Решение Microsoft Sentinel для данных приложений SAP®
Внимание
Некоторые компоненты решения "Мониторинг угроз для SAP" Microsoft Sentinel в настоящее время находятся на этапе ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Некоторые журналы, указанные ниже, не отправляются в Microsoft Sentinel по умолчанию, но при необходимости их можно добавить вручную. Дополнительные сведения см. в статье Определение журналов SAP, отправляемых в Microsoft Sentinel.
В этой статье описываются функции, журналы и таблицы, доступные в рамках решения Microsoft Sentinel для приложений SAP® и его соединителя данных. Она предназначена для опытных пользователей SAP.
Функции, доступные в решении SAP
В этом разделе описываются функции , доступные в рабочей области после развертывания решения Microsoft Sentinel для приложений SAP®. Эти функции можно найти на странице Журналы Microsoft Sentinel и использовать их в запросах KQL, перечисленных в разделе Функции рабочей области.
Пользователям настоятельно рекомендуется по возможности использовать в качестве объектов анализа функции, а не базовые журналы или таблицы. Эти функции предназначены для использования в качестве основного пользовательского интерфейса для данных. Они формируют базу для всех встроенных правил аналитики и книг, доступных для вас. Это позволяет вносить изменения в инфраструктуру данных под функциями, не нарушая содержимое, созданное пользователем.
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAPConnectorHealth
- SAPConnectorOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
Функция SAPUsersAssignments собирает данные из нескольких источников данных SAP и создает ориентированное на пользователя представление текущих основных данных пользователя, включая роли и профили, назначенные в настоящее время.
Эта функция суммирует назначения пользователей ролям и профилям и возвращает следующие данные:
Поле | Description | Источник данных/примечания |
---|---|---|
User | Идентификатор пользователя SAP | Только SAL |
Эл. почта | SMTP-адрес | USR21 (SMTP_ADDR) |
UserType | Тип пользователя | USR02 (USTYP) |
Часовой пояс | Time zone | USR02 (TZONE) |
LockedStatus | Состояние блокировки | USR02 (UFLAG) |
LastSeenDate | Дата последнего появления | USR02 (TRDAT) |
LastSeenTime | Время последнего просмотра | USR02 (LTIME) |
UserGroupAuth | Группа пользователей в главном обслуживании пользователей | USR02 (CLASS) |
Профили | Набор профилей (максимальный размер набора по умолчанию = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | Набор непосредственно назначенных ролей (максимальный размер набора по умолчанию = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
ChildRoles | Набор косвенно назначенных ролей (максимальный размер набора по умолчанию = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Клиент | Client ID | |
SystemID | ИД системы | Как определено в соединителе |
SAPUsersGetPrivileged
Функция SAPUsersGetPrivileged возвращает список привилегированных пользователей для каждого идентификатора клиента и системы.
Пользователи считаются привилегированными, если они перечислены в списке отслеживания SAP — привилегированные пользователи, назначены профилю, указанному в списке отслеживания SAP — конфиденциальные профили, или добавлены к роли, указанной в списке отслеживания SAP — конфиденциальные роли.
Параметры:
- TimeAgo
- Необязательно
- Значение по умолчанию: семь дней
- Определяет, что функция ищет основные данные пользователя с момента времени, определенного значением
TimeAgo
, до момента времени, определенного значениемnow()
.
Функция SAPUsersGetPrivileged возвращает следующие данные:
Поле | Description |
---|---|
User | Идентификатор пользователя SAP |
Клиент | Client ID |
SystemID | ИД системы |
SAPUsersAuthorizations
Функция SAPUsersAuthorizations объединяет данные из нескольких таблиц для создания ориентированного на пользователя представления текущих ролей и назначенных разрешений. Возвращаются только пользователи с активными ролями и назначениями разрешений.
Параметры:
- TimeAgo
- Необязательно
- Значение по умолчанию: семь дней
- Определяет, что функция ищет основные данные пользователя с момента времени, определенного значением
TimeAgo
, до момента времени, определенного значениемnow()
.
Функция SAPUsersAuthorizations возвращает следующие данные:
Поле | Description | Основание |
---|---|---|
User | Идентификатор пользователя SAP | |
Роли | Набор ролей (максимальный размер набора по умолчанию = 50) | ["Role 1", "Role 2",...,"Role 50"] |
AuthorizationsDetails | Набор разрешений (максимальный размер набора по умолчанию = 100) | {{AuthorizationsDeatils1} ,{AuthorizationsDeatils2} , ..., {AuthorizationsDeatils100}} |
Клиент | Client ID | |
SystemID | ИД системы |
SAPConnectorHealth
Функция SAPConnectorHealth отражает состояние подключения агента и базовой системы SAP. На основе журнала пульса SAP_HeartBeat_CL и других индикаторов работоспособности она возвращает следующие данные:
Поле | Description |
---|---|
Агент | Идентификатор агента в конфигурации агента (создается автоматически) |
SystemID | ИД системы SAP |
Состояние | Общее состояние подключения |
Сведения | Сведения о подключении |
ExtendedDetails | Расширенные сведения о подключении |
LastSeen | Метка времени последнего действия |
StatusCode | Код, отражающий состояние системы |
SAPConnectorOverview
Функция SAPConnectorOverview показывает количество строк каждой таблицы SAP на каждый идентификатор системы. Она возвращает список записей данных на каждый идентификатор системы и время их создания.
Параметры:
- TimeAgo
- Необязательно
- Значение по умолчанию: семь дней
- Определяет, что функция ищет основные данные пользователя с момента времени, определенного значением
TimeAgo
, до момента времени, определенного значениемnow()
.
