Referenční informace k datům aplikací SAP® pro řešení Microsoft Sentinel
Důležité
Některé komponenty řešení Microsoft Sentinel Threat Monitoring for SAP jsou aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Některé protokoly, které jsou uvedené níže, se ve výchozím nastavení do Microsoft Sentinelu neodesílají, ale podle potřeby je můžete přidat ručně. Další informace najdete v tématu Definování protokolů SAP odesílaných do Microsoft Sentinelu.
Tento článek popisuje funkce, protokoly a tabulky dostupné jako součást řešení Microsoft Sentinel pro aplikace SAP® a jeho datový konektor. Je určená pro pokročilé uživatele SAP.
Funkce dostupné z řešení SAP
Tato část popisuje funkce , které jsou dostupné ve vašem pracovním prostoru po nasazení řešení Microsoft Sentinel pro aplikace SAP®. Tyto funkce najdete na stránce Protokoly Microsoft Sentinelu, která se použije v dotazech KQL uvedených v části Funkce pracovního prostoru.
Uživatelům se důrazně doporučuje používat funkce jako předměty analýzy, kdykoli je to možné, místo podkladových protokolů nebo tabulek. Tyto funkce slouží jako hlavní uživatelské rozhraní pro data. Tvoří základ pro všechna předdefinovaná analytická pravidla a sešity, které máte k dispozici. To umožňuje provádět změny datové infrastruktury pod funkcemi, aniž by došlo k narušení uživatelem vytvořeného obsahu.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAP Připojení orHealth
- SAP Připojení orOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
Funkce SAPUsersAssignments shromažďuje data z více zdrojů dat SAP a vytváří zobrazení aktuálních hlavních dat uživatelů, včetně aktuálně přiřazených rolí a profilů.
Tato funkce shrnuje přiřazení uživatelů k rolím a profilům a vrací následující data:
Pole | Popis | Zdroj dat / poznámky |
---|---|---|
Uživatelská | ID uživatele SAP | Pouze SAL |
Adresa SMTP | USR21 (SMTP_ADDR) | |
UserType | Typ uživatele | USR02 (USTYP) |
Časové pásmo | Časové pásmo | USR02 (TZONE) |
LockedStatus | Stav zámku | USR02 (UFLAG) |
LastSeenDate | Datum posledního výskytu | USR02 (TRDAT) |
LastSeenTime | Čas posledního zobrazení | USR02 (LTIME) |
UserGroupAuth | Skupina uživatelů v hlavní údržbě hlavního uživatele | USR02 (TŘÍDA) |
Profily | Sada profilů (výchozí maximální velikost sady = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | Sada přímo přiřazených rolí (výchozí maximální velikost sady = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Podřízenérole | Sada nepřímo přiřazených rolí (výchozí maximální velikost sady = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Klient | Client ID | |
ID systému | ID systému | Jak je definováno v konektoru |
SAPUsersGetPrivileged
Funkce SAPUsersGetPrivileged vrátí seznam privilegovaných uživatelů podle klienta a ID systému.
Uživatelé jsou považovaní za privilegované, pokud jsou uvedení v seznamu ke zhlédnutí SAP – Privileged Users, byli přiřazeni k profilu uvedenému v SEZNAMU citlivých profilů nebo byli přidáni do role uvedené v seznamu ke zhlédnutí citlivých rolí v SAP.
Parametry:
- TimeAgo
- Volitelné
- Výchozí hodnota: Sedm dní
- Určuje, že funkce hledá hlavní data uživatele z času definovaného
TimeAgo
hodnotou, dokud není čas definovanýnow()
hodnotou.
Funkce SAPUsersGetPrivileged vrátí následující data:
Pole | Popis |
---|---|
Uživatelská | ID uživatele SAP |
Klient | Client ID |
ID systému | ID systému |
SAPUsersAuthorizations
Funkce SAPUsersAuthorizations spojuje data z několika tabulek, aby se vytvořilo zobrazení aktuálních rolí a přiřazených autorizací orientovaných na uživatele. Vrátí se jenom uživatelé s aktivní rolí a přiřazením autorizace.
Parametry:
- TimeAgo
- Volitelné
- Výchozí hodnota: Sedm dní
- Určuje, že funkce hledá hlavní data uživatele z času definovaného
TimeAgo
hodnotou, dokud není čas definovanýnow()
hodnotou.
Funkce SAPUsersAuthorizations vrátí následující data:
Pole | Popis | Notes |
---|---|---|
Uživatelská | ID uživatele SAP | |
Role | Sada rolí (výchozí maximální velikost sady = 50) | ["Role 1", "Role 2",...,"Role 50"] |
AuthorizationsDetails | Sada autorizací (výchozí maximální velikost sady = 100) | {{AuthorizationsDeatils1} ,{AuthorizationsDeatils2} , ..., {AuthorizationsDeatils100}} |
Klient | Client ID | |
ID systému | ID systému |
SAP Připojení orHealth
Funkce SAP Připojení orHealth odráží stav připojení agenta a základního systému SAP. Na základě protokolu prezenčních signálu SAP_HeartBeat_CL a dalších indikátorech stavu vrátí následující data:
Pole | Popis |
---|---|
Agent | ID agenta v konfiguraci agenta (automaticky vygenerováno) |
ID systému | ID systému SAP |
Stav | Celkový stav připojení |
Detaily | podrobnosti o Připojení ivity |
ExtendedDetails | rozšířené podrobnosti o Připojení ivity |
LastSeen (Poslední přístup) | Časové razítko nejnovější aktivity |
StatusCode | Kód odrážející stav systému |
SAP Připojení orOverview
Funkce SAP Připojení orOverview zobrazuje počty řádků každé tabulky SAP na ID systému. Vrátí seznam datových záznamů podle ID systému a jejich čas vygenerovaný.
Parametry:
- TimeAgo
- Volitelné
- Výchozí hodnota: Sedm dní
- Určuje, že funkce hledá hlavní data uživatele z času definovaného
TimeAgo
hodnotou, dokud není čas definovanýnow()
hodnotou.
