Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, SAP uygulamaları için bir Microsoft Sentinel çözümü yüklendikten sonra çalışma alanınızda kullanılabilen çeşitli işlevler açıklanmaktadır. Microsoft Sentinel göz atarak ve işlev kodunu yükleyerek daha fazla işlev keşfedin.
İşlevleri aşağıdaki gibi bulun:
- Azure portal, Genel > Günlükler sayfasında, İşlevler sekmesinde ve Çalışma alanı işlevleri altında listelenir.
- Defender portalında, Araştırma & yanıtı > Gelişmiş tehdit avcılığı sayfasında, İşlevler sekmesinde ve çalışma alanı işlevleri Sentinel altında listelenmiştir.
Bu makaledeki içerik güvenlik ekiplerinize yöneliktir.
Temel alınan günlükler veya tablolar yerine sorgularınızdaki işlevleri kullanma
Bu makalede listelenen işlevleri, temel alınan günlükler veya tablolar yerine mümkün olduğunda çözümlemelerinin konuları olarak kullanmanızı kesinlikle öneririz.
Bu işlevler, verilere asıl kullanıcı arabirimi görevi görecek şekilde tasarlanmıştır. Bunlar, kullanıma hazır olarak kullanabileceğiniz tüm yerleşik analiz kurallarının ve çalışma kitaplarının temelini oluşturur. İşlevleri kullanmak, kullanıcı tarafından oluşturulan içeriği bozmadan işlevlerin altındaki veri altyapısında değişiklik yapılmasını sağlar.
BAPI_XMI_LOGON (Önizleme)
BAPI_XMI_LOGON işlevi, SAP sisteminiz XAL kullanan eski bir sistem olduğunda ve SAP XAL denetim günlüklerini toplamak için kimlik doğrulaması yaparken geçerlidir.
BAPI_XMI_LOGON işlevi yalnızca SAP aracısız veri bağlayıcısı için desteklenir. Daha fazla bilgi için bkz. SAP uygulamaları için Microsoft Sentinel çözümü yükleme.
BAPI_SYSTEM_MTE_GETTIDBYNAME (Önizleme)
BAPI_SYSTEM_MTE_GETTIDBYNAME işlevi, SAP sisteminiz XAL kullanan eski bir sistem olduğunda ve sistem izleme öğesinin kimliğini ada göre aldığında geçerlidir.
BAPI_SYSTEM_MTE_GETTIDBYNAME işlevi yalnızca SAP aracısız veri bağlayıcısı için desteklenir. Daha fazla bilgi için bkz. SAP uygulamaları için Microsoft Sentinel çözümü yükleme.
BAPI_SYSTEM_MTE_GETTREE (Önizleme)
BAPI_SYSTEM_MTE_GETTREE işlevi, SAP sisteminiz XAL kullanan eski bir sistem olduğunda ve sistem izleme öğelerinin yapısını aldığında geçerlidir.
BAPI_SYSTEM_MTE_GETTREE işlevi yalnızca SAP aracısız veri bağlayıcısı için desteklenir. Daha fazla bilgi için bkz. SAP uygulamaları için Microsoft Sentinel çözümü yükleme.
BAPI_SYSTEM_MTE_GETMLHIS (Önizleme)
BAPI_SYSTEM_MTE_GETMLHIS işlevi, SAP sisteminiz XAL kullanan eski bir sistem olduğunda ve geçmiş performans ve durum verilerini aldığında geçerlidir.
BAPI_SYSTEM_MTE_GETMLHIS işlevi yalnızca SAP aracısız veri bağlayıcısı için desteklenir. Daha fazla bilgi için bkz. SAP uygulamaları için Microsoft Sentinel çözümü yükleme.
BAPI_XMI_SET_AUDITLEVEL (Önizleme)
BAPI_XMI_SET_AUDITLEVEL işlevi, SAP sisteminiz XAL kullanan eski bir sistem olduğunda ve XAL denetim günlüğü düzeyini yapılandırdığında geçerlidir.
BAPI_XMI_SET_AUDITLEVEL işlevi yalnızca SAP aracısız veri bağlayıcısı için desteklenir. Daha fazla bilgi için bkz. SAP uygulamaları için Microsoft Sentinel çözümü yükleme.
