適用於 SAP® 應用程式資料參考的 Microsoft Sentinel 解決方案
重要
Microsoft Sentinel Threat Monitoring for SAP 解決方案的某些元件目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
以下所述的某些記錄預設不會傳送至 Microsoft Sentinel,但您可以視需要手動新增記錄。 如需詳細資訊,請參閱 定義傳送至 Microsoft Sentinel 的 SAP 記錄。
本文說明作為 SAP® 應用程式和其數據連接器之 Microsoft Sentinel 解決方案一部分的函式、記錄和數據表。 其適用於進階 SAP 使用者。
可從 SAP 解決方案取得的函式
本節說明部署適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案之後,工作區中可用的函式。 在 [Microsoft Sentinel 記錄] 頁面中尋找這些函式,以用於您的 KQL 查詢,並列在 [工作區函式] 底下。
強烈建議使用者盡可能使用函式作為其分析主體,而不是基礎記錄或數據表。 這些函式的目的是做為數據的主要用戶介面。 它們會形成您現成可用的所有內建分析規則和活頁簿的基礎。 這可讓變更函式底下的數據基礎結構,而不會中斷使用者建立的內容。
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAP 連線 orHealth
- SAP 連線 orOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
SAPUsersAssignments 函式會從多個 SAP 數據源收集數據,並建立以使用者為中心的目前使用者主要數據檢視,包括目前指派的角色和配置檔。
此函式摘要說明角色和設定檔的使用者指派,並傳回下列資料:
| 欄位 | 描述 | 數據來源/附注 |
|---|---|---|
| User | SAP 使用者識別碼 | 僅限 SAL |
| 電子郵件 | SMTP 位址 | USR21 (SMTP_ADDR) |
| UserType | 使用者類型 | USR02 (USTYP) |
| 時區 | Time zone | USR02 (TZONE) |
| LockedStatus | 鎖定狀態 | USR02 (UFLAG) |
| LastSeenDate | 上次看到日期 | USR02 (TRDAT) |
| LastSeenTime | 上次出現時間 | USR02 (LTIME) |
| UserGroupAuth | 使用者主要維護中的使用者群組 | USR02 (CLASS) |
| 設定檔 | 設定檔案集 (預設最大設定大小 = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | 直接指定角色集 (預設最大設定大小 = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | 一組間接指派的角色(預設最大設定大小 = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| 用戶端 | 用戶端識別碼 | |
| SystemID | 系統識別碼 | 如連接器中所定義 |
SAPUsersGetPrivileged
SAPUsersGetPrivileged 函式會傳回每個用戶端和系統識別碼的特殊許可權用戶清單。
當使用者列在 SAP - Privileged Users 關注清單中、已指派給 SAP - 敏感性配置檔關注清單中所列的配置檔,或已新增至 SAP - 敏感性角色關注清單中所列的角色時,使用者會被視為具特殊許可權。
參數:
- TimeAgo
- 選擇性
- 默認值:七天
- 判斷函式會從值所定義的
TimeAgo時間搜尋使用者主要數據,直到值所定義now()的時間為止。
SAPUsersGetPrivileged 函式會傳回下列數據:
| 欄位 | 描述 |
|---|---|
| User | SAP 使用者識別碼 |
| 用戶端 | 用戶端識別碼 |
| SystemID | 系統識別碼 |
SAPUsersAuthorizations
SAPUsersAuthorizations 函式會將來自數個數據表的數據結合在一起,以產生目前角色和指派授權的使用者中心檢視。 只會傳回具有作用中角色和授權指派的使用者。
參數:
- TimeAgo
- 選擇性
- 默認值:七天
- 判斷函式會從值所定義的
TimeAgo時間搜尋使用者主要數據,直到值所定義now()的時間為止。
SAPUsersAuthorizations 函式會傳回下列數據:
| 欄位 | 描述 | 附註 |
|---|---|---|
| User | SAP 使用者識別碼 | |
| 角色 | 角色集 (預設最大設定大小 = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | 授權集 (預設最大集大小 = 100) | {{AuthorizationsDeatils1},{AuthorizationsDeatils2}, ..., {AuthorizationsDeatils100}} |
| 用戶端 | 用戶端識別碼 | |
| SystemID | 系統識別碼 |
SAP 連線 orHealth
SAP 連線 orHealth 函式會反映代理程式和基礎 SAP 系統的連線狀態。 根據活動訊號記錄 檔SAP_HeartBeat_CL 和其他健康情況指標,它會傳回下列數據:
| 欄位 | 描述 |
|---|---|
| 代理程式 | 代理程式設定中的代理程式識別碼 (自動產生) |
| SystemID | SAP 系統識別碼 |
| 狀態 | 整體連線狀態 |
| 詳細資料 | 連線 詳細數據 |
| ExtendedDetails | 連線擴充詳細數據 |
| LastSeen | 最新活動的時間戳 |
| StatusCode | 反映系統狀態的程序代碼 |
SAP 連線 orOverview
SAP 連線 orOverview 函式會顯示每個系統識別碼每個 SAP 數據表的數據列計數。 它會傳回每個系統標識碼的數據記錄清單,以及其產生的時間。
參數:
- TimeAgo
- 選擇性
- 默認值:七天
- 判斷函式會從值所定義的
TimeAgo時間搜尋使用者主要數據,直到值所定義now()的時間為止。
| 欄位 | 描述 |
|---|---|
| TimeGenerated | 記錄產生時間戳的日期時間值 |
| SystemID_s | 表示 SAP 系統識別碼的字串 |
使用下列 Kusto 查詢來執行每日趨勢分析:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
SAPUsersEmail 函式可讓 SAP 使用者的電子郵件位址與每個 SAP 系統和用戶端的效能導向查閱,通常用來將它與 Active Directory 帳戶產生關聯。 使用從 SAP 資料表 USR21 (使用者名稱/位址金鑰指派) 和 ADR6 (電子郵件位址) 擷取的數據,SAPUsersEmail 函式會尋找電子郵件位址。 如果找不到使用者標識碼,則會傳回使用者標識碼,而不是電子郵件位址。 此行為可確保通常未與電子郵件地址相關聯的 SAP 服務帳戶(例如 DDIC)會記錄為虛擬 AD 帳戶,啟用某些 UEBA 功能,協助調查事件和搜捕活動。