Поле | Description |
---|---|
TimeGenerated | Значение DateTime метки времени создания записи |
SystemID_s | Строка, представляющая идентификатор системы SAP |
Используйте следующий запрос Kusto для выполнения ежедневного анализа тенденций:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Функция SAPUsersEmail позволяет выполнять оптимизированный по производительности поиск адреса электронной почты пользователя SAP в клиенте и системе SAP, что обычно используется для связывания с учетной записью Active Directory. Функция SAPUsersEmail ищет адрес электронной почты, используя данные из таблиц SAP USR21 (назначение ключа по имени пользователя и адресу) и ADR6 (адреса электронной почты). Если результат не найден, вместо адреса электронной почты возвращается идентификатор пользователя. Такое поведение гарантирует, что учетные записи служб SAP (например, DDIC), обычно не связанные с адресами электронной почты, будут регистрироваться как "фиктивные" учетные записи AD. Это позволяет использовать некоторые дополнительные возможности UEBA для расследования инцидентов и охоты.
Поле | Description |
---|---|
ClientID | Идентификатор клиента SAP |
SystemID | идентификатор системы SAP; |
User | Идентификатор пользователя SAP |
Эл. почта | Адрес электронной почты пользователя SAP. |
SAPSystems
Функция SAPSystems используется для централизованного представления конфигурации каждой системы на основе списка отслеживания систем SAP.
Параметры:
- SelectedSystems
- Необязательно
- Значение по умолчанию: "Все системы"
- Используется для фильтрации по определенным системам SAP
- SelectedSystemRoles
- Необязательно
- Значение по умолчанию: "Все системные роли"
- Определяет роли систем SAP, которые нужно просматривать (как определено в списке отслеживания систем SAP)
Поле | Description | Источник данных/примечания |
---|---|---|
SearchKey | Ключ поиска | Индексированное поле для идентификатора системы SAP |
SystemRole | Роль системы SAP | Production (рабочее развертывание), UAT (пользовательское приемочное тестирование) |
SystemUsage | Основное назначение системы SAP | ERP, CRM |
SystemID | идентификатор системы SAP; |
SAPAuditLogConfiguration
Функция SAPAuditLogConfiguration возвращает локальную конфигурацию оповещений по журналу аудита SAP для рабочей области Sentinel, которая будет использоваться для разных оповещений, связанных с журналом аудита SAP. Она объединяет данные виз списков отслеживания конфигурации монитора журнала динамического аудита SAP и систем SAP, чтобы предоставить конфигурации для каждой системы по каждой системной роли.
Параметры:
- SelectedSystems
- Необязательно
- Значение по умолчанию: "Все системы"
- Используется для фильтрации по определенным системам SAP, которые вас интересуют.
- SelectedSystemRoles
- Необязательно
- Значение по умолчанию: "Все системные роли"
- Определяет роли систем SAP, которые нужно просматривать (как определено в списке отслеживания систем SAP)
- SelectedSeverities
- Необязательно
- Значение по умолчанию: ["High", "Medium"]
- Используется для определения событий, которые представляют интерес с точки зрения их серьезности. Уровни серьезности для каждого идентификатора сообщения журнала аудита SAP и системной роли определяются в списке отслеживания "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedRuleTypes
- Необязательно
- Значение по умолчанию: "Все типы правил"
- Определяет, какие события важны для обнаружения аномалий. Типы правил по идентификаторам сообщений в журнале аудита SAP и системным ролям определяются в списке отслеживания "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Поле | Description | Источник данных/примечания |
---|---|---|
ИмяКатегории | Присвоенная в SAP категория событий | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
DestinationEmail | Адрес электронной почты назначенной команды | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
DetailedDescription | Текст в формате Markdown, отображаемый в оповещениях | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
MessageID | Идентификатор сообщения в журнале аудита SAP | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
MessageText | Пример текста сообщения | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
RolesTagsToExclude | Роль ABAP, профиль или тег в простом текстовом формате | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
RuleType | Аномалия или детерминированное | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
Тактика | Тактика MITRE ATTA&CK | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
TeamsChannelID | Канал Teams | Список отслеживания конфигурации монитора журнала динамического аудита SAP |
SystemID | идентификатор системы SAP; | Список отслеживания систем SAP |
SystemRole | Роль системы SAP | Список отслеживания систем SAP |
SystemUsage | Основное назначение системы SAP | Список отслеживания систем SAP |
IsProd | Флаг производственной среды | Список отслеживания систем SAP |
Важность | Выведенная серьезность | Серьезность по использованию системы |
За пороговое значение | Выведенное пороговое значение | Количество событий по использованию системы |
BagOfDetails | Набор подробностей | Словарь с подробными сведениями об определении события |
SAPAuditLogAnomalies
SAPAuditLogAnomalies использует встроенные возможности машинного обучения Базы данных Kusto для обнаружения аномальных событий, наблюдаемых в журнале аудита SAP. Эта функция разработана для (экспериментального) правила генерации оповещений монитора по журналу аудита на основе динамических аномалий в системе SAP. Изначально она предназначалась для оповещений о недавних аномалиях, но позволяет выявлять и некоторые исторические аномалии (см. примеры ниже).
Параметры:
- Обучение Time
- Необязательно
- Значение по умолчанию: 14 дней
- Определяет временной интервал, используемый для обучения модели.
- DetectingTime
- Необязательно
- Значение по умолчанию: один час
- Определяет интервал времени для обнаружения аномалий. Вызов этой функции со значением DetectingTime = 0h будет выявлять аномалии во всем временном диапазоне обучения.
- SelectedSystems
- Необязательно
- Значение по умолчанию: "Все системы"
- Используется для фильтрации по определенным системам SAP, которые вас интересуют.