BAPI_XMI_GET_LOGHISTORY (Önizleme)
BAPI_XMI_GET_LOGHISTORY işlevi, SAP sisteminiz XAL kullanan eski bir sistem olduğunda ve geçmiş XAL denetim günlüğü girdilerini aldığında geçerlidir.
BAPI_XMI_GET_LOGHISTORY işlevi yalnızca SAP aracısız veri bağlayıcısı için desteklenir. Daha fazla bilgi için bkz. SAP uygulamaları için Microsoft Sentinel çözümü yükleme.
SAPUsersAssignments
SAPUsersAssignments işlevi, birden çok SAP veri kaynağından veri toplar ve şu anda atanmış roller ve profiller de dahil olmak üzere geçerli kullanıcı ana verilerinin kullanıcı merkezli bir görünümünü oluşturur.
Bu işlev, rollere ve profillere yapılan kullanıcı atamalarını özetler ve aşağıdaki verileri döndürür:
| Alan | Açıklama | Veri Kaynağı/Notlar |
|---|---|---|
| Kullanıcı | SAP kullanıcı kimliği | Yalnızca SAL |
| E-posta | SMTP adresi | USR21 (SMTP_ADDR) |
| Usertype | Kullanıcı türü | USR02 (USTYP) |
| Zaman dilim | Saat dilimi | USR02 (TZONE) |
| LockedStatus | Kilit durumu | USR02 (UFLAG) |
| LastSeenDate | Son görülme tarihi | USR02 (TRDAT) |
| LastSeenTime | Son görülme zamanı | USR02 (LTIME) |
| UserGroupAuth | Kullanıcı yöneticisi bakımındaki kullanıcı grubu | USR02 (CLASS) |
| Profil | Profil kümesi (varsayılan en büyük küme boyutu = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Doğrudan atanan roller kümesi (varsayılan en büyük küme boyutu = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Dolaylı olarak atanan roller kümesi (varsayılan en büyük küme boyutu = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| İstemci | İstemci Kimliği | |
| Systemıd | Sistem Kimliği | Bağlayıcıda tanımlandığı gibi |
SAPUsersGetPrivileged
SAPUsersGetPrivileged işlevi, istemci ve sistem kimliği başına ayrıcalıklı kullanıcıların listesini döndürür.
Kullanıcılar, aşağıdaki açıklamalardan herhangi biriyle eşleştiklerinde ayrıcalıklı olarak kabul edilir:
- Sap - Privileged Users izleme listesinde listelenirler
- SAP - Hassas Profiller izleme listesinde listelenen bir profile atanırlar
- SAP - Hassas Roller izleme listesinde listelenen bir role eklenirler
Parametre:
| Name | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| TimeAgo | İsteğe bağlı | Yedi gün | İşlevin değer tarafından tanımlanan süreden değer tarafından TimeAgo tanımlanan now() zamana kadar kullanıcı ana verilerini aradığını belirler. |
SAPUsersGetPrivileged işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama |
|---|---|
| Kullanıcı | SAP kullanıcı kimliği |
| İstemci | İstemci Kimliği |
| Systemıd | Sistem Kimliği |
SAPUsersAuthorizations
SAPUsersAuthorizations işlevi, atanan geçerli rollerin ve yetkilendirmelerin kullanıcı merkezli bir görünümünü oluşturmak için çeşitli tablolardaki verileri bir araya getirir. Yalnızca etkin rol ve yetkilendirme atamalarına sahip kullanıcılar döndürülür.
