在 Microsoft Sentinel 中收集 SAP Hana 稽核記錄

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文說明如何從 SAP HANA 資料庫收集稽核記錄。

本文中的內容適用於您的 安全性、 基礎結構和 SAP BASIS 小組。

重要

Microsoft Sentinel SAP HANA 支援目前處於「預覽」狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

必要條件

SAP HANA 記錄會透過 Syslog 傳送。 請確定您的 Azure 監視器代理程式已設定為收集 Syslog 檔案。 如需詳細資訊，請參閱 使用 Azure 監視器代理程式內嵌 Syslog 和 CEF 訊息至 Microsoft Sentinel。

收集 SAP HANA 稽核記錄

1. 請確定 SAP HANA 稽核記錄已設定為使用 Syslog，如 SAP 附註 0002624117 所述 (可從 SAP Launchpad 支援網站存取)。 如需詳細資訊，請參閱

   • SAP HANA 稽核記錄 - 最佳做法
   • 稽核建議
   • 依預設稽核的動作審核策略

2. 檢查您的作業系統 Syslog 檔案是否有任何相關的 HANA 資料庫事件。

3. 以具有 sudo 權限的使用者身分登入 HANA 資料庫作業系統。

4. 在您的電腦上安裝代理程式，並確認您的電腦已連線。 如需詳細資訊，請參閱 安裝和管理 Azure 監視器代理程式。

5. 設定代理程式以收集 Syslog 資料。 如需詳細資訊，請參閱 使用 Azure 監視器代理程式收集 Syslog 事件。

   提示

   由於儲存 HANA 資料庫事件的設備可能會變換為不同的發行版本，因此建議您新增所有設備。 針對您的 Syslog 記錄檢查設備，然後移除任何不相關的設備。

驗證您的設定

使用 Microsoft Sentinel 和 SAP HANA 資料庫中的下列步驟，確認系統已如預期般設定。

Microsoft Sentinel

在 Microsoft Sentinel 的 [記錄] 頁面，檢查以確認 HANA 資料庫事件現在會顯示在所擷取的記錄中。 例如，您可以執行以下查詢：

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

在 SAP HANA 資料庫中，檢查您已設定的審核原則。 如需必要 SQL 陳述句的詳細資訊，請參閱 SAP 備註 3016478。

在 Microsoft Sentinel 中新增 SAP HANA 的分析規則

使用下列內建分析規則，讓 Microsoft Sentinel 開始觸發相關 SAP HANA 活動的警示：

• SAP -(預覽) HANA DB - 指派管理員授權
• SAP - (預覽) HANA DB - 稽核記錄原則變更
• SAP - (預覽) HANA DB - 稽核記錄的停用
• SAP - (預覽) HANA DB - 使用者管理員動作

如需詳細資訊，請參閱 sap 應用程式的Microsoft Sentinel 解決方案：安全性內容參考。

相關內容

深入瞭解 SAP 應用程式的 Microsoft Sentinel 解決方案：

• 為 SAP 應用程式部署Microsoft Sentinel 解決方案
• 部署適用於 SAP 的 Microsoft Sentinel 解決方案 BTP