- SelectedSystemRoles
- Необязательно
- Значение по умолчанию: "Все системные роли"
- Определяет роли систем SAP, которые нужно просматривать (как определено в списке отслеживания систем SAP)
- SelectedSeverities
- Необязательно
- Значение по умолчанию: ["High", "Medium"]
- Используется для определения событий, которые представляют интерес с точки зрения их серьезности. Уровни серьезности для каждого идентификатора сообщения журнала аудита SAP и системной роли определяются в списке отслеживания "SAP_Dynamic_Audit_Log_Monitor_Configuration".
- SelectedPrefixMask
- Необязательно
- Значение по умолчанию: 24
- Используется для определения уровня маски подсети, используемой для обучения и обнаружения.
- SelectedRuleTypes
- Необязательно
- Значение по умолчанию: "AnomaliesOnly"
- Определяет, какие события важны для обнаружения аномалий. Типы правил по идентификаторам сообщений в журнале аудита SAP и системным ролям определяются в списке отслеживания "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Логика
Эта функция изучает срез журнала, определенный несколькими входными параметрами по пользователям, сетевым атрибутам, системам, сезонности и уровням активности. Затем она оценивает события за интервал времени DetectingTime на основе полученных параметров, применяя пороговые значения и другие настраиваемые критерии исключения, полученные из списка отслеживания конфигурации для журнала аудита SAP. Если скользящее окно действий пользователя будет признано аномальным, выполняется второй запрос для получения всех действий пользователя в качестве доказательства для поддержки решения.
Дополнительные примечания
Как и любые другие решения машинного обучения, эта функция улучшает работу со временем. Вы можете внести дополнительные корректировки с помощью локальной конфигурации. Вы рекомендуем ограничить размер обученной базы данных до 100 миллионов записей, используя большой набор доступных входных параметров.
Пример поиска аномалий по событиям высокой серьезности с типом AnomaliesOnly, произошедших в течение последнего часа в рабочих системах по списку отслеживания "SAP_Dynamic_Audit_Log_Monitor_Configuration".
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Пример поиска всех аномалий за последние 14 дней в системе "BIP"
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Поле | Description |
---|---|
Несколько полей из SAPAuditLog | Ключевые поля из журнала аудита SAP |
Несколько полей из SAPAuditLogConfiguration | Ключевые поля из конфигурации Sentinel для журнала аудита SAP |
DiscoveredOn | Округленное до часов значение времени, в которое наблюдалась аномалия |
EventCount | Количество событий по каждой возвращенной строке |
AnomalCount | Количество событий, наблюдаемых в соответствующем скользящем окне |
MinTime | Время первого обнаруженного события |
MaxTime | Время последнего обнаруженного события |
Балл | Оценки аномалий, созданные моделью аномалий. |
Дополнительные сведения см. в разделе Встроенные правила аналитики SAP для мониторинга журнала аудита SAP.
SAPAuditLogConfigRecommend
The SAPAuditLogConfigRecommend — это вспомогательная функция, предназначенная для предоставления рекомендаций по настройке правила аналитики SAP — оповещения монитора по журналу аудита на основе динамических аномалий (предварительная версия). Узнайте, как настроить правила.
SAPUsersGetVIP
Решение Microsoft Sentinel для приложений SAP® использует концепцию тегов центрального пользователя и явных исключений, предназначенных для снижения ложных срабатываний с минимальными усилиями. Используйте функцию SAPUsersGetVIP, чтобы исключить пользователей из активации оповещений, указав роли пользователей SAP, функции пользователей SAP или теги, представляющие этих пользователей. Дополнительные сведения см. в статье Обработка ложноположительных результатов в Microsoft Sentinel.
Теги, указанные в качестве входных данных для функции SAPUsersGetVIP , исключают всех пользователей с тегом, перечисленным в списке наблюдения SAP_User_Config . Эта же функция расширена для работы с дикими карта, что позволяет назначать один тег группе пользователей с тем же синтаксисом именования.
Пометьте пользователей в списке наблюдения SAP_User_Config следующим образом:
Добавьте несколько тегов каждому пользователю в списке отслеживания SAP_User_Config по мере необходимости для покрытия различных сценариев. Каждое правило генерации оповещений имеет собственные соответствующие теги, если таковые имеются, и при необходимости можно добавить настраиваемые теги.
Используйте звездочку (*) в качестве дикого карта для включения пользователей с определенным шаблоном синтаксиса именования.
Добавьте функцию SAPUsersGetVIP в правила аналитики, чтобы запросить списки пользователей, которые вы определили для исключения из оповещений. В вызове функции добавьте массив с тегами, ролями SAP и профилями SAP, которые вы хотите исключить.
Например, используйте следующий запрос KQL в правиле аналитики, чтобы исключить всех пользователей, настроенных с тегом RunObsoleteProgOK в списке отслеживания SAP_User_Config , или всех пользователей с примером роли SAP_BASIS_ADMIN_ROLE или образца профиля SAP_ADMIN_PROFILE .
При копировании этого примера вызова функции замените роль SAP_BASIS_ADMIN_ROLE и профиль SAP_ADMIN_PROFILE собственными ролями или профилями SAP по мере необходимости.
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Функция SAPUsersGetVIP обычно используется в оповещениях детерминированного и аномального монитора журнала аудита. Свяжите тег с идентификатором сообщения журнала аудита SAP или добавьте шаблон правила в пользовательское правило, соответствующее потребностям вашей организации.
Совет
Мы рекомендуем обратиться к системному администратору SAP, чтобы понять, какие пользователи, роли и профили SAP включаются в список наблюдения SAP_User_Config .