Parametre:
| Name | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| TimeAgo | İsteğe bağlı | Yedi gün | İşlevin değer tarafından tanımlanan süreden değer tarafından TimeAgo tanımlanan now() zamana kadar kullanıcı ana verilerini aradığını belirler. |
SAPUsersAuthorizations işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama | Notlar |
|---|---|---|
| Kullanıcı | SAP kullanıcı kimliği | |
| Roller | Rol kümesi (varsayılan en büyük küme boyutu = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Yetkilendirme kümesi (varsayılan maksimum küme boyutu = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| İstemci | İstemci Kimliği | |
| Systemıd | Sistem Kimliği |
SAPConnectorHealth
SAPConnectorHealth işlevi, aracının durumunu ve temel alınan SAP sisteminin bağlantısını yansıtır. Sinyal günlüğü SAP_HeartBeat_CL ve diğer sistem durumu göstergelerine bağlı olarak aşağıdaki verileri döndürür:
| Alan | Açıklama |
|---|---|
| Aracı | Aracının yapılandırmasındaki aracı kimliği (otomatik olarak oluşturulur) |
| Systemıd | SAP sistem kimliği |
| Durum | Genel bağlantı durumu |
| Ayrıntılar | Bağlantı ayrıntıları |
| ExtendedDetails | Bağlantı genişletilmiş ayrıntıları |
| LastSeen | En son etkinliğin zaman damgası |
| Statuscode | Sistemin durumunu yansıtan kod |
SAPConnectorOverview
SAPConnectorOverview işlevi, sistem kimliği başına her SAP tablosunun satır sayısını gösterir. Sistem kimliği başına veri kayıtlarının bir listesini ve bunların oluşturulduğu zamanı döndürür.
Parametre:
| Name | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| TimeAgo | İsteğe bağlı | Yedi gün | İşlevin değer tarafından tanımlanan süreden değer tarafından TimeAgo tanımlanan now() zamana kadar kullanıcı ana verilerini aradığını belirler. |
SAPConnectorOverview işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama |
|---|---|
| TimeGenerated | Kaydın neslinin zaman damgasının tarih saat değeri |
| SystemID_s | SAP sistem kimliğini temsil eden bir dize |
Günlük eğilim analizi gerçekleştirmek için aşağıdaki Kusto sorgusunu kullanın:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
SAPUsersEmail işlevi, normalde bir Active Directory hesabıyla ilişkilendirmek için kullanılan SAP sistemi ve istemcisi başına SAP kullanıcısının e-posta adresinin performans odaklı aramasını sağlar.
SAPUsersEmail işlevi, bir e-posta adresi aramak için SAP tablolarındaki USR21 (Kullanıcı Adı/Adres Anahtarı Ataması) ve ADR6 (E-Posta Adresleri) verilerinden ayıklanan verileri kullanır. E-posta adresi bulunamazsa, bunun yerine kullanıcı kimliği döndürülür.
Bu davranış, genellikle e-posta adresleriyle ilişkilendirilmeyen DDIC gibi SAP hizmet hesaplarının sahte AD hesapları olarak günlüğe kaydedilmesini sağlar. Bu, olayların ve avcılık etkinliklerinin araştırılmasında yardımcı olan bazı UEBA özelliklerini de açar.
SAPUsersEmail işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama |
|---|---|
| Clientıd | SAP istemci kimliği |
| Systemıd | SAP sistem kimliği |
| Kullanıcı | SAP kullanıcı kimliği |
| E-posta | SAP kullanıcısının e-posta adresi |
SAPSystems
SAPSystems işlevi, SAP - Systems izleme listesi kullanılarak yapılan sistem başına yapılandırmayı merkezi olarak sunmak için kullanılır.
Parametre:
| Name | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| SelectedSystems | İsteğe bağlı | All Systems |
Belirli SAP sistemlerini filtrelemek için kullanılır |
| SelectedSystemRoles | İsteğe bağlı | All System Roles |
SAP - Systems izleme listesinde tanımlandığı gibi, bakılacak SAP Sistemlerinin rollerini belirler |
SAPSystems işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama | Veri Kaynağı/Notlar |
|---|---|---|
| SearchKey | Arama tuşu | SAP sistem kimliği için dizine alınan alan |
| SystemRole | SAP sisteminin rolü | Üretim, UAT |
| SystemUsage | SAP sisteminin ana kullanımı | ERP, CRM |
| Systemıd | SAP sistem kimliği |
SAPAuditLogConfiguration
SAPAuditLogConfiguration işlevi, SAP denetim günlüğü uyarılarının yerel yapılandırmasını Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanına döndürür. Bu yapılandırma SAP denetim günlüğüyle ilgili uyarılar için kullanılır.
