Dokumentacja danych aplikacji SAP® dla rozwiązania Microsoft Sentinel
Ważne
Niektóre składniki rozwiązania Microsoft Sentinel Threat Monitoring for SAP są obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Niektóre dzienniki, jak wspomniano poniżej, nie są domyślnie wysyłane do usługi Microsoft Sentinel, ale można je ręcznie dodać w razie potrzeby. Aby uzyskać więcej informacji, zobacz Definiowanie dzienników SAP wysyłanych do usługi Microsoft Sentinel.
W tym artykule opisano funkcje, dzienniki i tabele dostępne w ramach rozwiązania Microsoft Sentinel dla aplikacji SAP® i łącznika danych. Jest przeznaczony dla zaawansowanych użytkowników SAP.
Funkcje dostępne w rozwiązaniu SAP
W tej sekcji opisano funkcje dostępne w obszarze roboczym po wdrożeniu rozwiązania Microsoft Sentinel dla aplikacji SAP®. Znajdź te funkcje na stronie Dzienniki usługi Microsoft Sentinel do użycia w zapytaniach KQL wymienionych w obszarze Funkcje obszaru roboczego.
Użytkownicy są zdecydowanie zachęcani do używania funkcji jako podmiotów ich analizy, jeśli to możliwe, zamiast bazowych dzienników lub tabel. Te funkcje mają służyć jako główny interfejs użytkownika do danych. Stanowią one podstawę dla wszystkich wbudowanych reguł analitycznych i skoroszytów dostępnych dla Ciebie. Umożliwia to wprowadzanie zmian w infrastrukturze danych pod funkcjami bez przerywania zawartości utworzonej przez użytkownika.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAP Połączenie orHealth
- SAP Połączenie orOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
Funkcja SAPUsersAssignments zbiera dane z wielu źródeł danych SAP i tworzy zorientowany na użytkownika widok bieżących danych głównych użytkownika, w tym role i profile aktualnie przypisane.
Ta funkcja podsumowuje przypisania użytkowników do ról i profilów oraz zwraca następujące dane:
| Pole | opis | Źródło danych/notatki |
|---|---|---|
| User | Identyfikator użytkownika SAP | Tylko SAL |
| Adres SMTP | USR21 (SMTP_ADDR) | |
| UserType | Typ użytkownika | USR02 (USTYP) |
| Strefa czasowa | Time zone | USR02 (TZONE) |
| LockedStatus | Stan blokady | USR02 (UFLAG) |
| LastSeenDate | Data ostatniego zobaczenia | USR02 (TRDAT) |
| LastSeenTime | Ostatnio widziano | USR02 (LTIME) |
| UserGroupAuth | Grupa użytkowników w konserwacji wzorca użytkownika | USR02 (KLASA) |
| Profile | Zestaw profilów (domyślny maksymalny rozmiar zestawu = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| Role bezpośrednie | Zestaw ról przypisanych bezpośrednio (domyślny maksymalny rozmiar zestawu = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Role podrzędne | Zestaw ról przypisanych pośrednio (domyślny maksymalny rozmiar zestawu = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Klient | Client ID | |
| Identyfikator systemowy | Identyfikator systemowy | Zgodnie z definicją w łączniku |
SAPUsersGetPrivileged
Funkcja SAPUsersGetPrivileged zwraca listę uprzywilejowanych użytkowników na klienta i identyfikator systemu.
Użytkownicy są traktowani jako uprzywilejowani, gdy są wyświetlani na liście obserwowanych SAP — Privileged Users , zostali przypisani do profilu wymienionego na liście obserwowanych sap — profile poufne lub zostały dodane do roli wymienionej na liście obserwowanych ról poufnych SAP — poufne role .
Parametry:
- TimeAgo
- Opcjonalnie
- Wartość domyślna: Siedem dni
- Określa, że funkcja szuka danych głównych użytkownika z czasu zdefiniowanego
TimeAgoprzez wartość do czasu zdefiniowanegonow()przez wartość.
Funkcja SAPUsersGetPrivileged zwraca następujące dane:
| Pole | opis |
|---|---|
| User | Identyfikator użytkownika SAP |
| Klient | Client ID |
| Identyfikator systemowy | Identyfikator systemowy |
SAPUsersAuthorizations
Funkcja SAPUsersAuthorizations łączy dane z kilku tabel w celu utworzenia widoku skoncentrowanego na użytkowniku przypisanych bieżących ról i autoryzacji. Zwracane są tylko użytkownicy z aktywną rolą i przypisaniami autoryzacji.
Parametry:
- TimeAgo
- Opcjonalnie
- Wartość domyślna: Siedem dni
- Określa, że funkcja szuka danych głównych użytkownika z czasu zdefiniowanego
TimeAgoprzez wartość do czasu zdefiniowanegonow()przez wartość.
Funkcja SAPUsersAuthorizations zwraca następujące dane:
| Pole | opis | Uwagi |
|---|---|---|
| User | Identyfikator użytkownika SAP | |
| Role | Zestaw ról (domyślny maksymalny rozmiar zestawu = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Zestaw autoryzacji (domyślny maksymalny rozmiar zestawu = 100) | {{AuthorizationsDeatils1},{AuthorizationsDeatils2}, ..., {AuthorizationsDeatils100}} |
| Klient | Client ID | |
| Identyfikator systemowy | Identyfikator systemowy |
SAP Połączenie orHealth
Funkcja SAP Połączenie orHealth odzwierciedla stan łączności agenta i bazowego systemu SAP. Na podstawie SAP_HeartBeat_CL dziennika pulsu i innych wskaźników kondycji zwraca następujące dane:
| Pole | opis |
|---|---|
| Agent | Identyfikator agenta w konfiguracji agenta (generowany automatycznie) |
| Identyfikator systemowy | Identyfikator systemu SAP |
| Stan | Ogólny stan łączności |
| Szczegóły | szczegóły Połączenie ivity |
| ExtendedDetails | szczegóły rozszerzone Połączenie ivity |
| LastSeen | Sygnatura czasowa najnowszego działania |
| StatusCode | Kod odzwierciedlający stan systemu |
SAP Połączenie orOverview
Funkcja SAP Połączenie orOverview przedstawia liczbę wierszy każdej tabeli SAP na identyfikator systemu. Zwraca listę rekordów danych na identyfikator systemu i wygenerowany czas.