Параметры:
Имя | Описание: | Default value |
---|---|---|
SearchForTags (необязательно) | Когда SearchForTags равно All Tags , возвращаются все пользователи вместе со своими тегами. В противном случае возвращаются только пользователи с тегами, ролями SAP или профилями SearchForTags SAP. TagsIntersect отображает найденные теги и IntersectionSize содержит количество найденных тегов. |
dynamic('All Tags') |
SpecialFocusTags (необязательно) | Возвращает все пользователи, имеющие теги, указанные в SpecialFocusTags , и помечают их.specialFocusTagged = true |
Do not return any in-focus users |
Оригинал | Поле | Description | Основание |
---|---|---|---|
Список отслеживания SAP_User_Config | SearchKey | Ключ поиска | |
Список отслеживания SAP_User_Config | SAPUser | Пользователь SAP | OSS, DDIC |
Список отслеживания SAP_User_Config | Теги | Строка тегов, назначенных пользователю | RunObsoleteProgOK |
Список отслеживания SAP_User_Config | Идентификатор объекта Microsoft Entra | Идентификатор объекта Microsoft Entra | |
Список отслеживания SAP_User_Config | Идентификатор пользователя | Идентификатор пользователя AD | |
Список отслеживания SAP_User_Config | Локальный идентификатор пользователя | ||
Список отслеживания SAP_User_Config | Имя субъекта-пользователя | ||
Список отслеживания SAP_User_Config | TagsList | Список тегов, назначенных пользователю | ChangeUserMasterDataOK;RunObsoleteProgOK |
Логика | TagsIntersect | Набор тегов, соответствующих SearchForTags | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Логика | SpecialFocusTagged | Специальное указание фокуса | True, False |
Логика | IntersectionSize | Количество пересекающихся тегов |
SAPUsersHeader
Функция SAPUsersHeader предназначена для предоставления высокоуровневого представления пользователя SAP. Она выполняет сбор адресов электронной почты и IP-адресов по данным, извлеченным из таблиц основных данных о пользователях SAP и последних действий в журнале аудита SAP. Затем она возвращает последние известные, а также основные используемые адреса электронной почты и IP-адреса. Parameters: SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- Необязательно
- Значение по умолчанию: "Все системы"
- Используется для фильтрации по определенным системам SAP, которые вас интересуют.
- SelectedSystemRoles
- Необязательно
- Значение по умолчанию: "Все системные роли"
- Определяет роли систем SAP, которые нужно просматривать (как определено в списке отслеживания систем SAP)
- SelectedUsers
- Необязательно
- Значение по умолчанию: "Все пользователи"
- Может вводить списки пользователей.
- SelectedUser
- Необязательно
- Значение по умолчанию: "Все пользователи"
- Принимает только одного пользователя.
Дополнительные примечания
Для повышения производительности учитываются действия аудита только за несколько дней. Чтобы изучить полную историю действий пользователя, выполните пользовательский запрос KQL с функцией SAPAuditLog.
Оригинал | Поле | Description | Основание |
---|---|---|---|
User | Пользователь SAP | ||
Таблицы SAP ADR6 и USR21 | Эл. почта | Извлекаются из основных данных о пользователях | OSS, DDIC |
Таблица SAP USR02 | UserType | Строка тегов, назначенных пользователю | RunObsoleteProgOK |
Таблица SAP USR02 | Часовой пояс | Идентификатор объекта Microsoft Entra | |
Таблица SAP USR02 | LockedStatus | Идентификатор пользователя AD | |
Журнал аудита SAP | LastSeen | метка времени; | Последнее событие аудита, обнаруженное для пользователя |
Журнал аудита SAP | LastSeenDaysAgo | Количество дней, прошедших с момента LastSeen | |
Журнал аудита SAP | PrimaryIP | Наиболее часто используемый IP-адрес | ChangeUserMasterDataOK;RunObsoleteProgOK |
Журнал аудита SAP | LastKnownIP | Последний используемый IP-адрес | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Журнал аудита SAP | PrimaryEmail | Наиболее часто используемый адрес электронной почты | True, False |
Журнал аудита SAP | KnownIPs | Список известных IP-адресов | сортировка в порядке убывания частоты |
Журнал аудита SAP | KnownEmails | Список известных адресов электронной почты | сортировка в порядке убывания частоты |
Клиент | Идентификатор клиента SAP | ||
SystemID | Идентификатор системы SAP | ||
SystemRole | Роль системы SAP | Production (рабочее развертывание), UAT (пользовательское приемочное тестирование) | |
SystemUsage | Основное назначение системы SAP | ERP, CRM |
Журналы, созданные агентом соединителя данных
В этом разделе описываются журналы SAP, доступные из решения Microsoft Sentinel для соединителя данных приложений SAP®, включая имена таблиц в Microsoft Sentinel, цели журнала и подробные схемы журналов. Описания полей схемы основаны на описаниях полей в соответствующей документации SAP.
Чтобы достичь наилучших результатов, используйте перечисленные ниже функции Microsoft Sentinel для визуализации данных, получения доступа и выполнения запросов к ним.
- Журнал приложений ABAP
- Журнал изменений ABAP Change Documents
- Журнал ABAP CR
- Журнал данных таблицы базы данных ABAP (предварительная версия)
- Журнал шлюза ABAP (предварительная версия)
- Журнал ICM ABAP (предварительная версия)
- Журнал заданий ABAP
- Журнал аудита безопасности ABAP
- Журнал Spool ABAP
- Журнал выходных данных APAB Spool
- Системный журнал ABAP
- Журнал рабочего процесса ABAP
- Журнал ABAP WorkProcess
- HANA DB Audit Trail
- Java-файлы
- Журнал пульса SAP
Журнал ABAP-приложений
Функция Microsoft Sentinel для запроса этого журнала: SAPAppLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: содержит записи о ходе выполнения приложения, чтобы его можно было при необходимости воссоздать позже.