SAPAuditLogConfiguration işlevi, sistem başına rol eforuyla sistem başına yapılandırma sağlamak için SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırması ve SAP - Sistemler izleme listelerindeki verileri birleştirir.
Parametre:
| Name | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| SelectedSystems | İsteğe bağlı | All Systems |
Bakmak için belirli SAP sistemlerini filtrelemek için kullanılır. |
| SelectedSystemRoles | İsteğe bağlı | All System Roles |
Bakılacak SAP Sistemlerinin rollerini belirler ( SAP - Sistemler izleme listesinde tanımlandığı gibi). |
| Seçili Azimler | İsteğe bağlı | [High, Medium] |
Önem dereceleri açısından bakılacak olayları belirlemek için kullanılır. SAP denetim günlüğü iletisi kimliği ve sistem rolü başına önem dereceleri SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesinde tanımlanır. |
| SelectedRuleTypes | İsteğe bağlı | All RuleTypes |
Anomalileri algılamak için hangi olayların uygun olduğunu belirler. SAP denetim günlüğü ileti kimliği ve sistem rolü başına kural türleri SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesinde tanımlanır. |
SAPAuditLogConfiguration işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama | Veri Kaynağı/Notlar |
|---|---|---|
| Categoryname | SAP verilen olay kategorisi | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| DestinationEmail | Atanan Ekibin Email adresi | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| DetailedDescription | Uyarılarda görüntülenecek markdown biçimli metin | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| Messageıd | SAP denetim günlüğü ileti kimliği | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| İleti Metni | Örnek ileti metni | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| RolesTagsToExclude | ABAP Rolü, Profili veya serbest metin etiketi | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| RuleType | Anomali veya belirleyici | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| Taktik | MITRE ATTA&CK taktiği | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| TeamsChannelID | Teams Kanalı | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| Systemıd | SAP sistem kimliği | SAP - Sistemler izleme listesi |
| SystemRole | SAP Sisteminin Rolü | SAP - Sistemler izleme listesi |
| SystemUsage | SAP sisteminin ana kullanımı | SAP - Sistemler izleme listesi |
| IsProd | Üretim sistemi bayrağı | SAP - Sistemler izleme listesi |
| Önem derecesi | Türetilmiş önem derecesi | Sistem kullanımı başına önem derecesi |
| Eşik | Türetilmiş eşik | Sistem kullanımı başına olay sayısı |
| BagOfDetails | Ayrıntı Paketi | Olay tanımının ayrıntılarını içeren sözlük |
Daha fazla bilgi için bkz . Kullanılabilir izleme listeleri.
SAPAuditLogAnomalies
SAPAuditLogAnomalies işlevi, SAP denetim günlüğünde gözlemlenen anormal olayları algılamaya yardımcı olmak için Microsoft Sentinel temel kusto veritabanının yerleşik makine öğrenmesi özelliklerini kullanır.
SAPAuditLogAnomalies işlevi SAP - (Deneysel) Dinamik Anomali tabanlı Denetim Günlüğü İzleyicisi Uyarıları analiz kuralı için geliştirilmiştir. Özgün tasarımı son anomaliler hakkında uyarı vermek olsa da, geçmiş anomalileri vurgulama konusunda da yardımcı olabilir. Daha fazla bilgi için bkz . Örnek kullanımlar.
SAPAuditLogAnomalies işlevi, aşağıdaki düzeylerde farklı giriş parametreleri tarafından tanımlanan geçmişin dilimini öğrenir:
- Kullanıcı
- Ağ öznitelikleri
- Sistem
- Seasonality
- Etkinlik düzeyleri
SAPAuditLogAnomalies işlevi daha sonra son DetectingTime zaman aralığı içinde gerçekleşen olayları öğrendiklerine göre değerlendirir, eşikler ve SAP denetim günlüğü yapılandırma izleme listesinden alınan diğer yapılandırılabilir dışlama ölçütlerini uygular.
Kullanıcı etkinliğinin kayan penceresi anormal kabul edildikten sonra ikinci bir sorgu, kararı destekleyen kanıt olarak tüm kullanıcı etkinliğini döndürür.
