Referenční informace k datům aplikací SAP® pro řešení Microsoft Sentinel

  • Článek

Důležité

Některé komponenty řešení Microsoft Sentinel Threat Monitoring for SAP jsou aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Některé protokoly, které jsou uvedené níže, se ve výchozím nastavení do Microsoft Sentinelu neodesílají, ale podle potřeby je můžete přidat ručně. Další informace najdete v tématu Definování protokolů SAP odesílaných do Microsoft Sentinelu.

Tento článek popisuje funkce, protokoly a tabulky dostupné jako součást řešení Microsoft Sentinel pro aplikace SAP® a jeho datový konektor. Je určená pro pokročilé uživatele SAP.

Funkce dostupné z řešení SAP

Tato část popisuje funkce , které jsou dostupné ve vašem pracovním prostoru po nasazení řešení Microsoft Sentinel pro aplikace SAP®. Tyto funkce najdete na stránce Protokoly Microsoft Sentinelu, která se použije v dotazech KQL uvedených v části Funkce pracovního prostoru.

Uživatelům se důrazně doporučuje používat funkce jako předměty analýzy, kdykoli je to možné, místo podkladových protokolů nebo tabulek. Tyto funkce slouží jako hlavní uživatelské rozhraní pro data. Tvoří základ pro všechna předdefinovaná analytická pravidla a sešity, které máte k dispozici. To umožňuje provádět změny datové infrastruktury pod funkcemi, aniž by došlo k narušení uživatelem vytvořeného obsahu.

SAPUsersAssignments

Funkce SAPUsersAssignments shromažďuje data z více zdrojů dat SAP a vytváří zobrazení aktuálních hlavních dat uživatelů, včetně aktuálně přiřazených rolí a profilů.

Tato funkce shrnuje přiřazení uživatelů k rolím a profilům a vrací následující data:

Pole Popis Zdroj dat / poznámky
Uživatelská ID uživatele SAP Pouze SAL
E-mail Adresa SMTP USR21 (SMTP_ADDR)
UserType Typ uživatele USR02 (USTYP)
Časové pásmo Časové pásmo USR02 (TZONE)
LockedStatus Stav zámku USR02 (UFLAG)
LastSeenDate Datum posledního výskytu USR02 (TRDAT)
LastSeenTime Čas posledního zobrazení USR02 (LTIME)
UserGroupAuth Skupina uživatelů v hlavní údržbě hlavního uživatele USR02 (TŘÍDA)
Profily Sada profilů (výchozí maximální velikost sady = 50) ["Profile 1", "Profile 2",...,"profile 50"]
DirectRoles Sada přímo přiřazených rolí (výchozí maximální velikost sady = 50) ["Role 1", "Role 2",...,"”"Role 50"]
Podřízenérole Sada nepřímo přiřazených rolí (výchozí maximální velikost sady = 50) ["Role 1", "Role 2",...,"”"Role 50"]
Klient Client ID
ID systému ID systému Jak je definováno v konektoru

SAPUsersGetPrivileged

Funkce SAPUsersGetPrivileged vrátí seznam privilegovaných uživatelů podle klienta a ID systému.

Uživatelé jsou považovaní za privilegované, pokud jsou uvedení v seznamu ke zhlédnutí SAP – Privileged Users, byli přiřazeni k profilu uvedenému v SEZNAMU citlivých profilů nebo byli přidáni do role uvedené v seznamu ke zhlédnutí citlivých rolí v SAP.

Parametry:

  • TimeAgo
    • Volitelné
    • Výchozí hodnota: Sedm dní
    • Určuje, že funkce hledá hlavní data uživatele z času definovaného TimeAgo hodnotou, dokud není čas definovaný now() hodnotou.

Funkce SAPUsersGetPrivileged vrátí následující data:

Pole Popis
Uživatelská ID uživatele SAP
Klient Client ID
ID systému ID systému

SAPUsersAuthorizations

Funkce SAPUsersAuthorizations spojuje data z několika tabulek, aby se vytvořilo zobrazení aktuálních rolí a přiřazených autorizací orientovaných na uživatele. Vrátí se jenom uživatelé s aktivní rolí a přiřazením autorizace.

Parametry:

  • TimeAgo
    • Volitelné
    • Výchozí hodnota: Sedm dní
    • Určuje, že funkce hledá hlavní data uživatele z času definovaného TimeAgo hodnotou, dokud není čas definovaný now() hodnotou.

Funkce SAPUsersAuthorizations vrátí následující data:

Pole Popis Notes
Uživatelská ID uživatele SAP
Role Sada rolí (výchozí maximální velikost sady = 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails Sada autorizací (výchozí maximální velikost sady = 100) {{AuthorizationsDeatils1},
{AuthorizationsDeatils2},
...,
{AuthorizationsDeatils100}}
Klient Client ID
ID systému ID systému

SAP Připojení orHealth

Funkce SAP Připojení orHealth odráží stav připojení agenta a základního systému SAP. Na základě protokolu prezenčních signálu SAP_HeartBeat_CL a dalších indikátorech stavu vrátí následující data:

Pole Popis
Agent ID agenta v konfiguraci agenta (automaticky vygenerováno)
ID systému ID systému SAP
Stav Celkový stav připojení
Detaily podrobnosti o Připojení ivity
ExtendedDetails rozšířené podrobnosti o Připojení ivity
LastSeen (Poslední přístup) Časové razítko nejnovější aktivity
StatusCode Kód odrážející stav systému

SAP Připojení orOverview

Funkce SAP Připojení orOverview zobrazuje počty řádků každé tabulky SAP na ID systému. Vrátí seznam datových záznamů podle ID systému a jejich čas vygenerovaný.

Parametry:

  • TimeAgo
    • Volitelné
    • Výchozí hodnota: Sedm dní
    • Určuje, že funkce hledá hlavní data uživatele z času definovaného TimeAgo hodnotou, dokud není čas definovaný now() hodnotou.
Pole Popis
TimeGenerated Hodnota datetime časového razítka generování záznamu
SystemID_s Řetězec představující ID systému SAP

Pomocí následujícího dotazu Kusto proveďte denní analýzu trendu:

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

Funkce SAPUsersEmail umožňuje vyhledávání e-mailové adresy uživatele SAP na systém SAP a klienta, které se obvykle používá k přidružení k účtu služby Active Directory. Pomocí dat extrahovaných z tabulek SAP USR21 (přiřazení uživatelského jména nebo klíče adresy) a ADR6 (E-mailové adresy) vyhledá funkce SAPUsersEmail e-mailovou adresu. V případě, že se nenajde, vrátí se ID uživatele místo e-mailové adresy. Toto chování zajišťuje, že se účty služby SAP (například DDIC), které často nejsou přidružené k e-mailovým adresám, zaprotokolují jako pseudo účty AD, což umožňuje některé funkce UEBA, což pomáhá při vyšetřování incidentů a aktivit proaktivního vyhledávání.

Pole Popis
Clientid ID klienta SAP
ID systému ID systému SAP
Uživatelská ID uživatele SAP
E-mail E-mailová adresa uživatele SAP

SAPSystems

Funkce SAPSystems slouží k centrální prezentaci konfigurace pro jednotlivé systémy vytvořené pomocí seznamu ke zhlédnutí SAP - Systems.

Parametry:

  • SelectedSystems
    • Volitelné
    • Výchozí hodnota: "Všechny systémy"
    • Slouží k filtrování konkrétních systémů SAP.
  • SelectedSystemRoles
    • Volitelné
    • Výchozí hodnota: Všechny systémové role
    • Určuje role systémů SAP, na které se mají dívat (jak je definováno v seznamu ke zhlédnutí SAP – Systems).
Pole Popis Zdroj dat / poznámky
SearchKey Search Key Indexované pole pro ID systému SAP
SystemRole Role systému SAP Produkční, UAT
SystemUsage Hlavní využití systému SAP ERP, CRM
ID systému ID systému SAP

SAPAuditLogConfiguration

Funkce SAPAuditLogConfiguration vrátí místní konfiguraci upozorňování protokolu auditu SAP pracovního prostoru Služby Sentinel, která se použije pro různé výstrahy související s protokolem auditu SAP. Spojí data v kontrolních znacích SAP Dynamic Audit Log Monitor Configuration (Konfigurace monitorování protokolů auditu SAP) a SAP - Systems (Systémy) a poskytuje konfiguraci jednotlivých systémů při úsilí o roli systému.

Parametry:

  • SelectedSystems
    • Volitelné
    • Výchozí hodnota: "Všechny systémy"
    • Používá se k filtrování konkrétních systémů SAP, na které se chcete podívat.
  • SelectedSystemRoles
    • Volitelné
    • Výchozí hodnota: Všechny systémové role
    • Určuje role systémů SAP, na které se mají dívat (jak je definováno v seznamu ke zhlédnutí SAP – Systems).
  • SelectedSeverities
    • Volitelné
    • Výchozí hodnota: ["Vysoká", "Střední"]
    • Používá se k určení událostí, na které se mají podívat z hlediska jejich závažností. Závažnosti podle ID zprávy protokolu auditu SAP a systémové role jsou definovány v seznamu ke zhlédnutí "SAP_Dynamic_Audit_Log_Monitor_Configuration".
  • SelectedRuleTypes
    • Volitelné
    • Výchozí hodnota: All RuleTypes
    • Určuje, jaké události jsou relevantní pro detekci anomálií. Typy pravidel na ID zprávy protokolu auditu SAP a role systému jsou definovány v seznamu ke zhlédnutí "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Pole Popis Zdroj dat / poznámky
CategoryName Sap given event category Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration
Cílová pošta E-mailová adresa přiřazeného týmu Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration
Podrobný popis Formátovaný text Markdownu, který se má zobrazit u výstrah Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration
Messageid ID zprávy protokolu auditu SAP Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration
Text zprávy Ukázkový text zprávy Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration
RoleTagsToExclude jazyk ABAP role, profilu nebo značky volného textu Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration
RuleType Anomálie nebo deterministické Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration
Taktika Taktika MITRE ATTA&CK Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration
TeamsChannelID Kanál Teams Seznam ke zhlédnutí sap Dynamic Audit Log Monitor Configuration
ID systému ID systému SAP Seznam ke zhlédnutí SAP – Systems
SystemRole Role systému SAP Seznam ke zhlédnutí SAP – Systems
SystemUsage Hlavní využití systému SAP Seznam ke zhlédnutí SAP – Systems
IsProd Příznak produkčního systému Seznam ke zhlédnutí SAP – Systems
Závažnost Odvozená závažnost Závažnost na využití systému
Prahová hodnota Odvozená prahová hodnota Počet událostí na systémové využití
BagOfDetails Taška s podrobnostmi Slovník podrobně popisující definici události

SAPAuditLogAnomalies

SAPAuditLogAnomalies využívá integrované funkce strojového učení od služby Sentinel podkladové databáze Kusto, které pomáhají zjišťovat neobvyklé události zjištěné v protokolu auditu SAP. Tato funkce byla původně navržena tak, aby upozorňovala na nedávné anomálie na nedávných anomáliích, ale může také pomoct zvýraznit historické anomálie (viz příklady níže).

Parametry:

  • Učení Time
    • Volitelné
    • Výchozí hodnota: 14 dní
    • Určuje časový rozsah použitý pro učení modelu.
  • DetectingTime
    • Volitelné
    • Výchozí hodnota: Jedna hodina
    • Určuje časový rozsah, na který se má hledat zjišťování anomálií. Volání této funkce s funkcí DetectingTime = 0h zvýrazní anomálie v celém časovém intervalu Učení Time.
  • SelectedSystems
    • Volitelné
    • Výchozí hodnota: "Všechny systémy"
    • Používá se k filtrování konkrétních systémů SAP, na které se chcete podívat.
  • SelectedSystemRoles
    • Volitelné
    • Výchozí hodnota: Všechny systémové role
    • Určuje role systémů SAP, na které se mají dívat (jak je definováno v seznamu ke zhlédnutí SAP – Systems).
  • SelectedSeverities
    • Volitelné
    • Výchozí hodnota: ["Vysoká", "Střední"]
    • Používá se k určení událostí, na které se mají podívat z hlediska jejich závažností. Závažnosti podle ID zprávy protokolu auditu SAP a systémové role jsou definovány v seznamu ke zhlédnutí "SAP_Dynamic_Audit_Log_Monitor_Configuration".
  • SelectedPrefixMask
    • Volitelné
    • Výchozí hodnota: 24
    • Používá se k určení úrovně masky podsítě používané pro učení a zjišťování.
  • SelectedRuleTypes
    • Volitelné
    • Výchozí hodnota: AnomaliesOnly
    • Určuje, jaké události jsou relevantní pro detekci anomálií. Typy pravidel na ID zprávy protokolu auditu SAP a role systému jsou definovány v seznamu ke zhlédnutí "SAP_Dynamic_Audit_Log_Monitor_Configuration".

Logika

Funkce se učí řez historie definovaný různými vstupními parametry na úrovni uživatele, atributů sítě, systému, sezónnosti a aktivit. Následně posuzuje události, ke kterým dochází v posledním časovém intervalu DetectingTime podle toho, co se naučilo, použití prahových hodnot a dalších konfigurovatelných kritérií vyloučení získaných ze seznamu ke zhlédnutí konfigurace protokolu auditu SAP. Jakmile se posuvné okno aktivity uživatele považuje za neobvyklé, druhý dotaz vrátí celou aktivitu uživatele jako důkaz, který podporuje rozhodnutí.

Další poznámky

Stejně jako u jakéhokoli řešení strojového učení funguje tato funkce lépe s časem. Další úpravy je možné provést pomocí místní konfigurace. Pomocí mnoha dostupných vstupních parametrů doporučujeme omezit velikost naučené databáze na méně než 100 milionů záznamů.

Příklad: Hledání anomálií pro události s vysokou závažností, ke kterým došlo během poslední hodiny v produkčních systémech, pro typy událostí, které jsou v "SAP_Dynamic_Audit_Log_Monitor_Configuration" označené jako "AnomálieOnly".

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))

Příklad: Hledání všech anomálií za posledních 14 dnů v systému BIP

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Pole Popis
Více polí ze SAPAuditLogu Klíčová pole z protokolu auditu SAP
Více polí ze sapAuditLogConfiguration Klíčová pole ze služby Sentinel pro konfiguraci protokolu auditu SAP
Zjištěnýon Zaokrouhlená hodina, na které byla zjištěna anomálie
EventCount Počet vrácených událostí na řádek
AnomalCount Počet událostí pozorovaných v relevantním posuvném okně
MinTime Čas první zjištěné události
MaxTime Čas poslední zjištěné události
Skóre skóre anomálií vytvořené modelem anomálií

Další informace najdete v integrovaných analytických pravidlech SAP pro monitorování protokolu auditu SAP.

SAPAuditLogConfigRecommend

SAPAuditLogConfigRecommend je pomocná funkce navržená tak, aby nabízela doporučení pro konfiguraci analytického pravidla monitorování protokolů auditu založeného na dynamických anomáliích (PREVIEW). Zjistěte, jak nakonfigurovat pravidla.

SAPUsersGetVIP

Řešení Microsoft Sentinel pro aplikace SAP® používá koncept centrálních uživatelských značek a explicitních vyloučení navržených tak, aby vám pomohl snížit falešně pozitivní výsledky s minimálním úsilím. Pomocí funkce SAPUsersGetVIP vyloučíte uživatele z aktivaci výstrah zadáním uživatelských rolí SAP, uživatelských funkcí SAP nebo značek, které představují tyto uživatele. Další informace najdete v tématu Zpracování falešně pozitivních výsledků v Microsoft Sentinelu.

Značky zadané jako vstup pro funkci SAPUsersGetVIP vylučují všechny uživatele se značkou uvedenou v seznamu ke zhlédnutí SAP_User_Config . Stejná funkce je rozšířena tak, aby fungovala se zástupnými znamény, což umožňuje přiřadit jednu značku skupině uživatelů se stejnou syntaxí pojmenování.

  1. Označte uživatele v seznamu ke zhlédnutí SAP_User_Config následujícím způsobem:

    • Podle potřeby přidejte ke každému uživateli v seznamu ke zhlédnutí SAP_User_Config více značek, aby bylo možné pokrýt různé scénáře. Každé pravidlo upozornění má vlastní relevantní značky, pokud nějaké, a podle potřeby můžete přidat vlastní značky.

    • Pomocí hvězdičky (*) jako zástupné dokumentace můžete zahrnout uživatele s konkrétní šablonou syntaxe pojmenování.

  2. Přidejte do analytických pravidel funkci SAPUsersGetVIP a požádejte o seznamy uživatelů, které jste definovali tak, aby byly vyloučeny z výstrah. Ve volání funkce přidejte pole se značkami, rolemi SAP a profily SAP, které chcete vyloučit.

Pomocí následujícího dotazu KQL v analytickém pravidlu můžete například vyloučit všechny uživatele nakonfigurované značkou RunObsoleteProgOK v seznamu ke zhlédnutí SAP_User_Config nebo libovolným uživatelům s ukázkovou rolí SAP_BASIS_ADMIN_ROLE nebo ukázkovým profilem SAP_ADMIN_PROFILE.

Při kopírování tohoto ukázkového volání funkce nahraďte SAP_BASIS_ADMIN_ROLE role a SAP_ADMIN_PROFILE profil vlastními rolemi nebo profily SAP podle potřeby.

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

Funkce SAPUsersGetVIP se běžně používá v upozorněních deterministického a neobvyklého monitorování protokolu auditu. Přidružte značku k ID zprávy protokolu auditu SAP nebo rozšiřte šablonu pravidla na vlastní pravidlo, které odpovídá potřebám vaší organizace.

Tip

Doporučujeme kontaktovat správce systému SAP, abyste pochopili, kteří uživatelé, role a profily SAP mají být součástí vašeho seznamu ke zhlédnutí SAP_User_Config .

Parametry:

Název Popis Default value
SearchForTags (volitelné) Když SearchForTags se rovná All Tags, vrátí se všichni uživatelé spolu se značkami.

V opačném případě se vrátí pouze uživatelé se značkami, rolemi SAP nebo profily SAP zadanými v SearchForTags . TagsIntersect zobrazuje nalezené značky a IntersectionSize obsahuje počet nalezených značek.		 dynamic('All Tags')
SpecialFocusTags (volitelné) Vrátí všechny uživatele, kteří mají značky uvedené v SpecialFocusTags, a označí je specialFocusTagged = true. Do not return any in-focus users
Source Pole Popis Notes
Seznam ke zhlédnutí SAP_User_Config SearchKey Search Key
Seznam ke zhlédnutí SAP_User_Config SAPUser Uživatel SAP OSS, DDIC
Seznam ke zhlédnutí SAP_User_Config Značky Řetězec značek přiřazených uživateli RunObsoleteProgOK
Seznam ke zhlédnutí SAP_User_Config ID objektu Microsoft Entra uživatele ID objektu Microsoft Entra
Seznam ke zhlédnutí SAP_User_Config Identifikátor uživatele Identifikátor uživatele AD
Seznam ke zhlédnutí SAP_User_Config Místní sid uživatele
Seznam ke zhlédnutí SAP_User_Config Hlavní název uživatele (UPN)
Seznam ke zhlédnutí SAP_User_Config TagsList Seznam značek přiřazených uživateli ChangeUserMasterDataOK; RunObsoleteProgOK
Logika TagsIntersect Sada značek, které odpovídaly značkám SearchForTags ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Logika SpecialFocusTagged Zvláštní indikace fokusu True, False
Logika Průnik Počet protínaných značek

SAPUsersHeader

Funkce SAPUsersHeader je navržená tak, aby poskytovala základní zobrazení uživatele SAP. Používá data extrahovaná z hlavních tabulek dat uživatele SAP i nedávné aktivity v protokolu auditu SAP ke shromažďování e-mailů a IP adres. Pak vrátí poslední známou e-mailovou adresu a IP adresy spolu s primárními e-maily a IP adresami. Parametry: SelectedSystemRoles:dynamic = dynamic(["Všechny systémové role"]) SelectedSystems:dynamic = dynamic(["Všechny systémy"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"

  • SelectedSystems
    • Volitelné
    • Výchozí hodnota: "Všechny systémy"
    • Používá se k filtrování konkrétních systémů SAP, na které se chcete podívat.
  • SelectedSystemRoles
    • Volitelné
    • Výchozí hodnota: Všechny systémové role
    • Určuje role systémů SAP, na které se mají dívat (jak je definováno v seznamu ke zhlédnutí SAP – Systems).
  • SelectedUsers
    • Volitelné
    • Výchozí hodnota: Všichni uživatelé
    • Může zadat seznamy uživatelů.
  • SelectedUser
    • Volitelné
    • Výchozí hodnota: Všichni uživatelé
    • Přijímá pouze jednoho uživatele.

Další poznámky

V případě důležitých informací o výkonu se zvažují pouze několik dnů auditování. Pro úplnou historii aktivity uživatele spusťte vlastní dotaz KQL na funkci SAPAuditLog.

Source Pole Popis Notes
Uživatelská Uživatel SAP
Tabulky SAP ADR6 a USR21 E-mail Převzato z hlavních dat uživatele OSS, DDIC
Tabulka SAP USR02 UserType řetězec značek přiřazených uživateli RunObsoleteProgOK
Tabulka SAP USR02 Časové pásmo ID objektu Microsoft Entra
Tabulka SAP USR02 LockedStatus Identifikátor uživatele AD
Protokol auditu SAP LastSeen (Poslední přístup) Časové razítko Poslední zjištěná událost auditu pro uživatele
Protokol auditu SAP LastSeenDaysAgo od lastseen uplynuly dny
Protokol auditu SAP Primární IP adresa Nejčastěji používané IP adresy ChangeUserMasterDataOK; RunObsoleteProgOK
Protokol auditu SAP LastKnownIP Naposledy použitá IP adresa ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Protokol auditu SAP PrimaryEmail Nejčastěji používané e-mailové adresy True, False
Protokol auditu SAP Známé IP adresy Seznam známých IP adres seřazeno podle nejčastěji používaného prvního
Protokol auditu SAP Známé e-maily Seznam známých e-mailových adres seřazeno podle nejčastěji používaného prvního
Klient ID klienta SAP
ID systému ID systému SAP
SystemRole Role systému SAP Produkční, UAT
SystemUsage Hlavní využití systému SAP ERP, CRM

Protokoly vytvořené agentem datového konektoru

Tato část popisuje protokoly SAP dostupné z řešení Microsoft Sentinel pro datový konektor aplikací SAP®, včetně názvů tabulek v Microsoft Sentinelu, účelů protokolů a podrobných schémat protokolů. Popisy polí schématu jsou založené na popisech polí v příslušné dokumentaci SAP.

Nejlepších výsledků dosáhnete pomocí níže uvedených funkcí Služby Microsoft Sentinel k vizualizaci, přístupu k datům a jejich dotazování.

protokol aplikace jazyk ABAP

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPAppLog

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Zaznamenává průběh provádění aplikace, abyste ho mohli později podle potřeby rekonstruovat.

    K dispozici pomocí RFC na základě standardní tabulky SAP a standardních služeb rozhraní XBP. Tento protokol se vygeneruje na klienta.

schéma protokolu jazyk ABAP AppLog_CL

Pole Popis
AppLogDateTime Datum a čas protokolu aplikace
CallbackProgram Program zpětného volání
CallbackRoutine Rutina zpětného volání
CallbackType Typ zpětného volání
Clientid ID klienta jazyk ABAP (MANDT)
ContextDDIC Kontextová struktura DDIC
ExternalID ID externího protokolu
Hostitelský počítač Hostitelský počítač
Instance jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Sériové zprávy protokolu aplikace
LevelofDetail Úroveň podrobností
LogHandle Popisovač protokolu aplikace
LogNumber Číslo protokolu
MessageClass Message – třída
MessageNumber Číslo zprávy
Text zprávy Text zprávy
Messagetype Typ zprávy
Object Objekt protokolu aplikace
OperationMode Režim operace
ProblemClass Třída problému
Název programu Název programu
SortCriterion Kritérium řazení
Standardní text Standardní text
Podobjekt Dílčí objekt protokolu aplikace
ID systému ID systému
Číslo systému Číslo systému
TransactionCode Kód transakce
Uživatelská Uživatelská
UserChange Změna uživatele

protokol změn dokumentů jazyk ABAP

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPChangeDocsLog

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Záznamy:

    • Aplikační server SAP NetWeaver (AS) jazyk ABAP změny protokolu objektů obchodních dat v dokumentech změn.

    • Jiné entity v systému SAP, jako jsou uživatelská data, role, adresy.

    K dispozici pomocí RFC na základě standardních tabulek SAP. Tento protokol se vygeneruje na klienta.

schéma protokolu jazyk ABAP ChangeDocsLog_CL

Pole Popis
ActualChangeNum Skutečné číslo změny
ChangedTableKey Změna klíče tabulky
ChangeNumber Změnit číslo
Clientid ID klienta jazyk ABAP (MANDT)
CreatedfromPlannedChange Vytvořeno z plánované změny v následující syntaxi: (‘X’ , ‘ ‘)
CurrencyKeyNew Klíč měny: nová hodnota
CurrencyKeyOld Klíč měny: stará hodnota
Fieldname Název pole
FlagText Text příznaku
Hostitelský počítač Hostitelský počítač
Instance jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR>
Jazyk Jazyk
ObjectClass Třída objektu, například BELEG, BPAR, PFCGIDENTITY
ObjectID ID objektu
PlannedChangeNum Plánované číslo změny
ID systému ID systému
Číslo systému Číslo systému
TableName Název tabulky
TransactionCode Kód transakce
TypeofChange_Header Typ změny záhlaví, včetně:
U = Změnit; I = Vložit; E = Odstranit jeden dokument; D = Odstranit; J = Vložit jeden dokumentu
TypeofChange_Item Typ změny položky, včetně:
U = Změnit; I = Vložit; E = Odstranit jeden dokument; D = Odstranit; J = Vložit jeden dokumentu
UOMNew Měrná jednotka: nová hodnota
UOMOld Měrná jednotka: stará hodnota
Uživatelská Uživatelská
ValueNew Obsah pole: nová hodnota
ValueOld Obsah pole: stará hodnota
Verze Verze

protokol CR jazyk ABAP

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPCRLog

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Zahrnuje protokoly CTS (Change &Transport System), včetně objektů adresáře a přizpůsobení, kde byly provedeny změny.

    K dispozici pomocí RFC na základě standardních tabulek a standardních služeb SAP. Tento protokol se generuje s daty napříč všemi klienty.

Poznámka:

Kromě protokolování aplikace, změn dokumentů a záznamu tabulek jsou všechny změny provedené v produkčním systému pomocí systému změn a přenosu dokumentovány v protokolech CTS a TMS.

schéma protokolu jazyk ABAP CRLog_CL

Pole popis
Kategorie Kategorie (Workbench, Přizpůsobení)
Clientid ID klienta jazyk ABAP (MANDT)
Popis Popis
Host Hostitelský počítač
Instance jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR>
ObjectName Object name
Objecttype Object type
Vlastník Vlastník
Žádost Změnit požadavek
Stav Stav
ID systému ID systému
Číslo systému Číslo systému
TableKey Klíč tabulky
TableName Název tabulky
Viewname Název zobrazení

protokol dat tabulky jazyk ABAP DB (PREVIEW)

Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.ini.

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPTableDataLog

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Poskytuje protokolování pro tabulky, které jsou kritické nebo náchylné k auditům.

    K dispozici pomocí RFC s vlastní službou. Tento protokol se generuje s daty napříč všemi klienty.

schéma protokolu jazyk ABAP TableDataLog_CL

Pole Popis
DBLogID ID protokolu databáze
Hostitelský počítač Hostitelský počítač
Instance jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR>
Jazyk Jazyk
LogKey Klíč protokolu
Newvalue Nová hodnota pole
Oldvalue Stará hodnota pole
OperationTypeSQL Typ operace, Insert, Update, Delete
Program Název programu
ID systému ID systému
Číslo systému Číslo systému
TableField Pole tabulky
TableName Název tabulky
TransactionCode Kód transakce
UserName Uživatelská
VersionNumber Číslo verze

protokol brány jazyk ABAP (PREVIEW)

Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.ini.

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPOS_GW

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Monitoruje aktivity brány. K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.

schéma protokolu jazyk ABAP OS_GW_CL

Pole Popis
Host Hostitelský počítač
Instance jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR>
Text zprávy Text zprávy
Závažnost Závažnost zprávy: Debug, Info, WarningError
ID systému ID systému
Číslo systému Číslo systému

jazyk ABAP protokolu ICM (PREVIEW)

Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.ini.

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPOS_ICM

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Zaznamenává příchozí a odchozí požadavky a kompiluje statistiky požadavků HTTP.

    K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.

schéma protokolu jazyk ABAP OS_ICM_CL

Pole Popis
Host Hostitelský počítač
Instance jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR>
Text zprávy Text zprávy
Závažnost Závažnost zprávy, včetně: Debug, Info, WarningError
ID systému ID systému
Číslo systému Číslo systému

protokol úloh jazyk ABAP

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPJobLog

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Kombinuje všechny protokoly úloh zpracování na pozadí (SM37).

    K dispozici pomocí RFC na základě standardní tabulky SAP a standardních služeb rozhraní XBP. Tento protokol se generuje s daty napříč všemi klienty.

schéma protokolu jazyk ABAP JobLog_CL

Pole Popis
jazyk ABAP Program program jazyk ABAP
BgdEventParameters Parametry události na pozadí
BgdProcessingEvent Událost zpracování na pozadí
Clientid ID klienta jazyk ABAP (MANDT)
DynproNumber Číslo Dynpro
GuiStatus Stav grafického uživatelského rozhraní
Hostitelský počítač Hostitelský počítač
Instance jazyk ABAP instance (HOST_SYSID_SYSNR) v následující syntaxi:<HOST>_<SYSID>_<SYSNR>
JobClassification Klasifikace úloh
JobCount Počet úloh
JobGroup Skupina úloh
Název úlohy Název úlohy
JobPriority Priorita úloh
MessageClass Message – třída
MessageNumber Číslo zprávy
Text zprávy Text zprávy
Messagetype Typ zprávy
ReleaseUser Uživatel verze úlohy
SchedulingDateTime Plánování data a času
StartDateTime Počáteční datum a čas
ID systému ID systému
Číslo systému Číslo systému
Cílový server Cílový server
Uživatelská Uživatelská
UserReleaseInstance instance jazyk ABAP – verze uživatele
WorkProcessID ID pracovního procesu
WorkProcessNumber Číslo pracovního procesu

protokol auditu zabezpečení jazyk ABAP

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPAuditLog

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Zaznamenává následující data:

    • Změny související se zabezpečením v systémovém prostředí SAP, například změny hlavních záznamů uživatelů
    • Informace, které poskytují vyšší úroveň dat, jako jsou úspěšné a neúspěšné pokusy o přihlášení
    • Informace, které umožňují obnovení řady událostí, jako jsou úspěšné nebo neúspěšné spuštění transakce

    K dispozici pomocí rozhraní RFC XAL/SAL. Sal je k dispozici od verze Basis 7.50. Tento protokol se generuje s daty napříč všemi klienty.

schéma protokolu jazyk ABAP AuditLog_CL

Pole Popis
jazyk ABAP ProgramName Název programu, pouze SAL
Výstrahy bez ohledu na to Závažnost výstrahy
AlertSeverityText Text závažnosti výstrahy, pouze SAL
AlertValue Hodnota upozornění
AuditClassID Auditování ID třídy, pouze SAL
Clientid ID klienta jazyk ABAP (MANDT)
Počítač Uživatelský počítač, pouze SAL
E-mail E-mail uživatele
Hostitelský počítač Hostitelský počítač
Instance jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR>
MessageClass Message – třída
MessageContainerID ID kontejneru zpráv, pouze XAL
Messageid ID zprávy, například ‘AU1’,’AU2’…
Text zprávy Text zprávy
MonitoringObjectName Název objektu monitorování MTE, pouze XAL
MonitorShortName Krátký název nástroje MTE Monitor, pouze XAL
SAPProcesType Systémový protokol: Typ procesu SAP, pouze SAL
B* – Zpracování na pozadí
D* – Zpracování dialogů
U* – Aktualizace úkolů
SAPWPName Systémový protokol: Číslo pracovního procesu, pouze SAL
ID systému ID systému
Číslo systému Číslo systému
TerminalIPv6 IP adresa uživatelského počítače, pouze SAL
TransactionCode Kód transakce, pouze SAL
Uživatelská Uživatelská
Proměnná 1 Proměnná zprávy 1
Proměnná 2 Proměnná zprávy 2
Proměnná 3 Proměnná zprávy 3
Proměnná 4 Proměnná zprávy 4

protokol fondu jazyk ABAP

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPSpoolLog

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Slouží jako hlavní protokol pro tisk SAP s historií žádostí o zařazování. (SP01).

    K dispozici pomocí RFC na základě standardní tabulky SAP. Tento protokol se generuje s daty napříč všemi klienty.

schéma protokolu jazyk ABAP SpoolLog_CL

Pole Popis
ArchiveStatus Stav archivu
ArchiveType Typ archivu
ArchivaceDevice Archivace zařízení
Automatické restartování Automatické přesměrování
Clientid ID klienta jazyk ABAP (MANDT)
CountryKey Klíč země
DeleteSpoolRequestAuto Automatické odstranění žádosti o zařazování
DelFlag Příznak odstranění
Oddělení Oddělení
DocumentType Typ dokumentu
ExternalMode Externí režim
Formattype Typ formátu
Hostitelský počítač Hostitelský počítač
Instance jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR>
NumofCopies Počet kopií
OutputDevice Výstupní zařízení
PrinterLongName Dlouhý název tiskárny
PrintImmediately Tisk okamžitě
PrintOSCoverPage Tisk stránky OSCover
PrintSAPCoverPage Tisk stránky SAPCover
Priorita Priorita
RecipientofSpoolRequest Příjemce žádosti o zařazování
SpoolErrorStatus Stav chyby fondu
SpoolRequestCompleted Žádost o fond byla dokončena.
SpoolRequestisALogForAnotherRequest Žádost o fond je protokol pro jiný požadavek.
SpoolRequestName Název žádosti o fond
SpoolRequestNumber Číslo žádosti o fond
SpoolRequestSuffix1 Přípona žádosti o fond 1
SpoolRequestSuffix2 Přípona žádosti o fond 2
SpoolRequestTitle Název žádosti o fond
ID systému ID systému
Číslo systému Číslo systému
TelecommunicationsPartner Telekomunikační partner
TelecommunicationsPartnerE Telekomunikační partner E
TemSeGeneralcounter Čítač Temse
TemseNumAddProtectionRule Přidání pravidla ochrany číslo Temse
TemseNumChangeProtectionRule Pravidlo ochrany čísel Temse
TemseNumDeleteProtectionRule Pravidlo ochrany odstranění čísla Temse
TemSeObjectName Název objektu Temse
TemSeObjectPart TemSe – část objektu
TemseReadProtectionRule Pravidlo ochrany čtení Temse
Uživatelská Uživatelská
ValueAuthCheck Kontrola ověřování hodnot

Výstupní protokol fondu APAB

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPSpoolOutputLog

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Slouží jako hlavní protokol pro tisk SAP s historií žádostí o výstup zařazování. (SP02).

    K dispozici pomocí RFC s vlastní službou založenou na standardních tabulkách. Tento protokol se generuje s daty napříč všemi klienty.

schéma protokolu jazyk ABAP SpoolOutputLog_CL

Pole Popis
AppServer Aplikační server
Clientid ID klienta jazyk ABAP (MANDT)
Komentář Komentář
CopyCount Počet kopírování
CopyCounter Kopírovat čítač
Oddělení Oddělení
ErrorSpoolRequestNumber Číslo žádosti o chybu
Formattype Typ formátu
Hostitelský počítač Hostitelský počítač
Název hostitele Název hostitele
ID zařazování hostitelů ID zařazování hostitelů
Instance instance jazyk ABAP
LastPage Poslední stránka
NumofCopies Počet kopií
OutputDevice Výstupní zařízení
OutputRequestNumber Číslo výstupního požadavku
OutputRequestStatus Stav výstupní žádosti
PhysicalFormatType Typ fyzického formátu
PrinterLongName Dlouhý název tiskárny
PrintRequestSize Velikost žádosti o tisk
Priorita Priorita
ReasonforOutputRequest Důvod žádosti o výstup
RecipientofSpoolRequest Příjemce žádosti o zařazování
SpoolNumberofOutputReqProcessed Počet výstupních požadavků – zpracované
SpoolNumberofOutputReqWithErrors Počet výstupních požadavků – s chybami
SpoolNumberofOutputReqWithProblems Počet výstupních požadavků – s problémy
SpoolRequestNumber Číslo žádosti o fond
StartPage Úvodní stránka
ID systému ID systému
Číslo systému Číslo systému
TelecommunicationsPartner Telekomunikační partner
TemSeGeneralcounter Čítač Temse
Nadpis Nadpis
Uživatelská Uživatelská

jazyk ABAP Syslog

Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.ini.

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPOS_Syslog

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Zaznamenává všechny systémové chyby, upozornění, zámky uživatelů, kvůli neúspěšným pokusům o přihlášení od známých uživatelů a zpracování zpráv jazyk ABAP systému.

    K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.

schéma protokolu jazyk ABAP OS_Syslog_CL

Pole Popis
Clientid ID klienta jazyk ABAP (MANDT)
Hostitelský počítač Hostitelský počítač
Instance jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR>
MessageNumber Číslo zprávy
Text zprávy Text zprávy
Závažnost Závažnost zprávy, jedna z následujících hodnot: Debug, Info, Warning, Error
ID systému ID systému
Číslo systému Číslo systému
TransacationCode Kód transakce
Typ Typ procesu SAP
Uživatelská Uživatelská

protokol pracovního postupu jazyk ABAP

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPWorkflowLog

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Pracovní postup SAP Business (WebFlow Engine) umožňuje definovat obchodní procesy, které ještě nejsou mapovány v systému SAP.

    Nemapované obchodní procesy mohou být například jednoduché postupy vydávání nebo schvalování nebo složitější obchodní procesy, jako je vytvoření základního materiálu a následná koordinace přidružených oddělení.

    K dispozici pomocí RFC na základě standardních tabulek SAP. Tento protokol se vygeneruje na klienta.

schéma protokolu jazyk ABAP WorkflowLog_CL

Pole Popis
ActualAgent Skutečný agent
Adresa Adresa
ApplicationArea Oblast aplikace
CallbackFunction Funkce zpětného volání
Clientid ID klienta jazyk ABAP (MANDT)
CreationDateTime Datum vytvoření
Tvůrce Tvůrce
CreatorAddress Adresa autora
ErrorType Typ chyby
ExceptionforMethod Výjimka pro metodu
Hostitelský počítač Hostitelský počítač
Instance jazyk ABAP instance (HOST_SYSID_SYSNR) v následující syntaxi:<HOST>_<SYSID>_<SYSNR>
Jazyk Jazyk
LogCounter Čítač protokolů
MessageNumber Číslo zprávy
Messagetype Typ zprávy
MethodUser Uživatel metody
Priorita Priorita
SimpleContainer Jednoduchý kontejner, zabalený jako seznam entit klíč-hodnota pro pracovní položku
Stav Stav
SuperWI Super WI
ID systému ID systému
Číslo systému Číslo systému
Taskid ID úlohy
TasksClassification Klasifikace úkolů
Text úkolu Text úkolu
TopTaskID ID hlavního úkolu
UserCreated Uživatel vytvořil
WIText Text pracovní položky
TYP WI Typ pracovní položky
WorkflowAction Akce pracovního postupu
WorkItemID ID pracovní položky

protokol jazyk ABAP WorkProcess

Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.ini.

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPOS_WP

  • Související dokumentace k SAP: Portál nápovědy SAP

  • Účel protokolu: Kombinuje všechny protokoly pracovních procesů. (výchozí: dev_*).

    K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.

schéma protokolu jazyk ABAP OS_WP_CL

Pole Popis
Host Hostitelský počítač
Instance jazyk ABAP instanci v následující syntaxi:<HOST>_<SYSID>_<SYSNR>
Text zprávy Text zprávy
Závažnost Závažnost zprávy: Debug, Info, WarningError
ID systému ID systému
Číslo systému Číslo systému
WPNumber Číslo pracovního procesu

Záznam auditu databáze HANA

Pokud chcete, aby se tento protokol odesílal do Služby Microsoft Sentinel, musíte nasadit agenta Microsoft Management Agent pro shromažďování dat Syslogu z počítače se spuštěnou databází HANA.

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPSyslog

  • Související dokumentace k SAP: General | Audit Trail

  • Účel protokolu: Zaznamenává akce uživatelů nebo pokusy o akce v databázi SAP HANA. Umožňuje například protokolovat a monitorovat přístup pro čtení k citlivým datům.

    K dispozici agentem Služby Sentinel pro Linux pro Syslog. Tento protokol se generuje s daty napříč všemi klienty.

Schéma protokolu Syslog

Pole Popis
Počítač Název hostitele
HostIP IP adresa hostitele
Název hostitele Název hostitele
ProcessID Process ID
ProcessName Název procesu: HDB*
SeverityLevel Výstrahy
SourceSystem Operační systém zdrojového systému, Linux
SyslogMessage Message, unparsed audit trail message

Soubory JAVA

Pokud chcete, aby se tento protokol odesílal do Microsoft Sentinelu, musíte ho přidat ručně do souboru systemconfig.ini.

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAPJAVAFilesLogs

  • Související dokumentace k SAP: Obecný | protokol auditu zabezpečení Javy

  • Účel protokolu: Kombinuje všechny protokoly založené na souborech Java, včetně protokolů auditu zabezpečení a systému (clusteru a serveru), výkonu a protokolů brány. Zahrnuje také trasování pro vývojáře a výchozí protokoly trasování.

    K dispozici ve webové službě SAP Control. Tento protokol se generuje s daty napříč všemi klienty.

Schéma protokolu JavaFilesLogsCL

Pole Popis
Aplikace Aplikace v Javě
Clientid Client ID
CSNComponent Komponenta CSN, například BC-XI-IBD
DcComponent Komponenta DC, například com.sap.xi.util.misc
DSRCounter Čítač DSR
DSRRootContentID IDENTIFIKÁTOR GUID kontextu DSR
DSRTransaction IDENTIFIKÁTOR GUID transakce DSR
Hostitelský počítač Hostitelský počítač
Instance Instance Java v následující syntaxi: <HOST>_<SYSID>_<SYSNR>
Umístění Třída Java
Logname Java logName, například: Available, defaulttrace, dev*, securityatd.
Text zprávy Text zprávy
MNo Číslo zprávy
Pid Process ID
Program Název programu
Relace Relace
Závažnost Závažnost zprávy, včetně: Debug,Info,WarningError
Řešení Řešení
ID systému ID systému
Číslo systému Číslo systému
ThreadName Název vlákna
Vyvolána Vyvolaná výjimka
Časové pásmo Časové pásmo
Uživatelská Uživatelská

Protokol prezenčního signálu SAP

  • Funkce Microsoft Sentinelu pro dotazování na tento protokol: SAP Připojení orHealth

  • Účel protokolu: Poskytuje prezenční signál a další informace o stavu připojení mezi agenty a různými systémy SAP.

    Automaticky se vytvoří pro všechny agenty Microsoft Sentinelu pro datový konektor SAP.

schéma protokolu SAP_HeartBeat_CL

Pole Popis
TimeGenerated Čas události publikování protokolu
agent_id_s ID agenta v konfiguraci agenta (automaticky vygenerováno)
agent_ver_s Verze agenta
host_s Název hostitele agenta
system_id_s Netweaver jazyk ABAP ID systému /
Netweaver SAPControl Host (Preview) /
Hostitel SapControl v Javě (Preview)
push_timestamp_d Časové razítko extrakce podle časového pásma agenta
agent_timezone_s Časové pásmo agenta

Tabulky načtené přímo ze systémů SAP

Tato část obsahuje seznam datových tabulek, které se načítají přímo ze systému SAP a ingestují se do Služby Microsoft Sentinel přesně tak, jak jsou.

Pokud chcete mít data z těchto tabulek ingestované do Microsoft Sentinelu, nakonfigurujte příslušná nastavení v souboru systemconfig.ini . Další informace najdete v tématu Konfigurace shromažďování dat hlavního serveru uživatele.

Data načtená z těchto tabulek poskytují jasné zobrazení struktury autorizace, členství ve skupinách a profilů uživatelů. Umožňuje také sledovat proces udělení autorizace a odvolávání a identifikovat a řídit rizika spojená s těmito procesy.

Následující tabulky jsou potřeba k povolení funkcí, které identifikují privilegované uživatele, mapují uživatele na role, skupiny a autorizace.

Pokud chcete dosáhnout nejlepších výsledků, projděte si tyto tabulky s použitím názvu ve sloupci s názvem funkce Sentinel níže:

Název tabulky Popis tabulky Název funkce Sentinelu
USR01 Hlavní záznam uživatele (data modulu runtime) SAP_USR01
USR02 Přihlašovací data (použití na straně jádra) SAP_USR02
UST04 Předlohy uživatelů
Mapy uživatelů k profilům		 SAP_UST04
AGR_USERS Přiřazení rolí uživatelům SAP_AGR_USERS
AGR_1251 Autorizační data pro skupinu aktivit SAP_AGR_1251
USGRP_USER Přiřazení uživatelů ke skupinám uživatelů SAP_USGRP_USER
USR21 Přiřazení uživatelského jména nebo klíče adresy SAP_USR21
ADR6 E-mailové adresy (služby obchodních adres) SAP_ADR6
USRSTAMP Časové razítko pro všechny změny uživatele SAP_USRSTAMP
ADCP Přiřazení osoby/adresy (obchodní adresní služby) SAP_ADCP
USR05 ID hlavního parametru uživatele SAP_USR05
AGR_PROF Název profilu pro roli SAP_AGR_PROF
AGR_FLAGS Atributy role SAP_AGR_FLAGS
DEVACCESS Tabulka pro uživatele vývoje SAP_DEVACCESS
AGR_DEFINE Definice role SAP_AGR_DEFINE
AGR_AGRS Role ve složených rolích SAP_AGR_AGRS
PAHI Historie parametrů systému, databáze a SAP SAP_PAHI
SNCSYSACL (PREVIEW) Seznam řízení přístupu SNC (ACL): Systémy SAP_SNCSYSACL
USRACL (PREVIEW) Seznam řízení přístupu SNC (ACL): Uživatel SAP_USRACL

Další kroky

Další informace naleznete v tématu: