Решение Microsoft Sentinel для данных приложений SAP®
Внимание
Некоторые компоненты решения "Мониторинг угроз для SAP" Microsoft Sentinel в настоящее время находятся на этапе ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Некоторые журналы, указанные ниже, не отправляются в Microsoft Sentinel по умолчанию, но при необходимости их можно добавить вручную. Дополнительные сведения см. в статье Определение журналов SAP, отправляемых в Microsoft Sentinel.
В этой статье описываются функции, журналы и таблицы, доступные в рамках решения Microsoft Sentinel для приложений SAP® и его соединителя данных. Она предназначена для опытных пользователей SAP.
Функции, доступные в решении SAP
В этом разделе описываются функции , доступные в рабочей области после развертывания решения Microsoft Sentinel для приложений SAP®. Эти функции можно найти на странице Журналы Microsoft Sentinel и использовать их в запросах KQL, перечисленных в разделе Функции рабочей области.
Пользователям настоятельно рекомендуется по возможности использовать в качестве объектов анализа функции, а не базовые журналы или таблицы. Эти функции предназначены для использования в качестве основного пользовательского интерфейса для данных. Они формируют базу для всех встроенных правил аналитики и книг, доступных для вас. Это позволяет вносить изменения в инфраструктуру данных под функциями, не нарушая содержимое, созданное пользователем.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAPConnectorHealth
- SAPConnectorOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
Функция SAPUsersAssignments собирает данные из нескольких источников данных SAP и создает ориентированное на пользователя представление текущих основных данных пользователя, включая роли и профили, назначенные в настоящее время.
Эта функция суммирует назначения пользователей ролям и профилям и возвращает следующие данные:
| Поле | Description | Источник данных/примечания |
|---|---|---|
| User | Идентификатор пользователя SAP | Только SAL |
| Эл. почта | SMTP-адрес | USR21 (SMTP_ADDR) |
| UserType | Тип пользователя | USR02 (USTYP) |
| Часовой пояс | Time zone | USR02 (TZONE) |
| LockedStatus | Состояние блокировки | USR02 (UFLAG) |
| LastSeenDate | Дата последнего появления | USR02 (TRDAT) |
| LastSeenTime | Время последнего просмотра | USR02 (LTIME) |
| UserGroupAuth | Группа пользователей в главном обслуживании пользователей | USR02 (CLASS) |
| Профили | Набор профилей (максимальный размер набора по умолчанию = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Набор непосредственно назначенных ролей (максимальный размер набора по умолчанию = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Набор косвенно назначенных ролей (максимальный размер набора по умолчанию = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Клиент | Client ID | |
| SystemID | ИД системы | Как определено в соединителе |
SAPUsersGetPrivileged
Функция SAPUsersGetPrivileged возвращает список привилегированных пользователей для каждого идентификатора клиента и системы.
Пользователи считаются привилегированными, если они перечислены в списке отслеживания SAP — привилегированные пользователи, назначены профилю, указанному в списке отслеживания SAP — конфиденциальные профили, или добавлены к роли, указанной в списке отслеживания SAP — конфиденциальные роли.
Параметры:
- TimeAgo
- Необязательно
- Значение по умолчанию: семь дней
- Определяет, что функция ищет основные данные пользователя с момента времени, определенного значением
TimeAgo, до момента времени, определенного значениемnow().
Функция SAPUsersGetPrivileged возвращает следующие данные:
| Поле | Description |
|---|---|
| User | Идентификатор пользователя SAP |
| Клиент | Client ID |
| SystemID | ИД системы |
SAPUsersAuthorizations
Функция SAPUsersAuthorizations объединяет данные из нескольких таблиц для создания ориентированного на пользователя представления текущих ролей и назначенных разрешений. Возвращаются только пользователи с активными ролями и назначениями разрешений.
Параметры:
- TimeAgo
- Необязательно
- Значение по умолчанию: семь дней
- Определяет, что функция ищет основные данные пользователя с момента времени, определенного значением
TimeAgo, до момента времени, определенного значениемnow().
Функция SAPUsersAuthorizations возвращает следующие данные:
| Поле | Description | Основание |
|---|---|---|
| User | Идентификатор пользователя SAP | |
| Роли | Набор ролей (максимальный размер набора по умолчанию = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Набор разрешений (максимальный размер набора по умолчанию = 100) | {{AuthorizationsDeatils1},{AuthorizationsDeatils2}, ..., {AuthorizationsDeatils100}} |
| Клиент | Client ID | |
| SystemID | ИД системы |
SAPConnectorHealth
Функция SAPConnectorHealth отражает состояние подключения агента и базовой системы SAP. На основе журнала пульса SAP_HeartBeat_CL и других индикаторов работоспособности она возвращает следующие данные:
| Поле | Description |
|---|---|
| Агент | Идентификатор агента в конфигурации агента (создается автоматически) |
| SystemID | ИД системы SAP |
| Состояние | Общее состояние подключения |
| Сведения | Сведения о подключении |
| ExtendedDetails | Расширенные сведения о подключении |
| LastSeen | Метка времени последнего действия |
| StatusCode | Код, отражающий состояние системы |
SAPConnectorOverview
Функция SAPConnectorOverview показывает количество строк каждой таблицы SAP на каждый идентификатор системы. Она возвращает список записей данных на каждый идентификатор системы и время их создания.