Parametry:
- TimeAgo
- Opcjonalnie
- Wartość domyślna: Siedem dni
- Określa, że funkcja szuka danych głównych użytkownika z czasu zdefiniowanego
TimeAgoprzez wartość do czasu zdefiniowanegonow()przez wartość.
| Pole | opis |
|---|---|
| TimeGenerated | Wartość daty/godziny znacznika czasu generowania rekordu |
| SystemID_s | Ciąg reprezentujący identyfikator systemu SAP |
Użyj następującego zapytania Kusto, aby wykonać codzienną analizę trendu:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Funkcja SAPUsersEmail umożliwia zorientowane na wydajność wyszukiwanie adresu e-mail użytkownika SAP dla systemu SAP i klienta, zwykle używane do skojarzenia go z kontem usługi Active Directory. Przy użyciu danych wyodrębnionych z tabel SAP USR21 (przypisanie nazwy użytkownika/klucza adresu) i ADR6 (adresów e-mail) funkcja SAPUsersEmail szuka adresu e-mail. Jeśli jeden nie zostanie znaleziony, identyfikator użytkownika jest zwracany zamiast adresu e-mail. To zachowanie zapewnia, że konta usług SAP (takie jak DDIC), które często nie są skojarzone z adresami e-mail, będą rejestrowane jako konta pseudo AD, włączając niektóre funkcje UEBA, ułatwiając badanie zdarzeń i działań polowania.
| Pole | opis |
|---|---|
| ClientID | Identyfikator klienta SAP |
| Identyfikator systemowy | Identyfikator systemu SAP |
| User | Identyfikator użytkownika SAP |
| Adres e-mail użytkownika SAP |
SAPSystems
Funkcja SAPSystems służy do centralnego prezentowania konfiguracji dla poszczególnych systemów przy użyciu listy kontrolnej "SAP - Systems".
Parametry:
- SelectedSystems
- Opcjonalnie
- Wartość domyślna: "Wszystkie systemy"
- Służy do filtrowania określonych systemów SAP
- SelectedSystemRoles
- Opcjonalnie
- Wartość domyślna: "Wszystkie role systemowe"
- Określa role systemów SAP, które mają być przeglądane (zgodnie z definicją na liście kontrolnej "SAP - Systems")
| Pole | opis | Źródło danych/notatki |
|---|---|---|
| Klucz wyszukiwania | Klucz wyszukiwania | Pole indeksowane dla identyfikatora systemu SAP |
| SystemRole | Rola systemu SAP | Produkcja, UAT |
| SystemUsage | Główne użycie systemu SAP | ERP, CRM |
| Identyfikator systemowy | Identyfikator systemu SAP |
SAPAuditLogConfiguration
Funkcja SAPAuditLogConfiguration zwraca lokalną konfigurację alertów dziennika inspekcji SAP obszaru roboczego usługi Sentinel, które mają być używane dla różnych alertów związanych z dziennikami inspekcji SAP. Dołącza ona dane do listy kontrolnej "Konfiguracja dynamicznego monitora dzienników inspekcji SAP" i "SAP - Systems", aby zapewnić konfigurację dla poszczególnych systemów w ramach nakładu pracy nad rolą systemu.
Parametry:
- SelectedSystems
- Opcjonalnie
- Wartość domyślna: "Wszystkie systemy"
- Służy do filtrowania określonych systemów SAP do przyjrzenia się.
- SelectedSystemRoles
- Opcjonalnie
- Wartość domyślna: "Wszystkie role systemowe"
- Określa role systemów SAP, które mają być przeglądane (zgodnie z definicją na liście kontrolnej "SAP - Systems").
- SelectedSeverities
- Opcjonalnie
- Wartość domyślna: ["High", "Medium"]
- Służy do określania zdarzeń, które mają być sprawdzane pod względem ich ważności. Ważność na identyfikator komunikatu dziennika inspekcji SAP i rolę systemu są definiowane na liście kontrolnej "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedRuleTypes
- Opcjonalnie
- Wartość domyślna: "Wszystkie typy reguł"
- Określa, jakie zdarzenia są istotne do wykrywania anomalii. Typy reguł dla identyfikatora komunikatu dziennika inspekcji SAP i roli systemu są definiowane na liście kontrolnej "SAP_Dynamic_Audit_Log_Monitor_Configuration".
| Pole | opis | Źródło danych/notatki |
|---|---|---|
| CategoryName | Kategoria zdarzeń dla systemu SAP | Lista obserwowana "Konfiguracja dynamicznego monitora dzienników inspekcji sap" |
| DestinationEmail | Adres e-mail przypisanego zespołu | Lista obserwowana "Konfiguracja dynamicznego monitora dzienników inspekcji sap" |
| Szczegółowy opis | Tekst sformatowany w języku znaczników markdown, który ma być wyświetlany w alertach | Lista obserwowana "Konfiguracja dynamicznego monitora dzienników inspekcji sap" |
| Messageid | Identyfikator komunikatu dziennika inspekcji SAP | Lista obserwowana "Konfiguracja dynamicznego monitora dzienników inspekcji sap" |
| Messagetext | Przykładowy tekst wiadomości | Lista obserwowana "Konfiguracja dynamicznego monitora dzienników inspekcji sap" |
| RolesTagsToExclude | rola ABAP, profil lub dowolny tag tekstowy | Lista obserwowana "Konfiguracja dynamicznego monitora dzienników inspekcji sap" |
| RuleType | Anomalia lub deterministyczna | Lista obserwowana "Konfiguracja dynamicznego monitora dzienników inspekcji sap" |
| Taktyka | Taktyka MITRE ATTA&CK | Lista obserwowana "Konfiguracja dynamicznego monitora dzienników inspekcji sap" |
| TeamsChannelID | Kanał usługi Teams | Lista obserwowana "Konfiguracja dynamicznego monitora dzienników inspekcji sap" |
| Identyfikator systemowy | Identyfikator systemu SAP | Lista obserwowana "SAP — Systemy" |
| SystemRole | Rola systemu SAP | Lista obserwowana "SAP — Systemy" |
| SystemUsage | Główne użycie systemu SAP | Lista obserwowana "SAP — Systemy" |
| IsProd | Flaga systemu produkcyjnego | Lista obserwowana "SAP — Systemy" |
| Ważność | Ważność pochodna | Ważność na użycie systemu |
| Threshold | Próg pochodny | Liczba zdarzeń na użycie systemu |
| BagOfDetails | Torba ze szczegółami | Słownik opisujący definicję zdarzenia |
SAPAuditLogAnomalies
Narzędzie SAPAuditLogAnomalies używa wbudowanych funkcji uczenia maszynowego bazy danych Kusto usługi Sentinel w celu wykrywania nietypowych zdarzeń zaobserwowanych w dzienniku inspekcji SAP. Opracowana dla reguły alertów alertu "SAP — (eksperymentalna) Alerty monitora dziennika inspekcji opartej na anomalii, ta funkcja została początkowo zaprojektowana tak, aby otrzymywać alerty dotyczące najnowszych anomalii, ale może również pomóc w wyróżnianiu anomalii historycznych (zobacz przykłady poniżej).
Parametry:
- Edukacja Time
- Opcjonalnie
- Wartość domyślna: 14 dni
- Określa przedział czasu używany na potrzeby uczenia modelu
- DetectingTime
- Opcjonalnie
- Wartość domyślna: jedna godzina
- Określa przedział czasu, który ma być sprawdzany pod kątem wykrywania anomalii. Wywołanie tej funkcji za pomocą funkcji DetectingTime = 0h spowoduje wyróżnienie anomalii w całym przedziałie czasu Edukacja Time
- SelectedSystems
- Opcjonalnie
- Wartość domyślna: "Wszystkie systemy"
- Służy do filtrowania określonych systemów SAP do przyjrzenia się.
- SelectedSystemRoles
- Opcjonalnie
- Wartość domyślna: "Wszystkie role systemowe"
- Określa role systemów SAP, które mają być przeglądane (zgodnie z definicją na liście kontrolnej "SAP - Systems").