Доступно с помощью RFC на основе стандартной таблицы SAP и стандартных служб интерфейса XBP. Этот журнал создается по клиентам.
Схема журнала ABAPAppLog_CL
Поле | Description |
---|---|
AppLogDateTime | Дата и время журнала приложений |
CallbackProgram | Программа обратного вызова |
CallbackRoutine | Подпрограмма обратного вызова |
CallbackType | Тип обратного вызова |
ClientID | Идентификатор клиента ABAP (MANDT) |
ContextDDIC | Структура контекста DDIC |
ExternalID | Идентификатор внешнего журнала |
Хост | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | Серийный номер сообщения в журнале приложений |
LevelofDetail | Уровень детализации |
LogHandle | Дескриптор журнала приложений |
LogNumber | Номер журнала |
MessageClass | Класс Message |
MessageNumber | Номер сообщения |
MessageText | Текст сообщения |
MessageType | Тип сообщения |
Object | Объект журнала приложения |
OperationMode | Режим работы |
ProblemClass | Класс проблемы |
ProgramName | Название программы |
SortCriterion | Критерий сортировки |
StandardText | Стандартный текст |
SubObject | Подобъект журнала приложения |
SystemID | ИД системы |
SystemNumber | Номер системы |
TransactionCode | Код транзакции |
User | User |
UserChange | Изменение пользователя |
Журнал документов изменений ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPChangeDocsLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала. Содержит следующие записи:
записанные в журнале ABAP сервера приложений (AS) SAP NetWeaver изменения в объектах бизнес-данных согласно документам изменений;
другие сущности в системе SAP, такие как данные пользователя, роли, адреса.
Доступно с помощью RFC на основе стандартных таблиц SAP. Этот журнал создается по клиентам.
Схема журнала ABAPChangeDocsLog_CL
Поле | Description |
---|---|
ActualChangeNum | Фактический номер изменения |
ChangedTableKey | Ключ измененной таблицы |
ChangeNumber | Номер изменения |
ClientID | Идентификатор клиента ABAP (MANDT) |
CreatedfromPlannedChange | Создано из запланированного изменения; синтаксис: (‘X’ , ‘ ‘) |
CurrencyKeyNew | Ключ валюты: новое значение |
CurrencyKeyOld | Ключ валюты: прежнее значение |
Fieldname | Имя поля |
FlagText | Текст флага |
Хост | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
Язык | Язык |
Objectclass | Класс объекта, например BELEG , BPAR , PFCG , IDENTITY |
ObjectID | Код объекта |
PlannedChangeNum | Номер запланированного изменения |
SystemID | ИД системы |
SystemNumber | Номер системы |
TableName | Имя таблицы |
TransactionCode | Код транзакции |
TypeofChange_Header | Тип изменения заголовка, в том числе: U — изменение; I — вставка; E — удаление одного документа; D — удаление; J — вставка одного документа |
TypeofChange_Item | Тип изменения элемента, в том числе: U — изменение; I — вставка; E — удаление одного документа; D — удаление; J — вставка одного документа |
UOMNew | Единица измерения: новое значение |
UOMOld | Единица измерения: прежнее значение |
User | User |
ValueNew | Содержимое поля: новое значение |
ValueOld | Содержимое поля: прежнее значение |
Версия | Версия |
Журнал CR ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPCRLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: включает в себя журналы системы регистрации и распространения изменений (CTS), в том числе объекты каталогов и настройки, в которые были внесены изменения.
Доступно с помощью RFC на основе стандартных таблиц и стандартных служб SAP. Этот журнал создается с использованием данных по всем клиентам.
Примечание.
Помимо журнала приложений, документов изменений и записей в таблицах, все изменения, вносимые в рабочую систему с помощью системы регистрации и распространения изменений, документируются в журналах CTS и TMS.
Схема журнала ABAPCRLog_CL
Поле | описание |
---|---|
Категория | Категория (Workbench, настройка) |
ClientID | Идентификатор клиента ABAP (MANDT) |
Description | Description |
Host | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
ObjectName | Наименование объекта |
ObjectType | Тип объекта |
Ответственный | Ответственный |
Запросить | Запрос на изменение |
Состояние | Состояние |
SystemID | ИД системы |
SystemNumber | Номер системы |
TableKey | Ключ таблицы |
TableName | Имя таблицы |
ViewName | Имя представления |
Журнал данных таблицы базы данных ABAP (предварительная версия)
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.ini.
Функция Microsoft Sentinel для запроса этого журнала: SAPTableDataLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: обеспечивает ведение журнала для таблиц, которые являются критическими или могут быть предметом аудита.
Доступен путем использования RFC с настраиваемой службой. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPTableDataLog_CL
Поле | Description |
---|---|
DBLogID | Идентификатор журнала базы данных |
Хост | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
Язык | Язык |
LogKey | Ключ журнала |
NewValue | Новое значение поля |
OldValue | Прежнее значение поля |
OperationTypeSQL | Тип операции: Insert , Update , Delete |
Программа | Название программы |
SystemID | ИД системы |
SystemNumber | Номер системы |
TableField | Поле таблицы |
TableName | Имя таблицы |
TransactionCode | Код транзакции |
UserName | User |
VersionNumber | Номер версии |
Журнал шлюза ABAP (предварительная версия)
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.ini.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_GW
Соответствующая документация SAP: портал справки SAP
Назначение журнала: отслеживание действий на шлюзе. Доступен через веб-службу SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_GW_CL
Поле | Description |
---|---|
Host | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
MessageText | Текст сообщения |
Важность | Серьезность сообщения: Debug , Info , Warning , Error |
SystemID | ИД системы |
SystemNumber | Номер системы |
Журнал ICM ABAP (предварительная версия)
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.ini.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_ICM
Соответствующая документация SAP: портал справки SAP
Назначение журнала: содержит записи о входящих и исходящих запросах, а также статистику HTTP-запросов.