| 欄位 | 描述 |
|---|---|
| ClientID | SAP 用戶端識別碼 |
| SystemID | SAP 系統識別碼 |
| User | SAP 使用者識別碼 |
| 電子郵件 | SAP 使用者的電子郵件位址 |
SAPSystems
SAPSystems 函式可用來集中呈現使用 'SAP - Systems' 關注清單建立的個別系統組態。
參數:
- SelectedSystems
- 選擇性
- 默認值:“所有系統”
- 用來篩選特定SAP系統
- SelectedSystemRoles
- 選擇性
- 默認值:“所有系統角色”
- 決定要檢視的 SAP 系統角色(如「SAP - 系統」關注清單中所定義)
| 欄位 | 描述 | 數據來源/附注 |
|---|---|---|
| SearchKey | 搜尋金鑰 | SAP 系統識別碼的索引欄位 |
| SystemRole | SAP 系統的角色 | 生產、UAT |
| SystemUsage | SAP 系統的主要用法 | ERP、CRM |
| SystemID | SAP 系統識別碼 |
SAPAuditLogConfiguration
SAPAuditLogConfiguration 函式會傳回 Sentinel 工作區 SAP 稽核記錄警示的本機設定,以用於不同的 SAP 稽核記錄相關警示。 它會聯結「SAP 動態稽核記錄監視器組態」和「SAP - 系統」關注清單中的數據,以在每一系統角色的工作中提供個別系統設定。
參數:
- SelectedSystems
- 選擇性
- 默認值:“所有系統”
- 用來篩選要查看的特定SAP系統。
- SelectedSystemRoles
- 選擇性
- 默認值:“所有系統角色”
- 決定要查看的 SAP 系統角色(如「SAP - 系統」關注清單中所定義)。
- SelectedSeverities
- 選擇性
- 默認值:[“High”, “Medium”]
- 用來判斷要根據其嚴重性來查看的事件。 每個 SAP 稽核記錄訊息識別碼和系統角色的嚴重性定義於「SAP_Dynamic_Audit_Log_Monitor_Configuration」關注清單中。
- SelectedRuleTypes
- 選擇性
- 默認值:“All RuleTypes”
- 判斷哪些事件與偵測異常有關。 每個 SAP 稽核記錄訊息識別碼和系統角色的規則類型都會定義在「SAP_Dynamic_Audit_Log_Monitor_Configuration」關注清單中。
| 欄位 | 描述 | 數據來源/附注 |
|---|---|---|
| CategoryName | SAP 指定的事件類別目錄 | 「SAP 動態稽核記錄監視器設定」關注清單 |
| DestinationEmail | 指派小組的電子郵件位址 | 「SAP 動態稽核記錄監視器設定」關注清單 |
| DetailedDescription | 要顯示在警示上的 Markdown 格式化文字 | 「SAP 動態稽核記錄監視器設定」關注清單 |
| MessageID | SAP 稽核記錄訊息標識碼 | 「SAP 動態稽核記錄監視器設定」關注清單 |
| MessageText | 範例消息正文 | 「SAP 動態稽核記錄監視器設定」關注清單 |
| RolesTagsToExclude | ABAP 角色、配置檔或自由文字標記 | 「SAP 動態稽核記錄監視器設定」關注清單 |
| RuleType | 異常或決定性 | 「SAP 動態稽核記錄監視器設定」關注清單 |
| 策略 | MITRE ATTA&CK 策略 | 「SAP 動態稽核記錄監視器設定」關注清單 |
| TeamsChannelID | Teams 頻道 | 「SAP 動態稽核記錄監視器設定」關注清單 |
| SystemID | SAP 系統識別碼 | 'SAP - Systems' 關注清單 |
| SystemRole | SAP 系統的角色 | 'SAP - Systems' 關注清單 |
| SystemUsage | SAP 系統的主要用法 | 'SAP - Systems' 關注清單 |
| IsProd | 生產系統旗標 | 'SAP - Systems' 關注清單 |
| 嚴重性 | 衍生嚴重性 | 每個系統使用量的嚴重性 |
| 臨界值 | 衍生的臨界值 | 每個系統使用量的事件計數 |
| BagOfDetails | 詳細數據袋 | 詳細描述事件定義的字典 |
SAPAuditLogAnomalies
SAPAuditLogAnomalies 使用 Sentinel 的基礎 Kusto 資料庫內建機器學習功能,協助偵測 SAP 稽核記錄檔上觀察到的異常事件。 此函式最初是針對「SAP - (實驗性)動態異常型稽核記錄監視器警示」警示規則所開發,最初是為了針對最近的異常發出警示,但也有助於醒目提示歷史異常(請參閱下面的範例)。
參數:
- LearningTime
- 選擇性
- 默認值:14 天
- 決定用於模型學習的時間範圍
- DetectingTime
- 選擇性
- 默認值:一小時
- 決定要查看以偵測異常的時間範圍。 使用 DetectorTime = 0h 呼叫此函式會反白顯示整個 LearningTime 時間範圍中的異常狀況
- SelectedSystems
- 選擇性
- 默認值:“所有系統”
- 用來篩選要查看的特定SAP系統。
- SelectedSystemRoles
- 選擇性
- 默認值:“所有系統角色”
- 決定要查看的 SAP 系統角色(如「SAP - 系統」關注清單中所定義)。
- SelectedSeverities
- 選擇性
- 默認值:[“High”, “Medium”]
- 用來判斷要根據其嚴重性來查看的事件。 每個 SAP 稽核記錄訊息識別碼和系統角色的嚴重性定義於「SAP_Dynamic_Audit_Log_Monitor_Configuration」關注清單中。
- SelectedPrefixMask
- 選擇性
- 默認值:24
- 用來判斷用於學習和偵測的子網掩碼層級。
- SelectedRuleTypes
- 選擇性
- 默認值:“AnomaliesOnly”
- 判斷哪些事件與偵測異常有關。 每個 SAP 稽核記錄訊息識別碼和系統角色的規則類型都會定義在「SAP_Dynamic_Audit_Log_Monitor_Configuration」關注清單中。
邏輯
函式會瞭解不同輸入參數在用戶、網路屬性、系統、季節性和活動層級所定義的歷程記錄配量。 然後,它會根據所學到的內容、套用臨界值和其他從 SAP 稽核記錄組態監看清單取得的可設定排除準則,判斷在上一個 DetectingTime 時間範圍內發生的事件。 一旦用戶活動的滑動視窗被視為異常,第二個查詢會將整個用戶活動當做支持決策的證據傳回。
其他注意事項
如同任何機器學習解決方案,此函式會隨著時間而執行得更好。 您可以使用本機設定進行進一步調整。 建議使用許多可用的輸入參數,限制所學習資料庫的大小低於 1 億筆記錄。