Параметры:
- TimeAgo
- Необязательно
- Значение по умолчанию: семь дней
- Определяет, что функция ищет основные данные пользователя с момента времени, определенного значением
TimeAgo, до момента времени, определенного значениемnow().
| Поле | Description |
|---|---|
| TimeGenerated | Значение DateTime метки времени создания записи |
| SystemID_s | Строка, представляющая идентификатор системы SAP |
Используйте следующий запрос Kusto для выполнения ежедневного анализа тенденций:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Функция SAPUsersEmail позволяет выполнять оптимизированный по производительности поиск адреса электронной почты пользователя SAP в клиенте и системе SAP, что обычно используется для связывания с учетной записью Active Directory. Функция SAPUsersEmail ищет адрес электронной почты, используя данные из таблиц SAP USR21 (назначение ключа по имени пользователя и адресу) и ADR6 (адреса электронной почты). Если результат не найден, вместо адреса электронной почты возвращается идентификатор пользователя. Такое поведение гарантирует, что учетные записи служб SAP (например, DDIC), обычно не связанные с адресами электронной почты, будут регистрироваться как "фиктивные" учетные записи AD. Это позволяет использовать некоторые дополнительные возможности UEBA для расследования инцидентов и охоты.
| Поле | Description |
|---|---|
| ClientID | Идентификатор клиента SAP |
| SystemID | идентификатор системы SAP; |
| User | Идентификатор пользователя SAP |
| Эл. почта | Адрес электронной почты пользователя SAP. |
SAPSystems
Функция SAPSystems используется для централизованного представления конфигурации каждой системы на основе списка отслеживания систем SAP.
Параметры:
- SelectedSystems
- Необязательно
- Значение по умолчанию: "Все системы"
- Используется для фильтрации по определенным системам SAP
- SelectedSystemRoles
- Необязательно
- Значение по умолчанию: "Все системные роли"
- Определяет роли систем SAP, которые нужно просматривать (как определено в списке отслеживания систем SAP)
| Поле | Description | Источник данных/примечания |
|---|---|---|
| SearchKey | Ключ поиска | Индексированное поле для идентификатора системы SAP |
| SystemRole | Роль системы SAP | Production (рабочее развертывание), UAT (пользовательское приемочное тестирование) |
| SystemUsage | Основное назначение системы SAP | ERP, CRM |
| SystemID | идентификатор системы SAP; |
SAPAuditLogConfiguration
Функция SAPAuditLogConfiguration возвращает локальную конфигурацию оповещений по журналу аудита SAP для рабочей области Sentinel, которая будет использоваться для разных оповещений, связанных с журналом аудита SAP. Она объединяет данные виз списков отслеживания конфигурации монитора журнала динамического аудита SAP и систем SAP, чтобы предоставить конфигурации для каждой системы по каждой системной роли.
Параметры:
- SelectedSystems
- Необязательно
- Значение по умолчанию: "Все системы"
- Используется для фильтрации по определенным системам SAP, которые вас интересуют.
- SelectedSystemRoles
- Необязательно
- Значение по умолчанию: "Все системные роли"
- Определяет роли систем SAP, которые нужно просматривать (как определено в списке отслеживания систем SAP)
- SelectedSeverities
- Необязательно
- Значение по умолчанию: ["High", "Medium"]
- Используется для определения событий, которые представляют интерес с точки зрения их серьезности. Уровни серьезности для каждого идентификатора сообщения журнала аудита SAP и системной роли определяются в списке отслеживания "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedRuleTypes
- Необязательно
- Значение по умолчанию: "Все типы правил"
- Определяет, какие события важны для обнаружения аномалий. Типы правил по идентификаторам сообщений в журнале аудита SAP и системным ролям определяются в списке отслеживания "SAP_Dynamic_Audit_Log_Monitor_Configuration".
| Поле | Description | Источник данных/примечания |
|---|---|---|
| ИмяКатегории | Присвоенная в SAP категория событий | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
| DestinationEmail | Адрес электронной почты назначенной команды | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
| DetailedDescription | Текст в формате Markdown, отображаемый в оповещениях | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
| MessageID | Идентификатор сообщения в журнале аудита SAP | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
| MessageText | Пример текста сообщения | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
| RolesTagsToExclude | Роль ABAP, профиль или тег в простом текстовом формате | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
| RuleType | Аномалия или детерминированное | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
| Тактика | Тактика MITRE ATTA&CK | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
| TeamsChannelID | Канал Teams | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
| SystemID | идентификатор системы SAP; | Список отслеживания систем SAP |
| SystemRole | Роль системы SAP | Список отслеживания систем SAP |
| SystemUsage | Основное назначение системы SAP | Список отслеживания систем SAP |
| IsProd | Флаг производственной среды | Список отслеживания систем SAP |
| Важность | Выведенная серьезность | Серьезность по использованию системы |
| За пороговое значение | Выведенное пороговое значение | Количество событий по использованию системы |
| BagOfDetails | Набор подробностей | Словарь с подробными сведениями об определении события |
SAPAuditLogAnomalies
SAPAuditLogAnomalies использует встроенные возможности машинного обучения Базы данных Kusto для обнаружения аномальных событий, наблюдаемых в журнале аудита SAP. Эта функция разработана для (экспериментального) правила генерации оповещений монитора по журналу аудита на основе динамических аномалий в системе SAP. Изначально она предназначалась для оповещений о недавних аномалиях, но позволяет выявлять и некоторые исторические аномалии (см. примеры ниже).
Параметры:
- Обучение Time
- Необязательно
- Значение по умолчанию: 14 дней
- Определяет временной интервал, используемый для обучения модели.
- DetectingTime
- Необязательно
- Значение по умолчанию: один час
- Определяет интервал времени для обнаружения аномалий. Вызов этой функции со значением DetectingTime = 0h будет выявлять аномалии во всем временном диапазоне обучения.
- SelectedSystems
- Необязательно
- Значение по умолчанию: "Все системы"
- Используется для фильтрации по определенным системам SAP, которые вас интересуют.
- SelectedSystemRoles
- Необязательно
- Значение по умолчанию: "Все системные роли"
- Определяет роли систем SAP, которые нужно просматривать (как определено в списке отслеживания систем SAP)
- SelectedSeverities
- Необязательно
- Значение по умолчанию: ["High", "Medium"]
- Используется для определения событий, которые представляют интерес с точки зрения их серьезности. Уровни серьезности для каждого идентификатора сообщения журнала аудита SAP и системной роли определяются в списке отслеживания "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedPrefixMask
- Необязательно
- Значение по умолчанию: 24
- Используется для определения уровня маски подсети, используемой для обучения и обнаружения.