Pole | Popis |
---|---|
TimeGenerated | Hodnota datetime časového razítka generování záznamu |
SystemID_s | Řetězec představující ID systému SAP |
Pomocí následujícího dotazu Kusto proveďte denní analýzu trendu:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Funkce SAPUsersEmail umožňuje vyhledávání e-mailové adresy uživatele SAP na systém SAP a klienta, které se obvykle používá k přidružení k účtu služby Active Directory. Pomocí dat extrahovaných z tabulek SAP USR21 (přiřazení uživatelského jména nebo klíče adresy) a ADR6 (E-mailové adresy) vyhledá funkce SAPUsersEmail e-mailovou adresu. V případě, že se nenajde, vrátí se ID uživatele místo e-mailové adresy. Toto chování zajišťuje, že se účty služby SAP (například DDIC), které často nejsou přidružené k e-mailovým adresám, zaprotokolují jako pseudo účty AD, což umožňuje některé funkce UEBA, což pomáhá při vyšetřování incidentů a aktivit proaktivního vyhledávání.
Pole | Popis |
---|---|
Clientid | ID klienta SAP |
ID systému | ID systému SAP |
Uživatelská | ID uživatele SAP |
E-mailová adresa uživatele SAP |
SAPSystems
Funkce SAPSystems slouží k centrální prezentaci konfigurace pro jednotlivé systémy vytvořené pomocí seznamu ke zhlédnutí SAP - Systems.
Parametry:
- SelectedSystems
- Volitelné
- Výchozí hodnota: "Všechny systémy"
- Slouží k filtrování konkrétních systémů SAP.
- SelectedSystemRoles
- Volitelné
- Výchozí hodnota: Všechny systémové role
- Určuje role systémů SAP, na které se mají dívat (jak je definováno v seznamu ke zhlédnutí SAP – Systems).
Pole | Popis | Zdroj dat / poznámky |
---|---|---|
SearchKey | Search Key | Indexované pole pro ID systému SAP |
SystemRole | Role systému SAP | Produkční, UAT |
SystemUsage | Hlavní využití systému SAP | ERP, CRM |
ID systému | ID systému SAP |
SAPAuditLogConfiguration
Funkce SAPAuditLogConfiguration vrátí místní konfiguraci upozorňování protokolu auditu SAP pracovního prostoru Služby Sentinel, která se použije pro různé výstrahy související s protokolem auditu SAP. Spojí data v kontrolních znacích SAP Dynamic Audit Log Monitor Configuration (Konfigurace monitorování protokolů auditu SAP) a SAP - Systems (Systémy) a poskytuje konfiguraci jednotlivých systémů při úsilí o roli systému.
Parametry:
- SelectedSystems
- Volitelné
- Výchozí hodnota: "Všechny systémy"
- Používá se k filtrování konkrétních systémů SAP, na které se chcete podívat.
- SelectedSystemRoles
- Volitelné
- Výchozí hodnota: Všechny systémové role
- Určuje role systémů SAP, na které se mají dívat (jak je definováno v seznamu ke zhlédnutí SAP – Systems).
- SelectedSeverities
- Volitelné
- Výchozí hodnota: ["Vysoká", "Střední"]
- Používá se k určení událostí, na které se mají podívat z hlediska jejich závažností. Závažnosti podle ID zprávy protokolu auditu SAP a systémové role jsou definovány v seznamu ke zhlédnutí "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedRuleTypes
- Volitelné
- Výchozí hodnota: All RuleTypes
- Určuje, jaké události jsou relevantní pro detekci anomálií. Typy pravidel na ID zprávy protokolu auditu SAP a role systému jsou definovány v seznamu ke zhlédnutí "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Pole | Popis | Zdroj dat / poznámky |
---|---|---|
CategoryName | Sap given event category | Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration |
Cílová pošta | E-mailová adresa přiřazeného týmu | Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration |
Podrobný popis | Formátovaný text Markdownu, který se má zobrazit u výstrah | Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration |
Messageid | ID zprávy protokolu auditu SAP | Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration |
Text zprávy | Ukázkový text zprávy | Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration |
RoleTagsToExclude | jazyk ABAP role, profilu nebo značky volného textu | Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration |
RuleType | Anomálie nebo deterministické | Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration |
Taktika | Taktika MITRE ATTA&CK | Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration |
TeamsChannelID | Kanál Teams | Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration |
ID systému | ID systému SAP | Seznam ke zhlédnutí SAP – Systems |
SystemRole | Role systému SAP | Seznam ke zhlédnutí SAP – Systems |
SystemUsage | Hlavní využití systému SAP | Seznam ke zhlédnutí SAP – Systems |
IsProd | Příznak produkčního systému | Seznam ke zhlédnutí SAP – Systems |
Závažnost | Odvozená závažnost | Závažnost na využití systému |
Prahová hodnota | Odvozená prahová hodnota | Počet událostí na systémové využití |
BagOfDetails | Taška s podrobnostmi | Slovník podrobně popisující definici události |
SAPAuditLogAnomalies
SAPAuditLogAnomalies využívá integrované funkce strojového učení od služby Sentinel podkladové databáze Kusto, které pomáhají zjišťovat neobvyklé události zjištěné v protokolu auditu SAP. Tato funkce byla původně navržena tak, aby upozorňovala na nedávné anomálie na nedávných anomáliích, ale může také pomoct zvýraznit historické anomálie (viz příklady níže).
Parametry:
- Učení Time
- Volitelné
- Výchozí hodnota: 14 dní
- Určuje časový rozsah použitý pro učení modelu.
- DetectingTime
- Volitelné
- Výchozí hodnota: Jedna hodina
- Určuje časový rozsah, na který se má hledat zjišťování anomálií. Volání této funkce s funkcí DetectingTime = 0h zvýrazní anomálie v celém časovém intervalu Učení Time.
- SelectedSystems
- Volitelné
- Výchozí hodnota: "Všechny systémy"
- Používá se k filtrování konkrétních systémů SAP, na které se chcete podívat.
- SelectedSystemRoles
- Volitelné
- Výchozí hodnota: Všechny systémové role
- Určuje role systémů SAP, na které se mají dívat (jak je definováno v seznamu ke zhlédnutí SAP – Systems).
- SelectedSeverities
- Volitelné
- Výchozí hodnota: ["Vysoká", "Střední"]
- Používá se k určení událostí, na které se mají podívat z hlediska jejich závažností. Závažnosti podle ID zprávy protokolu auditu SAP a systémové role jsou definovány v seznamu ke zhlédnutí "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedPrefixMask
- Volitelné
- Výchozí hodnota: 24
- Používá se k určení úrovně masky podsítě používané pro učení a zjišťování.