範例:針對生產系統上過去一小時內發生的高嚴重性事件尋找異常,其事件類型在 “SAP_Dynamic_Audit_Log_Monitor_Configuration” 中標示為 “AnomaliesOnly”
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
範例:在系統 「BIP」 中尋找過去 14 天內的所有異常
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
| 欄位 | 描述 |
|---|---|
| SAPAuditLog 中的多個字段 | SAP 稽核記錄中的索引鍵欄位 |
| SAPAuditLogConfiguration 中的多個字段 | 來自 Sentinel for SAP 稽核記錄組態的索引鍵字段 |
| DiscoveredOn | 觀察到異常的四捨五入小時 |
| EventCount | 傳回的每個數據列所計算的事件數目 |
| AnomalCount | 相關滑動窗口中觀察到的事件數目 |
| MinTime | 觀察到第一個事件的時間 |
| MaxTime | 觀察到的最後一個事件時間 |
| 分數 | 異常模型所產生的異常分數 |
如需詳細資訊,請參閱 內建的 SAP 分析規則,以監視 SAP 稽核記錄 。
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend 是協助程式函式,其設計目的是提供 SAP - 動態異常型稽核記錄監視器警示 (預覽) 分析規則設定的建議。 瞭解如何設定 規則。
SAPUsersGetVIP
適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案會使用集中用戶標記和明確排除的概念,其設計目的是要協助您以最少的努力降低誤判。 使用 SAPUsersGetVIP 函式,藉由指定代表這些使用者的 SAP 使用者角色、SAP 使用者函式或標籤,排除使用者無法觸發警示。 如需詳細資訊,請參閱 處理 Microsoft Sentinel 中的誤判。
指定為 SAPUsersGetVIP 函式輸入的標記會排除SAP_User_Config關注清單中所列標籤標的所有使用者。 相同的功能擴充為使用通配符,可讓您將單一標記指派給具有相同命名語法的使用者群組。
標記SAP_User_Config關注清單中的使用者,如下所示:
視需要, 將多個標籤新增至SAP_User_Config 關注清單中的每個使用者,以涵蓋各種案例。 每個警示規則都有自己的相關標籤,如果有的話,您可以視需要新增自定義標籤。
使用星號 \ 作為通配符,以包含具有特定命名語法範本的使用者。
在 分析規則中新增 SAPUsersGetVIP 函式,以要求您已定義要從警示中排除的用戶清單。 在函式呼叫中,新增具有您想要排除的標記、SAP 角色和 SAP 配置文件的數位。
例如,在分析規則中使用下列 KQL 查詢來排除在SAP_User_Config關注清單中以 RunObsoleteProgOK 標記設定的任何使用者,或是具有範例SAP_BASIS_ADMIN_ROLE角色或範例SAP_ADMIN_PROFILE配置檔的任何使用者。
複製此範例函式呼叫時,請視需要以您自己的 SAP 角色或設定檔取代 SAP_BASIS_ADMIN_ROLE 角色和 SAP_ADMIN_PROFILE 配置檔。
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
SAPUsersGetVIP 函式通常用於確定性和異常稽核記錄監視器警示。 將標籤與 SAP 稽核記錄訊息標識碼產生關聯,或將規則範本延伸至符合您組織需求的自定義規則。
提示
建議您連絡 SAP 系統管理員,以瞭解要包含在SAP_User_Config關注清單中哪些 SAP 使用者、角色和配置檔。
參數:
| 名稱 | 描述: | 預設值 |
|---|---|---|
| SearchForTags (選擇性) | 當 等於 All Tags時SearchForTags,所有用戶都會連同其標籤一起傳回。 否則,只會傳回包含 中 SearchForTags 指定標籤、SAP 角色或 SAP 設定檔的使用者。 TagsIntersect 會顯示找到的標記,並 IntersectionSize 保留找到的標籤。 |
dynamic('All Tags') |
| SpecialFocusTags (選擇性) | 傳回所有在 中 SpecialFocusTags加上指定標記的使用者,並以標記這些標記 specialFocusTagged = true。 |
Do not return any in-focus users |
| 來源 | 欄位 | 描述 | 附註 |
|---|---|---|---|
| SAP_User_Config關注清單 | SearchKey | 搜尋金鑰 | |
| SAP_User_Config關注清單 | SAPUser | SAP 使用者 | OSS、DDIC |
| SAP_User_Config關注清單 | 標籤 | 指派給使用者的標記字串 | RunObsoleteProgOK |
| SAP_User_Config關注清單 | 使用者的 Microsoft Entra 物件識別碼 | Microsoft Entra 物件識別碼 | |
| SAP_User_Config關注清單 | 用戶標識碼 | AD 用戶識別碼 | |
| SAP_User_Config關注清單 | 用戶內部部署 Sid | ||
| SAP_User_Config關注清單 | 使用者主體名稱 | ||
| SAP_User_Config關注清單 | TagsList | 指派給使用者的標籤清單 | ChangeUserMasterDataOK;RunObsoleteProgOK |
| 邏輯 | TagsIntersect | 符合 SearchForTags 的一組標記 | [“ChangeUserMasterDataOK”,“RunObsoleteProgOK”] |
| 邏輯 | SpecialFocusTagged | 特殊焦點指示 | True、False |
| 邏輯 | IntersectionSize | 交集標記的數目 |
SAPUsersHeader
SAPUsersHeader 函式的設計目的是要提供 SAP 使用者的高階檢視。 它會使用從 SAP 使用者主要數據表和 SAP 稽核記錄上最近活動擷取的數據來收集電子郵件和 IP 位址。 然後,它會傳回最後一個已知的電子郵件和IP位址,以及主要電子郵件和IP位址。 參數: SelectedSystemRoles:dynamic = dynamic([“All System Roles”]) SelectedSystems:dynamic = dynamic([“All Systems”]) SelectedUsers:dynamic = dynamic([“All Users”]) SelectedUser:string = “All Users”
- SelectedSystems
- 選擇性
- 默認值:“所有系統”
- 用來篩選要查看的特定SAP系統。
- SelectedSystemRoles
- 選擇性
- 默認值:“所有系統角色”