- SelectedSeverities
- Opcjonalnie
- Wartość domyślna: ["High", "Medium"]
- Służy do określania zdarzeń, które mają być sprawdzane pod względem ich ważności. Ważność na identyfikator komunikatu dziennika inspekcji SAP i rolę systemu są definiowane na liście kontrolnej "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedPrefixMask
- Opcjonalnie
- Wartość domyślna: 24
- Służy do określania poziomu maski podsieci używanego do uczenia się i wykrywania.
- SelectedRuleTypes
- Opcjonalnie
- Wartość domyślna: "AnomaliesOnly"
- Określa, jakie zdarzenia są istotne do wykrywania anomalii. Typy reguł dla identyfikatora komunikatu dziennika inspekcji SAP i roli systemu są definiowane na liście kontrolnej "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Logika
Funkcja uczy się wycinka historii zdefiniowanej przez różne parametry wejściowe na poziomie użytkownika, atrybutów sieci, systemu, sezonowości i aktywności. Następnie ocenia zdarzenia występujące w ciągu ostatniego przedziału czasu DetectingTime zgodnie z tym, czego się nauczył, stosując progi i inne konfigurowalne kryteria wykluczenia uzyskane z listy kontrolnej konfiguracji dziennika inspekcji SAP. Gdy okno przewijania aktywności użytkownika zostanie uznane za nietypowe, drugie zapytanie zwraca całą aktywność użytkownika jako dowód potwierdzający decyzję.
Dodatkowe uwagi
Podobnie jak w przypadku dowolnego rozwiązania do uczenia maszynowego, ta funkcja działa lepiej z czasem. Dalsze korekty można wprowadzić przy użyciu konfiguracji lokalnej. Zaleca się ograniczenie rozmiaru poznanej bazy danych do poniżej 100 milionów rekordów przy użyciu wielu dostępnych parametrów wejściowych.
Przykład: wyszukiwanie anomalii dla zdarzeń o wysokiej ważności, które wystąpiły w ciągu ostatniej godziny w systemach produkcyjnych dla typów zdarzeń oznaczonych jako "AnomaliesOnly" w "SAP_Dynamic_Audit_Log_Monitor_Configuration"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Przykład: wyszukiwanie wszystkich anomalii w ciągu ostatnich 14 dni w systemie "BIP"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
| Pole | opis |
|---|---|
| Wiele pól z programu SAPAuditLog | Pola klucza z dziennika inspekcji SAP |
| Wiele pól z polecenia SAPAuditLogConfiguration | Pola kluczy z usługi Sentinel dla konfiguracji dziennika inspekcji SAP |
| Odnaleziono | Zaokrąglona godzina, w której zaobserwowano anomalię |
| EventCount | Liczba zdarzeń zliczanych na wiersz zwracany |
| AnomalCount | Liczba zdarzeń zaobserwowanych w odpowiednim oknie przesuwnym |
| MinTime | Czas pierwszego zaobserwowanego zdarzenia |
| MaxTime | Czas ostatniego zaobserwowanego zdarzenia |
| Wynik | wyniki anomalii generowane przez model anomalii |
Aby uzyskać więcej informacji, zobacz Wbudowane reguły analizy SAP na potrzeby monitorowania dziennika inspekcji sap.
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend to funkcja pomocnika przeznaczona do oferowania rekomendacji dotyczących konfiguracji reguły analizy alertów monitora dzienników inspekcji (WERSJA ZAPOZNAWCZA) systemu SAP - Dynamic Anomaly Based Audit Log Monitor. Dowiedz się, jak skonfigurować reguły.
SAPUsersGetVIP
Rozwiązanie Microsoft Sentinel dla aplikacji SAP® korzysta z koncepcji znakowania użytkowników centralnych i jawnych wykluczeń, które ułatwiają obniżenie wyników fałszywie dodatnich przy minimalnym nakładzie pracy. Użyj funkcji SAPUsersGetVIP, aby wykluczyć użytkowników z wyzwalania alertów przez określenie ról użytkowników sap, funkcji użytkownika sap lub tagów reprezentujących tych użytkowników. Aby uzyskać więcej informacji, zobacz Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel.
Tagi określone jako dane wejściowe dla funkcji SAPUsersGetVIP wykluczają wszystkich użytkowników z tagiem wymienionym na liście SAP_User_Config watchlist. Ta sama funkcja została rozszerzona w celu pracy z symbolami wieloznacznymi, umożliwiając przypisanie pojedynczego tagu do grupy użytkowników z tą samą składnią nazewnictwa.
Taguj użytkowników na liście SAP_User_Config watchlist w następujący sposób:
Dodaj wiele tagów do każdego użytkownika na liście obserwowanych SAP_User_Config , zgodnie z potrzebami, aby uwzględnić różne scenariusze. Każda reguła alertu ma własne odpowiednie tagi, jeśli istnieją, i w razie potrzeby można dodać tagi niestandardowe.
Użyj gwiazdki (*) jako symbolu wieloznakowego, aby uwzględnić użytkowników z określonym szablonem składni nazewnictwa.
Dodaj funkcję SAPUsersGetVIP w regułach analizy, aby zażądać listy użytkowników zdefiniowanych do wykluczenia z alertów. W wywołaniu funkcji dodaj tablicę z tagami, rolami SAP i profilami SAP, które chcesz wykluczyć.
Na przykład użyj następującego zapytania KQL w regule analizy, aby wykluczyć wszystkich użytkowników skonfigurowanych za pomocą tagu RunObsoleteProgOK na liście do obejrzenia SAP_User_Config lub wszystkich użytkowników z przykładową rolą SAP_BASIS_ADMIN_ROLE lub przykładowym profilem SAP_ADMIN_PROFILE.
Podczas kopiowania tego przykładowego wywołania funkcji zastąpSAP_BASIS_ADMIN_ROLE rolę i profil SAP_ADMIN_PROFILE własnymi rolami lub profilami SAP zgodnie z potrzebami.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Funkcja SAPUsersGetVIP jest często używana w alertach deterministycznego i nietypowego monitora dziennika inspekcji. Skojarz tag z identyfikatorem komunikatu dziennika inspekcji SAP lub rozszerz szablon reguły na niestandardową regułę zgodną z potrzebami organizacji.
Napiwek
Zalecamy skontaktowanie się z administratorem systemu SAP, aby zrozumieć, którzy użytkownicy, role i profile sap mają być uwzględniani na liście do obejrzenia SAP_User_Config .