- SelectedRuleTypes
- Volitelné
- Výchozí hodnota: AnomaliesOnly
- Určuje, jaké události jsou relevantní pro detekci anomálií. Typy pravidel na ID zprávy protokolu auditu SAP a role systému jsou definovány v seznamu ke zhlédnutí "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Logika
Funkce se učí řez historie definovaný různými vstupními parametry na úrovni uživatele, atributů sítě, systému, sezónnosti a aktivit. Následně posuzuje události, ke kterým dochází v posledním časovém intervalu DetectingTime podle toho, co se naučilo, použití prahových hodnot a dalších konfigurovatelných kritérií vyloučení získaných ze seznamu ke zhlédnutí konfigurace protokolu auditu SAP. Jakmile se posuvné okno aktivity uživatele považuje za neobvyklé, druhý dotaz vrátí celou aktivitu uživatele jako důkaz, který podporuje rozhodnutí.
Další poznámky
Stejně jako u jakéhokoli řešení strojového učení funguje tato funkce lépe s časem. Další úpravy je možné provést pomocí místní konfigurace. Pomocí mnoha dostupných vstupních parametrů doporučujeme omezit velikost naučené databáze na méně než 100 milionů záznamů.
Příklad: Hledání anomálií pro události s vysokou závažností, ke kterým došlo během poslední hodiny v produkčních systémech, pro typy událostí, které jsou v "SAP_Dynamic_Audit_Log_Monitor_Configuration" označené jako "AnomálieOnly".
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Příklad: Hledání všech anomálií za posledních 14 dnů v systému BIP
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Pole | Popis |
---|---|
Více polí ze SAPAuditLogu | Klíčová pole z protokolu auditu SAP |
Více polí ze sapAuditLogConfiguration | Klíčová pole ze služby Sentinel pro konfiguraci protokolu auditu SAP |
Zjištěnýon | Zaokrouhlená hodina, na které byla zjištěna anomálie |
EventCount | Počet vrácených událostí na řádek |
AnomalCount | Počet událostí pozorovaných v relevantním posuvném okně |
MinTime | Čas první zjištěné události |
MaxTime | Čas poslední zjištěné události |
Skóre | skóre anomálií vytvořené modelem anomálií |
Další informace najdete v integrovaných analytických pravidlech SAP pro monitorování protokolu auditu SAP.
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend je pomocná funkce navržená tak, aby nabízela doporučení pro konfiguraci analytického pravidla monitorování protokolů auditu založeného na dynamických anomáliích (PREVIEW). Zjistěte, jak nakonfigurovat pravidla.
SAPUsersGetVIP
Řešení Microsoft Sentinel pro aplikace SAP® používá koncept centrálních uživatelských značek a explicitních vyloučení navržených tak, aby vám pomohl snížit falešně pozitivní výsledky s minimálním úsilím. Pomocí funkce SAPUsersGetVIP vyloučíte uživatele z aktivaci výstrah zadáním uživatelských rolí SAP, uživatelských funkcí SAP nebo značek, které představují tyto uživatele. Další informace najdete v tématu Zpracování falešně pozitivních výsledků v Microsoft Sentinelu.
Značky zadané jako vstup pro funkci SAPUsersGetVIP vylučují všechny uživatele se značkou uvedenou v seznamu ke zhlédnutí SAP_User_Config . Stejná funkce je rozšířena tak, aby fungovala se zástupnými znamény, což umožňuje přiřadit jednu značku skupině uživatelů se stejnou syntaxí pojmenování.
Označte uživatele v seznamu ke zhlédnutí SAP_User_Config následujícím způsobem:
Podle potřeby přidejte ke každému uživateli v seznamu ke zhlédnutí SAP_User_Config více značek, aby bylo možné pokrýt různé scénáře. Každé pravidlo upozornění má vlastní relevantní značky, pokud nějaké, a podle potřeby můžete přidat vlastní značky.
Pomocí hvězdičky (*) jako zástupné dokumentace můžete zahrnout uživatele s konkrétní šablonou syntaxe pojmenování.
Přidejte do analytických pravidel funkci SAPUsersGetVIP a požádejte o seznamy uživatelů, které jste definovali tak, aby byly vyloučeny z výstrah. Ve volání funkce přidejte pole se značkami, rolemi SAP a profily SAP, které chcete vyloučit.
Pomocí následujícího dotazu KQL v analytickém pravidlu můžete například vyloučit všechny uživatele nakonfigurované značkou RunObsoleteProgOK v seznamu ke zhlédnutí SAP_User_Config nebo libovolným uživatelům s ukázkovou rolí SAP_BASIS_ADMIN_ROLE nebo ukázkovým profilem SAP_ADMIN_PROFILE.
Při kopírování tohoto ukázkového volání funkce nahraďte SAP_BASIS_ADMIN_ROLE role a SAP_ADMIN_PROFILE profil vlastními rolemi nebo profily SAP podle potřeby.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Funkce SAPUsersGetVIP se běžně používá v upozorněních deterministického a neobvyklého monitorování protokolu auditu. Přidružte značku k ID zprávy protokolu auditu SAP nebo rozšiřte šablonu pravidla na vlastní pravidlo, které odpovídá potřebám vaší organizace.
Tip
Doporučujeme kontaktovat správce systému SAP, abyste pochopili, kteří uživatelé, role a profily SAP mají být součástí vašeho seznamu ke zhlédnutí SAP_User_Config .
