Referencia de datos de la solución Microsoft Sentinel para aplicaciones de SAP®
Importante
Algunos componentes de la solución de supervisión de amenazas de Microsoft Sentinel para SAP están actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Algunos registros, que se indican a continuación, no se envían a Microsoft Sentinel de forma predeterminada, pero se pueden agregar manualmente según sea necesario. Para más información, consulte Definición de los registros de SAP que se envían a Microsoft Sentinel.
En este artículo se describen las funciones, los registros y las tablas disponibles como parte de la solución Microsoft Sentinel para aplicaciones de SAP® y su conector de datos. Está destinado a usuarios de SAP avanzados.
Funciones disponibles de la solución de SAP
En esta sección se describen las funciones que están disponibles en el área de trabajo después de implementar la solución Microsoft Sentinel para aplicaciones de SAP®. Busque estas funciones en la página Registros de Microsoft Sentinel para usarlas en las consultas de KQL, que aparecen en Funciones del área de trabajo.
Se recomienda encarecidamente a los usuarios usar las funciones como temas de su análisis siempre que sea posible, en lugar de los registros o tablas subyacentes. Estas funciones están diseñadas para servir como interfaz de usuario principal para los datos. Conforman la base de todas las reglas y libros de análisis integrados disponibles de forma integrada. Esto permite realizar cambios en la infraestructura de datos debajo de las funciones, sin que se interrumpa el contenido creado por el usuario.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAPConnectorHealth
- SAPConnectorOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
La función SAPUsersAssignments recopila datos de varios orígenes de datos de SAP y crea una vista centrada en el usuario de los perfiles, incluidos los roles y datos maestros del usuario actual asignados en este momento.
Esta función resume las asignaciones del usuario a roles y perfiles y devuelve los datos siguientes:
| Campo | Descripción | Origen de datos/Observaciones |
|---|---|---|
| Usuario | Identificador de usuario de SAP | Solo SAP |
| Correo electrónico | Dirección SMTP | USR21 (SMTP_ADDR) |
| UserType | Tipo de usuario | USR02 (USTYP) |
| Zona horaria | Zona horaria | USR02 (TZONE) |
| LockedStatus | Estado de bloqueo | USR02 (UFLAG) |
| LastSeenDate | Fecha de la última visualización | USR02 (TRDAT) |
| LastSeenTime | Hora de la última visualización | USR02 (LTIME) |
| UserGroupAuth | Grupo de usuarios en el mantenimiento maestro del usuario | USR02 (CLASS) |
| Profiles | Conjunto de perfiles (tamaño máximo predeterminado del conjunto = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Conjunto de roles asignados directamente (tamaño máximo predeterminado del conjunto = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Conjunto de roles asignados indirectamente (tamaño máximo predeterminado del conjunto = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Remoto | Id. de cliente | |
| SystemID | Identificador del sistema | Tal y como se define en el conector |
SAPUsersGetPrivileged
La función SAPUsersGetPrivileged devuelve una lista de usuarios con privilegios por identificador de sistema y cliente.
Se consideran usuarios privilegios cuando aparecen en la lista de control SAP - Privileged Users (SAP: usuarios con privilegios), se han asignado a un perfil que aparece en la lista de control SAP - Sensitive Profiles (SAP: perfiles confidenciales) o se han agregado a un rol que aparece en la lista de control SAP - Sensitive Roles (SAP: roles confidenciales).
Parámetros:
- TimeAgo
- Opcional
- Valor predeterminado: siete días
- Determina que la función busca datos maestros de usuario desde la hora definida por el valor de
TimeAgohasta la hora definida por el valor denow().
La función SAPUsersGetPrivileged devuelve los datos siguientes:
| Campo | Descripción |
|---|---|
| Usuario | Identificador de usuario de SAP |
| Remoto | Id. de cliente |
| SystemID | Identificador del sistema |
SAPUsersAuthorizations
La función SAPUsersAuthorizations reúne datos de varias tablas para generar una vista centrada en el usuario de los roles y autorizaciones asignados actualmente. Solo se devuelven los usuarios con asignaciones activas de autorizaciones y roles.
Parámetros:
- TimeAgo
- Opcional
- Valor predeterminado: siete días
- Determina que la función busca datos maestros de usuario desde la hora definida por el valor de
TimeAgohasta la hora definida por el valor denow().
La función SAPUsersAuthorizations devuelve los datos siguientes:
| Campo | Descripción | Notas |
|---|---|---|
| Usuario | Identificador de usuario de SAP | |
| Roles | Conjunto de roles (tamaño máximo predeterminado del conjunto = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Conjunto de autorizaciones (tamaño máximo predeterminado del conjunto = 100) | {{AuthorizationsDeatils1},{AuthorizationsDeatils2}, ..., {AuthorizationsDeatils100}} |
| Remoto | Id. de cliente | |
| SystemID | Identificador del sistema |
SAPConnectorHealth
La función SAPConnectorHealth refleja el estado de la conectividad del agente y del sistema SAP subyacente. Según el registro de latidos SAP_HeartBeat_CL y otros indicadores de estado, devuelve los datos siguientes:
| Campo | Descripción |
|---|---|
| Agente | Identificador de agente en la configuración del agente (generado automáticamente) |
| SystemID | Id. de sistema SAP |
| Estado | Estado de conectividad general |
| Detalles | Detalles acerca de la conectividad |
| ExtendedDetails | Detalles ampliados de conectividad |
| LastSeen | Marca de tiempo de la actividad más reciente |
| StatusCode | Código que refleja el estado del sistema |
SAPConnectorOverview
La función SAPConnectorOverview muestra los recuentos de filas de cada tabla de SAP por identificador de sistema. Devuelve una lista de registros de datos por identificador del sistema y su hora de generación.