Parametre:
| Name | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| LearningTime | İsteğe bağlı | 14 gün | Model öğrenmesi için kullanılan zaman aralığını belirler. |
| DetectingTime | İsteğe bağlı | Bir saat | Anomalileri algılamak için bakılacak zaman aralığını belirler. Bu işlevin DetectingTime = 0h çağrılması, zaman aralığının tamamıyla LearningTime ilgili anomalileri vurgular. |
| SelectedSystems | İsteğe bağlı | All Systems |
Bakmak için belirli SAP sistemlerini filtrelemek için kullanılır. |
| SelectedSystemRoles | İsteğe bağlı | All System Roles |
SAP - Systems izleme listesinde tanımlandığı gibi, bakılacak SAP Sistemlerinin rollerini belirler |
| Seçili Azimler | İsteğe bağlı | [High, Medium] |
Önem dereceleri açısından bakılacak olayları belirlemek için kullanılır. SAP denetim günlüğü iletisi kimliği ve sistem rolü başına önem dereceleri SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesinde tanımlanır. |
| SelectedPrefixMask | İsteğe bağlı | 24 | Öğrenme ve algılama için kullanılan alt ağ maskesi düzeyini belirlemek için kullanılır. |
| SelectedRuleTypes | İsteğe bağlı | AnomaliesOnly |
Anomalileri algılamak için hangi olayların uygun olduğunu belirler. SAP denetim günlüğü ileti kimliği ve sistem rolü başına kural türleri SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesinde tanımlanır. |
SAPAuditLogAnomalies işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama |
|---|---|
| SAPAuditLog'dan birden çok alan | SAP Denetim günlüğündeki önemli alanlar |
| SAPAuditLogConfiguration'dan birden çok alan | SAP denetim günlüğü yapılandırması için Microsoft Sentinel temel alanlar |
| DiscoveredOn | Anomalinin gözlemlendiği yuvarlanmış saat |
| EventCount | Döndürülen satır başına sayılan olay sayısı |
| AnomalCount | İlgili kayan pencerede gözlemlenen olay sayısı |
| MinTime | İlk olayın gözlemlenme zamanı |
| MaxTime | Gözlemlenen son olayın zamanı |
| Puan | anomali modeli tarafından üretilen anomali puanlar |
Öneriler:
Tüm makine öğrenmesi çözümlerinde olduğu gibi SAPAuditLogAnomalies işlevi de zamanla daha iyi performans gösterir ve zaman geçtikçe gerektiğinde ayarlanabilir.
Birçok kullanılabilir giriş parametresini kullanarak öğrenilen veritabanının boyutunu 100 milyon kaydın altında olacak şekilde kısıtlamanızı öneririz.
SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesinde AnomalilerOnly olarak işaretlenmiş olay türleri için üretim sistemlerinde son bir saat içinde gerçekleşen yüksek önem derecesine sahip olayların anomalilerini aramak için şunu çalıştırın:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))BIP sisteminde son 14 gün içindeki tüm anomalileri aramak için şunu çalıştırın:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Daha fazla bilgi için bkz. SAP denetim günlüğünü izlemek için yerleşik SAP analiz kuralları ve SAPçözümü için Microsoft Sentinel kullanarak SAP denetim günlüğünde anomali algılama (blog).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend, SAP - Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME) analiz kuralının yapılandırması için öneriler sunmak üzere tasarlanmış bir yardımcı işlevdir.
Daha fazla bilgi için bkz. SAP denetim günlüğünü izleme.
SAPUsersGetVIP
SAP uygulamaları için Microsoft Sentinel çözümü, hatalı pozitif sonuçları en az çabayla düşürmenize yardımcı olmak için tasarlanmış merkezi kullanıcı etiketleme ve açık dışlamalar kavramını kullanır.
SAP kullanıcı rollerini, SAP kullanıcı işlevlerini veya bu kullanıcıları temsil eden etiketleri belirterek kullanıcıları uyarıları tetiklemekten dışlamak için SAPUsersGetVIP işlevini kullanın. Daha fazla bilgi için bkz. Microsoft Sentinel hatalı pozitif sonuçları işleme.