Parametry:
Název | Popis | Default value |
---|---|---|
SearchForTags (volitelné) | Když SearchForTags se rovná All Tags , vrátí se všichni uživatelé spolu se značkami. V opačném případě se vrátí pouze uživatelé se značkami, rolemi SAP nebo profily SAP zadanými v SearchForTags . TagsIntersect zobrazuje nalezené značky a IntersectionSize obsahuje počet nalezených značek. |
dynamic('All Tags') |
SpecialFocusTags (volitelné) | Vrátí všechny uživatele, kteří mají značky uvedené v SpecialFocusTags , a označí je specialFocusTagged = true . |
Do not return any in-focus users |
Source | Pole | Popis | Notes |
---|---|---|---|
Seznam ke zhlédnutí SAP_User_Config | SearchKey | Search Key | |
Seznam ke zhlédnutí SAP_User_Config | SAPUser | Uživatel SAP | OSS, DDIC |
Seznam ke zhlédnutí SAP_User_Config | Značky | Řetězec značek přiřazených uživateli | RunObsoleteProgOK |
Seznam ke zhlédnutí SAP_User_Config | ID objektu Microsoft Entra uživatele | ID objektu Microsoft Entra | |
Seznam ke zhlédnutí SAP_User_Config | Identifikátor uživatele | Identifikátor uživatele AD | |
Seznam ke zhlédnutí SAP_User_Config | Místní sid uživatele | ||
Seznam ke zhlédnutí SAP_User_Config | Hlavní název uživatele (UPN) | ||
Seznam ke zhlédnutí SAP_User_Config | TagsList | Seznam značek přiřazených uživateli | ChangeUserMasterDataOK; RunObsoleteProgOK |
Logika | TagsIntersect | Sada značek, které odpovídaly značkám SearchForTags | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Logika | SpecialFocusTagged | Zvláštní indikace fokusu | True, False |
Logika | Průnik | Počet protínaných značek |
SAPUsersHeader
Funkce SAPUsersHeader je navržená tak, aby poskytovala základní zobrazení uživatele SAP. Používá data extrahovaná z hlavních tabulek dat uživatele SAP i nedávné aktivity v protokolu auditu SAP ke shromažďování e-mailů a IP adres. Pak vrátí poslední známou e-mailovou adresu a IP adresy spolu s primárními e-maily a IP adresami. Parametry: SelectedSystemRoles:dynamic = dynamic(["Všechny systémové role"]) SelectedSystems:dynamic = dynamic(["Všechny systémy"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- Volitelné
- Výchozí hodnota: "Všechny systémy"
- Používá se k filtrování konkrétních systémů SAP, na které se chcete podívat.
- SelectedSystemRoles
- Volitelné
- Výchozí hodnota: Všechny systémové role
- Určuje role systémů SAP, na které se mají dívat (jak je definováno v seznamu ke zhlédnutí SAP – Systems).
- SelectedUsers
- Volitelné
- Výchozí hodnota: Všichni uživatelé
- Může zadat seznamy uživatelů.
- SelectedUser
- Volitelné
- Výchozí hodnota: Všichni uživatelé
- Přijímá pouze jednoho uživatele.
Další poznámky
V případě důležitých informací o výkonu se zvažují pouze několik dnů auditování. Pro úplnou historii aktivity uživatele spusťte vlastní dotaz KQL na funkci SAPAuditLog.
Source | Pole | Popis | Notes |
---|---|---|---|
Uživatelská | Uživatel SAP | ||
Tabulky SAP ADR6 a USR21 | Převzato z hlavních dat uživatele | OSS, DDIC | |
Tabulka SAP USR02 | UserType | řetězec značek přiřazených uživateli | RunObsoleteProgOK |
Tabulka SAP USR02 | Časové pásmo | ID objektu Microsoft Entra | |
Tabulka SAP USR02 | LockedStatus | Identifikátor uživatele AD | |
Protokol auditu SAP | LastSeen (Poslední přístup) | Časové razítko | Poslední zjištěná událost auditu pro uživatele |
Protokol auditu SAP | LastSeenDaysAgo | od lastseen uplynuly dny | |
Protokol auditu SAP | Primární IP adresa | Nejčastěji používané IP adresy | ChangeUserMasterDataOK; RunObsoleteProgOK |
Protokol auditu SAP | LastKnownIP | Naposledy použitá IP adresa | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Protokol auditu SAP | PrimaryEmail | Nejčastěji používané e-mailové adresy | True, False |
Protokol auditu SAP | Známé IP adresy | Seznam známých IP adres | seřazeno podle nejčastěji používaného prvního |
Protokol auditu SAP | Známé e-maily | Seznam známých e-mailových adres | seřazeno podle nejčastěji používaného prvního |
Klient | ID klienta SAP | ||
ID systému | ID systému SAP | ||
SystemRole | Role systému SAP | Produkční, UAT | |
SystemUsage | Hlavní využití systému SAP | ERP, CRM |
Protokoly vytvořené agentem datového konektoru
Tato část popisuje protokoly SAP dostupné z řešení Microsoft Sentinel pro datový konektor aplikací SAP®, včetně názvů tabulek v Microsoft Sentinelu, účelů protokolů a podrobných schémat protokolů. Popisy polí schématu jsou založené na popisech polí v příslušné dokumentaci SAP.
Nejlepších výsledků dosáhnete pomocí níže uvedených funkcí Služby Microsoft Sentinel k vizualizaci, přístupu k datům a jejich dotazování.
- protokol aplikace jazyk ABAP
- protokol změn dokumentů jazyk ABAP
- protokol CR jazyk ABAP
- protokol dat tabulky jazyk ABAP DB (PREVIEW)
- protokol brány jazyk ABAP (PREVIEW)
- jazyk ABAP protokolu ICM (PREVIEW)
- protokol úloh jazyk ABAP
- protokol auditu zabezpečení jazyk ABAP
- protokol fondu jazyk ABAP
- Výstupní protokol fondu APAB
- jazyk ABAP SysLog
- protokol pracovního postupu jazyk ABAP
- protokol jazyk ABAP WorkProcess
- Záznam auditu databáze HANA
- Soubory JAVA
- Protokol prezenčního signálu SAP
protokol aplikace jazyk ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPAppLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Zaznamenává průběh provádění aplikace, abyste ho mohli později podle potřeby rekonstruovat.