Доступен через веб-службу SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_ICM_CL
Поле | Description |
---|---|
Host | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
MessageText | Текст сообщения |
Важность | Серьезность сообщения: Debug , Info , Warning , Error |
SystemID | ИД системы |
SystemNumber | Номер системы |
Журнал заданий ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPJobLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: объединяет в себе все журналы заданий фоновой обработки (SM37).
Доступно с помощью RFC на основе стандартной таблицы SAP и стандартных служб интерфейсов XBP. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPJobLog_CL
Поле | Description |
---|---|
ABAPProgram | Программа ABAP |
BgdEventParameters | Параметры фонового события |
BgdProcessingEvent | Событие фоновой обработки |
ClientID | Идентификатор клиента ABAP (MANDT) |
DynproNumber | Номер Dynpro |
GUIStatus | Состояние графического пользовательского интерфейса |
Хост | Хост |
Экземпляр | Экземпляр ABAP (HOST_SYSID_SYSNR); синтаксис: <HOST>_<SYSID>_<SYSNR> |
JobClassification | Классификация задания |
JobCount | Число заданий |
JobGroup | Группа заданий |
JobName | Имя задания |
JobPriority | приоритет задания |
MessageClass | Класс Message |
MessageNumber | Номер сообщения |
MessageText | Текст сообщения |
MessageType | Тип сообщения |
ReleaseUser | Пользователь, выпустивший задание |
SchedulingDateTime | Запланированные дата и время |
StartDateTime | Дата и время начала |
SystemID | ИД системы |
SystemNumber | Номер системы |
TargetServer | Целевой сервер |
User | User |
UserReleaseInstance | Экземпляр ABAP — пользовательский выпуск |
WorkProcessID | Идентификатор рабочего процесса |
WorkProcessNumber | Номер рабочего процесса |
Журнал аудита безопасности ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPAuditLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала. Содержит следующие записи:
- изменения в среде системы SAP, связанные с безопасностью, например изменения записей основного пользователя;
- сведения, являющиеся более высокоуровневым представлением данных, например успешные и неудачные попытки входа;
- сведения, по которым можно воспроизвести ряд событий, например успешные или неудачные запуски транзакций.
Доступен через интерфейсы XAL/SAL RFC. Интерфейс SAL доступен, начиная с версии Basis 7.50. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPAuditLog_CL
Поле | Description |
---|---|
ABAPProgramName | Имя программы (только SAL) |
AlertSeverity | Серьезность оповещения |
AlertSeverityText | Текст с указанием степени серьезности оповещения (только SAL) |
AlertValue | Значение оповещения |
AuditClassID | Идентификатор класса аудита (только SAL) |
ClientID | Идентификатор клиента ABAP (MANDT) |
Компьютер | Компьютер пользователя (только SAL) |
Эл. почта | Адрес электронной почты пользователя |
Хост | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
MessageClass | Класс Message |
MessageContainerID | Идентификатор контейнера сообщений (только XAL) |
MessageID | Идентификатор сообщения, например ‘AU1’,’AU2’… |
MessageText | Текст сообщения |
MonitoringObjectName | Имя объекта монитора МТЕ (только XAL) |
MonitorShortName | Краткое имя монитора МТЕ (только XAL) |
SAPProcesType | Системный журнал: тип процесса SAP (только SAL) |
B* — фоновая обработка | |
D* — обработка в диалоговом режиме | |
U* — задачи обновления | |
SAPWPName | Системный журнал: номер рабочего процесса (только SAL) |
SystemID | ИД системы |
SystemNumber | Номер системы |
TerminalIPv6 | IP-адрес компьютера пользователя (только SAL) |
TransactionCode | Код транзакции (только SAL) |
User | User |
Variable1 | Переменная сообщения 1 |
Variable2 | Переменная сообщения 2 |
Variable3 | Переменная сообщения 3 |
Variable4 | Переменная сообщения 4 |
Журнал очереди печати ABAP
Функция Microsoft Sentinel для запроса этого журнала: SAPSpoolLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: служит основным журналом печати SAP и содержит историю запросов на постановку в очередь печати. (SP01).
Доступно с помощью RFC на основе стандартной таблицы SAP. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPSpoolLog_CL
Поле | Description |
---|---|
ArchiveStatus | Состояние архива |
ArchiveType | Тип архива |
ArchivingDevice | Устройство архивации |
AutoRereoute | Автоматическое перенаправление |
ClientID | Идентификатор клиента ABAP (MANDT) |
CountryKey | Ключ страны |
DeleteSpoolRequestAuto | Автоматическое удаление запроса на постановку в очередь печати |
DelFlag | Флаг удаления |
Отдел | Отдел |
DocumentType | Document type |
ExternalMode | Внешний режим |
FormatType | Тип формата |
Хост | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
NumofCopies | Число копий |
OutputDevice | Устройство вывода |
PrinterLongName | Длинное имя принтера |
PrintImmediately | Немедленная печать |
PrintOSCoverPage | Печать страницы OSCover |
PrintSAPCoverPage | Печать страницы SAPCover |
Приоритет | Приоритет |
RecipientofSpoolRequest | Получатель запроса на постановку в очередь печати |
SpoolErrorStatus | Состояние ошибки очереди печати |
SpoolRequestCompleted | Запрос на постановку в очередь печати выполнен |
SpoolRequestisALogForAnotherRequest | Запрос на постановку в очередь печати представляет собой журнал другого запроса |
SpoolRequestName | Имя запроса на постановку в очередь печати |
SpoolRequestName | Номер запроса на постановку в очередь печати |
SpoolRequestSuffix1 | Суффикс 1 запроса на постановку в очередь печати |
SpoolRequestSuffix2 | Суффикс 2 запроса на постановку в очередь печати |
SpoolRequestTitle | Название запроса на постановку в очередь печати |
SystemID | ИД системы |
SystemNumber | Номер системы |
TelecommunicationsPartner | Партнер по телекоммуникациям |
TelecommunicationsPartnerE | Партнер E по телекоммуникациям |
TemSeGeneralcounter | Счетчик Temse |
TemseNumAddProtectionRule | Правило защиты от добавления номера Temse |
TemseNumChangeProtectionRule | Правило защиты от изменения номера Temse |
TemseNumDeleteProtectionRule | Правило защиты от удаления номера Temse |
TemSeObjectName | Имя объекта Temse |
TemSeObjectPart | Часть объекта Temse |
TemseReadProtectionRule | Правило защиты от чтения Temse |
User | User |
ValueAuthCheck | Проверка подлинности значения |
Журнал печати из очереди APAB
Функция Microsoft Sentinel для запроса этого журнала: SAPSpoolOutputLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: служит основным журналом печати SAP и содержит историю запросов на печать из очереди. (SP02).