- 決定要查看的 SAP 系統角色(如「SAP - 系統」關注清單中所定義)。
- SelectedUsers
- 選擇性
- 默認值:“所有使用者”
- 可以輸入用戶清單。
- SelectedUser
- 選擇性
- 默認值:“所有使用者”
- 僅接受單一使用者
其他注意事項
針對效能考慮,只會考慮幾天的稽核活動。 如需用戶活動的完整歷程記錄,請針對 SAPAuditLog 函式執行自定義 KQL 查詢。
| 來源 | 欄位 | 描述 | 附註 |
|---|---|---|---|
| User | SAP 使用者 | ||
| SAP 數據表 ADR6 和 USR21 | 電子郵件 | 取自使用者的主要數據 | OSS、DDIC |
| SAP 數據表 USR02 | UserType | 指派給使用者的標記字串 | RunObsoleteProgOK |
| SAP 數據表 USR02 | 時區 | Microsoft Entra 物件識別碼 | |
| SAP 數據表 USR02 | LockedStatus | AD 用戶識別碼 | |
| SAP 稽核記錄 | LastSeen | 時間戳 | 用戶觀察到的最後一個稽核事件 |
| SAP 稽核記錄 | LastSeenDaysAgo | LastSeen 之後經過的天數 | |
| SAP 稽核記錄 | PrimaryIP | 最常使用的IP位址 | ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP 稽核記錄 | LastKnownIP | 最近使用的IP位址 | [“ChangeUserMasterDataOK”,“RunObsoleteProgOK”] |
| SAP 稽核記錄 | PrimaryEmail | 最常使用的電子郵件位址 | True、False |
| SAP 稽核記錄 | KnownIPs | 已知IP位址清單 | 依最頻繁的第一個排序 |
| SAP 稽核記錄 | KnownEmails | 已知電子郵件地址清單 | 依最頻繁的第一個排序 |
| 用戶端 | SAP 用戶端識別碼 | ||
| SystemID | SAP 系統識別碼 | ||
| SystemRole | SAP 系統的角色 | 生產、UAT | |
| SystemUsage | SAP 系統的主要用法 | ERP、CRM |
數據連接器代理程式所產生的記錄
本節說明適用於 SAP 應用程式數據連接器的 Microsoft Sentinel 解決方案中可用的 SAP® 記錄,包括 Microsoft Sentinel 中的數據表名稱、記錄用途,以及詳細的記錄架構。 架構欄位描述是以相關 SAP 檔中的欄位描述為基礎。
為了獲得最佳結果,請使用下面所列的 Microsoft Sentinel 函式來可視化、存取及查詢數據。
- ABAP 應用程式記錄
- ABAP 變更文件記錄
- ABAP CR 記錄
- ABAP DB 資料表資料記錄 檔 (預覽)
- ABAP 閘道記錄 檔 (預覽)
- ABAP ICM 記錄 檔 (預覽)
- ABAP 作業記錄
- ABAP 安全性稽核記錄
- ABAP 多任務緩衝處理記錄
- APAB 多任務緩衝處理輸出記錄
- ABAP SysLog
- ABAP 工作流程記錄
- ABAP WorkProcess 記錄
- HANA DB 稽核記錄
- JAVA 檔案
- SAP 活動訊號記錄檔
ABAP 應用程式記錄
用於查詢此記錄的 Microsoft Sentinel 函式:SAPAppLog
相關 SAP 檔: SAP 說明入口網站
記錄目的:記錄應用程式執行的進度,以便您稍後視需要重新建構它。
根據 XBP 介面的標準 SAP 數據表和標準服務,使用 RFC。 每個客戶端都會產生此記錄檔。
ABAPAppLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| AppLogDateTime | 應用程式記錄日期時間 |
| CallbackProgram | 回呼程式 |
| CallbackRoutine | 回呼例程 |
| CallbackType | 回呼類型 |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| ContextDDIC | 內容 DDIC 結構 |
| ExternalID | 外部記錄標識碼 |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | 應用程式記錄訊息序列 |
| LevelofDetail | 詳細資料層級 |
| LogHandle | 應用程式記錄句柄 |
| LogNumber | 記錄編號 |
| MessageClass | Message 類別 |
| MessageNumber | 訊息編號 |
| MessageText | 訊息文字 |
| MessageType | 訊息類型 |
| Object | 應用程式記錄物件 |
| OperationMode | 作業模式 |
| ProblemClass | 問題類別 |
| ProgramName | 計畫名稱 |
| SortCriterion | 排序準則 |
| StandardText | 標準文字 |
| SubObject | 應用程式記錄子物件 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TransactionCode | 交易代碼 |
| User | User |
| UserChange | 用戶變更 |
ABAP 變更文件記錄
用於查詢此記錄的 Microsoft Sentinel 函式:SAPChangeDocsLog
相關 SAP 檔: SAP 說明入口網站
記錄用途:記錄:
SAP NetWeaver 應用程式伺服器 (AS) ABAP 會記錄變更變更檔案中的商務數據物件。
SAP 系統中的其他實體,例如用戶數據、角色、位址。
可使用以標準 SAP 數據表為基礎的 RFC。 每個客戶端都會產生此記錄檔。
ABAPChangeDocsLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| ActualChangeNum | 實際變更編號 |
| ChangedTableKey | 已變更的數據表索引鍵 |
| ChangeNumber | 變更號碼 |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| CreatedfromPlannedChange | 從計劃性變更建立,語法如下: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | 貨幣索引鍵:新值 |
| CurrencyKeyOld | 貨幣索引鍵:舊值 |
| FieldName | 欄位名稱 |
| FlagText | 標幟文字 |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| 語言 | 語言 |
| ObjectClass | 物件類別,例如 BELEG、、BPARPFCG、IDENTITY |