SAPUsersGetVIP işlevi için giriş olarak belirtilen etiketler, SAP_User_Config izleme listesinde listelenen bir etikete sahip tüm kullanıcıları dışlar. Aynı işlev joker karakterlerle çalışacak şekilde genişletilir ve aynı adlandırma söz dizimine sahip bir kullanıcı grubuna tek bir etiket atamanıza olanak sağlar.
SAP_User_Config izleme listesindeki kullanıcıları aşağıdaki gibi etiketleyin:
Çeşitli senaryoları kapsayacak şekilde , SAP_User_Config izleme listesindeki her kullanıcıya birden çok etiket ekleyin. Her uyarı kuralının varsa kendi ilgili etiketleri vardır ve gerektiğinde özel etiketler ekleyebilirsiniz.
Belirli bir adlandırma söz dizimi şablonuna sahip kullanıcıları eklemek için joker karakter olarak yıldız (*) kullanın.
Tanımladığınız kullanıcıların listelerinin uyarıların dışında tutulmasını istemek için analiz kurallarınıza SAPUsersGetVIP işlevini ekleyin. İşlev çağrısında, hariç tutmak istediğiniz etiketleri, SAP rollerini ve SAP profillerini içeren bir dizi ekleyin.
Örneğin, analiz kuralınızda aşağıdaki KQL sorgusunu kullanarak SAP_User_Config izleme listesindeki RunObsoleteProgOK etiketiyle yapılandırılmış kullanıcıları veya örnek SAP_BASIS_ADMIN_ROLE rolüne veya örnek SAP_ADMIN_PROFILE profiline sahip kullanıcıları hariç tutun.
Bu örnek işlev çağrısını kopyalarken , SAP_BASIS_ADMIN_ROLE rolü ve SAP_ADMIN_PROFILE profilini gerektiği gibi kendi SAP rollerinizle veya profillerinizle değiştirin.
Örneğin:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
SAPUsersGetVIP işlevi, Deterministic ve Anormal Denetim Günlüğü İzleyicisi uyarılarında yaygın olarak kullanılır. Etiketi SAP denetim günlüğü ileti kimliğiyle ilişkilendirin veya kural şablonunu kuruluşunuzun gereksinimlerine uyan özel bir kurala genişletin.
İpucu
SAP_User_Config izleme listenize hangi SAP kullanıcılarını, rollerini ve profillerini ekleyebileceğinizi anlamak için SAP sistem yöneticinize başvurmanızı öneririz.
Parametre:
| Name | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| SearchForTags | İsteğe bağlı | dynamic('All Tags') |
eşit All TagsolduğundaSearchForTags, tüm kullanıcılar etiketleriyle birlikte döndürülür. Aksi takdirde yalnızca içinde belirtilen SearchForTags etiketleri, SAP rollerini veya SAP profillerini taşıyan kullanıcılar döndürülür.
TagsIntersect bulunan etiketleri gösterir ve IntersectionSize bulunan etiket sayısını tutar. |
| SpecialFocusTags | İsteğe bağlı | Do not return any in-focus users |
içinde SpecialFocusTagsbelirtilen etiketleri taşıyan ve ile işaretlenen specialFocusTagged = truetüm kullanıcıları döndürür. |
SAPUsersGetVIP işlevi aşağıdaki çıkışı döndürür:
| Kaynak | Alan | Açıklama | Notlar |
|---|---|---|---|
| SAP_User_Config izleme listesi | SearchKey |
Arama tuşu | |
| SAP_User_Config izleme listesi | SAPUser |
SAP kullanıcısı | OSS, DDIC |
| SAP_User_Config izleme listesi | Tags |
Kullanıcıya atanan etiket dizesi | RunObsoleteProgOK |
| SAP_User_Config izleme listesi | Kullanıcının Microsoft Entra nesne kimliği | nesne kimliğini Microsoft Entra | |
| SAP_User_Config izleme listesi | Kullanıcı tanımlayıcısı | Azure Dizini kullanıcı tanımlayıcısı | |
| SAP_User_Config izleme listesi | Kullanıcı şirket içi SID | ||
| SAP_User_Config izleme listesi | Kullanıcı asıl adı | ||
| SAP_User_Config izleme listesi | TagsList |
Kullanıcıya atanan etiketlerin listesi |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Mantık | TagsIntersect | Eşleşen bir etiket kümesi SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Mantık | SpecialFocusTagged | Özel odak göstergesi |
True, False |
| Mantık | KesişimLerEştir | Kesişen etiketlerin sayısı |
SAPUsersHeader
SAPUsersHeader işlevi, SAP kullanıcısının üst düzey bir görünümünü sağlamak için tasarlanmıştır. E-posta ve IP adreslerini toplamak için hem SAP kullanıcı yöneticisi veri tablolarından hem de SAP denetim günlüğündeki son etkinliklerden ayıklanan verileri kullanır. Ardından bilinen son e-posta ve IP adreslerinin yanı sıra birincil e-posta ve IP adreslerini döndürür.