Parametry:
| Nazwa/nazwisko | opis | Domyślna wartość |
|---|---|---|
| SearchForTags (opcjonalnie) | Gdy SearchForTags równa All Tagssię , wszyscy użytkownicy są zwracani wraz z tagami. W przeciwnym razie zwracane są tylko użytkownicy z tagami, rolami SAP lub profilami SAP określonymi w elem SearchForTags . TagsIntersect wyświetla znalezione tagi i IntersectionSize zawiera liczbę znalezionych tagów. |
dynamic('All Tags') |
| SpecialFocusTags (opcjonalnie) | Zwraca wszystkich użytkowników z tagami określonymi w obiekcie SpecialFocusTagsi oznaczonymi elementami specialFocusTagged = true. |
Do not return any in-focus users |
| Źródło | Pole | opis | Uwagi |
|---|---|---|---|
| Lista do obejrzenia SAP_User_Config | Klucz wyszukiwania | Klucz wyszukiwania | |
| Lista do obejrzenia SAP_User_Config | UżytkownikSAP | Użytkownik SAP | System operacyjny, DDIC |
| Lista do obejrzenia SAP_User_Config | Tagi | Ciąg tagów przypisanych do użytkownika | RunObsoleteProgOK |
| Lista do obejrzenia SAP_User_Config | Identyfikator obiektu Entra użytkownika firmy Microsoft | Identyfikator obiektu Microsoft Entra | |
| Lista do obejrzenia SAP_User_Config | Identyfikator użytkownika | Identyfikator użytkownika usługi AD | |
| Lista do obejrzenia SAP_User_Config | Lokalny identyfikator SID użytkownika | ||
| Lista do obejrzenia SAP_User_Config | Główna nazwa użytkownika | ||
| Lista do obejrzenia SAP_User_Config | Lista tagów | Lista tagów przypisanych do użytkownika | ChangeUserMasterDataOK; RunObsoleteProgOK |
| Logika | TagsIntersect | Zestaw tagów pasujących do elementów SearchForTags | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logika | SpecialFocusTagged | Specjalne wskazanie fokusu | Prawda, fałsz |
| Logika | Rozmiar skrzyżowania | Liczba intersected Tags |
SAPUsersHeader
Funkcja SAPUsersHeader została zaprojektowana w celu zapewnienia wysokiego poziomu widoku użytkownika SAP. Używa on danych wyodrębnionych zarówno z tabel danych głównych użytkownika sap, jak i ostatnich działań w dzienniku inspekcji SAP w celu zbierania adresów e-mail i adresów IP. Następnie zwraca ostatni znany adres e-mail i adresy IP wraz z podstawowymi adresami e-mail i IP. Parametry: SelectedSystemRoles:dynamic = dynamic(["Wszystkie role systemowe"]) SelectedSystems:dynamic = dynamic(["Wszystkie systemy"]) SelectedUsers:dynamic=dynamic(["Wszyscy użytkownicy"]) SelectedUser:string = "Wszyscy użytkownicy"
- SelectedSystems
- Opcjonalnie
- Wartość domyślna: "Wszystkie systemy"
- Służy do filtrowania określonych systemów SAP do przyjrzenia się.
- SelectedSystemRoles
- Opcjonalnie
- Wartość domyślna: "Wszystkie role systemowe"
- Określa role systemów SAP, które mają być przeglądane (zgodnie z definicją na liście kontrolnej "SAP - Systems").
- Wybraniuużytkownicy
- Opcjonalnie
- Wartość domyślna: "Wszyscy użytkownicy"
- Może wprowadzać listy użytkowników.
- SelectedUser
- Opcjonalnie
- Wartość domyślna: "Wszyscy użytkownicy"
- Akceptuje tylko jednego użytkownika
Dodatkowe uwagi
W przypadku zagadnień dotyczących wydajności należy wziąć pod uwagę tylko kilka dni działania inspekcji. Aby uzyskać pełną historię aktywności użytkownika, uruchom niestandardowe zapytanie KQL względem funkcji SAPAuditLog.
| Źródło | Pole | opis | Uwagi |
|---|---|---|---|
| User | Użytkownik SAP | ||
| Tabele SAP ADR6 i USR21 | Pobrane z danych głównych użytkownika | System operacyjny, DDIC | |
| TABELA SAP USR02 | UserType | ciąg tagów przypisanych do użytkownika | RunObsoleteProgOK |
| TABELA SAP USR02 | Strefa czasowa | Identyfikator obiektu Microsoft Entra | |
| TABELA SAP USR02 | LockedStatus | Identyfikator użytkownika usługi AD | |
| Dziennik inspekcji SAP | LastSeen | Znacznik czasu | ostatnie zdarzenie inspekcji zaobserwowane dla użytkownika |
| Dziennik inspekcji SAP | LastSeenDaysAgo | dni minęły od LastSeen | |
| Dziennik inspekcji SAP | Podstawowy elementIP | Najczęściej używany adres IP | ChangeUserMasterDataOK; RunObsoleteProgOK |
| Dziennik inspekcji SAP | LastKnownIP | Ostatnio używany adres IP | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Dziennik inspekcji SAP | PrimaryEmail | Najczęściej używany adres e-mail | Prawda, fałsz |
| Dziennik inspekcji SAP | Znane adresy IP | Lista znanych adresów IP | posortowane według najczęściej spotykanych pierwszych |
| Dziennik inspekcji SAP | Znane wiadomości e-mail | Lista znanych adresów e-mail | posortowane według najczęściej spotykanych pierwszych |
| Klient | Identyfikator klienta SAP | ||
| Identyfikator systemowy | Identyfikator systemu SAP | ||
| SystemRole | Rola systemu SAP | Produkcja, UAT | |
| SystemUsage | Główne użycie systemu SAP | ERP, CRM |
Dzienniki generowane przez agenta łącznika danych
W tej sekcji opisano dzienniki SAP dostępne w rozwiązaniu Microsoft Sentinel dla łącznika danych aplikacji SAP®, w tym nazwy tabel w usłudze Microsoft Sentinel, cele dziennika i szczegółowe schematy dziennika. Opisy pól schematu są oparte na opisach pól w odpowiedniej dokumentacji systemu SAP.
Aby uzyskać najlepsze wyniki, użyj funkcji usługi Microsoft Sentinel wymienionych poniżej, aby wizualizować, uzyskiwać dostęp i wykonywać zapytania dotyczące danych.
- Dziennik aplikacji ABAP
- Dziennik dokumentów zmiany abAP
- Dziennik CR protokołu ABAP
- Dziennik danych tabeli ABAP DB (WERSJA ZAPOZNAWCZA)
- Dziennik bramy ABAP (WERSJA ZAPOZNAWCZA)
- Dziennik ICM ABAP (WERSJA ZAPOZNAWCZA)
- Dziennik zadań ABAP
- Dziennik inspekcji zabezpieczeń abAP
- Dziennik buforu ABAP
- Dziennik danych wyjściowych puli APAB
- Dziennik systemu ABAP
- Dziennik przepływu pracy ABAP
- Dziennik ABAP WorkProcess
- Dziennik inspekcji bazy danych HANA
- Pliki JAVA
- Dziennik pulsu SAP
Dziennik aplikacji ABAP
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPAppLog
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: rejestruje postęp wykonywania aplikacji, aby można było go odtworzyć później w razie potrzeby.