K dispozici pomocí RFC na základě standardní tabulky SAP a standardních služeb rozhraní XBP. Tento protokol se vygeneruje na klienta.
schéma protokolu jazyk ABAP AppLog_CL
Pole | Popis |
---|---|
AppLogDateTime | Datum a čas protokolu aplikace |
CallbackProgram | Program zpětného volání |
CallbackRoutine | Rutina zpětného volání |
CallbackType | Typ zpětného volání |
Clientid | ID klienta jazyk ABAP (MANDT) |
ContextDDIC | Kontextová struktura DDIC |
ExternalID | ID externího protokolu |
Hostitelský počítač | Hostitelský počítač |
Instance | jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Sériové zprávy protokolu aplikace |
LevelofDetail | Úroveň podrobností |
LogHandle | Popisovač protokolu aplikace |
LogNumber | Číslo protokolu |
MessageClass | Message – třída |
MessageNumber | Číslo zprávy |
Text zprávy | Text zprávy |
Messagetype | Typ zprávy |
Object | Objekt protokolu aplikace |
OperationMode | Režim operace |
ProblemClass | Třída problému |
Název programu | Název programu |
SortCriterion | Kritérium řazení |
Standardní text | Standardní text |
Podobjekt | Dílčí objekt protokolu aplikace |
ID systému | ID systému |
Číslo systému | Číslo systému |
TransactionCode | Kód transakce |
Uživatelská | Uživatelská |
UserChange | Změna uživatele |
protokol změn dokumentů jazyk ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPChangeDocsLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Záznamy:
Aplikační server SAP NetWeaver (AS) jazyk ABAP změny protokolu objektů obchodních dat v dokumentech změn.
Jiné entity v systému SAP, jako jsou uživatelská data, role, adresy.
K dispozici pomocí RFC na základě standardních tabulek SAP. Tento protokol se vygeneruje na klienta.
schéma protokolu jazyk ABAP ChangeDocsLog_CL
Pole | Popis |
---|---|
ActualChangeNum | Skutečné číslo změny |
ChangedTableKey | Změna klíče tabulky |
ChangeNumber | Změnit číslo |
Clientid | ID klienta jazyk ABAP (MANDT) |
CreatedfromPlannedChange | Vytvořeno z plánované změny v následující syntaxi: (‘X’ , ‘ ‘) |
CurrencyKeyNew | Klíč měny: nová hodnota |
CurrencyKeyOld | Klíč měny: stará hodnota |
Fieldname | Název pole |
FlagText | Text příznaku |
Hostitelský počítač | Hostitelský počítač |
Instance | jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR> |
Jazyk | Jazyk |
ObjectClass | Třída objektu, například BELEG , BPAR , PFCG IDENTITY |
ObjectID | ID objektu |
PlannedChangeNum | Plánované číslo změny |
ID systému | ID systému |
Číslo systému | Číslo systému |
TableName | Název tabulky |
TransactionCode | Kód transakce |
TypeofChange_Header | Typ změny záhlaví, včetně: U = Změnit; I = Vložit; E = Odstranit jeden dokument; D = Odstranit; J = Vložit jeden dokumentu |
TypeofChange_Item | Typ změny položky, včetně: U = Změnit; I = Vložit; E = Odstranit jeden dokument; D = Odstranit; J = Vložit jeden dokumentu |
UOMNew | Měrná jednotka: nová hodnota |
UOMOld | Měrná jednotka: stará hodnota |
Uživatelská | Uživatelská |
ValueNew | Obsah pole: nová hodnota |
ValueOld | Obsah pole: stará hodnota |
Verze | Verze |
protokol CR jazyk ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPCRLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Zahrnuje protokoly CTS (Change &Transport System), včetně objektů adresáře a přizpůsobení, kde byly provedeny změny.
K dispozici pomocí RFC na základě standardních tabulek a standardních služeb SAP. Tento protokol se generuje s daty napříč všemi klienty.
Poznámka:
Kromě protokolování aplikace, změn dokumentů a záznamu tabulek jsou všechny změny provedené v produkčním systému pomocí systému změn a přenosu dokumentovány v protokolech CTS a TMS.
schéma protokolu jazyk ABAP CRLog_CL
Pole | popis |
---|---|
Kategorie | Kategorie (Workbench, Přizpůsobení) |
Clientid | ID klienta jazyk ABAP (MANDT) |
Popis | Popis |
Host | Hostitelský počítač |
Instance | jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR> |
ObjectName | Object name |
Objecttype | Object type |
Vlastník | Vlastník |
Žádost | Změnit požadavek |
Stav | Stav |
ID systému | ID systému |
Číslo systému | Číslo systému |
TableKey | Klíč tabulky |
TableName | Název tabulky |
Viewname | Název zobrazení |
protokol dat tabulky jazyk ABAP DB (PREVIEW)
Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.ini.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPTableDataLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Poskytuje protokolování pro tabulky, které jsou kritické nebo náchylné k auditům.
K dispozici pomocí RFC s vlastní službou. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu jazyk ABAP TableDataLog_CL
Pole | Popis |
---|---|
DBLogID | ID protokolu databáze |
Hostitelský počítač | Hostitelský počítač |
Instance | jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR> |
Jazyk | Jazyk |
LogKey | Klíč protokolu |
Newvalue | Nová hodnota pole |
Oldvalue | Stará hodnota pole |
OperationTypeSQL | Typ operace, Insert , Update , Delete |
Program | Název programu |
ID systému | ID systému |
Číslo systému | Číslo systému |
TableField | Pole tabulky |
TableName | Název tabulky |
TransactionCode | Kód transakce |
UserName | Uživatelská |
VersionNumber | Číslo verze |
protokol brány jazyk ABAP (PREVIEW)
Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.ini.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPOS_GW
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Monitoruje aktivity brány. K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu jazyk ABAP OS_GW_CL
Pole | Popis |
---|---|
Host | Hostitelský počítač |
Instance | jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR> |
Text zprávy | Text zprávy |
Závažnost | Závažnost zprávy: Debug , Info , Warning Error |
ID systému | ID systému |
Číslo systému | Číslo systému |
jazyk ABAP protokolu ICM (PREVIEW)
Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.ini.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPOS_ICM
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Zaznamenává příchozí a odchozí požadavky a kompiluje statistiky požadavků HTTP.
K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu jazyk ABAP OS_ICM_CL
Pole | Popis |
---|---|
Host | Hostitelský počítač |
Instance | jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR> |
Text zprávy | Text zprávy |
Závažnost | Závažnost zprávy, včetně: Debug , Info , Warning Error |
ID systému | ID systému |
Číslo systému | Číslo systému |
protokol úloh jazyk ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPJobLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Kombinuje všechny protokoly úloh zpracování na pozadí (SM37).