- SelectedRuleTypes
- Необязательно
- Значение по умолчанию: "AnomaliesOnly"
- Определяет, какие события важны для обнаружения аномалий. Типы правил по идентификаторам сообщений в журнале аудита SAP и системным ролям определяются в списке отслеживания "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Логика
Эта функция изучает срез журнала, определенный несколькими входными параметрами по пользователям, сетевым атрибутам, системам, сезонности и уровням активности. Затем она оценивает события за интервал времени DetectingTime на основе полученных параметров, применяя пороговые значения и другие настраиваемые критерии исключения, полученные из списка отслеживания конфигурации для журнала аудита SAP. Если скользящее окно действий пользователя будет признано аномальным, выполняется второй запрос для получения всех действий пользователя в качестве доказательства для поддержки решения.
Дополнительные примечания
Как и любые другие решения машинного обучения, эта функция улучшает работу со временем. Вы можете внести дополнительные корректировки с помощью локальной конфигурации. Вы рекомендуем ограничить размер обученной базы данных до 100 миллионов записей, используя большой набор доступных входных параметров.
Пример поиска аномалий по событиям высокой серьезности с типом AnomaliesOnly, произошедших в течение последнего часа в рабочих системах по списку отслеживания "SAP_Dynamic_Audit_Log_Monitor_Configuration".
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Пример поиска всех аномалий за последние 14 дней в системе "BIP"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
| Поле | Description |
|---|---|
| Несколько полей из SAPAuditLog | Ключевые поля из журнала аудита SAP |
| Несколько полей из SAPAuditLogConfiguration | Ключевые поля из конфигурации Sentinel для журнала аудита SAP |
| DiscoveredOn | Округленное до часов значение времени, в которое наблюдалась аномалия |
| EventCount | Количество событий по каждой возвращенной строке |
| AnomalCount | Количество событий, наблюдаемых в соответствующем скользящем окне |
| MinTime | Время первого обнаруженного события |
| MaxTime | Время последнего обнаруженного события |
| Балл | Оценки аномалий, созданные моделью аномалий. |
Дополнительные сведения см. в разделе Встроенные правила аналитики SAP для мониторинга журнала аудита SAP.
SAPAuditLogConfigRecommend
The SAPAuditLogConfigRecommend — это вспомогательная функция, предназначенная для предоставления рекомендаций по настройке правила аналитики SAP — оповещения монитора по журналу аудита на основе динамических аномалий (предварительная версия). Узнайте, как настроить правила.
SAPUsersGetVIP
Решение Microsoft Sentinel для приложений SAP® использует концепцию тегов центрального пользователя и явных исключений, предназначенных для снижения ложных срабатываний с минимальными усилиями. Используйте функцию SAPUsersGetVIP, чтобы исключить пользователей из активации оповещений, указав роли пользователей SAP, функции пользователей SAP или теги, представляющие этих пользователей. Дополнительные сведения см. в статье Обработка ложноположительных результатов в Microsoft Sentinel.
Теги, указанные в качестве входных данных для функции SAPUsersGetVIP , исключают всех пользователей с тегом, перечисленным в списке наблюдения SAP_User_Config . Эта же функция расширена для работы с дикими карта, что позволяет назначать один тег группе пользователей с тем же синтаксисом именования.
Пометьте пользователей в списке наблюдения SAP_User_Config следующим образом:
Добавьте несколько тегов каждому пользователю в списке отслеживания SAP_User_Config по мере необходимости для покрытия различных сценариев. Каждое правило генерации оповещений имеет собственные соответствующие теги, если таковые имеются, и при необходимости можно добавить настраиваемые теги.
Используйте звездочку (*) в качестве дикого карта для включения пользователей с определенным шаблоном синтаксиса именования.
Добавьте функцию SAPUsersGetVIP в правила аналитики, чтобы запросить списки пользователей, которые вы определили для исключения из оповещений. В вызове функции добавьте массив с тегами, ролями SAP и профилями SAP, которые вы хотите исключить.
Например, используйте следующий запрос KQL в правиле аналитики, чтобы исключить всех пользователей, настроенных с тегом RunObsoleteProgOK в списке отслеживания SAP_User_Config , или всех пользователей с примером роли SAP_BASIS_ADMIN_ROLE или образца профиля SAP_ADMIN_PROFILE .
При копировании этого примера вызова функции замените роль SAP_BASIS_ADMIN_ROLE и профиль SAP_ADMIN_PROFILE собственными ролями или профилями SAP по мере необходимости.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Функция SAPUsersGetVIP обычно используется в оповещениях детерминированного и аномального монитора журнала аудита. Свяжите тег с идентификатором сообщения журнала аудита SAP или добавьте шаблон правила в пользовательское правило, соответствующее потребностям вашей организации.
Совет
Мы рекомендуем обратиться к системному администратору SAP, чтобы понять, какие пользователи, роли и профили SAP включаются в список наблюдения SAP_User_Config .