| ObjectID | 物件識別碼 |
| PlannedChangeNum | 計劃變更編號 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TableName | 資料表名稱 |
| TransactionCode | 交易代碼 |
| TypeofChange_Header | 變更的標頭類型,包括:U = 變更; I = 插入; E = 刪除單一 Docu; D = 刪除; J = 插入單一 Docu |
| TypeofChange_Item | 變更的項目類型,包括:U = 變更; I = 插入; E = 刪除單一 Docu; D = 刪除; J = 插入單一 Docu |
| UOMNew | 量值單位:新值 |
| UOMOld | 測量單位:舊值 |
| User | User |
| ValueNew | 欄位內容:新值 |
| ValueOld | 欄位內容:舊值 |
| 版本 | 版本 |
ABAP CR 記錄
用於查詢此記錄的 Microsoft Sentinel 函式:SAPCRLog
相關 SAP 檔: SAP 說明入口網站
記錄目的:包括變更和傳輸系統 (CTS) 記錄,包括進行變更的目錄物件和自定義專案。
可使用以標準數據表和標準 SAP 服務為基礎的 RFC。 此記錄檔會透過所有客戶端的數據產生。
注意
除了應用程式記錄、變更檔和數據表錄製之外,您使用 Change & Transport System 對生產系統所做的所有變更都會記錄在 CTS 和TMS記錄中。
ABAPCRLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| 類別 | 類別 (Workbench, 自訂) |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| 描述 | 描述 |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | 物件名稱 |
| ObjectType | Object type |
| 負責人 | 負責人 |
| 要求 | 變更要求 |
| 狀態 | 狀態 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TableKey | 數據表索引鍵 |
| TableName | 資料表名稱 |
| ViewName | 檢視表名稱 |
ABAP DB 資料表資料記錄檔 (預覽)
若要將此記錄傳送至 Microsoft Sentinel,您必須 手動將其新增至 systemconfig.ini 檔案。
用於查詢此記錄的 Microsoft Sentinel 函式:SAPTableDataLog
相關 SAP 檔: SAP 說明入口網站
記錄目的:為那些嚴重或容易受到稽核的數據表提供記錄。
透過搭配自定義服務使用 RFC 來取得。 此記錄檔會透過所有客戶端的數據產生。
ABAPTableDataLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| DBLogID | 資料庫記錄標識碼 |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| 語言 | 語言 |
| LogKey | 記錄鍵 |
| NewValue | 欄位新值 |
| OldValue | 欄位舊值 |
| OperationTypeSQL | 工作類型、、Insert、 UpdateDelete |
| 程式 | 計畫名稱 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TableField | 數據表欄位 |
| TableName | 資料表名稱 |
| TransactionCode | 交易代碼 |
| UserName | User |
| VersionNumber | 版本號碼 |
ABAP 閘道記錄檔 (預覽)
若要將此記錄傳送至 Microsoft Sentinel,您必須 手動將其新增至 systemconfig.ini 檔案。
用於查詢此記錄的 Microsoft Sentinel 函式:SAPOS_GW
相關 SAP 檔: SAP 說明入口網站
記錄用途:監視閘道活動。 SAP Control Web Service 提供。 此記錄檔會透過所有客戶端的數據產生。
ABAPOS_GW_CL記錄架構
| 欄位 | 描述 |
|---|---|
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 訊息文字 |
| 嚴重性 | 訊息嚴重性:Debug、、Info、 WarningError |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
ABAP ICM 記錄檔 (預覽)
若要將此記錄傳送至 Microsoft Sentinel,您必須 手動將其新增至 systemconfig.ini 檔案。
用於查詢此記錄的 Microsoft Sentinel 函式:SAPOS_ICM
相關 SAP 檔: SAP 說明入口網站
記錄目的:記錄輸入和輸出要求,並編譯 HTTP 要求的統計數據。
SAP Control Web Service 提供。 此記錄檔會透過所有客戶端的數據產生。
ABAPOS_ICM_CL記錄架構
| 欄位 | 描述 |
|---|---|
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 訊息文字 |
| 嚴重性 | 訊息嚴重性,包括:Debug、、WarningInfo、Error |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
ABAP 作業記錄
用於查詢此記錄的 Microsoft Sentinel 函式:SAPJobLog
相關 SAP 檔: SAP 說明入口網站
記錄用途:結合所有背景處理作業記錄 (SM37)。
可使用以 XBP 介面的標準 SAP 數據表和標準服務為基礎的 RFC。 此記錄檔會透過所有客戶端的數據產生。
ABAPJobLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| ABAPProgram | ABAP 程式 |
| BgdEventParameters | 背景事件參數 |
| BgdProcessingEvent | 背景處理事件 |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| DynproNumber | Dynpro 數位 |
| GUIStatus | GUI 狀態 |
| Host | Host |
| 執行個體 | ABAP 實例 (HOST_SYSID_SYSNR),語法如下: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | 作業分類 |
| JobCount | 作業計數 |
| JobGroup | 作業群組 |
| JobName | 作業名稱 |
| JobPriority | 作業優先順序 |