K dispozici pomocí RFC na základě standardní tabulky SAP a standardních služeb rozhraní XBP. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu jazyk ABAP JobLog_CL
Pole | Popis |
---|---|
jazyk ABAP Program | program jazyk ABAP |
BgdEventParameters | Parametry události na pozadí |
BgdProcessingEvent | Událost zpracování na pozadí |
Clientid | ID klienta jazyk ABAP (MANDT) |
DynproNumber | Číslo Dynpro |
GuiStatus | Stav grafického uživatelského rozhraní |
Hostitelský počítač | Hostitelský počítač |
Instance | jazyk ABAP instance (HOST_SYSID_SYSNR) v následující syntaxi:<HOST>_<SYSID>_<SYSNR> |
JobClassification | Klasifikace úloh |
JobCount | Počet úloh |
JobGroup | Skupina úloh |
Název úlohy | Název úlohy |
JobPriority | Priorita úloh |
MessageClass | Message – třída |
MessageNumber | Číslo zprávy |
Text zprávy | Text zprávy |
Messagetype | Typ zprávy |
ReleaseUser | Uživatel verze úlohy |
SchedulingDateTime | Plánování data a času |
StartDateTime | Počáteční datum a čas |
ID systému | ID systému |
Číslo systému | Číslo systému |
Cílový server | Cílový server |
Uživatelská | Uživatelská |
UserReleaseInstance | instance jazyk ABAP – verze uživatele |
WorkProcessID | ID pracovního procesu |
WorkProcessNumber | Číslo pracovního procesu |
protokol auditu zabezpečení jazyk ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPAuditLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Zaznamenává následující data:
- Změny související se zabezpečením v systémovém prostředí SAP, například změny hlavních záznamů uživatelů
- Informace, které poskytují vyšší úroveň dat, jako jsou úspěšné a neúspěšné pokusy o přihlášení
- Informace, které umožňují obnovení řady událostí, jako jsou úspěšné nebo neúspěšné spuštění transakce
K dispozici pomocí rozhraní RFC XAL/SAL. Sal je k dispozici od verze Basis 7.50. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu jazyk ABAP AuditLog_CL
Pole | Popis |
---|---|
jazyk ABAP ProgramName | Název programu, pouze SAL |
Výstrahy bez ohledu na to | Závažnost výstrahy |
AlertSeverityText | Text závažnosti výstrahy, pouze SAL |
AlertValue | Hodnota upozornění |
AuditClassID | Auditování ID třídy, pouze SAL |
Clientid | ID klienta jazyk ABAP (MANDT) |
Počítač | Uživatelský počítač, pouze SAL |
E-mail uživatele | |
Hostitelský počítač | Hostitelský počítač |
Instance | jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR> |
MessageClass | Message – třída |
MessageContainerID | ID kontejneru zpráv, pouze XAL |
Messageid | ID zprávy, například ‘AU1’,’AU2’… |
Text zprávy | Text zprávy |
MonitoringObjectName | Název objektu monitorování MTE, pouze XAL |
MonitorShortName | Krátký název nástroje MTE Monitor, pouze XAL |
SAPProcesType | Systémový protokol: Typ procesu SAP, pouze SAL |
B* – Zpracování na pozadí | |
D* – Zpracování dialogů | |
U* – Aktualizace úkolů | |
SAPWPName | Systémový protokol: Číslo pracovního procesu, pouze SAL |
ID systému | ID systému |
Číslo systému | Číslo systému |
TerminalIPv6 | IP adresa uživatelského počítače, pouze SAL |
TransactionCode | Kód transakce, pouze SAL |
Uživatelská | Uživatelská |
Proměnná 1 | Proměnná zprávy 1 |
Proměnná 2 | Proměnná zprávy 2 |
Proměnná 3 | Proměnná zprávy 3 |
Proměnná 4 | Proměnná zprávy 4 |
protokol fondu jazyk ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPSpoolLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Slouží jako hlavní protokol pro tisk SAP s historií žádostí o zařazování. (SP01).
K dispozici pomocí RFC na základě standardní tabulky SAP. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu jazyk ABAP SpoolLog_CL
Pole | Popis |
---|---|
ArchiveStatus | Stav archivu |
ArchiveType | Typ archivu |
ArchivaceDevice | Archivace zařízení |
Automatické restartování | Automatické přesměrování |
Clientid | ID klienta jazyk ABAP (MANDT) |
CountryKey | Klíč země |
DeleteSpoolRequestAuto | Automatické odstranění žádosti o zařazování |
DelFlag | Příznak odstranění |
Oddělení | Oddělení |
DocumentType | Typ dokumentu |
ExternalMode | Externí režim |
Formattype | Typ formátu |
Hostitelský počítač | Hostitelský počítač |
Instance | jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR> |
NumofCopies | Počet kopií |
OutputDevice | Výstupní zařízení |
PrinterLongName | Dlouhý název tiskárny |
PrintImmediately | Tisk okamžitě |
PrintOSCoverPage | Tisk stránky OSCover |
PrintSAPCoverPage | Tisk stránky SAPCover |
Priorita | Priorita |
RecipientofSpoolRequest | Příjemce žádosti o zařazování |
SpoolErrorStatus | Stav chyby fondu |
SpoolRequestCompleted | Žádost o fond byla dokončena. |
SpoolRequestisALogForAnotherRequest | Žádost o fond je protokol pro jiný požadavek. |
SpoolRequestName | Název žádosti o fond |
SpoolRequestNumber | Číslo žádosti o fond |
SpoolRequestSuffix1 | Přípona žádosti o fond 1 |
SpoolRequestSuffix2 | Přípona žádosti o fond 2 |
SpoolRequestTitle | Název žádosti o fond |
ID systému | ID systému |
Číslo systému | Číslo systému |
TelecommunicationsPartner | Telekomunikační partner |
TelecommunicationsPartnerE | Telekomunikační partner E |
TemSeGeneralcounter | Čítač Temse |
TemseNumAddProtectionRule | Přidání pravidla ochrany číslo Temse |
TemseNumChangeProtectionRule | Pravidlo ochrany čísel Temse |
TemseNumDeleteProtectionRule | Pravidlo ochrany odstranění čísla Temse |
TemSeObjectName | Název objektu Temse |
TemSeObjectPart | TemSe – část objektu |
TemseReadProtectionRule | Pravidlo ochrany čtení Temse |
Uživatelská | Uživatelská |
ValueAuthCheck | Kontrola ověřování hodnot |
Výstupní protokol fondu APAB
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPSpoolOutputLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Slouží jako hlavní protokol pro tisk SAP s historií žádostí o výstup zařazování. (SP02).