Dostępne przy użyciu RFC opartej na standardowej tabeli SAP i standardowych usługach interfejsu XBP. Ten dziennik jest generowany na klienta.
schemat dziennika ABAPAppLog_CL
| Pole | opis |
|---|---|
| AppLogDateTime | Data i godzina dziennika aplikacji |
| CallbackProgram | Program wywołania zwrotnego |
| Wywołanie zwrotneRoutine | Procedury wywołania zwrotnego |
| CallbackType | Typ wywołania zwrotnego |
| ClientID | Identyfikator klienta ABAP (MANDT) |
| ContextDDIC | Struktura DDIC kontekstu |
| Identyfikator zewnętrzny | Identyfikator dziennika zewnętrznego |
| Gospodarz | Gospodarz |
| Wystąpienie | Wystąpienie abAP w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Szeregowy komunikat dziennika aplikacji |
| LevelofDetail | Poziom szczegółowości |
| LogHandle | Dojście dziennika aplikacji |
| LogNumber | Numer dziennika |
| MessageClass | Message, klasa |
| MessageNumber | Numer wiadomości |
| Messagetext | Tekst komunikatu |
| Messagetype | Typ wiadomości |
| Objekt | Obiekt dziennika aplikacji |
| OperationMode | Tryb operacji |
| ProblemClass | Klasa problemu |
| Nazwa programu | Nazwa programu |
| SortCriterion | Kryterium sortowania |
| Tekst standardowy | Tekst standardowy |
| Podobiektów | Obiekt podrzędny dziennika aplikacji |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
| TransactionCode | Kod transakcji |
| User | User |
| UserChange | Zmiana użytkownika |
Dziennik dokumentów zmiany abAP
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPChangeDocsLog
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: rekordy:
Zmiany dziennika ABAP serwera SAP NetWeaver Application Server (AS) w obiektach danych biznesowych w dokumentach zmian.
Inne jednostki w systemie SAP, takie jak dane użytkownika, role, adresy.
Dostępne przy użyciu języka RFC opartego na standardowych tabelach SAP. Ten dziennik jest generowany na klienta.
schemat dziennika ABAPChangeDocsLog_CL
| Pole | opis |
|---|---|
| ActualChangeNum | Rzeczywista liczba zmian |
| ChangedTableKey | Zmieniono klucz tabeli |
| Changenumber | Zmień numer |
| ClientID | Identyfikator klienta ABAP (MANDT) |
| CreatedfromPlannedChange | Utworzona na podstawie planowanej zmiany w następującej składni: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Klucz waluty: nowa wartość |
| CurrencyKeyOld | Klucz waluty: stara wartość |
| Fieldname | Nazwa pola |
| FlagaTekst | Tekst flagi |
| Gospodarz | Gospodarz |
| Wystąpienie | Wystąpienie abAP w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| Język | Język |
| Objectclass | Klasa obiektów, taka jak BELEG, , BPAR, PFCGIDENTITY |
| ObjectID | Identyfikator obiektu |
| PlannedChangeNum | Planowana liczba zmian |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
| TableName | Nazwa tabeli |
| TransactionCode | Kod transakcji |
| TypeofChange_Header | Typ nagłówka zmiany, w tym: U = Zmiana; I = Wstaw; E = Usuń pojedynczy docu; D = Usuń; J = Wstaw pojedynczy docu |
| TypeofChange_Item | Typ elementu zmiany, w tym: U = Zmiana; I = Wstaw; E = Usuń pojedynczy docu; D = Usuń; J = Wstaw pojedynczy docu |
| UOMNowy | Jednostka miary: nowa wartość |
| UOMOld | Jednostka miary: stara wartość |
| User | User |
| WartośćNowa | Zawartość pola: nowa wartość |
| ValueOld | Zawartość pola: stara wartość |
| Wersja | Wersja |
Dziennik CR protokołu ABAP
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPCRLog
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: obejmuje dzienniki systemu zmian i transportu (CTS), w tym obiekty katalogu i dostosowania, w których wprowadzono zmiany.
Dostępne przy użyciu języka RFC opartego na standardowych tabelach i standardowych usługach SAP. Ten dziennik jest generowany z danymi we wszystkich klientach.
Uwaga
Oprócz rejestrowania aplikacji, zmieniania dokumentów i rejestrowania tabel wszystkie zmiany wprowadzone w systemie produkcyjnym przy użyciu systemu zmian i transportu są udokumentowane w dziennikach usług CTS i TMS.
schemat dziennika ABAPCRLog_CL
| Pole | opis |
|---|---|
| Kategoria | Kategoria (Workbench, Dostosowywanie) |
| ClientID | Identyfikator klienta ABAP (MANDT) |
| opis | opis |
| Host | Gospodarz |
| Wystąpienie | Wystąpienie abAP w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| Nazwa obiektu | Object name |
| Objecttype | Object type |
| Właściciel | Właściciel |
| Żądanie | Żądanie zmiany |
| Stan | Stan |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
| TableKey | Klucz tabeli |
| TableName | Nazwa tabeli |
| Viewname | Nazwa widoku |
Dziennik danych tabeli ABAP DB (WERSJA ZAPOZNAWCZA)
Aby ten dziennik został wysłany do usługi Microsoft Sentinel, należy dodać go ręcznie do pliku systemconfig.ini.
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPTableDataLog
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: zapewnia rejestrowanie dla tych tabel, które są krytyczne lub podatne na inspekcje.
Dostępne przy użyciu protokołu RFC z usługą niestandardową. Ten dziennik jest generowany z danymi we wszystkich klientach.
schemat dziennika ABAPTableDataLog_CL
| Pole | opis |
|---|---|
| DBLogID | Identyfikator dziennika bazy danych |
| Gospodarz | Gospodarz |
| Wystąpienie | Wystąpienie abAP w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| Język | Język |
| LogKey | Klucz dziennika |
| Newvalue | Nowa wartość pola |
| Oldvalue | Stara wartość pola |
| OperationTypeSQL | Typ operacji, Insert, , UpdateDelete |
| Program | Nazwa programu |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
| Pole tabeli | Pole tabeli |
| TableName | Nazwa tabeli |
| TransactionCode | Kod transakcji |
| UserName | User |
| Numer wersji | Numer wersji |
Dziennik bramy ABAP (WERSJA ZAPOZNAWCZA)
Aby ten dziennik został wysłany do usługi Microsoft Sentinel, należy dodać go ręcznie do pliku systemconfig.ini.
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPOS_GW
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: monitoruje działania bramy. Dostępne przez usługę internetową SAP Control. Ten dziennik jest generowany z danymi we wszystkich klientach.
schemat dziennika ABAPOS_GW_CL
| Pole | opis |
|---|---|
| Host | Gospodarz |
| Wystąpienie | Wystąpienie abAP w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| Messagetext | Tekst komunikatu |
| Ważność | Ważność komunikatu: Debug, , Info, WarningError |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
Dziennik ICM ABAP (WERSJA ZAPOZNAWCZA)
Aby ten dziennik został wysłany do usługi Microsoft Sentinel, należy dodać go ręcznie do pliku systemconfig.ini.
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPOS_ICM
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: rejestruje żądania przychodzące i wychodzące oraz kompiluje statystyki żądań HTTP.
Dostępne przez usługę internetową SAP Control. Ten dziennik jest generowany z danymi we wszystkich klientach.
schemat dziennika ABAPOS_ICM_CL
| Pole | opis |
|---|---|
| Host | Gospodarz |
| Wystąpienie | Wystąpienie abAP w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| Messagetext | Tekst komunikatu |
| Ważność | Ważność komunikatu, w tym: Debug, Info, , WarningError |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
Dziennik zadań ABAP
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPJobLog
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: łączy wszystkie dzienniki zadań przetwarzania w tle (SM37).