Parámetros:
- TimeAgo
- Opcional
- Valor predeterminado: siete días
- Determina que la función busca datos maestros de usuario desde la hora definida por el valor de
TimeAgohasta la hora definida por el valor denow().
| Campo | Descripción |
|---|---|
| TimeGenerated | Valor de fecha y hora de la marca de tiempo de la generación del registro |
| SystemID_s | Cadena que representa el identificador del sistema de SAP |
Use la siguiente consulta de Kusto para realizar un análisis de tendencias diario:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
La función SAPUsersEmail permite una búsqueda orientada al rendimiento de una dirección de correo electrónico de un usuario de SAP por sistema SAP y cliente, que normalmente se usa para asociarla a una cuenta de Active Directory. Con los datos extraídos de las tablas de SAP USR21 (asignación de clave de nombre de usuario/dirección) y ADR6 (direcciones de correo electrónico), la función SAPUsersEmail busca una dirección de correo electrónico. En caso de que no se encuentre uno, se devuelve el identificador de usuario en lugar de una dirección de correo electrónico. Este comportamiento garantiza que las cuentas de servicio de SAP (como DDIC), que a menudo no están asociadas a direcciones de correo electrónico, se registrarán como cuentas pseudoAD, lo que permite algunas características de UEBA y ayuda en la investigación de incidentes y actividades de búsqueda.
| Campo | Descripción |
|---|---|
| ClientID | El id. de cliente de SAP |
| SystemID | Identificador del sistema SAP |
| Usuario | El id. de usuario de SAP |
| Correo electrónico | La dirección de correo electrónico del usuario de SAP |
SAPSystems
La función SAPSystems se usa para presentar de forma centralizada la configuración por sistema realizada mediante la lista de seguimiento «SAP - Systems».
Parámetros:
- SelectedSystems
- Opcional
- Valor predeterminado: «Todos los sistemas»
- Se usa para filtrar sistemas SAP específicos
- SelectedSystemRoles
- Opcional
- Valor predeterminado: «Todos los roles de sistema»
- Determina los roles de los sistemas SAP que se van a examinar (tal como se define en la lista de seguimiento «SAP - Systems»)
| Campo | Descripción | Origen de datos/Observaciones |
|---|---|---|
| SearchKey | Clave de búsqueda | Campo indizado para el id. del sistema SAP |
| SystemRole | El rol del sistema SAP | Producción, UAT |
| SystemUsage | El uso principal del sistema SAP | ERP, CRM |
| SystemID | Identificador del sistema SAP |
SAPAuditLogConfiguration
La función SAPAuditLogConfiguration devuelve la configuración local de las alertas del registro de auditoría de SAP del área de trabajo de Sentinel, que se usará para las diferentes alertas relacionadas con el registro de auditoría de SAP. Combina los datos de las listas de seguimiento «Sap Dynamic Audit Log Monitor Configuration» y «SAP - Systems» para proporcionar una configuración por sistema en un esfuerzo por rol por sistema.
Parámetros:
- SelectedSystems
- Opcional
- Valor predeterminado: «Todos los sistemas»
- Se usa para filtrar sistemas SAP específicos en la búsqueda.
- SelectedSystemRoles
- Opcional
- Valor predeterminado: «Todos los roles de sistema»
- Determina los roles de los sistemas SAP que se van a examinar (tal como se define en la lista de seguimiento «SAP - Systems»).
- SelectedSeverities
- Opcional
- Valor predeterminado: [«High», «Medium»]
- Se usa para determinar los eventos que se van a examinar en términos de gravedad. Las gravedades por identificador de mensaje de registro de auditoría de SAP y el rol del sistema se definen en la lista de reproducción «SAP_Dynamic_Audit_Log_Monitor_Configuration».
- SelectedRuleTypes
- Opcional
- Valor predeterminado: «All RuleTypes»
- Determina en qué eventos son relevantes para detectar las anomalías. Los tipos de reglas por identificador de mensaje de registro de auditoría de SAP y el rol del sistema se definen en la lista de reproducción «SAP_Dynamic_Audit_Log_Monitor_Configuration».
| Campo | Descripción | Origen de datos/Observaciones |
|---|---|---|
| nombreDeCategoría | Categoría de eventos dado por SAP | Lista de reproducción «Configuración del Monitor de registro de auditoría dinámica de SAP» |
| DestinationEmail | Dirección de correo electrónico del equipo asignado | Lista de reproducción «Configuración del Monitor de registro de auditoría dinámica de SAP» |
| DetailedDescription | Texto con formato markdown que se mostrará en las alertas | Lista de reproducción «Configuración del Monitor de registro de auditoría dinámica de SAP» |
| MessageID | Id. del mensaje de registro de auditoría de SAP | Lista de reproducción «Configuración del Monitor de registro de auditoría dinámica de SAP» |
| MessageText | Un texto de mensaje de ejemplo | Lista de reproducción «Configuración del Monitor de registro de auditoría dinámica de SAP» |
| RolesTagsToExclude | Una etiqueta de rol, perfil o texto libre de ABAP | Lista de reproducción «Configuración del Monitor de registro de auditoría dinámica de SAP» |
| RuleType | Anomalía o determinista | Lista de reproducción «Configuración del Monitor de registro de auditoría dinámica de SAP» |
| Tácticas | La táctica DE MITRE ATTA&CK | Lista de reproducción «Configuración del Monitor de registro de auditoría dinámica de SAP» |
| TeamsChannelID | Canal de Teams | Lista de reproducción «Configuración del Monitor de registro de auditoría dinámica de SAP» |
| SystemID | Identificador del sistema SAP | Lista de reproducción «SAP - Systems» |
| SystemRole | El rol del sistema SAP | Lista de reproducción «SAP - Systems» |
| SystemUsage | El uso principal del sistema SAP | Lista de reproducción «SAP - Systems» |
| IsProd | Marca del sistema de producción | Lista de reproducción «SAP - Systems» |
| severity | La gravedad derivada | Gravedad por uso del sistema |
| Umbral | El umbral derivado | Recuento de eventos por uso del sistema |
| BagOfDetails | Bolsa de detalles | Un diccionario que detalla la definición de eventos |
SAPAuditLogAnomalies
El SAPAuditLogAnomalies usa las funcionalidades de aprendizaje automático integradas de la base de datos Kusto subyacente de Sentinel para ayudar a detectar eventos anómalos observados en el registro de auditoría de SAP. Desarrollada para la regla de alertas «Alertas de monitor de registro de auditoría dinámicas basadas en anomalías de SAP - (experimental)» y se diseñó inicialmente para alertar sobre anomalías recientes, pero también puede ayudar a resaltar las anomalías históricas (consulte los ejemplos siguientes).
Parámetros:
- LearningTime
- Opcional
- Valor predeterminado: 14 días
- Determina el intervalo de tiempo usado para el aprendizaje del modelo
- DetectingTime
- Opcional
- Valor predeterminado: una hora
- Determina el intervalo de tiempo que se va a examinar para detectar anomalías. Llamar a esta función con DetectingTime = 0h resaltará las anomalías en todo el intervalo de tiempo de LearningTime
- SelectedSystems
- Opcional
- Valor predeterminado: «Todos los sistemas»
- Se usa para filtrar sistemas SAP específicos en la búsqueda.