K dispozici pomocí RFC s vlastní službou založenou na standardních tabulkách. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu jazyk ABAP SpoolOutputLog_CL
Pole | Popis |
---|---|
AppServer | Aplikační server |
Clientid | ID klienta jazyk ABAP (MANDT) |
Komentář | Komentář |
CopyCount | Počet kopírování |
CopyCounter | Kopírovat čítač |
Oddělení | Oddělení |
ErrorSpoolRequestNumber | Číslo žádosti o chybu |
Formattype | Typ formátu |
Hostitelský počítač | Hostitelský počítač |
Název hostitele | Název hostitele |
ID zařazování hostitelů | ID zařazování hostitelů |
Instance | instance jazyk ABAP |
LastPage | Poslední stránka |
NumofCopies | Počet kopií |
OutputDevice | Výstupní zařízení |
OutputRequestNumber | Číslo výstupního požadavku |
OutputRequestStatus | Stav výstupní žádosti |
PhysicalFormatType | Typ fyzického formátu |
PrinterLongName | Dlouhý název tiskárny |
PrintRequestSize | Velikost žádosti o tisk |
Priorita | Priorita |
ReasonforOutputRequest | Důvod žádosti o výstup |
RecipientofSpoolRequest | Příjemce žádosti o zařazování |
SpoolNumberofOutputReqProcessed | Počet výstupních požadavků – zpracované |
SpoolNumberofOutputReqWithErrors | Počet výstupních požadavků – s chybami |
SpoolNumberofOutputReqWithProblems | Počet výstupních požadavků – s problémy |
SpoolRequestNumber | Číslo žádosti o fond |
StartPage | Úvodní stránka |
ID systému | ID systému |
Číslo systému | Číslo systému |
TelecommunicationsPartner | Telekomunikační partner |
TemSeGeneralcounter | Čítač Temse |
Nadpis | Nadpis |
Uživatelská | Uživatelská |
jazyk ABAP Syslog
Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.ini.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPOS_Syslog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Zaznamenává všechny systémové chyby, upozornění, zámky uživatelů, kvůli neúspěšným pokusům o přihlášení od známých uživatelů a zpracování zpráv jazyk ABAP systému.
K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu jazyk ABAP OS_Syslog_CL
Pole | Popis |
---|---|
Clientid | ID klienta jazyk ABAP (MANDT) |
Hostitelský počítač | Hostitelský počítač |
Instance | jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR> |
MessageNumber | Číslo zprávy |
Text zprávy | Text zprávy |
Závažnost | Závažnost zprávy, jedna z následujících hodnot: Debug , Info , Warning , Error |
ID systému | ID systému |
Číslo systému | Číslo systému |
TransacationCode | Kód transakce |
Typ | Typ procesu SAP |
Uživatelská | Uživatelská |
protokol pracovního postupu jazyk ABAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPWorkflowLog
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Pracovní postup SAP Business (WebFlow Engine) umožňuje definovat obchodní procesy, které ještě nejsou mapovány v systému SAP.
Nemapované obchodní procesy mohou být například jednoduché postupy vydávání nebo schvalování nebo složitější obchodní procesy, jako je vytvoření základního materiálu a následná koordinace přidružených oddělení.
K dispozici pomocí RFC na základě standardních tabulek SAP. Tento protokol se vygeneruje na klienta.
schéma protokolu jazyk ABAP WorkflowLog_CL
Pole | Popis |
---|---|
ActualAgent | Skutečný agent |
Adresa | Adresa |
ApplicationArea | Oblast aplikace |
CallbackFunction | Funkce zpětného volání |
Clientid | ID klienta jazyk ABAP (MANDT) |
CreationDateTime | Datum vytvoření |
Tvůrce | Tvůrce |
CreatorAddress | Adresa autora |
ErrorType | Typ chyby |
ExceptionforMethod | Výjimka pro metodu |
Hostitelský počítač | Hostitelský počítač |
Instance | jazyk ABAP instance (HOST_SYSID_SYSNR) v následující syntaxi:<HOST>_<SYSID>_<SYSNR> |
Jazyk | Jazyk |
LogCounter | Čítač protokolů |
MessageNumber | Číslo zprávy |
Messagetype | Typ zprávy |
MethodUser | Uživatel metody |
Priorita | Priorita |
SimpleContainer | Jednoduchý kontejner, zabalený jako seznam entit klíč-hodnota pro pracovní položku |
Stav | Stav |
SuperWI | Super WI |
ID systému | ID systému |
Číslo systému | Číslo systému |
Taskid | ID úlohy |
TasksClassification | Klasifikace úkolů |
Text úkolu | Text úkolu |
TopTaskID | ID hlavního úkolu |
UserCreated | Uživatel vytvořil |
WIText | Text pracovní položky |
TYP WI | Typ pracovní položky |
WorkflowAction | Akce pracovního postupu |
WorkItemID | ID pracovní položky |
protokol jazyk ABAP WorkProcess
Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.ini.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPOS_WP
Související dokumentace k SAP: Portál nápovědy SAP
Účel protokolu: Kombinuje všechny protokoly pracovních procesů. (výchozí:
dev_*
).K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.
schéma protokolu jazyk ABAP OS_WP_CL
Pole | Popis |
---|---|
Host | Hostitelský počítač |
Instance | jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR> |
Text zprávy | Text zprávy |
Závažnost | Závažnost zprávy: Debug , Info , Warning Error |
ID systému | ID systému |
Číslo systému | Číslo systému |
WPNumber | Číslo pracovního procesu |
Záznam auditu databáze HANA
Pokud chcete, aby se tento protokol odesílal do Služby Microsoft Sentinel, musíte nasadit agenta Microsoft Management Agent pro shromažďování dat Syslogu z počítače se spuštěnou databází HANA.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPSyslog
Související dokumentace k SAP: General | Audit Trail
Účel protokolu: Zaznamenává akce uživatelů nebo pokusy o akce v databázi SAP HANA. Umožňuje například protokolovat a monitorovat přístup pro čtení k citlivým datům.
K dispozici agentem Služby Sentinel pro Linux pro Syslog. Tento protokol se generuje s daty napříč všemi klienty.