| MessageClass | Message 類別 |
| MessageNumber | 訊息編號 |
| MessageText | 訊息文字 |
| MessageType | 訊息類型 |
| ReleaseUser | 作業發行使用者 |
| SchedulingDateTime | 排程日期時間 |
| StartDateTime | 開始日期時間 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TargetServer | 目標伺服器 |
| User | User |
| UserReleaseInstance | ABAP 實例 - 用戶發行 |
| WorkProcessID | 工作進程標識碼 |
| WorkProcessNumber | 工作程序號碼 |
ABAP 安全性稽核記錄
用於查詢此記錄的 Microsoft Sentinel 函式:SAPAuditLog
相關 SAP 檔: SAP 說明入口網站
記錄目的:記錄下列資料:
- SAP 系統環境的安全性相關變更,例如主要用戶記錄的變更
- 提供較高層級數據的資訊,例如成功和失敗的登入嘗試
- 啟用一系列事件重建的資訊,例如成功或失敗的交易啟動
可使用 RFC XAL/SAL 介面。 SAL 從版本 Basis 7.50 開始提供。 此記錄檔會透過所有客戶端的數據產生。
ABAPAuditLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| ABAPProgramName | 僅限 SAL 的程式名稱 |
| AlertSeverity | 警示嚴重性 |
| AlertSeverityText | 警示嚴重性文字,僅限 SAL |
| AlertValue | 警示值 |
| AuditClassID | 稽核類別標識碼,僅限 SAL |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| 電腦 | 僅限用戶電腦、SAL |
| 電子郵件 | 使用者電子郵件 |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Message 類別 |
| MessageContainerID | 訊息容器標識碼,僅限 XAL |
| MessageID | 訊息標識碼,例如 ‘AU1’,’AU2’… |
| MessageText | 訊息文字 |
| MonitoringObjectName | MTE 監視器物件名稱,僅限 XAL |
| MonitorShortName | MTE 監視器簡短名稱,僅限 XAL |
| SAPProcesType | 系統記錄檔:SAP 進程類型,僅限 SAL |
| B* - 背景處理 | |
| D* - 對話框處理 | |
| U* - 更新工作 | |
| SAPWPName | 系統記錄:工作進程號碼,僅限 SAL |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TerminalIPv6 | 僅限用戶電腦IP、SAL |
| TransactionCode | 交易程序代碼,僅限SAL |
| User | User |
| Variable1 | 訊息變數 1 |
| Variable2 | 訊息變數 2 |
| Variable3 | 訊息變數 3 |
| Variable4 | 訊息變數 4 |
ABAP 多任務緩衝處理記錄
用於查詢此記錄的 Microsoft Sentinel 函式:SAPSpoolLog
相關 SAP 檔: SAP 說明入口網站
記錄用途:做為 SAP 列印的主要記錄檔,具有多任務緩衝處理要求的歷程記錄。 (SP01)。
可使用以標準 SAP 數據表為基礎的 RFC。 此記錄檔會透過所有客戶端的數據產生。
ABAPSpoolLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| ArchiveStatus | 封存狀態 |
| ArchiveType | 封存類型 |
| ArchivingDevice | 封存裝置 |
| AutoRereoute | 自動重新路由 |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| CountryKey | 國家/地區索引鍵 |
| DeleteSpoolRequestAuto | 刪除多任務緩衝處理要求自動 |
| DelFlag | 刪除旗標 |
| 部門 | 部門 |
| DocumentType | Document type |
| ExternalMode | 外部模式 |
| FormatType | 格式類型 |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | 份數 |
| OutputDevice | 輸出裝置 |
| PrinterLongName | 印表機長名稱 |
| PrintImmediately | 立即列印 |
| PrintOSCoverPage | 列印OSCover頁面 |
| PrintSAPCoverPage | 列印 SAPCover 頁面 |
| 優先順序 | 優先順序 |
| RecipientofSpoolRequest | 多任務緩衝處理要求的收件者 |
| SpoolErrorStatus | 多任務緩衝處理錯誤狀態 |
| SpoolRequestCompleted | 多任務緩衝處理要求已完成 |
| SpoolRequestisALogForAnotherRequest | 多任務緩衝處理要求是另一個要求的記錄 |
| SpoolRequestName | 多任務緩衝處理要求名稱 |
| SpoolRequestNumber | 多任務緩衝處理要求號碼 |
| SpoolRequestSuffix1 | 多任務緩衝處理要求後綴1 |
| SpoolRequestSuffix2 | 多任務緩衝處理要求後綴2 |
| SpoolRequestTitle | 多任務緩衝處理要求標題 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| 電信合作夥伴 | 電信合作夥伴 |
| TelecommunicationsPartnerE | 電信合作夥伴 E |
| TemSeGeneralcounter | Temse 計數器 |
| TemseNumAddProtectionRule | Temse 數位新增保護規則 |
| TemseNumChangeProtectionRule | Temse 數字變更保護規則 |
| TemseNumDeleteProtectionRule | Temse 數位刪除保護規則 |
| TemSeObjectName | Temse 物件名稱 |
| TemSeObjectPart | TemSe 物件部分 |
| TemseReadProtectionRule | Temse 讀取保護規則 |
| User | User |
| ValueAuthCheck | 值驗證檢查 |
APAB 多任務緩衝處理輸出記錄
用於查詢此記錄的 Microsoft Sentinel 函式:SAPSpoolOutputLog