Dostępne przy użyciu RFC opartej na standardowej tabeli SAP i standardowych usługach interfejsów XBP. Ten dziennik jest generowany z danymi we wszystkich klientach.
schemat dziennika ABAPJobLog_CL
| Pole | opis |
|---|---|
| ABAPProgram | Program ABAP |
| BgdEventParameters | Parametry zdarzenia w tle |
| BgdProcessingEvent | Zdarzenie przetwarzania w tle |
| ClientID | Identyfikator klienta ABAP (MANDT) |
| DynproNumber | Numer Dynpro |
| GuiStatus | Stan graficznego interfejsu użytkownika |
| Gospodarz | Gospodarz |
| Wystąpienie | Wystąpienie abAP (HOST_SYSID_SYSNR) w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| Klasyfikacja zadań | Klasyfikacja zadań |
| JobCount | Liczba zadań |
| Grupa zadań | Grupa zadań |
| Jobname | Nazwa zadania |
| JobPriority | Priorytet zadań |
| MessageClass | Message, klasa |
| MessageNumber | Numer wiadomości |
| Messagetext | Tekst komunikatu |
| Messagetype | Typ wiadomości |
| ReleaseUser | Użytkownik wydania zadania |
| SchedulingDateTime | Planowanie daty i godziny |
| StartDateTime | Data rozpoczęcia |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
| Targetserver | Serwer docelowy |
| User | User |
| UserReleaseInstance | Wystąpienie abAP — wydanie użytkownika |
| Identyfikator procesu roboczego | Identyfikator procesu roboczego |
| Liczba procesów roboczych | Numer procesu roboczego |
Dziennik inspekcji zabezpieczeń abAP
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPAuditLog
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: Rejestruje następujące dane:
- Zmiany związane z zabezpieczeniami w środowisku systemowym SAP, takie jak zmiany w głównych rekordach użytkowników
- Informacje, które zapewniają wyższy poziom danych, takie jak pomyślne i nieudane próby logowania
- Informacje umożliwiające odtworzenie serii zdarzeń, takich jak pomyślne lub nieudane uruchomienie transakcji
Dostępne przy użyciu interfejsów RFC XAL/SAL. Sal jest dostępny od wersji Basis 7.50. Ten dziennik jest generowany z danymi we wszystkich klientach.
schemat dziennika ABAPAuditLog_CL
| Pole | opis |
|---|---|
| ABAPProgramName | Nazwa programu, tylko SAL |
| Zależnie od alertów | Ważność alertu |
| AlertSeverityText | Tekst ważności alertu, tylko SAL |
| AlertValue | Wartość alertu |
| AuditClassID | Identyfikator klasy inspekcji, tylko SAL |
| ClientID | Identyfikator klienta ABAP (MANDT) |
| Komputer | Maszyna użytkownika, tylko SAL |
| Adres e-mail użytkownika | |
| Gospodarz | Gospodarz |
| Wystąpienie | Wystąpienie abAP w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Message, klasa |
| MessageContainerID | Identyfikator kontenera komunikatów, tylko XAL |
| Messageid | Identyfikator komunikatu, taki jak ‘AU1’,’AU2’… |
| Messagetext | Tekst komunikatu |
| MonitoringObjectName | Nazwa obiektu monitora MTE, tylko XAL |
| MonitorShortName | Krótka nazwa monitora MTE, tylko XAL |
| SAPProcesType | Dziennik systemu: typ procesu SAP, tylko SAL |
| B* — przetwarzanie w tle | |
| D* — przetwarzanie okien dialogowych | |
| U* — zadania aktualizacji | |
| SAPWPName | Dziennik systemu: numer procesu roboczego, tylko SAL |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
| TerminalIPv6 | Adres IP komputera użytkownika, tylko SAL |
| TransactionCode | Kod transakcji, tylko SAL |
| User | User |
| Zmienna1 | Zmienna komunikatu 1 |
| Zmienna2 | Zmienna komunikatu 2 |
| Zmienna3 | Zmienna komunikatu 3 |
| Zmienna4 | Zmienna komunikatu 4 |
Dziennik buforu ABAP
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPSpoolLog
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: służy jako główny dziennik drukowania SAP z historią żądań buforowania. (SP01).
Dostępne przy użyciu RFC opartej na standardowej tabeli SAP. Ten dziennik jest generowany z danymi we wszystkich klientach.
schemat dziennika ABAPSpoolLog_CL
| Pole | opis |
|---|---|
| ArchiveStatus | Stan archiwum |
| Typ archiwum | Typ archiwum |
| ArchiwizacjaUrządzenia | Archiwizowanie urządzenia |
| AutoRereoute | Automatyczne przekierowywanie |
| ClientID | Identyfikator klienta ABAP (MANDT) |
| Klucz kraju | Klucz kraju |
| DeleteSpoolRequestAuto | Automatyczne usuwanie żądania buforu |
| DelFlag | Flaga usuwania |
| Department | Department |
| DocumentType | Document type |
| Tryb zewnętrzny | Tryb zewnętrzny |
| Formattype | Typ formatu |
| Gospodarz | Gospodarz |
| Wystąpienie | Wystąpienie abAP w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Liczba kopii |
| OutputDevice | Urządzenie wyjściowe |
| PrinterLongName | Długa nazwa drukarki |
| PrintImmediately | Drukuj natychmiast |
| PrintOSCoverPage | Drukowanie strony OSCover |
| PrintSAPCoverPage | Drukowanie strony SAPCover |
| Priorytet | Priorytet |
| RecipientofSpoolRequest | Odbiorca żądania buforu |
| SpoolErrorStatus | Stan błędu buforu |
| SpoolRequestCompleted | Ukończono żądanie buforu |
| SpoolRequestisALogForAnotherRequest | Żądanie buforu to dziennik dla innego żądania |
| SpoolRequestName | Nazwa żądania puli |
| SpoolRequestNumber | Numer żądania puli |
| SpoolRequestSuffix1 | Sufiks żądania buforu1 |
| SpoolRequestSuffix2 | Sufiks żądania puli 2 |
| SpoolRequestTitle | Tytuł żądania puli |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
| TelecommunicationsPartner | Partner telekomunikacyjny |
| TelecommunicationsPartnerE | Partner telekomunikacyjny E |
| TemSeGeneralcounter | Licznik Temse |
| TemseNumAddProtectionRule | Dodawanie reguły ochrony numeru Temse |
| TemseNumChangeProtectionRule | Reguła ochrony zmiany numeru Temse |
| TemseNumDeleteProtectionRule | Reguła ochrony usuwania numeru Temse |
| TemSeObjectName | Nazwa obiektu Temse |
| TemSeObjectPart | Część obiektu TemSe |
| TemseReadProtectionRule | Reguła ochrony odczytu Temse |
| User | User |
| ValueAuthCheck | Sprawdzanie uwierzytelniania wartości |
Dziennik danych wyjściowych puli APAB
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPSpoolOutputLog
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: służy jako główny dziennik drukowania SAP z historią żądań wyjściowych buforu. (SP02).
Dostępne przy użyciu specyfikacji RFC z usługą niestandardową opartą na tabelach standardowych. Ten dziennik jest generowany z danymi we wszystkich klientach.
schemat dziennika ABAPSpoolOutputLog_CL
| Pole | opis |
|---|---|
| AppServer | Serwer aplikacji |
| ClientID | Identyfikator klienta ABAP (MANDT) |
| Komentarz | Komentarz |
| CopyCount | Liczba kopii |
| CopyCounter | Kopiuj licznik |
| Department | Department |
| ErrorSpoolRequestNumber | Numer żądania błędu |
| Formattype | Typ formatu |
| Gospodarz | Gospodarz |
| HostName | Nazwa hosta |
| HostSpoolerID | Identyfikator buforu hosta |
| Wystąpienie | Wystąpienie usługi ABAP |
| Lastpage | Ostatnia strona |
| NumofCopies | Liczba kopii |
| OutputDevice | Urządzenie wyjściowe |
| OutputRequestNumber | Numer żądania wyjściowego |
| OutputRequestStatus | Stan żądania wyjściowego |
| Typ Formatu fizycznego | Typ formatu fizycznego |
| PrinterLongName | Długa nazwa drukarki |
| PrintRequestSize | Rozmiar żądania drukowania |
| Priorytet | Priorytet |
| ReasonforOutputRequest | Przyczyna żądania wyjściowego |
| RecipientofSpoolRequest | Odbiorca żądania buforu |
| SpoolNumberofOutputReqProcessed | Liczba żądań wyjściowych — przetworzonych |
| SpoolNumberofOutputReqWithErrors | Liczba żądań wyjściowych — z błędami |
| SpoolNumberofOutputReqWithProblems | Liczba żądań wyjściowych — z problemami |
| SpoolRequestNumber | Numer żądania puli |
| Startpage | Strona początkowa |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
| TelecommunicationsPartner | Partner telekomunikacyjny |
| TemSeGeneralcounter | Licznik Temse |
| Tytuł | Tytuł |
| User | User |
Dziennik systemu ABAP
Aby ten dziennik został wysłany do usługi Microsoft Sentinel, należy dodać go ręcznie do pliku systemconfig.ini.
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPOS_Syslog
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: rejestruje wszystkie błędy systemu SAP NetWeaver Application Server (SAP NetWeaver AS), ostrzeżenia, blokady użytkownika z powodu nieudanych prób logowania znanych użytkowników i przetwarzają komunikaty.
Dostępne przez usługę internetową SAP Control. Ten dziennik jest generowany z danymi we wszystkich klientach.
schemat dziennika ABAPOS_Syslog_CL
| Pole | opis |
|---|---|
| ClientID | Identyfikator klienta ABAP (MANDT) |
| Gospodarz | Gospodarz |
| Wystąpienie | Wystąpienie abAP w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Numer wiadomości |
| Messagetext | Tekst komunikatu |
| Ważność | Ważność komunikatu, jedna z następujących wartości: Debug, Info, , WarningError |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
| TransacationCode | Kod transakcji |
| Typ | Typ procesu SAP |
| User | User |
Dziennik przepływu pracy ABAP
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPWorkflowLog
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: Przepływ pracy firmy SAP (aparat WebFlow) umożliwia definiowanie procesów biznesowych, które nie zostały jeszcze zamapowane w systemie SAP.
Na przykład niezamapowane procesy biznesowe mogą być prostymi procedurami wydawania lub zatwierdzania lub bardziej złożonymi procesami biznesowymi, takimi jak tworzenie materiału podstawowego, a następnie koordynowanie skojarzonych działów.
Dostępne przy użyciu języka RFC opartego na standardowych tabelach SAP. Ten dziennik jest generowany na klienta.
schemat dziennika ABAPWorkflowLog_CL
| Pole | opis |
|---|---|
| ActualAgent | Rzeczywisty agent |
| Adres | Adres |
| Obszar aplikacji | Obszar aplikacji |
| CallbackFunction | Callback, funkcja |
| ClientID | Identyfikator klienta ABAP (MANDT) |
| CreationDateTime | Data utworzenia |
| Twórca | Twórca |
| CreatorAddress | Adres twórcy |
| Errortype | Typ błędu |
| Wyjątek dlamethod | Wyjątek dla metody |
| Gospodarz | Gospodarz |
| Wystąpienie | Wystąpienie abAP (HOST_SYSID_SYSNR) w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| Język | Język |
| LogCounter | Licznik dzienników |
| MessageNumber | Numer wiadomości |
| Messagetype | Typ wiadomości |
| MethodUser | Użytkownik metody |
| Priorytet | Priorytet |
| SimpleContainer | Prosty kontener, zapakowany jako lista jednostek Key-Value dla elementu roboczego |
| Stan | Stan |
| SuperWI | Super WI |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
| TaskID | Identyfikator zadania |
| ZadaniaKlasyfikacja | Klasyfikacje zadań |
| Tekst zadania | Tekst zadania |
| TopTaskID | Identyfikator zadania najwyższego |
| UserCreated (Tworzenie użytkownika) | Utworzony użytkownik |
| WIText | Tekst elementu roboczego |
| WIType | Typ elementu roboczego |
| Przepływ pracyAkcja | Akcja Przepływ pracy |
| Identyfikator elementu pracy | Identyfikator elementu roboczego |
Dziennik ABAP WorkProcess
Aby ten dziennik został wysłany do usługi Microsoft Sentinel, należy dodać go ręcznie do pliku systemconfig.ini.
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPOS_WP
Powiązana dokumentacja systemu SAP: portal pomocy sap
Cel dziennika: łączy wszystkie dzienniki procesów roboczych. (ustawienie domyślne:
dev_*).Dostępne przez usługę internetową SAP Control. Ten dziennik jest generowany z danymi we wszystkich klientach.
schemat dziennika ABAPOS_WP_CL
| Pole | opis |
|---|---|
| Host | Gospodarz |
| Wystąpienie | Wystąpienie abAP w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| Messagetext | Tekst komunikatu |
| Ważność | Ważność komunikatu: Debug, , Info, WarningError |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
| Numer WP | Numer procesu roboczego |
Dziennik inspekcji bazy danych HANA
Aby ten dziennik został wysłany do usługi Microsoft Sentinel, należy wdrożyć program Microsoft Management Agent w celu zebrania danych dziennika systemowego z maszyny z uruchomioną bazą danych HANA.
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPSyslog
Powiązana dokumentacja systemu SAP: ogólny | dziennik inspekcji
Cel dziennika: Rejestruje akcje użytkownika lub podjęto próby wykonania w bazie danych SAP HANA. Umożliwia na przykład rejestrowanie i monitorowanie dostępu do odczytu do poufnych danych.
Dostępne przez agenta systemu Linux usługi Sentinel dla dziennika systemowego. Ten dziennik jest generowany z danymi we wszystkich klientach.
Schemat dziennika systemu
| Pole | opis |
|---|---|
| Komputer | Nazwa hosta |
| HostIP | Adres IP hosta |
| HostName | Nazwa hosta |
| ProcessId | Process ID |
| ProcessName | Nazwa procesu: HDB* |
| WażnośćLevel | Alerty |
| SourceSystem | System operacyjny systemu źródłowego, Linux |
| SyslogMessage | Komunikat, komunikat o nieparzysowanym dzienniku inspekcji |
Pliki JAVA
Aby ten dziennik został wysłany do usługi Microsoft Sentinel, należy dodać go ręcznie do pliku systemconfig.ini.
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAPJAVAFilesLogs
Powiązana dokumentacja systemu SAP: Ogólny | dziennik inspekcji zabezpieczeń Języka Java
Cel dziennika: łączy wszystkie dzienniki oparte na plikach Java, w tym dziennik inspekcji zabezpieczeń i system (proces klastra i serwera), wydajność i dzienniki bramy. Obejmuje również ślady deweloperów i domyślne dzienniki śledzenia.
Dostępne przez usługę internetową SAP Control. Ten dziennik jest generowany z danymi we wszystkich klientach.
Schemat dziennika JavaFilesLogsCL
| Pole | opis |
|---|---|
| Aplikacja | Aplikacja Java |
| ClientID | Client ID |
| CSNComponent | Składnik CSN, taki jak BC-XI-IBD |
| DcComponent | Składnik kontrolera domeny, taki jak com.sap.xi.util.misc |
| DSRCounter | Licznik praw podmiotów danych |
| DSRRootContentID | Identyfikator GUID kontekstu praw podmiotu danych |
| DSRTransaction | Identyfikator GUID transakcji DSR |
| Gospodarz | Gospodarz |
| Wystąpienie | Wystąpienie języka Java w następującej składni: <HOST>_<SYSID>_<SYSNR> |
| Lokalizacja | Java, klasa |
| Logname | LogName języka Java, na przykład: Available, defaulttrace, dev*, securityi tak dalej |
| Messagetext | Tekst komunikatu |
| Mno | Numer wiadomości |
| Pid | Process ID |
| Program | Nazwa programu |
| Sesja | Sesja |
| Ważność | Ważność komunikatu, w tym: Debug,Info,Warning,Error |
| Rozwiązanie | Rozwiązanie |
| Identyfikator systemowy | Identyfikator systemowy |
| Numer systemu | Numer systemu |
| ThreadName | Nazwa wątku |
| Generowany | Wyjątek |
| Strefa czasowa | Strefa czasowa |
| User | User |
Dziennik pulsu SAP
Funkcja usługi Microsoft Sentinel do wykonywania zapytań dotyczących tego dziennika: SAP Połączenie orHealth
Cel dziennika: udostępnia informacje o pulsie i innych informacjach o kondycji łączności między agentami a różnymi systemami SAP.
Automatycznie utworzone dla wszystkich agentów usługi Microsoft Sentinel dla łącznika danych SAP.
schemat dziennika SAP_HeartBeat_CL
| Pole | opis |
|---|---|
| TimeGenerated | Czas delegowania dziennika zdarzenia |
| agent_id_s | Identyfikator agenta w konfiguracji agenta (generowany automatycznie) |
| agent_ver_s | Wersja agenta |
| host_s | Nazwa hosta agenta |
| system_id_s | Netweaver ABAP Identyfikator systemu / Netweaver SAPControl Host (wersja zapoznawcza) / Host SAPControl języka Java (wersja zapoznawcza) |
| push_timestamp_d | Sygnatura czasowa wyodrębniania, zgodnie ze strefą czasową agenta |
| agent_timezone_s | Strefa czasowa agenta |
Tabele pobierane bezpośrednio z systemów SAP
W tej sekcji wymieniono tabele danych pobierane bezpośrednio z systemu SAP i pozyskiwane do usługi Microsoft Sentinel dokładnie tak, jak są.
Aby dane z tych tabel zostały pozyskane do usługi Microsoft Sentinel, skonfiguruj odpowiednie ustawienia w pliku systemconfig.ini . Aby uzyskać więcej informacji, zobacz Konfigurowanie zbierania danych wzorca użytkownika.
Dane pobrane z tych tabel zapewniają jasny widok struktury autoryzacji, członkostwa w grupach i profilów użytkowników. Umożliwia również śledzenie procesu udzielania autoryzacji i odwoływanie oraz identyfikowanie i zarządzanie ryzykiem skojarzonym z tymi procesami.
Tabele wymienione poniżej są wymagane do włączenia funkcji identyfikujących uprzywilejowanych użytkowników, mapowania użytkowników na role, grupy i autoryzacje.
Aby uzyskać najlepsze wyniki, zapoznaj się z tymi tabelami przy użyciu nazwy w poniższej kolumnie nazwy funkcji usługi Sentinel:
| Nazwa tabeli | Opis tabeli | Nazwa funkcji usługi Sentinel |
|---|---|---|
| USR01 | Rekord główny użytkownika (dane środowiska uruchomieniowego) | SAP_USR01 |
| USR02 | Dane logowania (użycie po stronie jądra) | SAP_USR02 |
| UST04 | Wzorce użytkownika Mapy użytkowników do profilów |
SAP_UST04 |
| AGR_USERS | Przypisywanie ról do użytkowników | SAP_AGR_USERS |
| AGR_1251 | Dane autoryzacji dla grupy działań | SAP_AGR_1251 |
| USGRP_USER | Przypisywanie użytkowników do grup użytkowników | SAP_USGRP_USER |
| USR21 | Przypisanie nazwy użytkownika/klucza adresu | SAP_USR21 |
| ADR6 | Adresy e-mail (usługi adresów biznesowych) | SAP_ADR6 |
| USRSTAMP | Sygnatura czasowa dla wszystkich zmian użytkownika | SAP_USRSTAMP |
| ADCP | Przypisanie osoby/adresu (usługi adresów biznesowych) | SAP_ADCP |
| USR05 | Identyfikator parametru głównego użytkownika | SAP_USR05 |
| AGR_PROF | Nazwa profilu roli | SAP_AGR_PROF |
| AGR_FLAGS | Atrybuty roli | SAP_AGR_FLAGS |
| DEVACCESS | Tabela dla użytkownika dewelopera | SAP_DEVACCESS |
| AGR_DEFINE | Definicja roli | SAP_AGR_DEFINE |
| AGR_AGRS | Role w rolach złożonych | SAP_AGR_AGRS |
| PAHI | Historia parametrów systemu, bazy danych i oprogramowania SAP | SAP_PAHI |
| SNCSYSACL (WERSJA ZAPOZNAWCZA) | Lista kontroli dostępu SNC (ACL): systemy | SAP_SNCSYSACL |
| USRACL (WERSJA ZAPOZNAWCZA) | Lista kontroli dostępu SNC (ACL): użytkownik | SAP_USRACL |
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
- Rozwiązanie Microsoft Sentinel dla aplikacji SAP — szczegółowe wymagania dotyczące oprogramowania SAP®
- Wdrażanie usługi Microsoft Sentinel dla łącznika danych SAP za pomocą protokołu SNC
- Opcje konfiguracji ekspertów, wdrożenie lokalne i źródła dzienników SAPControl
- Rozwiązanie Microsoft Sentinel dla aplikacji SAP®: wbudowana zawartość zabezpieczeń
- Monitorowanie kondycji systemu SAP
- Rozwiązywanie problemów z rozwiązaniem Microsoft Sentinel na potrzeby wdrażania aplikacji SAP®