Параметры:
| Имя | Описание: | Default value |
|---|---|---|
| SearchForTags (необязательно) | Когда SearchForTags равно All Tags, возвращаются все пользователи вместе со своими тегами. В противном случае возвращаются только пользователи с тегами, ролями SAP или профилями SearchForTags SAP. TagsIntersect отображает найденные теги и IntersectionSize содержит количество найденных тегов. |
dynamic('All Tags') |
| SpecialFocusTags (необязательно) | Возвращает все пользователи, имеющие теги, указанные в SpecialFocusTags, и помечают их.specialFocusTagged = true |
Do not return any in-focus users |
| Оригинал | Поле | Description | Основание |
|---|---|---|---|
| Список отслеживания SAP_User_Config | SearchKey | Ключ поиска | |
| Список отслеживания SAP_User_Config | SAPUser | Пользователь SAP | OSS, DDIC |
| Список отслеживания SAP_User_Config | Теги | Строка тегов, назначенных пользователю | RunObsoleteProgOK |
| Список отслеживания SAP_User_Config | Идентификатор объекта Microsoft Entra | Идентификатор объекта Microsoft Entra | |
| Список отслеживания SAP_User_Config | Идентификатор пользователя | Идентификатор пользователя AD | |
| Список отслеживания SAP_User_Config | Локальный идентификатор пользователя | ||
| Список отслеживания SAP_User_Config | Имя субъекта-пользователя | ||
| Список отслеживания SAP_User_Config | TagsList | Список тегов, назначенных пользователю | ChangeUserMasterDataOK;RunObsoleteProgOK |
| Логика | TagsIntersect | Набор тегов, соответствующих SearchForTags | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Логика | SpecialFocusTagged | Специальное указание фокуса | True, False |
| Логика | IntersectionSize | Количество пересекающихся тегов |
SAPUsersHeader
Функция SAPUsersHeader предназначена для предоставления высокоуровневого представления пользователя SAP. Она выполняет сбор адресов электронной почты и IP-адресов по данным, извлеченным из таблиц основных данных о пользователях SAP и последних действий в журнале аудита SAP. Затем она возвращает последние известные, а также основные используемые адреса электронной почты и IP-адреса. Parameters: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- Необязательно
- Значение по умолчанию: "Все системы"
- Используется для фильтрации по определенным системам SAP, которые вас интересуют.
- SelectedSystemRoles
- Необязательно
- Значение по умолчанию: "Все системные роли"
- Определяет роли систем SAP, которые нужно просматривать (как определено в списке отслеживания систем SAP)
- SelectedUsers
- Необязательно
- Значение по умолчанию: "Все пользователи"
- Может вводить списки пользователей.
- SelectedUser
- Необязательно
- Значение по умолчанию: "Все пользователи"
- Принимает только одного пользователя.
Дополнительные примечания
Для повышения производительности учитываются действия аудита только за несколько дней. Чтобы изучить полную историю действий пользователя, выполните пользовательский запрос KQL с функцией SAPAuditLog.
| Оригинал | Поле | Description | Основание |
|---|---|---|---|
| User | Пользователь SAP | ||
| Таблицы SAP ADR6 и USR21 | Эл. почта | Извлекаются из основных данных о пользователях | OSS, DDIC |
| Таблица SAP USR02 | UserType | Строка тегов, назначенных пользователю | RunObsoleteProgOK |
| Таблица SAP USR02 | Часовой пояс | Идентификатор объекта Microsoft Entra | |
| Таблица SAP USR02 | LockedStatus | Идентификатор пользователя AD | |
| Журнал аудита SAP | LastSeen | метка времени; | Последнее событие аудита, обнаруженное для пользователя |
| Журнал аудита SAP | LastSeenDaysAgo | Количество дней, прошедших с момента LastSeen | |
| Журнал аудита SAP | PrimaryIP | Наиболее часто используемый IP-адрес | ChangeUserMasterDataOK;RunObsoleteProgOK |
| Журнал аудита SAP | LastKnownIP | Последний используемый IP-адрес | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Журнал аудита SAP | PrimaryEmail | Наиболее часто используемый адрес электронной почты | True, False |
| Журнал аудита SAP | KnownIPs | Список известных IP-адресов | сортировка в порядке убывания частоты |
| Журнал аудита SAP | KnownEmails | Список известных адресов электронной почты | сортировка в порядке убывания частоты |
| Клиент | Идентификатор клиента SAP | ||
| SystemID | Идентификатор системы SAP | ||
| SystemRole | Роль системы SAP | Production (рабочее развертывание), UAT (пользовательское приемочное тестирование) | |
| SystemUsage | Основное назначение системы SAP | ERP, CRM |
Журналы, созданные агентом соединителя данных
В этом разделе описываются журналы SAP, доступные из решения Microsoft Sentinel для соединителя данных приложений SAP®, включая имена таблиц в Microsoft Sentinel, цели журнала и подробные схемы журналов. Описания полей схемы основаны на описаниях полей в соответствующей документации SAP.
Чтобы достичь наилучших результатов, используйте перечисленные ниже функции Microsoft Sentinel для визуализации данных, получения доступа и выполнения запросов к ним.
- Журнал приложений ABAP
- Журнал изменений ABAP Change Documents
- Журнал ABAP CR
- Журнал данных таблицы базы данных ABAP (предварительная версия)
- Журнал шлюза ABAP (предварительная версия)
- Журнал ICM ABAP (предварительная версия)
- Журнал заданий ABAP
- Журнал аудита безопасности ABAP
- Журнал Spool ABAP
- Журнал выходных данных APAB Spool
- Системный журнал ABAP
- Журнал рабочего процесса ABAP
- Журнал ABAP WorkProcess
- HANA DB Audit Trail
- Java-файлы
- Журнал пульса SAP
Журнал ABAP-приложений
Функция Microsoft Sentinel для запроса этого журнала: SAPAppLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: содержит записи о ходе выполнения приложения, чтобы его можно было при необходимости воссоздать позже.
Доступно с помощью RFC на основе стандартной таблицы SAP и стандартных служб интерфейса XBP. Этот журнал создается по клиентам.