相關 SAP 檔: SAP 說明入口網站
記錄用途:做為 SAP 列印的主要記錄,具有多任務緩衝處理輸出要求的歷程記錄。 (SP02)。
使用 RFC 搭配以標準數據表為基礎的自訂服務即可使用。 此記錄檔會透過所有客戶端的數據產生。
ABAPSpoolOutputLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| AppServer | 應用程式伺服器 |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| 註解 | 註解 |
| CopyCount | 複製計數 |
| CopyCounter | 複製計數器 |
| 部門 | 部門 |
| ErrorSpoolRequestNumber | 錯誤要求號碼 |
| FormatType | 格式類型 |
| Host | Host |
| HostName | 主機名稱 |
| HostSpoolerID | 主機多任務緩衝處理程式標識碼 |
| 執行個體 | ABAP 實例 |
| LastPage | 最後一頁 |
| NumofCopies | 份數 |
| OutputDevice | 輸出裝置 |
| OutputRequestNumber | 輸出要求編號 |
| OutputRequestStatus | 輸出要求狀態 |
| PhysicalFormatType | 實體格式類型 |
| PrinterLongName | 印表機長名稱 |
| PrintRequestSize | 列印要求大小 |
| 優先順序 | 優先順序 |
| ReasonforOutputRequest | 輸出要求的原因 |
| RecipientofSpoolRequest | 多任務緩衝處理要求的收件者 |
| SpoolNumberofOutputReqProcessed | 輸出要求數目 - 已處理 |
| SpoolNumberofOutputReqWithErrors | 輸出要求數目 - 發生錯誤 |
| SpoolNumberofOutputReqWithProblems | 輸出要求數目 - 有問題 |
| SpoolRequestNumber | 多任務緩衝處理要求號碼 |
| StartPage | 開始頁面 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| 電信合作夥伴 | 電信合作夥伴 |
| TemSeGeneralcounter | Temse 計數器 |
| 標題 | 標題 |
| User | User |
ABAP Syslog
若要將此記錄傳送至 Microsoft Sentinel,您必須 手動將其新增至 systemconfig.ini 檔案。
用於查詢此記錄的 Microsoft Sentinel 函式:SAPOS_Syslog
相關 SAP 檔: SAP 說明入口網站
記錄目的:記錄所有 SAP NetWeaver 應用程式伺服器 (SAP NetWeaver AS) ABAP 系統錯誤、警告、使用者鎖定,因為已知使用者的登入嘗試失敗,以及處理訊息。
SAP Control Web Service 提供。 此記錄檔會透過所有客戶端的數據產生。
ABAPOS_Syslog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | 訊息編號 |
| MessageText | 訊息文字 |
| 嚴重性 | 訊息嚴重性,下列其中一個值:Debug、、Info、 WarningError |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TransacationCode | 交易代碼 |
| 類型 | SAP 進程類型 |
| User | User |
ABAP 工作流程記錄
用於查詢此記錄的 Microsoft Sentinel 函式:SAPWorkflowLog
相關 SAP 檔: SAP 說明入口網站
記錄用途:SAP Business Workflow (WebFlow Engine) 可讓您定義尚未在 SAP 系統中對應的商務程式。
例如,未對應的商務程式可能是簡單的發行或核准程式,或更複雜的商務程式,例如建立基底材料,然後協調相關聯的部門。
可使用以標準 SAP 數據表為基礎的 RFC。 每個客戶端都會產生此記錄檔。
ABAPWorkflowLog_CL記錄架構
| 欄位 | 描述 |
|---|---|
| ActualAgent | 實際代理程式 |
| 位址 | 位址 |
| ApplicationArea | 應用程式區域 |
| CallbackFunction | 回調函式 |
| ClientID | ABAP 用戶端識別碼 (MANDT) |
| CreationDateTime | 建立日期時間 |
| 建立者 | 建立者 |
| CreatorAddress | 建立者位址 |
| ErrorType | 錯誤類型 |
| ExceptionforMethod | 方法的例外狀況 |
| Host | Host |
| 執行個體 | ABAP 實例 (HOST_SYSID_SYSNR),語法如下: <HOST>_<SYSID>_<SYSNR> |
| 語言 | 語言 |
| LogCounter | 記錄計數器 |
| MessageNumber | 訊息編號 |
| MessageType | 訊息類型 |
| MethodUser | 方法使用者 |
| 優先順序 | 優先順序 |
| SimpleContainer | 簡單容器,封裝為工作專案的索引鍵/值實體清單 |
| 狀態 | 狀態 |
| SuperWI | 超級WI |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| TaskID | 工作識別碼 |
| TasksClassification | 工作分類 |
| TaskText | 工作文字 |
| TopTaskID | 最上層工作標識碼 |
| UserCreated | 已建立使用者 |
| WIText | 工作項目文字 |
| WIType | 工作項目類型 |
| WorkflowAction | 工作流程動作 |
| WorkItemID | 工作項目識別碼 |
ABAP WorkProcess 記錄
若要將此記錄傳送至 Microsoft Sentinel,您必須 手動將其新增至 systemconfig.ini 檔案。
用於查詢此記錄的 Microsoft Sentinel 函式:SAPOS_WP
相關 SAP 檔: SAP 說明入口網站
記錄目的:結合所有工作進程記錄。 (預設值:
dev_*)。SAP Control Web Service 提供。 此記錄檔會透過所有客戶端的數據產生。
ABAPOS_WP_CL記錄架構
| 欄位 | 描述 |
|---|---|
| Host | Host |
| 執行個體 | ABAP 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| MessageText | 訊息文字 |