Schéma protokolu Syslog
Pole | Popis |
---|---|
Počítač | Název hostitele |
HostIP | IP adresa hostitele |
Název hostitele | Název hostitele |
ProcessID | Process ID |
ProcessName | Název procesu: HDB* |
SeverityLevel | Výstrahy |
SourceSystem | Operační systém zdrojového systému, Linux |
SyslogMessage | Message, unparsed audit trail message |
Soubory JAVA
Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.ini.
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPJAVAFilesLogs
Související dokumentace k SAP: Obecný | protokol auditu zabezpečení Javy
Účel protokolu: Kombinuje všechny protokoly založené na souborech Java, včetně protokolů auditu zabezpečení a systému (clusteru a serveru), výkonu a protokolů brány. Zahrnuje také trasování pro vývojáře a výchozí protokoly trasování.
K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.
Schéma protokolu JavaFilesLogsCL
Pole | Popis |
---|---|
Aplikace | Aplikace v Javě |
Clientid | Client ID |
CSNComponent | Komponenta CSN, například BC-XI-IBD |
DcComponent | Komponenta DC, například com.sap.xi.util.misc |
DSRCounter | Čítač DSR |
DSRRootContentID | IDENTIFIKÁTOR GUID kontextu DSR |
DSRTransaction | IDENTIFIKÁTOR GUID transakce DSR |
Hostitelský počítač | Hostitelský počítač |
Instance | Instance Java v následující syntaxi: <HOST>_<SYSID>_<SYSNR> |
Umístění | Třída Java |
Logname | Java logName, například: Available , defaulttrace , dev* , security atd. |
Text zprávy | Text zprávy |
MNo | Číslo zprávy |
Pid | Process ID |
Program | Název programu |
Relace | Relace |
Závažnost | Závažnost zprávy, včetně: Debug ,Info ,Warning Error |
Řešení | Řešení |
ID systému | ID systému |
Číslo systému | Číslo systému |
ThreadName | Název vlákna |
Vyvolána | Vyvolaná výjimka |
Časové pásmo | Časové pásmo |
Uživatelská | Uživatelská |
Protokol prezenčního signálu SAP
Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAP Připojení orHealth
Účel protokolu: Poskytuje prezenční signál a další informace o stavu připojení mezi agenty a různými systémy SAP.
Automaticky se vytvoří pro všechny agenty Microsoft Sentinelu pro datový konektor SAP.
schéma protokolu SAP_HeartBeat_CL
Pole | Popis |
---|---|
TimeGenerated | Čas události publikování protokolu |
agent_id_s | ID agenta v konfiguraci agenta (automaticky vygenerováno) |
agent_ver_s | Verze agenta |
host_s | Název hostitele agenta |
system_id_s | Netweaver jazyk ABAP ID systému / Netweaver SAPControl Host (Preview) / Hostitel SapControl v Javě (Preview) |
push_timestamp_d | Časové razítko extrakce podle časového pásma agenta |
agent_timezone_s | Časové pásmo agenta |
Tabulky načtené přímo ze systémů SAP
Tato část obsahuje seznam datových tabulek, které se načítají přímo ze systému SAP a ingestují se do Služby Microsoft Sentinel přesně tak, jak jsou.
Pokud chcete mít data z těchto tabulek ingestované do Microsoft Sentinelu, nakonfigurujte příslušná nastavení v souboru systemconfig.ini . Další informace najdete v tématu Konfigurace shromažďování dat hlavního serveru uživatele.
Data načtená z těchto tabulek poskytují jasné zobrazení struktury autorizace, členství ve skupinách a profilů uživatelů. Umožňuje také sledovat proces udělení autorizace a odvolávání a identifikovat a řídit rizika spojená s těmito procesy.
Následující tabulky jsou potřeba k povolení funkcí, které identifikují privilegované uživatele, mapují uživatele na role, skupiny a autorizace.
Pokud chcete dosáhnout nejlepších výsledků, projděte si tyto tabulky s použitím názvu ve sloupci s názvem funkce Sentinel níže:
Název tabulky | Popis tabulky | Název funkce Sentinelu |
---|---|---|
USR01 | Hlavní záznam uživatele (data modulu runtime) | SAP_USR01 |
USR02 | Přihlašovací data (použití na straně jádra) | SAP_USR02 |
UST04 | Předlohy uživatelů Mapy uživatelů k profilům |
SAP_UST04 |
AGR_USERS | Přiřazení rolí uživatelům | SAP_AGR_USERS |
AGR_1251 | Autorizační data pro skupinu aktivit | SAP_AGR_1251 |
USGRP_USER | Přiřazení uživatelů ke skupinám uživatelů | SAP_USGRP_USER |
USR21 | Přiřazení uživatelského jména nebo klíče adresy | SAP_USR21 |
ADR6 | E-mailové adresy (služby obchodních adres) | SAP_ADR6 |
USRSTAMP | Časové razítko pro všechny změny uživatele | SAP_USRSTAMP |
ADCP | Přiřazení osoby/adresy (obchodní adresní služby) | SAP_ADCP |
USR05 | ID hlavního parametru uživatele | SAP_USR05 |
AGR_PROF | Název profilu pro roli | SAP_AGR_PROF |
AGR_FLAGS | Atributy role | SAP_AGR_FLAGS |
DEVACCESS | Tabulka pro uživatele vývoje | SAP_DEVACCESS |
AGR_DEFINE | Definice role | SAP_AGR_DEFINE |
AGR_AGRS | Role ve složených rolích | SAP_AGR_AGRS |
PAHI | Historie parametrů systému, databáze a SAP | SAP_PAHI |
SNCSYSACL (PREVIEW) | Seznam řízení přístupu SNC (ACL): Systémy | SAP_SNCSYSACL |
USRACL (PREVIEW) | Seznam řízení přístupu SNC (ACL): Uživatel | SAP_USRACL |
Další kroky
Další informace naleznete v tématu:
- Nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Řešení Microsoft Sentinel pro aplikace SAP® – podrobné požadavky SAP
- Nasazení datového konektoru Microsoft Sentinel pro SAP pomocí SNC
- Možnosti konfigurace expertů, místní nasazení a zdroje protokolů SAPControl
- Řešení Microsoft Sentinel pro aplikace SAP®: integrovaný obsah zabezpečení
- Monitorování stavu systému SAP
- Řešení potíží s řešením Microsoft Sentinel pro nasazení aplikací SAP®