Схема журнала ABAPAppLog_CL
| Поле | Description |
|---|---|
| AppLogDateTime | Дата и время журнала приложений |
| CallbackProgram | Программа обратного вызова |
| CallbackRoutine | Подпрограмма обратного вызова |
| CallbackType | Тип обратного вызова |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| ContextDDIC | Структура контекста DDIC |
| ExternalID | Идентификатор внешнего журнала |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | Серийный номер сообщения в журнале приложений |
| LevelofDetail | Уровень детализации |
| LogHandle | Дескриптор журнала приложений |
| LogNumber | Номер журнала |
| MessageClass | Класс Message |
| MessageNumber | Номер сообщения |
| MessageText | Текст сообщения |
| MessageType | Тип сообщения |
| Object | Объект журнала приложения |
| OperationMode | Режим работы |
| ProblemClass | Класс проблемы |
| ProgramName | Название программы |
| SortCriterion | Критерий сортировки |
| StandardText | Стандартный текст |
| SubObject | Подобъект журнала приложения |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TransactionCode | Код транзакции |
| User | User |
| UserChange | Изменение пользователя |
Журнал документов изменений ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPChangeDocsLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала. Содержит следующие записи:
записанные в журнале ABAP сервера приложений (AS) SAP NetWeaver изменения в объектах бизнес-данных согласно документам изменений;
другие сущности в системе SAP, такие как данные пользователя, роли, адреса.
Доступно с помощью RFC на основе стандартных таблиц SAP. Этот журнал создается по клиентам.
Схема журнала ABAPChangeDocsLog_CL
| Поле | Description |
|---|---|
| ActualChangeNum | Фактический номер изменения |
| ChangedTableKey | Ключ измененной таблицы |
| ChangeNumber | Номер изменения |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| CreatedfromPlannedChange | Создано из запланированного изменения; синтаксис: (‘X’ , ‘ ‘) |
| CurrencyKeyNew | Ключ валюты: новое значение |
| CurrencyKeyOld | Ключ валюты: прежнее значение |
| Fieldname | Имя поля |
| FlagText | Текст флага |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Язык | Язык |
| Objectclass | Класс объекта, например BELEG, BPAR, PFCG, IDENTITY |
| ObjectID | Код объекта |
| PlannedChangeNum | Номер запланированного изменения |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TableName | Имя таблицы |
| TransactionCode | Код транзакции |
| TypeofChange_Header | Тип изменения заголовка, в том числе: U — изменение; I — вставка; E — удаление одного документа; D — удаление; J — вставка одного документа |
| TypeofChange_Item | Тип изменения элемента, в том числе: U — изменение; I — вставка; E — удаление одного документа; D — удаление; J — вставка одного документа |
| UOMNew | Единица измерения: новое значение |
| UOMOld | Единица измерения: прежнее значение |
| User | User |
| ValueNew | Содержимое поля: новое значение |
| ValueOld | Содержимое поля: прежнее значение |
| Версия | Версия |
Журнал CR ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPCRLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: включает в себя журналы системы регистрации и распространения изменений (CTS), в том числе объекты каталогов и настройки, в которые были внесены изменения.
Доступно с помощью RFC на основе стандартных таблиц и стандартных служб SAP. Этот журнал создается с использованием данных по всем клиентам.
Примечание.
Помимо журнала приложений, документов изменений и записей в таблицах, все изменения, вносимые в рабочую систему с помощью системы регистрации и распространения изменений, документируются в журналах CTS и TMS.
Схема журнала ABAPCRLog_CL
| Поле | описание |
|---|---|
| Категория | Категория (Workbench, настройка) |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| Description | Description |
| Host | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| ObjectName | Наименование объекта |
| ObjectType | Тип объекта |
| Ответственный | Ответственный |
| Запросить | Запрос на изменение |
| Состояние | Состояние |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TableKey | Ключ таблицы |
| TableName | Имя таблицы |
| ViewName | Имя представления |
Журнал данных таблицы базы данных ABAP (предварительная версия)
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.ini.
Функция Microsoft Sentinel для запроса этого журнала: SAPTableDataLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: обеспечивает ведение журнала для таблиц, которые являются критическими или могут быть предметом аудита.
Доступен путем использования RFC с настраиваемой службой. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPTableDataLog_CL
| Поле | Description |
|---|---|
| DBLogID | Идентификатор журнала базы данных |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Язык | Язык |
| LogKey | Ключ журнала |
| NewValue | Новое значение поля |
| OldValue | Прежнее значение поля |
| OperationTypeSQL | Тип операции: Insert, Update, Delete |
| Программа | Название программы |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TableField | Поле таблицы |
| TableName | Имя таблицы |
| TransactionCode | Код транзакции |
| UserName | User |
| VersionNumber | Номер версии |
Журнал шлюза ABAP (предварительная версия)
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.ini.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_GW
Соответствующая документация SAP: портал справки SAP
Назначение журнала: отслеживание действий на шлюзе. Доступен через веб-службу SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_GW_CL
| Поле | Description |
|---|---|
| Host | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Текст сообщения |
| Важность | Серьезность сообщения: Debug, Info, Warning, Error |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
Журнал ICM ABAP (предварительная версия)
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.ini.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_ICM
Соответствующая документация SAP: портал справки SAP
Назначение журнала: содержит записи о входящих и исходящих запросах, а также статистику HTTP-запросов.
Доступен через веб-службу SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_ICM_CL
| Поле | Description |
|---|---|
| Host | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Текст сообщения |
| Важность | Серьезность сообщения: Debug, Info, Warning, Error |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
Журнал заданий ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPJobLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: объединяет в себе все журналы заданий фоновой обработки (SM37).
Доступно с помощью RFC на основе стандартной таблицы SAP и стандартных служб интерфейсов XBP. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPJobLog_CL
| Поле | Description |
|---|---|
| ABAPProgram | Программа ABAP |
| BgdEventParameters | Параметры фонового события |
| BgdProcessingEvent | Событие фоновой обработки |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| DynproNumber | Номер Dynpro |
| GUIStatus | Состояние графического пользовательского интерфейса |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP (HOST_SYSID_SYSNR); синтаксис: <HOST>_<SYSID>_<SYSNR> |
| JobClassification | Классификация задания |
| JobCount | Число заданий |
| JobGroup | Группа заданий |
| JobName | Имя задания |
| JobPriority | приоритет задания |
| MessageClass | Класс Message |
| MessageNumber | Номер сообщения |
| MessageText | Текст сообщения |
| MessageType | Тип сообщения |
| ReleaseUser | Пользователь, выпустивший задание |
| SchedulingDateTime | Запланированные дата и время |
| StartDateTime | Дата и время начала |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TargetServer | Целевой сервер |
| User | User |
| UserReleaseInstance | Экземпляр ABAP — пользовательский выпуск |
| WorkProcessID | Идентификатор рабочего процесса |
| WorkProcessNumber | Номер рабочего процесса |
Журнал аудита безопасности ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPAuditLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала. Содержит следующие записи:
- изменения в среде системы SAP, связанные с безопасностью, например изменения записей основного пользователя;
- сведения, являющиеся более высокоуровневым представлением данных, например успешные и неудачные попытки входа;
- сведения, по которым можно воспроизвести ряд событий, например успешные или неудачные запуски транзакций.
Доступен через интерфейсы XAL/SAL RFC. Интерфейс SAL доступен, начиная с версии Basis 7.50. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPAuditLog_CL
| Поле | Description |
|---|---|
| ABAPProgramName | Имя программы (только SAL) |
| AlertSeverity | Серьезность оповещения |
| AlertSeverityText | Текст с указанием степени серьезности оповещения (только SAL) |
| AlertValue | Значение оповещения |
| AuditClassID | Идентификатор класса аудита (только SAL) |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| Компьютер | Компьютер пользователя (только SAL) |
| Эл. почта | Адрес электронной почты пользователя |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| MessageClass | Класс Message |
| MessageContainerID | Идентификатор контейнера сообщений (только XAL) |
| MessageID | Идентификатор сообщения, например ‘AU1’,’AU2’… |
| MessageText | Текст сообщения |
| MonitoringObjectName | Имя объекта монитора МТЕ (только XAL) |
| MonitorShortName | Краткое имя монитора МТЕ (только XAL) |
| SAPProcesType | Системный журнал: тип процесса SAP (только SAL) |
| B* — фоновая обработка | |
| D* — обработка в диалоговом режиме | |
| U* — задачи обновления | |
| SAPWPName | Системный журнал: номер рабочего процесса (только SAL) |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TerminalIPv6 | IP-адрес компьютера пользователя (только SAL) |
| TransactionCode | Код транзакции (только SAL) |
| User | User |
| Variable1 | Переменная сообщения 1 |
| Variable2 | Переменная сообщения 2 |
| Variable3 | Переменная сообщения 3 |
| Variable4 | Переменная сообщения 4 |
Журнал очереди печати ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPSpoolLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: служит основным журналом печати SAP и содержит историю запросов на постановку в очередь печати. (SP01).
Доступно с помощью RFC на основе стандартной таблицы SAP. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPSpoolLog_CL
| Поле | Description |
|---|---|
| ArchiveStatus | Состояние архива |
| ArchiveType | Тип архива |
| ArchivingDevice | Устройство архивации |
| AutoRereoute | Автоматическое перенаправление |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| CountryKey | Ключ страны |
| DeleteSpoolRequestAuto | Автоматическое удаление запроса на постановку в очередь печати |
| DelFlag | Флаг удаления |
| Отдел | Отдел |
| DocumentType | Document type |
| ExternalMode | Внешний режим |
| FormatType | Тип формата |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| NumofCopies | Число копий |
| OutputDevice | Устройство вывода |
| PrinterLongName | Длинное имя принтера |
| PrintImmediately | Немедленная печать |
| PrintOSCoverPage | Печать страницы OSCover |
| PrintSAPCoverPage | Печать страницы SAPCover |
| Приоритет | Приоритет |
| RecipientofSpoolRequest | Получатель запроса на постановку в очередь печати |
| SpoolErrorStatus | Состояние ошибки очереди печати |
| SpoolRequestCompleted | Запрос на постановку в очередь печати выполнен |
| SpoolRequestisALogForAnotherRequest | Запрос на постановку в очередь печати представляет собой журнал другого запроса |
| SpoolRequestName | Имя запроса на постановку в очередь печати |
| SpoolRequestName | Номер запроса на постановку в очередь печати |
| SpoolRequestSuffix1 | Суффикс 1 запроса на постановку в очередь печати |
| SpoolRequestSuffix2 | Суффикс 2 запроса на постановку в очередь печати |
| SpoolRequestTitle | Название запроса на постановку в очередь печати |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TelecommunicationsPartner | Партнер по телекоммуникациям |
| TelecommunicationsPartnerE | Партнер E по телекоммуникациям |
| TemSeGeneralcounter | Счетчик Temse |
| TemseNumAddProtectionRule | Правило защиты от добавления номера Temse |
| TemseNumChangeProtectionRule | Правило защиты от изменения номера Temse |
| TemseNumDeleteProtectionRule | Правило защиты от удаления номера Temse |
| TemSeObjectName | Имя объекта Temse |
| TemSeObjectPart | Часть объекта Temse |
| TemseReadProtectionRule | Правило защиты от чтения Temse |
| User | User |
| ValueAuthCheck | Проверка подлинности значения |
Журнал печати из очереди APAB
Функция Microsoft Sentinel для запроса этого журнала: SAPSpoolOutputLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: служит основным журналом печати SAP и содержит историю запросов на печать из очереди. (SP02).
Доступен путем использования RFC с настраиваемой службой на основе стандартных таблиц. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPSpoolOutputLog_CL
| Поле | Description |
|---|---|
| AppServer | Сервер приложений |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| Комментарий | Комментарий |
| CopyCount | Число копий |
| CopyCounter | Счетчик копий |
| Отдел | Отдел |
| ErrorSpoolRequestNumber | Номер запроса ошибки очереди печати |
| FormatType | Тип формата |
| Хост | Хост |
| HostName | Host name |
| HostSpoolerID | Идентификатор диспетчера очереди печати узла |
| Экземпляр | Экземпляр ABAP |
| LastPage | Последняя страница |
| NumofCopies | Число копий |
| OutputDevice | Устройство вывода |
| OutputRequestNumber | Номер запроса на печать |
| OutputRequestStatus | Состояние запроса на печать |
| PhysicalFormatType | Тип физического формата |
| PrinterLongName | Длинное имя принтера |
| PrintRequestSize | Размер запроса на печать |
| Приоритет | Приоритет |
| ReasonforOutputRequest | Причина запроса на печать |
| RecipientofSpoolRequest | Получатель запроса на постановку в очередь печати |
| SpoolNumberofOutputReqProcessed | Число запросов на печать — обработанных |
| SpoolNumberofOutputReqWithErrors | Число запросов на печать — с ошибками |
| SpoolNumberofOutputReqWithProblems | Число запросов на печать — с проблемами |
| SpoolRequestName | Номер запроса на постановку в очередь печати |
| StartPage | Начальная страница |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TelecommunicationsPartner | Партнер по телекоммуникациям |
| TemSeGeneralcounter | Счетчик Temse |
| Заголовок | Заголовок |
| User | User |
Системный журнал ABAP
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.ini.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_Syslog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: содержит записи о системных ошибках и предупреждениях ABAP, блокировках известных пользователей из-за неудачных попыток входа, а также технологические сообщения со всех серверов приложений SAP NETWEAVER (SAP NetWeaver AS).
Доступен через веб-службу SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_Syslog_CL
| Поле | Description |
|---|---|
| ClientID | Идентификатор клиента ABAP (MANDT) |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| MessageNumber | Номер сообщения |
| MessageText | Текст сообщения |
| Важность | Серьезность сообщения: Debug, Info, Warning, Error |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TransacationCode | Код транзакции |
| Тип | Тип процесса SAP |
| User | User |
Журнал ABAP Workflow
Функция Microsoft Sentinel для запроса этого журнала: SAPWorkflowLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: SAP Business Workflow (WebFlow Engine) позволяет определять бизнес-процессы, для которых еще нет сопоставления в системе SAP.
Это могут быть, например, простые процедуры выпуска или утверждения, или же более сложные бизнес-процессы, такие как создание базового материала с последующей координацией между соответствующими отделами.
Доступно с помощью RFC на основе стандартных таблиц SAP. Этот журнал создается по клиентам.
Схема журнала ABAPWorkflowLog_CL
| Поле | Description |
|---|---|
| ActualAgent | Фактический агент |
| Адрес | Адрес |
| ApplicationArea | Область приложения |
| CallbackFunction | Функция обратного вызова |
| ClientID | Идентификатор клиента ABAP (MANDT) |
| CreationDateTime | Дата и время создания |
| Создатель | Создатель |
| CreatorAddress | Адрес создателя |
| ErrorType | Тип ошибки |
| ExceptionforMethod | Исключение для метода |
| Хост | Хост |
| Экземпляр | Экземпляр ABAP (HOST_SYSID_SYSNR); синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Язык | Язык |
| LogCounter | Счетчик журнала |
| MessageNumber | Номер сообщения |
| MessageType | Тип сообщения |
| MethodUser | Пользователь метода |
| Приоритет | Приоритет |
| SimpleContainer | Простой контейнер, упакованный в виде списка сущностей "ключ-значение" для рабочего элемента |
| Состояние | Состояние |
| SuperWI | Вышестоящий рабочий элемент |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| TaskID | Идентификатор задачи |
| TasksClassification | Классификации задач |
| TaskText | Текст задачи |
| TopTaskID | Идентификатор верхней задачи |
| UserCreated | Создается пользователем |
| WIText | Текст рабочего элемента |
| WIType | Тип рабочего элемента |
| WorkflowAction | Действие бизнес-процесса |
| WorkItemID | Идентификатор рабочего элемента |
Журнал рабочих процессов ABAP
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.ini.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_WP
Соответствующая документация SAP: портал справки SAP
Назначение журнала: объединяет в себе все журналы рабочих процессов. (Значение по умолчанию —
dev_*).Доступен через веб-службу SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_WP_CL
| Поле | Description |
|---|---|
| Host | Хост |
| Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| MessageText | Текст сообщения |
| Важность | Серьезность сообщения: Debug, Info, Warning, Error |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| WPNumber | Номер рабочего процесса |
Журнал аудита базы данных HANA
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо развернуть агент управления Майкрософт для сбора данных системного журнала с компьютера, на котором работает база данных HANA.
Функция Microsoft Sentinel для запроса этого журнала: SAPSyslog
Соответствующая документация SAP: Общая | Журнал аудита
Назначение журнала: содержит записи о действиях пользователя или попытках выполнения действий с базой данных SAP HANA. В частности, этот журнал позволяет регистрировать и отслеживать доступ для чтения к конфиденциальным данным.
Доступен посредством агента Sentinel для Linux (Syslog). Этот журнал создается с использованием данных по всем клиентам.
Схема журнала Syslog
| Поле | Description |
|---|---|
| Компьютер | Host name |
| HostIP | IP-адрес узла |
| HostName | Host name |
| ProcessID | Идентификатор процесса |
| Имя процесса | Имя процесса: HDB* |
| SeverityLevel | Предупреждение |
| SourceSystem | ОС исходной системы: Linux |
| SyslogMessage | Сообщение — непроанализированное сообщение из журнала аудита |
Файлы JAVA
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.ini.
Функция Microsoft Sentinel для запроса этого журнала: SAPJAVAFilesLogs
Соответствующая документация SAP: Общая | Журнал аудита безопасности Java
Назначение журнала: объединяет в себе все журналы на основе файлов Java, включая журнал аудита безопасности, а также журналы системы (процессов кластера и сервера), производительности и шлюза. Кроме того, содержит данные трассировки для разработчиков и журналы трассировки по умолчанию.
Доступен через веб-службу SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала JavaFilesLogsCL
| Поле | Description |
|---|---|
| Приложение | Приложение Java |
| ClientID | Client ID |
| CSNComponent | Компонент CSN, например BC-XI-IBD |
| DCComponent | Компонент DC, например com.sap.xi.util.misc |
| DSRCounter | Счетчик DSR |
| DSRRootContentID | GUID контекста DSR |
| DSRTransaction | GUID транзакции DSR |
| Хост | Хост |
| Экземпляр | Экземпляр Java; синтаксис: <HOST>_<SYSID>_<SYSNR> |
| Расположение | Класс Java |
| LogName | Имя журнала Java, например: Available, defaulttrace, dev*, security и т. д. |
| MessageText | Текст сообщения |
| MNo | Номер сообщения |
| Pid | Идентификатор процесса |
| Программа | Название программы |
| Сеанс | Сеанс |
| Важность | Серьезность сообщения: Debug,Info,Warning,Error |
| Решение | Решение |
| SystemID | ИД системы |
| SystemNumber | Номер системы |
| ThreadName (имя потока) | Имя потока |
| Thrown | Вызов исключения |
| Часовой пояс | Часовой пояс |
| User | User |
Журнал пульса SAP
Функция Microsoft Sentinel для запроса этого журнала: SAPConnectorHealth
Назначение журнала: Предоставляет пульс и другие сведения о работоспособности подключения между агентами и различными системами SAP.
Автоматически создается для всех агентов Microsoft Sentinel для соединителя данных SAP.
Схема журнала SAP_HeartBeat_CL
| Поле | Description |
|---|---|
| TimeGenerated | Время публикации события в журнале |
| agent_id_s | Идентификатор агента в конфигурации агента (создается автоматически) |
| agent_ver_s | Версия агента |
| host_s | Имя узла агента |
| system_id_s | Идентификатор системы Netweaver ABAP / Узел Netweaver SAPControl (предварительная версия) / Узел Java SAPControl (предварительная версия) |
| push_timestamp_d | Метка времени извлечения в соответствии с часовым поясом агента |
| agent_timezone_s | Часовой пояс агента |
Таблицы, полученные непосредственно из систем SAP
В этом разделе перечислены таблицы данных, получаемые непосредственно из системы SAP и принимаемые в Microsoft Sentinel в том виде, в каком они есть.
Чтобы данные из этих таблиц принимались в Microsoft Sentinel, настройте соответствующие параметры в файле systemconfig.ini. Дополнительные сведения см. в разделе Настройка сбора основных данных пользователя.
Данные, извлеченные из этих таблиц, дают четкое представление о структуре предоставления разрешений, членстве в группах и профилях пользователей. Кроме того, они позволяют отслеживать процесс предоставления и отзыва разрешений, а также выявлять риски, связанные с этими процессами, и управлять ими.
Перечисленные ниже таблицы необходимы для включения функций, которые идентифицируют привилегированных пользователей, сопоставляют пользователей с ролями, группами и разрешениями.
Для получения наилучших результатов просмотрите эти таблицы, используя имя в столбце Имя функции Sentinel ниже:
| Имя таблицы | Описание таблицы | Имя функции Sentinel |
|---|---|---|
| USR01 | Основная запись пользователя (данные среды выполнения) | SAP_USR01 |
| USR02 | Данные входа (использование на стороне ядра) | SAP_USR02 |
| UST04 | Основные записи пользователя Сопоставляет пользователей с профилями |
SAP_UST04 |
| AGR_USERS | Назначение ролей пользователям | SAP_AGR_USERS |
| AGR_1251 | Данные авторизации для группы действий | SAP_AGR_1251 |
| USGRP_USER | Назначение пользователей группам пользователей | SAP_USGRP_USER |
| USR21 | Назначение имени пользователя и ключа адреса | SAP_USR21 |
| ADR6 | Адреса электронной почты (службы бизнес-адресов) | SAP_ADR6 |
| USRSTAMP | Метка времени для всех изменений пользователя | SAP_USRSTAMP |
| ADCP | Назначение пользователей и адресов (службы бизнес-адресов) | SAP_ADCP |
| USR05 | Идентификатор основного параметра пользователя | SAP_USR05 |
| AGR_PROF | Имя профиля для роли | SAP_AGR_PROF |
| AGR_FLAGS | Атрибуты роли | SAP_AGR_FLAGS |
| DEVACCESS | Таблица для пользователя-разработчика | SAP_DEVACCESS |
| AGR_DEFINE | Определение роли | SAP_AGR_DEFINE |
| AGR_AGRS | Роли в составных ролях | SAP_AGR_AGRS |
| PAHI | Журнал параметров системы, базы данных и SAP | SAP_PAHI |
| SNCSYSACL (предварительная версия) | Список управления доступом SNC: Системы | SAP_SNCSYSACL |
| USRACL (предварительная версия) | Список управления доступом SNC: Пользователь | SAP_USRACL |
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Развертывание решения Microsoft Sentinel для приложений SAP®
- Решение Microsoft Sentinel для приложений SAP с подробными требованиями к SAP®
- Развертывание соединителя данных Microsoft Sentinel для SAP с помощью SNC
- Параметры конфигурации экспертного уровня, локальное развертывание и источники журналов SAPControl
- Решение Microsoft Sentinel для приложений SAP®: встроенное содержимое безопасности
- Мониторинг работоспособности системы SAP
- Устранение неполадок с решением Microsoft Sentinel для развертывания приложений SAP®