Parametre:
| Name | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| SelectedSystems | İsteğe bağlı | All Systems |
Bakmak için belirli SAP sistemlerini filtrelemek için kullanılır |
| SelectedSystemRoles | İsteğe bağlı | All System Roles |
SAP - Systems izleme listesinde tanımlandığı gibi, bakılacak SAP Sistemlerinin rollerini belirler. |
| SelectedUsers | İsteğe bağlı | All Users |
Kullanıcı listelerini giriş yapabilir. |
| SelectedUser | İsteğe bağlı | All Users |
Yalnızca tek bir kullanıcıyı kabul eder. |
Örneğin:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
İpucu
Performansla ilgili dikkat edilmesi gerekenler için yalnızca birkaç günlük denetim etkinliği dikkate alınır. Kullanıcı etkinliğinin tam geçmişi için SAPAuditLog işlevine karşı özel bir KQL sorgusu çalıştırın.
SAPUsersHeader işlevi aşağıdaki çıkışı döndürür:
| Kaynak | Alan | Açıklama | Notlar |
|---|---|---|---|
| Kullanıcı | SAP kullanıcısı | ||
| SAP tabloları ADR6 ve USR21 | E-posta | Kullanıcının ana verilerinden alınır | OSS, DDIC |
| SAP tablosu USR02 | Usertype | Kullanıcıya atanan etiket dizesi | RunObsoleteProgOK |
| SAP tablosu USR02 | Zaman dilim | nesne kimliğini Microsoft Entra | |
| SAP tablosu USR02 | LockedStatus | Azure Dizini kullanıcı tanımlayıcısı | |
| SAP denetim günlüğü | LastSeen | Zaman damgası | Kullanıcı için gözlemlenen son denetim olayı |
| SAP denetim günlüğü | LastSeenDaysAgo | O günden bu yana geçen günler LastSeen |
|
| SAP denetim günlüğü | BirincilIP | En sık kullanılan IP adresi |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP denetim günlüğü | LastKnownIP | En son kullanılan IP adresi | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP denetim günlüğü | PrimaryEmail | En sık kullanılan e-posta adresi |
True, False |
| SAP denetim günlüğü | Bilinen IP'ler | Bilinen IP adreslerinin listesi | İlk olarak en sık sıralanana göre sıralanmış |
| SAP denetim günlüğü | Bilinen E-postalar | Bilinen e-posta adreslerinin listesi | İlk olarak en sık sıralanana göre sıralanmış |
| İstemci | SAP istemci kimliği | ||
| Systemıd | SAP sistem kimliği | ||
| SystemRole | SAP sisteminin rolü | Üretim, UAT | |
| SystemUsage | SAP sisteminin ana kullanımı | ERP, CRM |
TH_SERVER_LIST (Önizleme)
TH_SERVER_LIST işlevi, SAP sisteminiz XAL kullanan eski bir sistem olduğunda ve etkin SAP uygulama sunucularını listelediğinde geçerlidir.
TH_SERVER_LIST işlevi yalnızca SAP aracısız veri bağlayıcısı (Önizleme) ile desteklenir. Daha fazla bilgi için bkz. SAP uygulamaları için Microsoft Sentinel çözümü yükleme.
İlgili içerik
Daha fazla bilgi için bkz.: