Datenreferenz für die Microsoft Sentinel-Lösung für SAP®-Anwendungen

  • Artikel

Wichtig

Einige Komponenten der Microsoft Sentinel-Lösung Threat Monitoring für SAP befinden sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Einige Protokolle (siehe unten) werden standardmäßig nicht an Microsoft Sentinel gesendet. Sie können sie jedoch bei Bedarf manuell hinzufügen. Weitere Informationen finden Sie unter Definieren der an Microsoft Sentinel gesendeten SAP-Protokolle.

In diesem Artikel werden die Funktionen, Protokolle und Tabellen beschrieben, die als Teil der Microsoft Sentinel-Lösung für SAP®-Anwendungen und ihres Datenconnectors verfügbar sind. Er richtet sich an fortgeschrittene SAP-Benutzer.

In der SAP-Lösung verfügbare Funktionen

In diesem Abschnitt werden die Funktionen beschrieben, die in Ihrem Arbeitsbereich verfügbar sind, nachdem Sie die Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitgestellt haben. Suchen Sie diese Funktionen auf der Seite Protokolle in Microsoft Sentinel, um Sie in Ihren KQL-Abfragen zu verwenden, die unter Workspace functions (Arbeitsbereichsfunktionen) aufgeführt sind.

Benutzern wird dringend empfohlen, die Funktionen nach Möglichkeit als Gegenstand ihrer Analyse zu verwenden, anstatt die zugrunde liegenden Protokolle oder Tabellen. Diese Funktionen sollen als Prinzipalbenutzeroberfläche für die Daten dienen. Sie bilden die Grundlage für alle integrierten Analyseregeln und Arbeitsmappen, die Ihnen standardmäßig zur Verfügung stehen. So können Änderungen an der Dateninfrastruktur unterhalb der Funktionen vorgenommen werden, ohne dass vom Benutzer erstellte Inhalte beeinträchtigt werden.

SAPUsersAssignments

Die Funktion SAPUsersAssignments sammelt Daten aus mehreren SAP-Datenquellen und erstellt eine benutzerzentrierte Ansicht der aktuellen Benutzermasterdaten, einschließlich der Rollen und Profile, die derzeit zugewiesen sind.

Diese Funktion fasst die Zuweisungen von Benutzern zu Rollen und Profilen zusammen und gibt die folgenden Daten zurück:

Feld BESCHREIBUNG Datenquelle/Hinweise
Benutzer ID des SAP-Benutzers Nur SAL
E-Mail SMTP-Adresse USR21 (SMTP_ADDR)
UserType Benutzertyp USR02 (USTYP)
Zeitzone Zeitzone USR02 (TZONE)
LockedStatus Sperrstatus USR02 (UFLAG)
LastSeenDate Zuletzt gesehen (Datum) USR02 (TRDAT)
LastSeenTime Zuletzt gesehen (Zeit) USR02 (LTIME)
UserGroupAuth Benutzergruppe in der Benutzermasterwartung USR02 (CLASS)
Profiles Gruppe von Profilen (maximale Standardgröße: 50) ["Profile 1", "Profile 2",...,"profile 50"]
DirectRoles Gruppe direkt zugewiesener Rollen (maximale Standardgröße: 50) ["Role 1", "Role 2",...,"”"Role 50"]
ChildRoles Gruppe indirekt zugewiesener Rollen (maximale Standardgröße: 50) ["Role 1", "Role 2",...,"”"Role 50"]
Client Client-ID
SystemID System-ID Wie im Connector definiert

SAPUsersGetPrivileged

Die Funktion SAPUsersGetPrivileged gibt eine Liste der privilegierten Benutzer pro Client und System-ID zurück.

Benutzer gelten als privilegiert, wenn sie in der Watchlist SAP –Privileged Users (SAP – Privilegierte Benutzer) aufgeführt sind, einem Profil zugewiesen wurden, das in der Watchlist SAP – Sensitive Profiles (SAP – Vertrauliche Profile) zu finden ist, oder einer Rolle hinzugefügt wurden, die in der Watchlist SAP – Sensitive Roles (SAP –Vertrauliche Rollen) aufgeführt ist.

Parameter:

  • TimeAgo
    • Optional
    • Standardwert: Sieben Tage
    • Bestimmt, dass die Funktion Benutzermasterdaten von der durch den TimeAgo-Wert definierten Zeit bis zu der durch den now()-Wert definierten Zeit sucht

Die Funktion SAPUsersGetPrivileged gibt die folgenden Daten zurück:

Feld BESCHREIBUNG
Benutzer ID des SAP-Benutzers
Client Client-ID
SystemID System-ID

SAPUsersAuthorizations

Die Funktion SAPUsersAuthorizations vereint Daten aus mehreren Tabellen, um eine benutzerzentrierte Ansicht der aktuellen Rollen und zugewiesenen Autorisierungen zu erstellen. Nur Benutzer mit aktiven Rollen- und Autorisierungszuweisungen werden zurückgegeben.

Parameter:

  • TimeAgo
    • Optional
    • Standardwert: Sieben Tage
    • Bestimmt, dass die Funktion Benutzermasterdaten von der durch den TimeAgo-Wert definierten Zeit bis zu der durch den now()-Wert definierten Zeit sucht

Die Funktion SAPUsersAuthorizations gibt die folgenden Daten zurück:

Feld Beschreibung des Dataflows Hinweise
Benutzer ID des SAP-Benutzers
Rollen Gruppe von Rollen (maximale Standardgröße: 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails Gruppe von Autorisierungen (maximale Standardgröße: 100) {{AuthorizationsDeatils1},
{AuthorizationsDeatils2},
...,
{AuthorizationsDeatils100}}
Client Client-ID
SystemID System-ID

SAPConnectorHealth

Die Funktion SAPConnectorHealth gibt den Status des Agents und der Konnektivität des zugrunde liegenden SAP-Systems an. Basierend auf dem Heartbeatprotokoll SAP_HeartBeat_CL und anderen Integritätsindikatoren werden die folgenden Daten zurückgegeben:

Feld Beschreibung
Agent Agent-ID in der Agent-Konfiguration (automatisch generiert)
SystemID SAP-System-ID
Status Gesamtstatus der Konnektivität
Details Konnektivitätsdetails
ExtendedDetails Erweiterte Details zur Konnektivität
LastSeen Zeitstempel der letzten Aktivität
StatusCode Code, der den Status des Systems widerspiegelt

SAPConnectorOverview

Die Funktion SAPConnectorOverview zeigt die Zeilenanzahl jeder SAP-Tabelle pro System-ID an. Sie gibt eine Liste von Datensätzen pro System-ID und deren generierte Zeit zurück.

Parameter:

  • TimeAgo
    • Optional
    • Standardwert: Sieben Tage
    • Bestimmt, dass die Funktion Benutzermasterdaten von der durch den TimeAgo-Wert definierten Zeit bis zu der durch den now()-Wert definierten Zeit sucht
Feld BESCHREIBUNG
TimeGenerated Ein datetime-Wert des Zeitstempels der Datensatzgenerierung
SystemID_s Eine Zeichenfolge, die die SAP-System-ID darstellt.

Verwenden Sie die folgende Kusto-Abfrage, um eine tägliche Trendanalyse durchzuführen:

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

Die Funktion SAPUsersEmail ermöglicht eine leistungsorientierte Suche nach der E-Mail-Adresse eines SAP-Benutzers pro SAP-System und Client, die normalerweise für die Zuordnung zu einem Active Directory-Konto verwendet wird. Anhand von extrahierten Daten aus den SAP-Tabellen „USR21“ (Zuweisung des Benutzernamens bzw. des Adressschlüssels) und „ADR6“ (E-Mail-Adressen) sucht die Funktion „SAPUsersEmail“ nach einer E-Mail-Adresse. Sollte keine gefunden werden, wird anstelle einer E-Mail-Adresse die Benutzer-ID zurückgegeben. Dieses Verhalten stellt sicher, dass SAP-Dienstkonten (z. B. DDIC), die häufig nicht mit einer E-Mail-Adresse verknüpft sind, als Pseudo-AD-Konten protokolliert werden, was die Verwendung einiger UEBA-Features ermöglicht, die bei der Untersuchung von Incidents sowie bei Hunting-Aktivitäten hilfreich sind.

Feld BESCHREIBUNG
ClientID Die SAP-Client-ID
SystemID SAP-System-ID
Benutzer Die SAP-Benutzer-ID
E-Mail Die E-Mail-Adresse des SAP-Benutzers

SAPSystems

Die Funktion SAPSystems dient zur zentralen Anzeige der systemspezifischen Konfiguration unter Verwendung der Watchlist „SAP – Systeme“.

Parameter:

  • SelectedSystems
    • Optional
    • Standardwert: "All Systems" (Alle Systeme)
    • Wird verwendet, um bestimmte SAP-Systeme zu filtern
  • SelectedSystemRoles
    • Optional
    • Standardwert: "All System Roles" (Alle Systemrollen)
    • Bestimmt die zu betrachtenden Rollen der SAP-Systeme (gemäß Definition in der Watchlist „SAP – Systeme“)
Feld BESCHREIBUNG Datenquelle/Hinweise
SearchKey Suchschlüssel Indiziertes Feld für die SAP-System-ID
SystemRole Die Rolle des SAP-Systems Produktion, UAT
SystemUsage Die Hauptnutzung des SAP-Systems ERP, CRM
SystemID SAP-System-ID

SAPAuditLogConfiguration

Die Funktion SAPAuditLogConfiguration gibt die lokale Konfiguration des SAP-Überwachungsprotokolls für Warnungen des Sentinel-Arbeitsbereichs zurück, die für die verschiedenen Warnungen im Zusammenhang mit SAP-Überwachungsprotokollen verwendet werden soll. Sie verknüpft die Daten der Watchlists „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“ und „SAP – Systeme“, um eine systemspezifische Konfiguration mit einer Konfiguration pro Systemrolle zu erhalten.

Parameter:

  • SelectedSystems
    • Optional
    • Standardwert: "All Systems" (Alle Systeme)
    • Wird verwendet, um bestimmte SAP-Systeme zu filtern, die betrachtet werden sollen
  • SelectedSystemRoles
    • Optional
    • Standardwert: "All System Roles" (Alle Systemrollen)
    • Bestimmt die zu betrachtenden Rollen der SAP-Systeme (gemäß Definition in der Watchlist „SAP – Systeme“)
  • SelectedSeverities
    • Optional
    • Standardwert: ["High", "Medium"] (Hoch, Mittel)
    • Wird verwendet, um Ereignisse zu bestimmen, die hinsichtlich ihrer Schweregrade untersucht werden sollen. Schweregrade pro SAP-Überwachungsprotokollnachrichten-ID und Systemrolle werden in der Watchlist „SAP_Dynamic_Audit_Log_Monitor_Configuration“ definiert.
  • SelectedRuleTypes
    • Optional
    • Standardwert: "All RuleTypes" (Alle Regeltypen)
    • Bestimmt, welche Ereignisse für die Erkennung der Anomalien relevant sind. Regeltypen pro SAP-Überwachungsprotokollnachrichten-ID und Systemrolle werden in der Watchlist „SAP_Dynamic_Audit_Log_Monitor_Configuration“ definiert.
Feld BESCHREIBUNG Datenquelle/Hinweise
CategoryName Von SAP angegebene Ereigniskategorie Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“
DestinationEmail E-Mail-Adresse des zugewiesenen Teams Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“
DetailedDescription Mit Markdown formatierter Text, der in Warnungen angezeigt werden soll Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“
Meldungs-ID Die SAP-Überwachungsprotokollmeldungs-ID Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“
MessageText Ein exemplarischer Nachrichtentext Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“
RolesTagsToExclude Eine ABAP-Rolle, ein Profil oder ein Freitexttag Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“
RuleType Anomalie oder deterministisch Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“
Taktik Die MITRE ATTA&CK-Taktik Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“
TeamsChannelID Teams-Kanal Watchlist „SAP – Dynamische Konfiguration des Überwachungsprotokollmonitors“
SystemID SAP-System-ID Watchlist „SAP – System“
SystemRole Die Rolle des SAP-Systems Watchlist „SAP – System“
SystemUsage Die Hauptnutzung des SAP-Systems Watchlist „SAP – System“
IsProd Flag für Produktionssystem Watchlist „SAP – System“
severity Der abgeleitete Schweregrad Schweregrad pro Systemnutzung
Schwellenwert Der abgeleitete Schwellenwert Ereignisanzahl pro Systemnutzung
BagOfDetails Behälter mit Details Ein Wörterbuch mit der Ereignisdefinition

SAPAuditLogAnomalies

SAPAuditLogAnomalies verwendet die integrierten ML-Funktionen der zugrunde liegenden Kusto-Datenbank von Sentinel, um im SAP-Überwachungsprotokoll beobachtete anormale Ereignisse zu erkennen. Diese Funktion wurde für die Warnungsregel „SAP – (Experimentell) Dynamische anomaliebasierte Überwachungsprotokollmonitor-Warnungen“ entwickelt und diente ursprünglich dazu, Warnungen für kürzlich aufgetretene Anomalien zu generieren. Sie kann allerdings auch dabei helfen, historische Anomalien hervorzuheben (wie in den Beispielen weiter unten zu sehen).

Parameter:

  • LearningTime
    • Optional
    • Standardwert: 14 Tage
    • Bestimmt die Zeitspanne für das Lernen von Modellen
  • DetectingTime
    • Optional
    • Standardwert: Eine Stunde
    • Bestimmt die Zeitspanne, die zur Erkennung von Anomalien betrachtet werden soll. Wenn diese Funktion mit „DetectingTime = 0h“ aufgerufen wird, werden Anomalien für die gesamte Zeitspanne von „LearningTime“ hervorgehoben.
  • SelectedSystems
    • Optional
    • Standardwert: "All Systems" (Alle Systeme)
    • Wird verwendet, um bestimmte SAP-Systeme zu filtern, die betrachtet werden sollen
  • SelectedSystemRoles
    • Optional
    • Standardwert: "All System Roles" (Alle Systemrollen)
    • Bestimmt die zu betrachtenden Rollen der SAP-Systeme (gemäß Definition in der Watchlist „SAP – Systeme“)
  • SelectedSeverities
    • Optional
    • Standardwert: ["High", "Medium"] (Hoch, Mittel)
    • Wird verwendet, um Ereignisse zu bestimmen, die hinsichtlich ihrer Schweregrade untersucht werden sollen. Schweregrade pro SAP-Überwachungsprotokollnachrichten-ID und Systemrolle werden in der Watchlist „SAP_Dynamic_Audit_Log_Monitor_Configuration“ definiert.
  • SelectedPrefixMask
    • Optional
    • Standardwert: 24
    • Wird verwendet, um die Subnetzmaskenebene für das Lernen und Erkennen zu bestimmen.
  • SelectedRuleTypes
    • Optional
    • Standardwert: "AnomaliesOnly"
    • Bestimmt, welche Ereignisse für die Erkennung der Anomalien relevant sind. Regeltypen pro SAP-Überwachungsprotokollnachrichten-ID und Systemrolle werden in der Watchlist „SAP_Dynamic_Audit_Log_Monitor_Configuration“ definiert.

Logik

Die Funktion lernt das Segment des Verlaufs, das durch die verschiedenen Eingabeparameter definiert ist, und zwar auf der Benutzer-, Netzwerkattribut-, System-, Saisonalitäts- und Aktivitätsebene. Anschließend werden Ereignisse innerhalb der letzten DetectingTime-Zeitspanne auf der Grundlage des Gelernten beurteilt. Dabei werden Schwellenwerte und andere konfigurierbare Ausschlusskriterien angewendet, die aus der Watchlist für die SAP-Überwachungsprotokollkonfiguration abgerufen wurden. Wenn ein gleitendes Fenster einer Benutzeraktivität als anormal eingestuft wurde, gibt eine zweite Abfrage die gesamte Benutzeraktivität als Beweis zurück, um die Entscheidung zu untermauern.

Zusätzliche Hinweise

Wie jede Machine Learning-Lösung wird auch diese Funktion nach und nach immer besser. Weitere Anpassungen können mithilfe der lokalen Konfiguration vorgenommen werden. Es empfiehlt sich, die Größe der gelernten Datenbank mithilfe der vielen verfügbaren Eingabeparameter auf unter 100 Millionen Datensätze zu beschränken.

Beispiel: Suchen nach Anomalien für Ereignisse mit hohem Schweregrad, die innerhalb der letzten Stunde auf Produktionssystemen für Ereignistypen aufgetreten sind, die in „SAP_Dynamic_Audit_Log_Monitor_Configuration“ als „AnomaliesOnly“ gekennzeichnet sind

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))

Beispiel: Suchen nach allen Anomalien in den letzten 14 Tagen im System „BIP“

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Feld BESCHREIBUNG
Mehrere Felder aus „SAPAuditLog“ Schlüsselfelder aus dem SAP-Überwachungsprotokoll
Mehrere Felder aus „SAPAuditLogConfiguration“ Schlüsselfelder aus der Überwachungsprotokollkonfiguration von Sentinel für SAP
DiscoveredOn Die gerundete Stunde, in der die Anomalie beobachtet wurde
EventCount Anzahl gezählter Ereignisse pro zurückgegebener Zeile
AnomalCount Anzahl beobachteter Ereignisse innerhalb des relevanten gleitenden Fensters
MinTime Zeit des ersten beobachteten Ereignisses
MaxTime Zeit des letzten beobachteten Ereignisses
Bewertung Die vom Anomaliemodell erzeugten Anomaliebewertungen

Weitere Informationen finden Sie unter Integrierte SAP-Analyseregeln zur Überwachung des SAP-Überwachungsprotokolls.

SAPAuditLogConfigRecommend

SAPAuditLogConfigRecommend ist eine Hilfsfunktion, die Empfehlungen für die Konfiguration der Analyseregeln der SAP – Dynamische, anomaliebasierte Überwachungsprotokoll-Monitor-Warnungen (PREVIEW) bieten soll. So konfigurieren Sie die Regeln.

SAPUsersGetVIP

Die Microsoft Sentinel-Lösung für SAP-Anwendungen® verwendet ein Konzept der zentralen Benutzermarkierung und expliziter Ausschlüsse, die Ihnen helfen sollen, falsch positive Ergebnisse mit minimalem Aufwand zu senken. Verwenden Sie die SAPUsersGetVIP-Funktion , um Benutzer vom Auslösen von Warnungen auszuschließen, indem Sie SAP-Benutzerrollen, SAP-Benutzerfunktionen oder Tags angeben, die diese Benutzer darstellen. Weitere Informationen finden Sie unter Behandeln von falsch positiven Ergebnissen in Microsoft Sentinel

Tags, die als Eingabe für die SAPUsersGetVIP-Funktion angegeben sind, schließen alle Benutzer mit einem Tag aus, das in der SAP_User_Config Watchlist aufgeführt ist. Die gleiche Funktionalität wird erweitert, um mit Wild Karte s zu arbeiten, sodass Sie einer Gruppe von Benutzern mit derselben Benennungssyntax ein einzelnes Tag zuweisen können.

  1. Markieren Sie Benutzer in der SAP_User_Config-Watchlist wie folgt:

    • Fügen Sie jedem Benutzer in der SAP_User_Config Watchlist nach Bedarf mehrere Tags hinzu, um verschiedene Szenarien abzudecken. Jede Warnungsregel verfügt über eigene relevante Tags, falls vorhanden, und Sie können bei Bedarf benutzerdefinierte Tags hinzufügen.

    • Verwenden Sie ein Sternchen (*) als Platz Karte um Benutzer mit einer bestimmten Benennungssyntaxvorlage einzuschließen.

  2. Fügen Sie die SAPUsersGetVIP-Funktion in Ihren Analyseregeln hinzu, um die Listen der Benutzer anzufordern, die Sie definiert haben, um von Warnungen ausgeschlossen zu werden. Fügen Sie im Funktionsaufruf ein Array mit den Tags, SAP-Rollen und SAP-Profilen hinzu, die Sie ausschließen möchten.

Verwenden Sie z. B. die folgende KQL-Abfrage in Ihrer Analyseregel, um alle Benutzer auszuschließen, die mit dem RunObsoleteProgOK-Tag in der SAP_User_Config Watchlist konfiguriert sind, oder benutzer mit der Beispiel-SAP_BASIS_ADMIN_ROLERolle oder dem Beispiel SAP_ADMIN_PROFILE Profil.

Ersetzen Sie beim Kopieren dieses Beispielfunktionsaufrufs SAP_BASIS_ADMIN_ROLE Rolle und SAP_ADMIN_PROFILE Profil nach Bedarf durch Ihre eigenen SAP-Rollen oder Profile.

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

Die SAPUsersGetVIP-Funktion wird häufig in deterministischen und anomalen Überwachungsprotokollüberwachungswarnungen verwendet. Ordnen Sie ein Tag einer SAP-Überwachungsprotokollnachrichten-ID zu, oder erweitern Sie die Regelvorlage auf eine benutzerdefinierte Regel, die den Anforderungen Ihrer Organisation entspricht.

Tipp

Es wird empfohlen, sich an Ihren SAP-Systemadministrator zu wenden, um zu verstehen, welche SAP-Benutzer, Rollen und Profile in Ihre SAP_User_Config Watchlist aufgenommen werden sollen.

Parameter:

Name Beschreibung Standardwert
SearchForTags (Optional) Wenn SearchForTags gleich All Tags, werden alle Benutzer zusammen mit ihren Tags zurückgegeben.

Andernfalls werden nur Benutzer zurückgegeben, die die tags, SAP-Rollen oder SAP-Profile enthalten SearchForTags . TagsIntersect zeigt die gefundenen Tags an und IntersectionSize enthält die Anzahl der gefundenen Tags.		 dynamic('All Tags')
SpecialFocusTags (Optional) Gibt alle Benutzer zurück, die die in angegebenen Tags enthalten SpecialFocusTagsund mit denen specialFocusTagged = truegekennzeichnet sind. Do not return any in-focus users
Quelle Feld Beschreibung des Dataflows Hinweise
Die SAP_User_Config-Watchlist SearchKey Suchschlüssel
Die SAP_User_Config-Watchlist SAPUser Der SAP-Benutzer OSS, DDIC
Die SAP_User_Config-Watchlist Tags Zeichenfolge von Tags, die dem Benutzer zugewiesen sind RunObsoleteProgOK
Die SAP_User_Config-Watchlist Microsoft Entra-Objekt-ID der Benutzerin/des Benutzers Microsoft Entra-Objekt-ID
Die SAP_User_Config-Watchlist Benutzerbezeichner AD-Benutzer-ID
Die SAP_User_Config-Watchlist Lokale SID des Benutzers
Die SAP_User_Config-Watchlist Benutzerprinzipalname
Die SAP_User_Config-Watchlist TagsList Eine Liste der Tags, die dem Benutzer zugewiesen sind ChangeUserMasterDataOK;RunObsoleteProgOK
Logik TagsIntersect Eine Gruppe von Tags, die „SearchForTags“ entsprechen ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Logik SpecialFocusTagged Angabe des speziellen Fokus TRUE, FALSE
Logik IntersectionSize Die Anzahl sich überschneidender Tags

SAPUsersHeader

Die Funktion SAPUsersHeader bietet einen allgemeinen Überblick über den SAP-Benutzer. Sie verwendet Daten, die sowohl aus den Tabellen mit den SAP-Benutzermasterdaten als auch aus den aktuellen Aktivitäten im SAP-Überwachungsprotokoll extrahiert werden, um E-Mail- und IP-Adressen zu sammeln. Anschließend werden die letzten bekannten E-Mail- und IP-Adressen zusammen mit primären E-Mail- und IP-Adressen zurückgegeben. Parameter: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"

  • SelectedSystems
    • Optional
    • Standardwert: "All Systems" (Alle Systeme)
    • Wird verwendet, um bestimmte SAP-Systeme zu filtern, die betrachtet werden sollen
  • SelectedSystemRoles
    • Optional
    • Standardwert: "All System Roles" (Alle Systemrollen)
    • Bestimmt die zu betrachtenden Rollen der SAP-Systeme (gemäß Definition in der Watchlist „SAP – Systeme“)
  • SelectedUsers
    • Optional
    • Standardwert: "All Users" (Alle Benutzer)
    • Kann Benutzerlisten eingeben.
  • SelectedUser
    • Optional
    • Standardwert: "All Users" (Alle Benutzer)
    • Akzeptiert nur einen einzelnen Benutzer.

Zusätzliche Hinweise

Aus Leistungsgründen werden nur einige Tage der Überwachungsaktivität berücksichtigt. Wenn Sie einen vollständigen Verlauf der Benutzeraktivität benötigen, können Sie eine benutzerdefinierte KQL-Abfrage für die Funktion „SAPAuditLog“ ausführen.

`Source` Feld Beschreibung des Dataflows Hinweise
Benutzer Der SAP-Benutzer
SAP-Tabellen „ADR6“ und „USR21“ E-Mail Aus den Masterdaten des Benutzers OSS, DDIC
SAP-Tabelle „USR02“ UserType Zeichenfolge von Tags, die dem Benutzer zugewiesen sind RunObsoleteProgOK
SAP-Tabelle „USR02“ Zeitzone Microsoft Entra-Objekt-ID
SAP-Tabelle „USR02“ LockedStatus AD-Benutzer-ID
SAP-Überwachungsprotokoll LastSeen Zeitstempel Letztes für den Benutzer beobachtetes Überwachungsereignis
SAP-Überwachungsprotokoll LastSeenDaysAgo Tage seit „LastSeen“
SAP-Überwachungsprotokoll PrimaryIP Am häufigsten verwendete IP-Adresse ChangeUserMasterDataOK;RunObsoleteProgOK
SAP-Überwachungsprotokoll LastKnownIP Zuletzt verwendete IP-Adresse ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
SAP-Überwachungsprotokoll PrimaryEmail Am häufigsten verwendete E-Mail-Adresse TRUE, FALSE
SAP-Überwachungsprotokoll KnownIPs Liste bekannter IP-Adressen Absteigend nach Häufigkeit sortiert
SAP-Überwachungsprotokoll KnownEmails Liste bekannter E-Mail-Adressen Absteigend nach Häufigkeit sortiert
Client Die SAP-Client-ID
SystemID Die SAP-System-ID
SystemRole Die Rolle des SAP-Systems Produktion, UAT
SystemUsage Die Hauptnutzung des SAP-Systems ERP, CRM

Vom Datenconnector-Agent erzeugte Protokolle

In diesem Abschnitt werden die SAP-Protokolle beschrieben, die über den Datenconnector der Microsoft Sentinel-Lösung für SAP®-Anwendungen verfügbar sind, einschließlich der Tabellennamen in Microsoft Sentinel, der Protokollzwecke und detaillierten Protokollschemas. Die Beschreibungen der Schemafelder basieren auf den Feldbeschreibungen in der entsprechenden SAP-Dokumentation.

Die besten Ergebnisse erzielen Sie, wenn Sie die unten aufgeführten Microsoft Sentinel-Funktionen verwenden, um die Daten zu visualisieren, darauf zuzugreifen und sie abzufragen.

ABAP-Anwendungsprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPAppLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Aufzeichnung des Status einer Anwendungsausführung, sodass Sie sie später bei Bedarf rekonstruieren können.

    Verfügbar über RFC, basierend auf SAP-Standardtabellen und den Standarddiensten der XBP-Schnittstelle. Dieses Protokoll wird clientbezogen generiert.

Schema des Protokolls ABAPAppLog_CL

Feld BESCHREIBUNG
AppLogDateTime Datum/Uhrzeit des Anwendungsprotokolls
CallbackProgram Rückrufprogramm
CallbackRoutine Rückrufroutine
CallbackType Rückruftyp
ClientID ABAP-Client-ID (MANDT)
ContextDDIC DDIC-Struktur des Kontexts
ExternalID Externe Protokoll-ID
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Serielle Anwendungsprotokollmeldung
LevelofDetail Detailgrad
LogHandle Handle für Anwendungsprotokoll
LogNumber Protokollnummer
MessageClass Message-Klasse
MessageNumber Meldungsnummer
MessageText Meldungstext
MessageType Nachrichtentyp
Object Anwendungsprotokollobjekt
OperationMode Betriebsmodus
ProblemClass Problemklasse
ProgramName Programmname
SortCriterion Sortierkriterium
StandardText Standardtext
SubObject Unterobjekt des Anwendungsprotokolls
SystemID System-ID
SystemNumber Systemnummer
TransactionCode Transaktionscode
Benutzer Benutzer
UserChange Benutzeränderung

Protokoll für ABAP-Änderungsdokumente

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPChangeDocsLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Aufzeichnung folgender Elemente:

    • SAP NetWeaver Application Server (AS) ABAP-Protokolländerungen an Geschäftsdatenobjekten in Änderungsdokumenten

    • Andere Entitäten im SAP-System, z. B. Benutzerdaten, Rollen, Adressen

    Verfügbar über RFC, basierend auf SAP-Standardtabellen. Dieses Protokoll wird clientbezogen generiert.

Schema des Protokolls ABAPChangeDocsLog_CL

Feld BESCHREIBUNG
ActualChangeNum Tatsächliche Änderungsnummer
ChangedTableKey Geänderter Tabellenschlüssel
ChangeNumber Änderungsnummer
ClientID ABAP-Client-ID (MANDT)
CreatedfromPlannedChange Erstellt anhand geplanter Änderung in der folgenden Syntax: (‘X’ , ‘ ‘)
CurrencyKeyNew Währungsschlüssel: neuer Wert
CurrencyKeyOld Währungsschlüssel: alter Wert
FieldName Feldname
FlagText Flagtext
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
Sprache Sprache
ObjectClass Objektklasse, z. B. BELEG, BPAR, PFCG, IDENTITY
ObjectID Objekt-ID
PlannedChangeNum Geplante Änderungsnummer
SystemID System-ID
SystemNumber Systemnummer
TableName Tabellenname
TransactionCode Transaktionscode
TypeofChange_Header Änderungstyp des Headers, einschließlich:
U = Ändern; I = Einfügen; E = Einzelnes Dokument löschen; D = Löschen; J = Einzelnes Dokument einfügen
TypeofChange_Item Änderungstyp des Elements, einschließlich:
U = Ändern; I = Einfügen; E = Einzelnes Dokument löschen; D = Löschen; J = Einzelnes Dokument einfügen
UOMNew Maßeinheit: neuer Wert
UOMOld Maßeinheit: alter Wert
Benutzer Benutzer
ValueNew Feldinhalt: neuer Wert
ValueOld Feldinhalt: alter Wert
Version Version

ABAP CR-Protokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPCRLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: enthält die CTS-Protokolle (Change & Transport System), einschließlich der Verzeichnisobjekte und Anpassungen, an denen Änderungen erfolgt sind.

    Verfügbar über RFC, basierend auf Standardtabellen und SAP-Standarddiensten. Dieses Protokoll wird mit Daten aller Clients generiert.

Hinweis

Neben der Anwendungsprotokollierung, Änderungsdokumenten und Tabellenaufzeichnung werden alle Änderungen, die Sie mit dem Change & Transport System an Ihrem Produktivsystem vornehmen, in den CTS- und TMS-Protokollen dokumentiert.

Schema des Protokolls ABAPCRLog_CL

Feld Beschreibung
Category Kategorie (Workbench, Anpassung)
ClientID ABAP-Client-ID (MANDT)
BESCHREIBUNG BESCHREIBUNG
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
ObjectName Objektname
ObjektType Objekttyp
Besitzer Besitzer
Anforderung Änderungsanforderung
Status Status
SystemID System-ID
SystemNumber Systemnummer
TableKey Tabellenschlüssel
TableName Tabellenname
Ansichtsname Name der Ansicht

ABAP DB-Tabellendatenprotokoll (VORSCHAU)

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der Datei systemconfig.ini manuell hinzufügen.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPTableDataLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Bereitstellung einer Protokollierung für die Tabellen, die kritisch oder anfällig für Überwachungen sind.

    Verfügbar unter Verwendung von RFC mit einem benutzerdefinierten Dienst. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPTableDataLog_CL

Feld BESCHREIBUNG
DBLogID DB-Protokoll-ID
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
Sprache Sprache
LogKey Protokollschlüssel
NewValue Neuer Wert des Felds
OldValue Alter Wert des Felds
OperationTypeSQL Vorgangstyp: Insert, Update, Delete
Programm Programmname
SystemID System-ID
SystemNumber Systemnummer
TableField Tabellenfeld
TableName Tabellenname
TransactionCode Transaktionscode
UserName Benutzer
VersionNumber Versionsnummer

ABAP-Gatewayprotokoll (VORSCHAU)

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der Datei systemconfig.ini manuell hinzufügen.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_GW

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Überwachung von Gatewayaktivitäten. Verfügbar über SAP Control Web Service. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPOS_GW_CL

Feld BESCHREIBUNG
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
MessageText Meldungstext
severity Schweregrad der Meldung: Debug, Info, Warning, Error
SystemID System-ID
SystemNumber Systemnummer

ABAP-ICM-Protokoll (VORSCHAU)

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der Datei systemconfig.ini manuell hinzufügen.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_ICM

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Aufzeichnung ein- und ausgehender Anforderungen und Erstellung von Statistiken zu HTTP-Anforderungen.

    Verfügbar über SAP Control Web Service. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPOS_ICM_CL

Feld BESCHREIBUNG
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
MessageText Meldungstext
severity Schweregrad der Meldung einschließlich: Debug, Info, Warning, Error
SystemID System-ID
SystemNumber Systemnummer

ABAP-Auftragsprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPJobLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Kombination aller Protokolle von Aufträgen für die Verarbeitung im Hintergrund (SM37).

    Verfügbar über RFC, basierend auf SAP-Standardtabellen und den Standarddiensten der XBP-Schnittstellen. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPJobLog_CL

Feld BESCHREIBUNG
ABAPProgram ABAP-Programm
BgdEventParameters Hintergrundereignisparameter
BgdProcessingEvent Hintergrundverarbeitungsereignis
ClientID ABAP-Client-ID (MANDT)
DynproNumber Dynpro-Nummer
GUIStatus GUI-Status
Host Host
Instanz ABAP-Instanz (HOST_SYSID_SYSNR) in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
JobClassification Auftragsklassifizierung
JobCount Auftragsanzahl
JobGroup Auftragsgruppe
JobName Auftragsname
JobPriority Auftragspriorität
MessageClass Message-Klasse
MessageNumber Meldungsnummer
MessageText Meldungstext
MessageType Nachrichtentyp
ReleaseUser Auftragsfreigabebenutzer
SchedulingDateTime Zeitplanung für Datum und Uhrzeit
StartDateTime Startdatum und -uhrzeit
SystemID System-ID
SystemNumber Systemnummer
TargetServer Zielserver
Benutzer Benutzer
UserReleaseInstance ABAP-Instanz – Benutzerfreigabe
WorkProcessID Arbeitsprozess-ID
WorkProcessNumber Arbeitsprozessnummer

ABAP-Sicherheitsüberwachungsprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPAuditLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Aufzeichnung der folgenden Daten:

    • Sicherheitsbezogene Änderungen an der SAP-Systemumgebung, z. B. Änderungen an Hauptbenutzerdatensätzen
    • Informationen, die eine höhere Datenebene bieten, z. B. erfolgreiche und nicht erfolgreiche Anmeldeversuche
    • Informationen, die die Wiederherstellung einer Reihe von Ereignissen ermöglichen, z. B. erfolgreiche oder nicht erfolgreiche Transaktionsstarts

    Verfügbar über XAL-/SAL-Schnittstellen von RFC. SAL ist ab Version Basis 7.50 verfügbar. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPAuditLog_CL

Feld BESCHREIBUNG
ABAPProgramName Programmname, nur SAL
AlertSeverity Schweregrad der Warnung
AlertSeverityText Text mit Warnungsschweregrad, nur SAL
AlertValue Warnungswert
AuditClassID Überwachungsklassen-ID, nur SAL
ClientID ABAP-Client-ID (MANDT)
Computer Benutzercomputer, nur SAL
E-Mail User email
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
MessageClass Message-Klasse
MessageContainerID Nachrichtencontainer-ID, nur XAL
Meldungs-ID Meldungs-ID, z. B. ‘AU1’,’AU2’…
MessageText Meldungstext
MonitoringObjectName Objektname des MTE-Monitors, nur XAL
MonitorShortName Kurzname des MTE-Monitors, nur XAL
SAPProcesType Systemprotokoll: SAP-Prozesstyp, nur SAL
B* – Hintergrundverarbeitung
D* – Dialogverarbeitung
U* – Aktualisierungsaufgaben
SAPWPName Systemprotokoll: Arbeitsprozessnummer, nur SAL
SystemID System-ID
SystemNumber Systemnummer
TerminalIPv6 IP-Adresse des Benutzercomputers, nur SAL
TransactionCode Transaktionscode, nur SAL
Benutzer Benutzer
Variable1 Meldungsvariable 1
Variable2 Meldungsvariable 2
Variable3 Meldungsvariable 3
Variable4 Meldungsvariable 4

ABAP-Spoolprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSpoolLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Hauptprotokoll für SAP-Druck mit Verlauf der Spoolanforderungen. (SP01).

    Verfügbar über RFC, basierend auf der SAP-Standardtabelle. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPSpoolLog_CL

Feld BESCHREIBUNG
ArchiveStatus Archivstatus
ArchiveType Archivtyp
ArchivingDevice Archivierungsgerät
AutoRereoute Automatisches Umleiten
ClientID ABAP-Client-ID (MANDT)
CountryKey Länderschlüssel
DeleteSpoolRequestAuto Automatisches Löschen der Spoolanforderung
DelFlag Löschflag
Department Department
DocumentType Dokumenttyp
ExternalMode Externer Modus
FormatType Formattyp
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
NumofCopies Anzahl
OutputDevice Ausgabegerät
PrinterLongName Langname des Druckers
PrintImmediately Sofort drucken
PrintOSCoverPage OSCover-Seite drucken
PrintOSCoverPage SAPCover-Seite drucken
Priority Priority
RecipientofSpoolRequest Empfänger der Spoolanforderung
SpoolErrorStatus Spoolfehlerstatus
SpoolRequestCompleted Spoolanforderung abgeschlossen
SpoolRequestisALogForAnotherRequest Spoolanforderung ist ein Protokoll für eine andere Anforderung
SpoolRequestName Name der Spoolanforderung
SpoolRequestNumber Nummer der Spoolanforderung
SpoolRequestSuffix1 Spoolanforderungssuffix 1
SpoolRequestSuffix2 Spoolanforderungssuffix 2
SpoolRequestTitle Titel der Spoolanforderung
SystemID System-ID
SystemNumber Systemnummer
TelecommunicationsPartner Telekommunikationspartner
TelecommunicationsPartnerE Telekommunikationspartner E
TemSeGeneralcounter TemSe-Zähler
TemseNumAddProtectionRule TemSe-Nummer: Schutzregel hinzufügen
TemseNumChangeProtectionRule TemSe-Nummer: Schutzregel ändern
TemseNumDeleteProtectionRule TemSe-Nummer: Schutzregel löschen
TemSeObjectName TemSe-Objektname
TemSeObjectPart TemSe-Objektteil
TemseReadProtectionRule TemSe-Leseschutzregel
Benutzer Benutzer
ValueAuthCheck Überprüfung der Wertauthentifizierung

APAB-Spoolausgabeprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSpoolOutputLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Hauptprotokoll für SAP-Druck mit Verlauf der Spoolausgabeanforderungen. (SP02).

    Verfügbar unter Verwendung von RFC mit einem benutzerdefinierten Dienst, der auf Standardtabellen basiert. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPSpoolOutputLog_CL

Feld BESCHREIBUNG
AppServer Anwendungsserver
ClientID ABAP-Client-ID (MANDT)
Kommentar Kommentar
CopyCount Anzahl der Exemplare
CopyCounter Zähler für Exemplare
Department Department
ErrorSpoolRequestNumber Nummer der fehlerhaften Anforderung
FormatType Formattyp
Host Host
HostName Hostname
HostSpoolerID Hostspooler-ID
Instanz ABAP-Instanz
LastPage Letzte Seite
NumofCopies Anzahl
OutputDevice Ausgabegerät
OutputRequestNumber Ausgabeanforderungsnummer
OutputRequestStatus Ausgabeanforderungsstatus
PhysicalFormatType Physischer Formattyp
PrinterLongName Langname des Druckers
PrintRequestSize Druckanforderungsgröße
Priority Priority
ReasonforOutputRequest Grund für Ausgabeanforderung
RecipientofSpoolRequest Empfänger der Spoolanforderung
SpoolNumberofOutputReqProcessed Anzahl der Ausgabeanforderungen – verarbeitet
SpoolNumberofOutputReqWithErrors Anzahl der Ausgabeanforderungen – mit Fehlern
SpoolNumberofOutputReqWithProblems Anzahl der Ausgabeanforderungen – mit Problemen
SpoolRequestNumber Nummer der Spoolanforderung
StartPage Startseite
SystemID System-ID
SystemNumber Systemnummer
TelecommunicationsPartner Telekommunikationspartner
TemSeGeneralcounter TemSe-Zähler
Titel Titel
Benutzer Benutzer

ABAP Syslog

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der Datei systemconfig.ini manuell hinzufügen.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_Syslog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Aufzeichnung aller ABAP-Systemfehler von SAP NetWeaver Application Server (SAP NetWeaver AS), Warnungen, Benutzersperren aufgrund fehlgeschlagener Anmeldeversuche bekannter Benutzer und Prozessmeldungen.

    Verfügbar über SAP Control Web Service. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPOS_Syslog_CL

Feld BESCHREIBUNG
ClientID ABAP-Client-ID (MANDT)
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
MessageNumber Meldungsnummer
MessageText Meldungstext
severity Meldungsschweregrad, einer der folgenden Werte: Debug, Info, Warning, Error
SystemID System-ID
SystemNumber Systemnummer
TransacationCode Transaktionscode
Typ SAP-Prozesstyp
Benutzer Benutzer

ABAP-Workflowprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPWorkflowLog

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Mit dem SAP Business Workflow (WebFlow-Engine) können Sie Geschäftsprozesse definieren, die noch nicht im SAP-System abgebildet sind.

    Bei nicht abgebildeten Geschäftsprozessen kann es sich z. B. um einfache Freigabe- oder Genehmigungsprozesse handeln oder um komplexere Geschäftsprozesse wie die Erstellung von Basismaterial und die anschließende Koordination der zugehörigen Abteilungen.

    Verfügbar über RFC, basierend auf SAP-Standardtabellen. Dieses Protokoll wird clientbezogen generiert.

Schema des Protokolls ABAPWorkflowLog_CL

Feld BESCHREIBUNG
ActualAgent Tatsächlicher Agent
Adresse Adresse
ApplicationArea Anwendungsbereich
CallbackFunction Rückruffunktion
ClientID ABAP-Client-ID (MANDT)
CreationDateTime Erstellungsdatum/-uhrzeit
Creator Creator
CreatorAddress Adresse des Erstellers
ErrorType Fehlertyp
ExceptionforMethod Ausnahme für Methode
Host Host
Instanz ABAP-Instanz (HOST_SYSID_SYSNR) in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
Sprache Sprache
LogCounter Protokollzähler
MessageNumber Meldungsnummer
MessageType Nachrichtentyp
MethodUser Methodenbenutzer
Priority Priority
SimpleContainer Einfacher Container, gepackt als Liste mit Schlüssel-Wert-Entitäten für das Arbeitselement
Status Status
SuperWI Superarbeitselement
SystemID System-ID
SystemNumber Systemnummer
TaskID Aufgaben-ID
TasksClassification Aufgabenklassifizierungen
TaskText Aufgabentext
TopTaskID ID der wichtigsten Aufgabe
UserCreated Vom Benutzer erstellt
WIText Arbeitselementtext
WIType Arbeitsaufgabentyp
WorkflowAction Workflow-Aktion
WorkItemID ID des Arbeitselements

ABAP WorkProcess-Protokoll

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der Datei systemconfig.ini manuell hinzufügen.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPOS_WP

  • Zugehörige SAP-Dokumentation:SAP-Hilfeportal

  • Protokollzweck: Kombination aller Arbeitsprozessprotokolle. (Standard: dev_*).

    Verfügbar über SAP Control Web Service. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls ABAPOS_WP_CL

Feld BESCHREIBUNG
Host Host
Instanz ABAP-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
MessageText Meldungstext
severity Schweregrad der Meldung: Debug, Info, Warning, Error
SystemID System-ID
SystemNumber Systemnummer
WPNumber Arbeitsprozessnummer

HANA DB-Überwachungsprotokoll

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie einen Verwaltungs-Agent für Microsoft bereitstellen, um Syslog-Daten von dem Computer zu erfassen, auf dem HANA DB ausgeführt wird.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPSyslog

  • Zugehörige SAP-Dokumentation: Allgemein | Überwachungsprotokoll

  • Protokollzweck Aufzeichnung von Benutzer- oder versuchten Aktionen in der SAP HANA-Datenbank. Ermöglicht Ihnen beispielsweise, den Lesezugriff auf vertrauliche Daten zu protokollieren und zu überwachen.

    Verfügbar über den Sentinel Linux-Agent für Syslog. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls Syslog

Feld BESCHREIBUNG
Computer Hostname
HostIP Host-IP
HostName Hostname
ProcessID Prozess-ID
ProcessName Prozessname: HDB*
SeverityLevel Warnung
SourceSystem Betriebssystem des Quellsystems: Linux
SyslogMessage Meldung, eine nicht analysierte Überwachungsprotokollmeldung

JAVA-Dateien

Damit dieses Protokoll an Microsoft Sentinel gesendet wird, müssen Sie es der Datei systemconfig.ini manuell hinzufügen.

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPJAVAFilesLogs

  • Zugehörige SAP-Dokumentation: Allgemein | Java-Sicherheitsüberwachungsprotokoll

  • Protokollzweck: Kombination aller auf Java-Dateien basierenden Protokolle, einschließlich des Sicherheitsüberwachungsprotokolls und der System- (Cluster- und Serverprozess), Leistungs- und Gatewayprotokolle. Enthält auch Entwicklerablaufverfolgungs- und Standardablaufverfolgungs-Protokolle.

    Verfügbar über SAP Control Web Service. Dieses Protokoll wird mit Daten aller Clients generiert.

Schema des Protokolls JavaFilesLogsCL

Feld Beschreibung
Anwendung Java-Anwendung
ClientID Client-ID
CSNComponent CSN-Komponente, z. B. BC-XI-IBD
DCComponent DC-Komponente, z. B. com.sap.xi.util.misc
DSRCounter DSR-Zähler
DSRRootContentID DSR-Kontext-GUID
DSRTransaction DSR-Transaktions-GUID
Host Host
Instanz Java-Instanz in der folgenden Syntax: <HOST>_<SYSID>_<SYSNR>
Standort Java-Klasse
LogName Java-Protokollname, z. B.: Available, defaulttrace, dev*, security usw.
MessageText Meldungstext
MNo Meldungsnummer
Pid Prozess-ID
Programm Programmname
Sitzung Sitzung
severity Schweregrad der Meldung einschließlich: Debug, Info, Warning, Error
Lösung Lösung
SystemID System-ID
SystemNumber Systemnummer
ThreadName Threadname
Thrown Ausgelöste Ausnahme
TimeZone Zeitzone
Benutzer Benutzer

SAP-Heartbeatprotokoll

  • Microsoft Sentinel-Funktion zum Abfragen dieses Protokolls: SAPConnectorHealth

  • Protokollzweck: Stellt Heartbeat- und andere Integritätsinformationen zur Konnektivität zwischen den Agents und den verschiedenen SAP-Systemen zur Verfügung.

    Wird automatisch für alle Agents von Microsoft Sentinel für den SAP-Connector erstellt.

SAP_HeartBeat_CL-Protokollschema

Feld BESCHREIBUNG
TimeGenerated Zeitpunkt des Protokollierungsereignisses
agent_id_s Agent-ID in der Agent-Konfiguration (automatisch generiert)
agent_ver_s Agent-Version
host_s Hostname des Agents
system_id_s NetWeaver ABAP-System-ID/
NetWeaver SAPControl-Host (Vorschau)/
Java SAPControl-Host (Vorschau)
push_timestamp_d Zeitstempel der Extraktion gemäß der Zeitzone des Agents
agent_timezone_s Zeitzone des Agents

Tabellen, die direkt aus SAP-Systemen abgerufen werden

In diesem Abschnitt werden die Datentabellen aufgeführt, die direkt aus dem SAP-System abgerufen und unverändert in Microsoft Sentinel erfasst werden.

Damit die Daten aus diesen Tabellen in Microsoft Sentinel erfasst werden, müssen Sie die entsprechenden Einstellungen in der Datei systemconfig.ini konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Benutzer-Masterdatensammlung.

Die aus diesen Tabellen abgerufenen Daten bietet eine Übersicht über die Autorisierungsstruktur, Gruppenmitgliedschaft und Benutzerprofile. Außerdem können Sie Autorisierungsgenehmigungen und -widerrufe nachverfolgen sowie die Risiken bestimmen, die mit diesen Prozessen zusammenhängen.

Die unten aufgeführten Tabellen sind erforderlich, um Funktionen zu aktivieren, die privilegierte Benutzer identifizieren sowie Benutzer zu Rollen, Gruppen und Autorisierungen zuordnen.

Die besten Ergebnisse erzielen Sie, wenn Sie den Namen in der Spalte Sentinel-Funktionsname unten verwenden:

Tabellenname Tabellenbeschreibung Sentinel-Funktionsname
USR01 Benutzermasterdatensatz (Laufzeitdaten) SAP_USR01
USR02 Anmeldedaten (kernelseitige Verwendung) SAP_USR02
UST04 Benutzermaster
Zuordnen von Benutzern zu Profilen		 SAP_UST04
AGR_USERS Zuweisen von Rollen zu Benutzern SAP_AGR_USERS
AGR_1251 Autorisierungsdaten für die Aktivitätsgruppe SAP_AGR_1251
USGRP_USER Zuweisen von Benutzern zu Benutzergruppen SAP_USGRP_USER
USR21 Zuweisung des Benutzernamens bzw. des Adressschlüssels SAP_USR21
ADR6 E-Mail-Adressen (Geschäftsadressendienste) SAP_ADR6
USRSTAMP Zeitstempel für alle Änderungen am Benutzer SAP_USRSTAMP
ADCP Personen- bzw. Adresszuweisung (Geschäftsadressendienste) SAP_ADCP
USR05 Parameter-ID des Benutzermasters SAP_USR05
AGR_PROF Profilname der Rolle SAP_AGR_PROF
AGR_FLAGS Rollenattribute SAP_AGR_FLAGS
DEVACCESS Tabelle für den Entwicklungsbenutzer SAP_DEVACCESS
AGR_DEFINE Rollendefinition SAP_AGR_DEFINE
AGR_AGRS Rollen in zusammengesetzten Rollen SAP_AGR_AGRS
PAHI Verlauf der System-, Datenbank- und SAP-Parameter SAP_PAHI
SNCSYSACL (VORSCHAU) SNC Access Control List (ACL): Systeme SAP_SNCSYSACL
USRACL (VORSCHAU) SNC Access Control List (ACL): Benutzer SAP_USRACL

Nächste Schritte

Weitere Informationen finden Sie unter