- SelectedSystemRoles
- Opcional
- Valor predeterminado: «Todos los roles de sistema»
- Determina los roles de los sistemas SAP que se van a examinar (tal como se define en la lista de seguimiento «SAP - Systems»).
- SelectedSeverities
- Opcional
- Valor predeterminado: [«High», «Medium»]
- Se usa para determinar los eventos que se van a examinar en términos de gravedad. Las gravedades por identificador de mensaje de registro de auditoría de SAP y el rol del sistema se definen en la lista de reproducción «SAP_Dynamic_Audit_Log_Monitor_Configuration».
- SelectedPrefixMask
- Opcional
- Valor predeterminado: 24
- Se usa para determinar el nivel de máscara de subred que se usa para aprender y detectar.
- SelectedRuleTypes
- Opcional
- Valor predeterminado: «AnomaliesOnly»
- Determina en qué eventos son relevantes para detectar las anomalías. Los tipos de reglas por identificador de mensaje de registro de auditoría de SAP y el rol del sistema se definen en la lista de reproducción «SAP_Dynamic_Audit_Log_Monitor_Configuration».
Lógica
La función aprende el segmento del historial definido por los distintos parámetros de entrada, en el usuario, los atributos de red, el sistema, la estacionalidad y los niveles de actividad. A continuación, juzga los eventos que se producen en el último intervalo de tiempo de detección según lo que ha aprendido, aplicando umbrales y otros criterios de exclusión configurables obtenidos de la lista de seguimiento de configuración del registro de auditoría de SAP. Una vez que se ha considerado anómala una ventana deslizante de la actividad del usuario, una segunda consulta devuelve toda la actividad del usuario como evidencia que respalda la decisión.
Notas adicionales
Al igual que con cualquier solución de aprendizaje automático, esta función funciona mejor con el tiempo. Se pueden realizar ajustes adicionales mediante la configuración local. Es aconsejable restringir el tamaño de la base de datos aprendida para que tenga menos de 100 millones de registros mediante los muchos parámetros de entrada disponibles.
Ejemplo: buscar anomalías para eventos de gravedad alta que se produjeron en la última hora en sistemas de producción para tipos de eventos marcados como «AnomaliesOnly» en la «SAP_Dynamic_Audit_Log_Monitor_Configuration»
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Ejemplo: buscar todas las anomalías en los últimos 14 días en el sistema «BIP»
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
| Campo | Descripción |
|---|---|
| Varios campos de SAPAuditLog | Campos clave del registro de auditoría de SAP |
| Varios campos de SAPAuditLogConfiguration | Campos clave de la configuración del registro de auditoría de Sentinel para SAP |
| DiscoveredOn | Hora redondeada en la que se observó la anomalía |
| EventCount | Número de eventos contados por fila devueltos |
| AnomalCount | Número de eventos observados en la ventana deslizante pertinente |
| MinTime | Hora del primer evento observado |
| MaxTime | Hora del último evento observado |
| Puntuación | las puntuaciones de anomalías generadas por el modelo de anomalías |
Consulte Reglas de análisis de SAP integradas para supervisar el registro de auditoría de SAP para más información.
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend es una función auxiliar diseñada para ofrecer recomendaciones para la configuración de la regla de análisis SAP: alertas dinámicas del monitor de registro de auditoría basadas en anomalías (versión preliminar). Aprenda a configurar las reglas.
SAPUsersGetVIP
La solución microsoft Sentinel para aplicaciones sap® usa un concepto de etiquetado de usuarios central y exclusiones explícitas, diseñadas para ayudarle a reducir los falsos positivos con un esfuerzo mínimo. Use la función SAPUsersGetVIP para excluir a los usuarios de desencadenar alertas especificando roles de usuario de SAP, funciones de usuario de SAP o etiquetas que representan a esos usuarios. Para obtener más información, consulte Control de falsos positivos en Microsoft Sentinel.
Las etiquetas especificadas como entrada para la función SAPUsersGetVIP excluyen a todos los usuarios con una etiqueta enumerada en la lista de reproducción de SAP_User_Config . La misma funcionalidad se amplía para trabajar con caracteres comodín, lo que permite asignar una sola etiqueta a un grupo de usuarios con la misma sintaxis de nomenclatura.
Etiquete a los usuarios de la lista de seguimiento de SAP_User_Config de la siguiente manera:
Agregue varias etiquetas a cada usuario de la lista de seguimiento de SAP_User_Config , según sea necesario para cubrir varios escenarios. Cada regla de alerta tiene sus propias etiquetas pertinentes, si las hay, y puede agregar etiquetas personalizadas según sea necesario.
Use un asterisco (*) como carácter comodín para incluir usuarios con una plantilla de sintaxis de nomenclatura específica.
Agregue la función SAPUsersGetVIP en las reglas de análisis para solicitar las listas de usuarios que ha definido para excluirse de las alertas. En la llamada de función, agregue una matriz con las etiquetas, los roles de SAP y los perfiles de SAP que desea excluir.
Por ejemplo, use la siguiente consulta KQL en la regla de análisis para excluir a los usuarios configurados con la etiqueta RunObsoleteProgOK en la lista de reproducción de SAP_User_Config, o cualquier usuario con el rol de SAP_BASIS_ADMIN_ROLE de ejemplo o el perfil de SAP_ADMIN_PROFILE de ejemplo.
Al copiar esta llamada de función de ejemplo, reemplace SAP_BASIS_ADMIN_ROLE rol y SAP_ADMIN_PROFILE perfil por sus propios roles o perfiles de SAP según sea necesario.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
La función SAPUsersGetVIP se usa normalmente en alertas de Monitor de registro de auditoría anómalas y deterministas. Asocie una etiqueta con un identificador de mensaje de registro de auditoría de SAP o extienda la plantilla de regla a una regla personalizada que coincida con las necesidades de su organización.
Sugerencia
Se recomienda ponerse en contacto con el administrador del sistema SAP para comprender qué usuarios, roles y perfiles de SAP se van a incluir en la lista de seguimiento de SAP_User_Config .
Parámetros:
| Nombre | Descripción | Default value |
|---|---|---|
| SearchForTags (opcional) | Cuando SearchForTags es igual a All Tags, se devuelven todos los usuarios junto con sus etiquetas. De lo contrario, solo se devuelven los usuarios que tengan las etiquetas, los roles de SAP o los perfiles de SAP especificados en SearchForTags . TagsIntersect muestra las etiquetas que se encuentran y IntersectionSize contiene el número de etiquetas que se encuentran. |
dynamic('All Tags') |
| SpecialFocusTags (opcional) | Devuelve todos los usuarios que contienen las etiquetas especificadas en SpecialFocusTagsy las marcan con specialFocusTagged = true. |
Do not return any in-focus users |
| Source | Campo | Descripción | Notas |
|---|---|---|---|
| Lista de reproducción de SAP_User_Config | SearchKey | Clave de búsqueda | |
| Lista de reproducción de SAP_User_Config | SAPUser | El usuario de SAP | OSS, DDIC |
| Lista de reproducción de SAP_User_Config | Etiquetas | Cadena de etiquetas asignadas al usuario | RunObsoleteProgOK |
| Lista de reproducción de SAP_User_Config | Id. de objeto de Microsoft Entra del usuario | Id. de objeto de Microsoft Entra | |
| Lista de reproducción de SAP_User_Config | Identificador de usuario | Id. de usuario AD | |
| Lista de reproducción de SAP_User_Config | SID local de usuario | ||
| Lista de reproducción de SAP_User_Config | Nombre principal del usuario | ||
| Lista de reproducción de SAP_User_Config | TagsList | Una lista de etiquetas asignadas al usuario | ChangeUserMasterDataOK;RunObsoleteProgOK |
| Lógica | TagsIntersect | Un conjunto de etiquetas que coinciden con SearchForTags | [«ChangeUserMasterDataOK»,«RunObsoleteProgOK»] |
| Lógica | SpecialFocusTagged | Indicación de foco especial | True, False |
| Lógica | IntersectionSize | Número de etiquetas cruzadas |
SAPUsersHeader
La función SAPUsersHeader está diseñada para proporcionar una vista de alto nivel del usuario de SAP. Usa los datos extraídos de las tablas de datos maestros de usuario de SAP y la actividad reciente en el registro de auditoría de SAP para recopilar dirección de correo electrónico y direcciones IP. A continuación, devuelve el último correo electrónico conocido y las direcciones IP, junto con el correo electrónico principal y las direcciones IP. Parámetros: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- Opcional
- Valor predeterminado: «Todos los sistemas»
- Se usa para filtrar sistemas SAP específicos en la búsqueda.
- SelectedSystemRoles
- Opcional
- Valor predeterminado: «Todos los roles de sistema»
- Determina los roles de los sistemas SAP que se van a examinar (tal como se define en la lista de seguimiento «SAP - Systems»).
- SelectedUsers
- Opcional
- Valor predeterminado: «All Users»
- Puede escribir listas de usuarios.
- SelectedUser
- Opcional
- Valor predeterminado: «All Users»
- Acepta un solo usuario
Notas adicionales
Para tener en cuenta las consideraciones de rendimiento, solo se tienen en cuenta algunos días de actividad de auditoría. Para obtener un historial completo de la actividad del usuario, ejecute una consulta de KQL personalizada en la función SAPAuditLog.
| Source | Campo | Descripción | Notas |
|---|---|---|---|
| Usuario | El usuario de SAP | ||
| Tablas de SAP ADR6 y USR21 | Correo electrónico | Tomado de los datos maestros del usuario | OSS, DDIC |
| Tabla DE SAP USR02 | UserType | cadena de etiquetas asignadas al usuario | RunObsoleteProgOK |
| Tabla DE SAP USR02 | Zona horaria | Id. de objeto de Microsoft Entra | |
| Tabla DE SAP USR02 | LockedStatus | Id. de usuario AD | |
| Registro de auditoría SAP | LastSeen | Una marca de tiempo | último evento de auditoría observado para el usuario |
| Registro de auditoría SAP | LastSeenDaysAgo | días pasados desde LastSeen | |
| Registro de auditoría SAP | PrimaryIP | Dirección IP usada con más frecuencia | ChangeUserMasterDataOK;RunObsoleteProgOK |
| Registro de auditoría SAP | LastKnownIP | Dirección IP usada más recientemente | [«ChangeUserMasterDataOK»,«RunObsoleteProgOK»] |
| Registro de auditoría SAP | primaryEmail | Dirección de correo electrónico usada con más frecuencia | True, False |
| Registro de auditoría SAP | KnownIPs | Lista de direcciones IP conocidas | ordenados por el primero más frecuente |
| Registro de auditoría SAP | KnownEmails | Lista de direcciones de correo electrónico conocidas | ordenados por el primero más frecuente |
| Cliente | El id. de cliente de SAP | ||
| SystemID | El id. del sistema SAP | ||
| SystemRole | El rol del sistema SAP | Producción, UAT | |
| SystemUsage | El uso principal del sistema SAP | ERP, CRM |
Registros generados por el agente del conector de datos
En esta sección se describen los registros de SAP disponibles en el conector de datos de la solución Microsoft Sentinel para aplicaciones de SAP®, entre los que se incluyen los nombres de tabla de Microsoft Sentinel, los fines del registro y los esquemas de registro detallados. Las descripciones de los campos de los esquemas se basan en las descripciones de los campos de la documentación de SAP pertinente.
Para obtener los mejores resultados, use las funciones de Microsoft Sentinel que se enumeran a continuación para visualizar los datos, acceder a ellos y consultarlos.
- Registro de aplicaciones de ABAP
- Registro de documentos de cambio de ABAP
- Registro de CR de ABAP
- Registro de datos de tabla de base de datos de ABAP (VERSIÓN PRELIMINAR)
- Registro de puerta de enlace de ABAP (VERSIÓN PRELIMINAR)
- Registro de ICM de ABAP (VERSIÓN PRELIMINAR)
- Registro de trabajos de ABAP
- Registro de auditoría de seguridad de ABAP
- Registro de spool de ABAP
- Registro de salida de spool de APAB
- Syslog ABAP
- Registro de flujo de trabajo de ABAP
- Registro de proceso de trabajo de ABAP
- Registro de auditoría de base de datos de HANA
- Archivos JAVA
- Registro de latidos de SAP
Registro de aplicaciones de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPAppLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: registra el progreso de la ejecución de una aplicación para que pueda reconstruirla más adelante si fuera necesario.
Disponible mediante RFC según la tabla SAP y los servicios estándar de la interfaz de XBP. Este registro se genera por cliente.
Esquema del registro ABAPAppLog_CL
| Campo | Descripción |
|---|---|
| AppLogDateTime | Fecha y hora del registro de aplicaciones |
| CallbackProgram | Programa de devolución de llamada |
| CallbackRoutine | Rutina de devolución de llamada |
| CallbackType | Tipo de devolución de llamada |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| ContextDDIC | Estructura de DDIC de contexto |
| ExternalID | Identificador de registro externo |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Serie de mensajes de registro de aplicaciones |
| LevelofDetail | Nivel de detalle |
| LogHandle | Manipulador de registro de aplicaciones |
| LogNumber | Número de registro |
| MessageClass | Clase Message |
| MessageNumber | Número de mensaje |
| MessageText | Texto del mensaje |
| MessageType | Tipo de mensaje |
| Object | Objeto registro de aplicaciones |
| OperationMode | Modo de operación |
| ProblemClass | Clase de problema |
| ProgramName | Nombre de programa |
| SortCriterion | Criterio de ordenación |
| StandardText | Texto estándar |
| SubObject | Objeto secundario del registro de aplicaciones |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TransactionCode | Código de transacción |
| Usuario | Usuario |
| UserChange | Cambio de usuario |
Registro de documentos de cambio de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPChangeDocsLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: registros:
ABAP del servidor de aplicaciones de SAP NetWeaver registra en los cambios en los objetos de datos empresariales en los documentos de los cambios.
Otras entidades del sistema SAP, como datos de usuario, roles o direcciones.
Disponible mediante RFC según las tablas SAP estándar. Este registro se genera por cliente.
Esquema de registro ABAPChangeDocsLog_CL
| Campo | Descripción |
|---|---|
| ActualChangeNum | Número de cambio real |
| ChangedTableKey | Clave de tabla cambiada |
| ChangeNumber | Número de cambio |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| CreatedfromPlannedChange | Creado a partir de un cambio planeado, con la siguiente sintaxis: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Clave de moneda: nuevo valor |
| CurrencyKeyOld | Clave de moneda: valor anterior |
| FieldName | Nombre del campo |
| FlagText | Texto de la marca |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| Lenguaje | Lenguaje |
| ObjectClass | Clase de objeto, como BELEG, BPAR, PFCG, IDENTITY |
| ObjectID | Identificador de objeto |
| PlannedChangeNum | Número de cambio planeado |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TableName | Nombre de la tabla |
| TransactionCode | Código de transacción |
| TypeofChange_Header | Tipo de encabezado del cambio, lo que incluye: U = Cambiar; I = Insertar; E = Eliminar documento individual; D = Eliminar; J = Insertar documento individual |
| TypeofChange_Item | Tipo de elemento del cambio, lo que incluye: U = Cambiar; I = Insertar; E = Eliminar documento individual; D = Eliminar; J = Insertar documento individual |
| UOMNew | Unidad de medida: nuevo valor |
| UOMOld | Unidad de medida: valor anterior |
| Usuario | Usuario |
| ValueNew | Contenido del campo: nuevo valor |
| ValueOld | Contenido del campo: valor anterior |
| Versión | Versión |
Registro de CR de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPCRLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: incluye los registros de Change & Transport System (CTS), incluidos los objetos de directorio y las personalizaciones en que se realizaron los cambios.
Disponible mediante RFC según las tablas y los servicios SAP estándar. Este registro se genera con datos en todos los clientes.
Nota:
Además del registro de aplicaciones, los documentos de cambio y la grabación de tablas, todos los cambios que realice en el sistema de producción mediante Change & Transport System se documentan en los registros de CTS y TMS.
Esquema de registro ABAPCRLog_CL
| Campo | Descripción |
|---|---|
| Categoría | Categoría (Workbench, Personalización) |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| Descripción | Descripción |
| Host | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Nombre del objeto |
| ObjectType | Tipo de objeto |
| Propietario | Propietario |
| Solicitud | Solicitud de cambio |
| Estado | Estado |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TableKey | Clave de tabla |
| TableName | Nombre de la tabla |
| ViewName | Nombre de la vista |
Registro de datos de tabla de base de datos de ABAP (VERSIÓN PRELIMINAR)
Para que este registro se envíe a Microsoft Sentinel, es preciso agregarlo manualmente al archivo systemconfig.ini.
Función de Microsoft Sentinel para consultar este registro: SAPTableDataLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: proporciona registro para las tablas que son críticas o susceptibles a auditorías.
Disponible mediante RFC con un servicio personalizado. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPTableDataLog_CL
| Campo | Descripción |
|---|---|
| DBLogID | Id. de registro de base de datos |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| Lenguaje | Lenguaje |
| LogKey | Clave de registro |
| NewValue | Nuevo valor del campo |
| OldValue | Valor anterior del campo |
| OperationTypeSQL | Tipo de operación, Insert, Update, Delete |
| Programa | Nombre de programa |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TableField | Campo de tabla |
| TableName | Nombre de la tabla |
| TransactionCode | Código de transacción |
| UserName | Usuario |
| VersionNumber | Número de la versión |
Registro de puerta de enlace de ABAP (VERSIÓN PRELIMINAR)
Para que este registro se envíe a Microsoft Sentinel, es preciso agregarlo manualmente al archivo systemconfig.ini.
Función de Microsoft Sentinel para consultar este registro: SAPOS_GW
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: supervisa las actividades de la puerta de enlace. Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPOS_GW_CL
| Campo | Descripción |
|---|---|
| Host | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto del mensaje |
| severity | Gravedad del mensaje: Debug, Info, Warning, Error |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
Registro de ICM de ABAP (VERSIÓN PRELIMINAR)
Para que este registro se envíe a Microsoft Sentinel, es preciso agregarlo manualmente al archivo systemconfig.ini.
Función de Microsoft Sentinel para consultar este registro: SAPOS_ICM
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: registra las solicitudes entrantes y salientes, y compila las estadísticas de las solicitudes HTTP.
Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPOS_ICM_CL
| Campo | Descripción |
|---|---|
| Host | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto del mensaje |
| severity | Gravedad del mensaje, se incluyen: Debug, Info, Warning, Error |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
Registro de trabajos de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPJobLog
Documentación de SAP relacionada: portal de ayuda de SAP
Propósito del registro: combina todos los registros de trabajos de procesamiento en segundo plano (SM37).
Disponible mediante RFC según la tabla SAP y los servicios estándar de las interfaces de XBP. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPJobLog_CL
| Campo | Descripción |
|---|---|
| ABAPProgram | Programa ABAP |
| BgdEventParameters | Parámetros de eventos en segundo plano |
| BgdProcessingEvent | Evento de procesamiento en segundo plano |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| DynproNumber | Número de Dynpro |
| GUIStatus | Estado de GUI |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP(HOST_SYSID_SYSNR), con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Clasificación del trabajo |
| JobCount | Recuento de trabajos |
| JobGroup | Grupo de trabajo |
| JobName | Nombre del trabajo |
| JobPriority | Prioridad del trabajo |
| MessageClass | Clase Message |
| MessageNumber | Número de mensaje |
| MessageText | Texto del mensaje |
| MessageType | Tipo de mensaje |
| ReleaseUser | Usuario de versión del trabajo |
| SchedulingDateTime | Fecha y hora de programación |
| StartDateTime | Fecha y hora de inicio |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TargetServer | Servidor de destino |
| Usuario | Usuario |
| UserReleaseInstance | Instancia de ABAP: versión del usuario |
| WorkProcessID | Identificador de proceso de trabajo |
| WorkProcessNumber | Número de proceso de trabajo |
Registro de auditoría de seguridad de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPAuditLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: registra los siguientes datos:
- Cambios relacionados con la seguridad en el entorno del sistema SAP, como por ejemplo, los cambios en los registros del usuario principal
- Información que proporciona un mayor nivel de datos, como los intentos de inicio de sesión correctos e infructuosos
- Información que permite la reconstrucción de una serie de eventos, como los inicios de transacciones correctos o incorrectos
Disponible mediante el uso de interfaces XAL/SAL de RFC. SAL está disponible a partir de la versión Basis 7.50. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPAuditLog_CL
| Campo | Descripción |
|---|---|
| ABAPProgramName | Nombre del programa, solo SAL |
| AlertSeverity | Gravedad de la alerta |
| AlertSeverityText | Texto de gravedad de alerta, solo SAL |
| AlertValue | Valor de alerta |
| AuditClassID | ID de clase de auditoría, solo SAL |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| Computer | Equipo de usuario, solo SAL |
| Correo electrónico | Correo electrónico del usuario |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Clase Message |
| MessageContainerID | Identificador de contenedor de mensajes, solo XAL |
| MessageID | Identificador de mensaje, como ‘AU1’,’AU2’… |
| MessageText | Texto del mensaje |
| MonitoringObjectName | Nombre de objeto MTE Monitor, solo XAL |
| MonitorShortName | Nombre corto de MTE Monitor, solo XAL |
| SAPProcesType | Registro del sistema: tipo de proceso de SAP, solo SAL |
| B*: procesamiento en segundo plano | |
| D*: procesamiento de cuadros de diálogo | |
| U*: Actualizar tareas | |
| SAPWPName | Registro del sistema: número de proceso de trabajo, solo SAL |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TerminalIPv6 | IP de la máquina del usuario, solo SAL |
| TransactionCode | Código de transacción, solo SAL |
| Usuario | Usuario |
| Variable1 | Variable de mensaje 1 |
| Variable2 | Variable de mensaje 2 |
| Variable3 | Variable de mensaje 3 |
| Variable4 | Variable de mensaje 4 |
Registro de spool de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPSpoolLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: sirve como registro principal para la impresión de SAP con el historial de solicitudes de spool. (SP01).
Disponible mediante RFC según la tabla SAP estándar. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPSpoolLog_CL
| Campo | Descripción |
|---|---|
| ArchiveStatus | Estado de archivo |
| ArchiveType | Tipo de archivo |
| ArchivingDevice | Dispositivo de archivo |
| AutoRereoute | Reenrutamiento automático |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| CountryKey | Clave de país |
| DeleteSpoolRequestAuto | Eliminación automática de la solicitud de spool |
| DelFlag | Marca de eliminación |
| department | department |
| DocumentType | Tipo de documento |
| ExternalMode | Modo externo |
| Tipo de formato | Tipo de formato |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Número de copias |
| OutputDevice | Dispositivo de salida |
| PrinterLongName | Nombre largo de impresora |
| PrintImmediately | Imprimir inmediatamente |
| PrintOSCoverPage | Imprimir página de OSCover |
| PrintSAPCoverPage | Imprimir página de SAPCover |
| Priority | Priority |
| RecipientofSpoolRequest | Destinatario de solicitud de spool |
| SpoolErrorStatus | Estado de error de spool |
| SpoolRequestCompleted | Solicitud de spool completada |
| SpoolRequestisALogForAnotherRequest | La solicitud de spool es un registro para otra solicitud |
| SpoolRequestName | Nombre de solicitud de spool |
| SpoolRequestNumber | Número de solicitud de spool |
| SpoolRequestSuffix1 | Sufijo 1 de solicitud de spool |
| SpoolRequestSuffix2 | Sufijo 2 de solicitud de spool |
| SpoolRequestTitle | Título de solicitud de spool |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TelecommunicationsPartner | Asociado de telecomunicaciones |
| TelecommunicationsPartnerE | Asociado de telecomunicaciones E |
| TemSeGeneralcounter | Contador de Temse |
| TemseNumAddProtectionRule | Regla de protección de adición de número de Temse |
| TemseNumChangeProtectionRule | Regla de protección de cambio de número de Temse |
| TemseNumDeleteProtectionRule | Regla de protección de eliminación de número de Temse |
| TemSeObjectName | Nombre de objeto de Temse |
| TemSeObjectPart | Parte de objeto de TemSe |
| TemseReadProtectionRule | Regla de protección de lectura de Temse |
| Usuario | Usuario |
| ValueAuthCheck | Comprobación de autenticación de valor |
Registro de salida de spool de APAB
Función de Microsoft Sentinel para consultar este registro: SAPSpoolOutputLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: sirve como registro principal para la impresión de SAP con el historial de solicitudes de salida del spool. (SP02).
