S_XMI_PROD |
EXTCOMPANY |
Microsoft |
| S_XMI_PROD |
EXTPRODUCT |
Azure Sentinel |
| S_XMI_PROD |
GRÄNSSNITT |
XAL (på engelska) |
ABAP-spoolloggar
| Auktoriseringsobjekt |
Fält |
Värde |
| S_TABU_NAM |
TABELL |
TSP01 |
| S_ADMI_FCD |
S_ADMI_FCD |
SPOS (Användning av Transaction SP01 (alla system)) |
ABAP-arbetsflödeslogg
| Auktoriseringsobjekt |
Fält |
Värde |
| S_TABU_NAM |
TABELL |
SWWLOGHIST (SWWLOGHIST) |
| S_TABU_NAM |
TABELL |
SWWWIHEAD |
Alla loggar
| Auktoriseringsobjekt |
Fält |
Värde |
| S_RFC |
RFC_TYPE |
Funktionsmodul |
| S_RFC |
RFC_NAME |
/OSP/SYSTEM_TIMEZONE |
| S_RFC |
RFC_NAME |
DDIF_FIELDINFO_GET |
| S_RFC |
RFC_NAME |
Förfrågningsunderlag |
| S_RFC |
RFC_NAME |
RFC_GET_FUNCTION_INTERFACE |
| S_RFC |
RFC_NAME |
RFC_READ_TABLE |
| S_RFC |
RFC_NAME |
RFC_SYSTEM_INFO |
| S_RFC |
RFC_NAME |
SUSR_USER_AUTH_FOR_OBJ_GET |
| S_RFC |
RFC_NAME |
TH_SERVER_LIST |
| S_RFC |
ACTVT |
Genomförande |
| S_TCODE |
TCD |
SM51 |
| S_TABU_NAM |
ACTVT |
Skärm |
| S_TABU_NAM |
TABELL |
T000 |
Åtgärder för att åtgärda angreppsstörningar
| Auktoriseringsobjekt |
Fält |
Värde |
| S_RFC |
RFC_TYPE |
Funktionsmodul |
| S_RFC |
RFC_NAME |
BAPI_USER_LOCK |
| S_RFC |
RFC_NAME |
BAPI_USER_UNLOCK |
| S_RFC |
RFC_NAME |
TH_DELETE_USER
Till skillnad från dess namn tar den här funktionen inte bort användare, men avslutar den aktiva användarsessionen. |
| S_USER_GRP |
KLASS |
*
Vi rekommenderar att du ersätter S_USER_GRP CLASS med relevanta klasser i din organisation som representerar dialoganvändare. |
| S_USER_GRP |
ACTVT |
03 |
| S_USER_GRP |
ACTVT |
05 |
Konfigurationshistorik
| Auktoriseringsobjekt |
Fält |
Värde |
| S_TABU_NAM |
TABELL |
PAHI |
Valfria loggar om Microsoft Sentinel-lösningens CR implementeras
| Auktoriseringsobjekt |
Fält |
Värde |
| S_RFC |
RFC_NAME |
/MSFTSEN/* |
SNC-data
| Auktoriseringsobjekt |
Fält |
Värde |
| S_TABU_NAM |
TABELL |
SNCSYSACL (SNCSYSACL) |
| S_TABU_NAM |
TABELL |
USRACL USRACL |
Användardata
| Auktoriseringsobjekt |
Fält |
Värde |
| S_TABU_NAM |
TABELL |
ADCP |
| S_TABU_NAM |
TABELL |
ADR6 |
| S_TABU_NAM |
TABELL |
AGR_1251 |
| S_TABU_NAM |
TABELL |
AGR_AGRS |
| S_TABU_NAM |
TABELL |
AGR_DEFINE |
| S_TABU_NAM |
TABELL |
AGR_FLAGS |
| S_TABU_NAM |
TABELL |
AGR_PROF |
| S_TABU_NAM |
TABELL |
AGR_TCODES |
| S_TABU_NAM |
TABELL |
AGR_USERS |
| S_TABU_NAM |
TABELL |
DEVACCESS |
| S_TABU_NAM |
TABELL |
USER_ADDR |
| S_TABU_NAM |
TABELL |
USGRP_USER |
| S_TABU_NAM |
TABELL |
USR01 |
| S_TABU_NAM |
TABELL |
USR02 |
| S_TABU_NAM |
TABELL |
USR05 |
| S_TABU_NAM |
TABELL |
USR21 |
| S_TABU_NAM |
TABELL |
USRSTAMP |
| S_TABU_NAM |
TABELL |
UST04 |
Relaterat innehåll
Mer information finns i Konfigurera DITT SAP-system för Microsoft Sentinel-lösningen.