| 嚴重性 | 訊息嚴重性:Debug、、Info、 WarningError |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| WPNumber | 工作程序號碼 |
HANA DB 稽核記錄
若要將此記錄傳送至 Microsoft Sentinel,您必須 部署 Microsoft 管理代理程式 ,從執行 HANA DB 的電腦收集 Syslog 數據。
用於查詢此記錄的 Microsoft Sentinel 函式:SAPSyslog
記錄目的:記錄使用者動作,或 SAP HANA 資料庫中的嘗試動作。 例如,可讓您記錄和監視敏感數據的讀取許可權。
Sentinel Linux Agent for Syslog 提供。 此記錄檔會透過所有客戶端的數據產生。
Syslog 記錄架構
| 欄位 | 描述 |
|---|---|
| 電腦 | 主機名稱 |
| HostIP | 主機IP |
| HostName | 主機名稱 |
| ProcessID | 處理序識別碼 |
| ProcessName | 行程名稱: HDB* |
| SeverityLevel | 警示 |
| SourceSystem | 來源系統 OS、 Linux |
| SyslogMessage | 訊息,未剖析的稽核線索訊息 |
JAVA 檔案
若要將此記錄傳送至 Microsoft Sentinel,您必須 手動將其新增至 systemconfig.ini 檔案。
用於查詢此記錄的 Microsoft Sentinel 函式:SAPJAVAFilesLogs
相關 SAP 檔: 一般 | Java 安全性稽核記錄
記錄用途:結合所有以 Java 檔案為基礎的記錄,包括安全性稽核記錄和系統(叢集和伺服器進程)、效能和閘道記錄。 也包含開發人員追蹤和預設追蹤記錄。
SAP Control Web Service 提供。 此記錄檔會透過所有客戶端的數據產生。
JavaFilesLogsCL 記錄架構
| 欄位 | Description |
|---|---|
| 申請 | Java 應用程式 |
| ClientID | 用戶端識別碼 |
| CSNComponent | CSN 元件,例如 BC-XI-IBD |
| DCComponent | DC 元件,例如 com.sap.xi.util.misc |
| DSRCounter | DSR 計數器 |
| DSRRootContentID | DSR 內容 GUID |
| DSRTransaction | DSR 交易 GUID |
| Host | Host |
| 執行個體 | Java 實例,語法如下: <HOST>_<SYSID>_<SYSNR> |
| Location | Java 類別 |
| LogName | Java logName,例如: Available、 defaulttrace、 dev*、 security、 等等 |
| MessageText | 訊息文字 |
| MNo | 訊息編號 |
| Pid | 處理序識別碼 |
| 程式 | 計畫名稱 |
| 會議 | 會議 |
| 嚴重性 | 訊息嚴重性,包括: Debug、Info、Warning、Error |
| 解決方案 | 解決方案 |
| SystemID | 系統識別碼 |
| SystemNumber | 系統編號 |
| 執行緒名稱 | 執行緒名稱 |
| 扔 | 擲回例外狀況 |
| 時區 | 時區 |
| User | User |
SAP 活動訊號記錄檔
用於查詢此記錄的 Microsoft Sentinel 函式:SAP 連線 orHealth
記錄用途:提供代理程式與不同 SAP 系統之間連線的活動訊號和其他健康情況資訊。
針對適用於 SAP 數據連接器的 Microsoft Sentinel 的任何代理程式自動建立。
SAP_HeartBeat_CL記錄架構
| 欄位 | 描述 |
|---|---|
| TimeGenerated | 記錄張貼事件的時間 |
| agent_id_s | 代理程式設定中的代理程式識別碼 (自動產生) |
| agent_ver_s | 代理程式版本 |
| host_s | 代理程式的主機名 |
| system_id_s | Netweaver ABAP 系統識別碼 / Netweaver SAPControl 主機 (預覽) / Java SAPControl 主機 (預覽) |
| push_timestamp_d | 根據代理程式的時區,擷取的時間戳 |
| agent_timezone_s | 代理程式的時區 |
直接從 SAP 系統擷取的數據表
本節會列出直接從 SAP 系統擷取並內嵌至 Microsoft Sentinel 的數據表, 與它們完全相同。
若要讓這些數據表中的數據內嵌至 Microsoft Sentinel,請在 systemconfig.ini 檔案中設定相關的設定。 如需詳細資訊,請參閱 設定使用者主要數據收集。
從這些數據表擷取的數據可清楚檢視授權結構、群組成員資格和使用者配置檔。 它也可讓您追蹤授權授與和撤銷的程式,並識別及控管與這些程式相關聯的風險。
下表是啟用可識別具特殊許可權使用者、將用戶對應至角色、群組和授權的函式的必要條件。
如需最佳結果,請使用下列 Sentinel 函式名稱數據行中的名稱來參考這些數據表:
| 資料表名稱 | 數據表描述 | Sentinel 函式名稱 |
|---|---|---|
| USR01 | 使用者主要記錄 (執行時間資料) | SAP_USR01 |
| USR02 | 登入資料 (內核端使用) | SAP_USR02 |
| UST04 | 用戶主圖形 將使用者 地圖 配置檔 |
SAP_UST04 |
| AGR_USERS | 將角色指派給使用者 | SAP_AGR_USERS |
| AGR_1251 | 活動群組的授權數據 | SAP_AGR_1251 |
| USGRP_USER | 將使用者指派給使用者群組 | SAP_USGRP_USER |
| USR21 | 使用者名稱/位址金鑰指派 | SAP_USR21 |
| ADR6 | 電子郵件地址(商務地址服務) | SAP_ADR6 |
| USRSTAMP | 使用者所有變更的時間戳 | SAP_USRSTAMP |
| Adcp | 人員/位址指派(商務地址服務) | SAP_ADCP |
| USR05 | 使用者主要參數標識碼 | SAP_USR05 |
| AGR_PROF | 角色的配置檔名稱 | SAP_AGR_PROF |
| AGR_FLAGS | 角色屬性 | SAP_AGR_FLAGS |
| DEVACCESS | 開發用戶的數據表 | SAP_DEVACCESS |
| AGR_DEFINE | 角色定義 | SAP_AGR_DEFINE |
| AGR_AGRS | 複合角色中的角色 | SAP_AGR_AGRS |
| PAHI | 系統、資料庫和 SAP 參數的歷程記錄 | SAP_PAHI |
| SNCSYSACL (預覽) | SNC 存取控制 列表 (ACL): 系統 | SAP_SNCSYSACL |
| USRACL (預覽) | SNC 存取控制 清單 (ACL): 使用者 | SAP_USRACL |
下一步
如需詳細資訊,請參閱