Disponible mediante RFC con un servicio personalizado basado en tablas estándar. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPSpoolOutputLog_CL
| Campo | Descripción |
|---|---|
| AppServer | Servidor de aplicaciones |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| Comentario | Comentario |
| CopyCount | Número de copias |
| CopyCounter | Contador de copias |
| department | department |
| ErrorSpoolRequestNumber | Número de solicitud de error |
| Tipo de formato | Tipo de formato |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| HostName | Nombre de host |
| HostSpoolerID | Identificador de spooler de host |
| Instancia | Instancia de ABAP |
| LastPage | Última página |
| NumofCopies | Número de copias |
| OutputDevice | Dispositivo de salida |
| OutputRequestNumber | Número de solicitud de salida |
| OutputRequestStatus | Estado de solicitud de salida |
| PhysicalFormatType | Tipo de formato físico |
| PrinterLongName | Nombre largo de impresora |
| PrintRequestSize | Tamaño de solicitud de impresión |
| Priority | Priority |
| ReasonforOutputRequest | Razón de solicitud de salida |
| RecipientofSpoolRequest | Destinatario de solicitud de spool |
| SpoolNumberofOutputReqProcessed | Número de solicitudes de salida: procesadas |
| SpoolNumberofOutputReqWithErrors | Número de solicitudes de salida: con errores |
| SpoolNumberofOutputReqWithProblems | Número de solicitudes de salida: con problemas |
| SpoolRequestNumber | Número de solicitud de spool |
| StartPage | Página de inicio |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TelecommunicationsPartner | Asociado de telecomunicaciones |
| TemSeGeneralcounter | Contador de Temse |
| Título | Título |
| Usuario | Usuario |
Syslog de ABAP
Para que este registro se envíe a Microsoft Sentinel, es preciso agregarlo manualmente al archivo systemconfig.ini.
Función de Microsoft Sentinel para consultar este registro: SAPOS_Syslog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: registra todos los errores del sistema ABAP, advertencias, bloqueos de usuario debido a intentos de inicio de sesión con errores de usuarios conocidos y mensajes de proceso del servidor de aplicaciones de SAP NetWeaver (SAP NetWeaver AS).
Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPOS_Syslog_CL
| Campo | Descripción |
|---|---|
| ClientID | Identificador de cliente de ABAP (MANDT) |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Número de mensaje |
| MessageText | Texto del mensaje |
| severity | Gravedad del mensaje, uno de los siguientes valores: Debug, Info, Warning, Error |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TransactionCode | Código de transacción |
| Tipo | Tipo de proceso de SAP |
| Usuario | Usuario |
Registro de flujo de trabajo de ABAP
Función de Microsoft Sentinel para consultar este registro: SAPWorkflowLog
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: SAP Business Workflow (motor de WebFlow) permite definir procesos empresariales que aún no están asignados en el sistema SAP.
Por ejemplo, los procesos empresariales desasignados pueden ser procedimientos de aprobación o lanzamiento sencillos, o bien procesos empresariales más complejos, como la creación de material base y la posterior coordinación de los departamentos asociados.
Disponible mediante RFC según las tablas SAP estándar. Este registro se genera por cliente.
Esquema de registro ABAPWorkflowLog_CL
| Campo | Descripción |
|---|---|
| ActualAgent | Agente real |
| Dirección | Dirección |
| ApplicationArea | Área de aplicación |
| CallbackFunction | Función de devolución de llamada |
| ClientID | Identificador de cliente de ABAP (MANDT) |
| CreationDateTime | Fecha y hora de creación |
| Creador | Creador |
| CreatorAddress | Dirección de creador |
| ErrorType | Tipo de error |
| ExceptionforMethod | Excepción del método |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP(HOST_SYSID_SYSNR), con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| Lenguaje | Lenguaje |
| LogCounter | Contador de registros |
| MessageNumber | Número de mensaje |
| MessageType | Tipo de mensaje |
| MethodUser | Usuario del método |
| Priority | Priority |
| SimpleContainer | Contenedor simple, empaquetado como una lista de entidades Clave-Valor para el elemento de trabajo |
| Estado | Estado |
| SuperWI | Súper elemento de trabajo |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| TaskID | Identificador de tarea |
| TasksClassification | Clasificaciones de tareas |
| TaskText | Texto de tarea |
| TopTaskID | Identificador de tarea principal |
| UserCreated | Creado por el usuario |
| WIText | Texto de elemento de trabajo |
| WIType | Tipo de elemento de trabajo |
| WorkflowAction | Acción Workflow |
| WorkItemID | Id. de elemento de trabajo |
Registro de proceso de trabajo de ABAP
Para que este registro se envíe a Microsoft Sentinel, es preciso agregarlo manualmente al archivo systemconfig.ini.
Función de Microsoft Sentinel para consultar este registro: SAPOS_WP
Documentación de SAP relacionada: portal de ayuda de SAP
Fin del registro: combina todos los registros de procesos de trabajo. (valor predeterminado:
dev_*).Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
Esquema de registro ABAPOS_WP_CL
| Campo | Descripción |
|---|---|
| Host | administrador de flujos de trabajo |
| Instancia | Instancia de ABAP, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Texto del mensaje |
| severity | Gravedad del mensaje: Debug, Info, Warning, Error |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| WPNumber | Número de proceso de trabajo |
Registro de auditoría de base de datos de HANA
Para que este registro se envíe a Microsoft Sentinel, debe implementar un Agente de administración de Microsoft a fin de recopilar datos de Syslog de la máquina que ejecuta la base datos de HANA.
Función de Microsoft Sentinel para consultar este registro: SAPSyslog
Documentación de SAP relacionada: General | Registro de auditoría
Fin del registro: registra las acciones del usuario o las acciones intentadas en la base de datos de SAP HANA. Por ejemplo, permite registrar y supervisar el acceso de lectura a datos confidenciales.
Disponible por el agente Linux de Sentinel para Syslog. Este registro se genera con datos en todos los clientes.
Esquema de registro de Syslog
| Campo | Descripción |
|---|---|
| Computer | Nombre de host |
| HostIP | IP de host |
| HostName | Nombre de host |
| ProcessID | Identificador del proceso |
| ProcessName | Nombre del proceso: HDB* |
| SeverityLevel | Alerta |
| SourceSystem | Sistema operativo del sistema de origen, Linux |
| SyslogMessage | Mensaje, un mensaje de registro de auditoría no analizado |
Archivos JAVA
Para que este registro se envíe a Microsoft Sentinel, es preciso agregarlo manualmente al archivo systemconfig.ini.
Función de Microsoft Sentinel para consultar este registro: SAPJAVAFilesLogs
Documentación de SAP relacionada: General | Registro de auditoría de seguridad de Java
Fin del registro: combina todos los registros basados en archivos de Java, incluidos el registro de auditoría de seguridad y los registros del sistema (proceso de clúster y servidor), de rendimiento y de puerta de enlace. También incluye los registros de seguimientos para desarrolladores y de seguimiento predeterminado.
Disponible por el servicio web de control de SAP. Este registro se genera con datos en todos los clientes.
Esquema de registro de JavaFilesLogsCL
| Campo | Descripción |
|---|---|
| Application | Aplicación Java |
| ClientID | Id. de cliente |
| CSNComponent | Componente CSN, como BC-XI-IBD |
| DCComponent | Componente DC, como com.sap.xi.util.misc |
| DSRCounter | Contador de DSR |
| DSRRootContentID | GUID de contexto de DSR |
| DSRTransaction | GUID de transacción de DSR |
| administrador de flujos de trabajo | administrador de flujos de trabajo |
| Instancia | Instancia de Java, con la siguiente sintaxis: <HOST>_<SYSID>_<SYSNR> |
| Location | Clase de Java |
| LogName | LogName de Java, como: Available,defaulttrace, dev*, security, etc. |
| MessageText | Texto del mensaje |
| MNo | Número de mensaje |
| Pid | Identificador del proceso |
| Programa | Nombre de programa |
| Sesión | Sesión |
| severity | Gravedad del mensaje, se incluyen: Debug, Info, Warning, Error |
| Solución | Solución |
| SystemID | Identificador del sistema |
| SystemNumber | Número del sistema |
| ThreadName | Nombre del subproceso |
| Thrown | Se inicia una excepción |
| TimeZone | Zona horaria |
| Usuario | Usuario |
Registro de latidos de SAP
Función de Microsoft Sentinel para consultar este registro: SAPConnectorHealth
Propósito del registro: proporciona información de los latidos y otros datos de estado sobre la conectividad entre los agentes y los distintos sistemas de SAP.
Se crea automáticamente para cualquier agente del conector de datos de Microsoft Sentinel para SAP.
Esquema de registro SAP_HeartBeat_CL
| Campo | Descripción |
|---|---|
| TimeGenerated | Hora del evento de publicación del registro |
| agent_id_s | Identificador de agente en la configuración del agente (generado automáticamente) |
| agent_ver_s | Versión del agente |
| host_s | Nombre de host del agente |
| system_id_s | Id. del sistema Netweaver ABAP / Host Netweaver SAPControl (versión preliminar) / Host Java SAPControl (versión preliminar) |
| push_timestamp_d | Marca de tiempo de la extracción, según la zona horaria del agente |
| agent_timezone_s | Zona horaria del agente |
Tablas recuperadas directamente de sistemas SAP
En esta sección se enumeran las tablas de datos que se recuperan directamente del sistema SAP y se ingieren en Microsoft Sentinel exactamente como están.
Para que los datos de estas tablas se ingieran en Microsoft Sentinel, configure las opciones pertinentes en el archivo systemconfig.ini. Para obtener más información, consulte Configuración de la recopilación de datos maestros de usuario.
Los datos recuperados de estas tablas proporcionan una vista clara de la estructura de autorización, la pertenencia a grupos y los perfiles de usuario. También permiten supervisar el proceso de concesiones y revocaciones de autorización, e identificar y controlar los riesgos asociados a esos procesos.
Las tablas presentadas a continuación son necesarias para habilitar las funciones que identifican a los usuarios con privilegios y asignan usuarios a roles, grupos y autorizaciones.
Para obtener los mejores resultados, consulte estas tablas con el nombre de la columna Nombre de función de Sentinel siguiente:
| Nombre de la tabla | Descripción de la tabla | Nombre de la función de Sentinel |
|---|---|---|
| USR01 | Registro maestro de usuario (datos de runtime) | SAP_USR01 |
| USR02 | Datos de inicio de sesión (uso en el lado del kernel) | SAP_USR02 |
| UST04 | Maestros de usuario Asigna usuarios a perfiles |
SAP_UST04 |
| AGR_USERS | Asignación de roles a usuarios | SAP_AGR_USERS |
| AGR_1251 | Datos de autorización para el grupo de actividad | SAP_AGR_1251 |
| USGRP_USER | Asignación de usuarios a grupos de usuarios | SAP_USGRP_USER |
| USR21 | Asignación de clave de dirección o nombre de usuario | SAP_USR21 |
| ADR6 | Direcciones de correo electrónico (servicios de direcciones empresariales) | SAP_ADR6 |
| USRSTAMP | Marca de tiempo para todos los cambios en el usuario | SAP_USRSTAMP |
| ADCP | Asignación de personas o direcciones (servicios de direcciones empresariales) | SAP_ADCP |
| USR05 | Identificador del parámetro maestro de usuario | SAP_USR05 |
| AGR_PROF | Nombre del perfil para el rol | SAP_AGR_PROF |
| AGR_FLAGS | Atributos de rol | SAP_AGR_FLAGS |
| DEVACCESS | Tabla para el usuario de desarrollo | SAP_DEVACCESS |
| AGR_DEFINE | Definición de roles | SAP_AGR_DEFINE |
| AGR_AGRS | Roles en roles compuestos | SAP_AGR_AGRS |
| PAHI | Historial de los parámetros de SAP, el sistema y la base de datos | SAP_PAHI |
| SNCSYSACL (PREVIEW) | Lista de control de acceso (ACL) de SNC: Sistemas | SAP_SNCSYSACL |
| USRACL (PREVIEW) | Lista de control de acceso (ACL) de SNC: Usuario | SAP_USRACL |
Pasos siguientes
Para más información, consulte:
- Implementación de la solución Microsoft Sentinel para aplicaciones de SAP®
- Requisitos de SAP detallados de la solución Microsoft Sentinel para aplicaciones de SAP®
- Implementación del conector de datos de Microsoft Sentinel para SAP con SNC
- Opciones de configuración de expertos, implementación local y orígenes de registro de SAPControl
- Solución Microsoft Sentinel para aplicaciones de SAP®: contenido de seguridad integrado
- Supervisión del estado de la red
- Solución de problemas de implementación de la solución Microsoft Sentinel para aplicaciones SAP®