Доступен путем использования RFC с настраиваемой службой на основе стандартных таблиц. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPSpoolOutputLog_CL
Поле | Description |
---|---|
AppServer | Сервер приложений |
ClientID | Идентификатор клиента ABAP (MANDT) |
Комментарий | Комментарий |
CopyCount | Число копий |
CopyCounter | Счетчик копий |
Отдел | Отдел |
ErrorSpoolRequestNumber | Номер запроса ошибки очереди печати |
FormatType | Тип формата |
Хост | Хост |
HostName | Host name |
HostSpoolerID | Идентификатор диспетчера очереди печати узла |
Экземпляр | Экземпляр ABAP |
LastPage | Последняя страница |
NumofCopies | Число копий |
OutputDevice | Устройство вывода |
OutputRequestNumber | Номер запроса на печать |
OutputRequestStatus | Состояние запроса на печать |
PhysicalFormatType | Тип физического формата |
PrinterLongName | Длинное имя принтера |
PrintRequestSize | Размер запроса на печать |
Приоритет | Приоритет |
ReasonforOutputRequest | Причина запроса на печать |
RecipientofSpoolRequest | Получатель запроса на постановку в очередь печати |
SpoolNumberofOutputReqProcessed | Число запросов на печать — обработанных |
SpoolNumberofOutputReqWithErrors | Число запросов на печать — с ошибками |
SpoolNumberofOutputReqWithProblems | Число запросов на печать — с проблемами |
SpoolRequestName | Номер запроса на постановку в очередь печати |
StartPage | Начальная страница |
SystemID | ИД системы |
SystemNumber | Номер системы |
TelecommunicationsPartner | Партнер по телекоммуникациям |
TemSeGeneralcounter | Счетчик Temse |
Заголовок | Заголовок |
User | User |
Системный журнал ABAP
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.ini.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_Syslog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: содержит записи о системных ошибках и предупреждениях ABAP, блокировках известных пользователей из-за неудачных попыток входа, а также технологические сообщения со всех серверов приложений SAP NETWEAVER (SAP NetWeaver AS).
Доступен через веб-службу SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_Syslog_CL
Поле | Description |
---|---|
ClientID | Идентификатор клиента ABAP (MANDT) |
Хост | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
MessageNumber | Номер сообщения |
MessageText | Текст сообщения |
Важность | Серьезность сообщения: Debug , Info , Warning , Error |
SystemID | ИД системы |
SystemNumber | Номер системы |
TransacationCode | Код транзакции |
Тип | Тип процесса SAP |
User | User |
Журнал ABAP Workflow
Функция Microsoft Sentinel для запроса этого журнала: SAPWorkflowLog
Соответствующая документация SAP: портал справки SAP
Назначение журнала: SAP Business Workflow (WebFlow Engine) позволяет определять бизнес-процессы, для которых еще нет сопоставления в системе SAP.
Это могут быть, например, простые процедуры выпуска или утверждения, или же более сложные бизнес-процессы, такие как создание базового материала с последующей координацией между соответствующими отделами.
Доступно с помощью RFC на основе стандартных таблиц SAP. Этот журнал создается по клиентам.
Схема журнала ABAPWorkflowLog_CL
Поле | Description |
---|---|
ActualAgent | Фактический агент |
Адрес | Адрес |
ApplicationArea | Область приложения |
CallbackFunction | Функция обратного вызова |
ClientID | Идентификатор клиента ABAP (MANDT) |
CreationDateTime | Дата и время создания |
Создатель | Создатель |
CreatorAddress | Адрес создателя |
ErrorType | Тип ошибки |
ExceptionforMethod | Исключение для метода |
Хост | Хост |
Экземпляр | Экземпляр ABAP (HOST_SYSID_SYSNR); синтаксис: <HOST>_<SYSID>_<SYSNR> |
Язык | Язык |
LogCounter | Счетчик журнала |
MessageNumber | Номер сообщения |
MessageType | Тип сообщения |
MethodUser | Пользователь метода |
Приоритет | Приоритет |
SimpleContainer | Простой контейнер, упакованный в виде списка сущностей "ключ-значение" для рабочего элемента |
Состояние | Состояние |
SuperWI | Вышестоящий рабочий элемент |
SystemID | ИД системы |
SystemNumber | Номер системы |
TaskID | Идентификатор задачи |
TasksClassification | Классификации задач |
TaskText | Текст задачи |
TopTaskID | Идентификатор верхней задачи |
UserCreated | Создается пользователем |
WIText | Текст рабочего элемента |
WIType | Тип рабочего элемента |
WorkflowAction | Действие бизнес-процесса |
WorkItemID | Идентификатор рабочего элемента |
Журнал рабочих процессов ABAP
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.ini.
Функция Microsoft Sentinel для запроса этого журнала: SAPOS_WP
Соответствующая документация SAP: портал справки SAP
Назначение журнала: объединяет в себе все журналы рабочих процессов. (Значение по умолчанию —
dev_*
).Доступен через веб-службу SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала ABAPOS_WP_CL
Поле | Description |
---|---|
Host | Хост |
Экземпляр | Экземпляр ABAP; синтаксис: <HOST>_<SYSID>_<SYSNR> |
MessageText | Текст сообщения |
Важность | Серьезность сообщения: Debug , Info , Warning , Error |
SystemID | ИД системы |
SystemNumber | Номер системы |
WPNumber | Номер рабочего процесса |
Журнал аудита базы данных HANA
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо развернуть агент управления Майкрософт для сбора данных системного журнала с компьютера, на котором работает база данных HANA.
Функция Microsoft Sentinel для запроса этого журнала: SAPSyslog
Соответствующая документация SAP: Общая | Журнал аудита
Назначение журнала: содержит записи о действиях пользователя или попытках выполнения действий с базой данных SAP HANA. В частности, этот журнал позволяет регистрировать и отслеживать доступ для чтения к конфиденциальным данным.
Доступен посредством агента Sentinel для Linux (Syslog). Этот журнал создается с использованием данных по всем клиентам.
Схема журнала Syslog
Поле | Description |
---|---|
Компьютер | Host name |
HostIP | IP-адрес узла |
HostName | Host name |
ProcessID | Идентификатор процесса |
Имя процесса | Имя процесса: HDB* |
SeverityLevel | Предупреждение |
SourceSystem | ОС исходной системы: Linux |
SyslogMessage | Сообщение — непроанализированное сообщение из журнала аудита |
Файлы JAVA
Чтобы этот журнал был отправлен в Microsoft Sentinel, необходимо добавить его вручную в файл systemconfig.ini.
Функция Microsoft Sentinel для запроса этого журнала: SAPJAVAFilesLogs
Соответствующая документация SAP: Общая | Журнал аудита безопасности Java
Назначение журнала: объединяет в себе все журналы на основе файлов Java, включая журнал аудита безопасности, а также журналы системы (процессов кластера и сервера), производительности и шлюза. Кроме того, содержит данные трассировки для разработчиков и журналы трассировки по умолчанию.
Доступен через веб-службу SAP Control. Этот журнал создается с использованием данных по всем клиентам.
Схема журнала JavaFilesLogsCL
Поле | Description |
---|---|
Приложение | Приложение Java |
ClientID | Client ID |
CSNComponent | Компонент CSN, например BC-XI-IBD |
DCComponent | Компонент DC, например com.sap.xi.util.misc |
DSRCounter | Счетчик DSR |
DSRRootContentID | GUID контекста DSR |
DSRTransaction | GUID транзакции DSR |
Хост | Хост |
Экземпляр | Экземпляр Java; синтаксис: <HOST>_<SYSID>_<SYSNR> |
Расположение | Класс Java |
LogName | Имя журнала Java, например: Available , defaulttrace , dev* , security и т. д. |
MessageText | Текст сообщения |
MNo | Номер сообщения |
Pid | Идентификатор процесса |
Программа | Название программы |
Сеанс | Сеанс |
Важность | Серьезность сообщения: Debug ,Info ,Warning ,Error |
Решение | Решение |
SystemID | ИД системы |
SystemNumber | Номер системы |
ThreadName (имя потока) | Имя потока |
Thrown | Вызов исключения |
Часовой пояс | Часовой пояс |
User | User |
Журнал пульса SAP
Функция Microsoft Sentinel для запроса этого журнала: SAPConnectorHealth
Назначение журнала: Предоставляет пульс и другие сведения о работоспособности подключения между агентами и различными системами SAP.
Автоматически создается для всех агентов Microsoft Sentinel для соединителя данных SAP.
Схема журнала SAP_HeartBeat_CL
Поле | Description |
---|---|
TimeGenerated | Время публикации события в журнале |
agent_id_s | Идентификатор агента в конфигурации агента (создается автоматически) |
agent_ver_s | Версия агента |
host_s | Имя узла агента |
system_id_s | Идентификатор системы Netweaver ABAP / Узел Netweaver SAPControl (предварительная версия) / Узел Java SAPControl (предварительная версия) |
push_timestamp_d | Метка времени извлечения в соответствии с часовым поясом агента |
agent_timezone_s | Часовой пояс агента |
Таблицы, полученные непосредственно из систем SAP
В этом разделе перечислены таблицы данных, получаемые непосредственно из системы SAP и принимаемые в Microsoft Sentinel в том виде, в каком они есть.
Чтобы данные из этих таблиц принимались в Microsoft Sentinel, настройте соответствующие параметры в файле systemconfig.ini. Дополнительные сведения см. в разделе Настройка сбора основных данных пользователя.
Данные, извлеченные из этих таблиц, дают четкое представление о структуре предоставления разрешений, членстве в группах и профилях пользователей. Кроме того, они позволяют отслеживать процесс предоставления и отзыва разрешений, а также выявлять риски, связанные с этими процессами, и управлять ими.
Перечисленные ниже таблицы необходимы для включения функций, которые идентифицируют привилегированных пользователей, сопоставляют пользователей с ролями, группами и разрешениями.
Для получения наилучших результатов просмотрите эти таблицы, используя имя в столбце Имя функции Sentinel ниже:
Имя таблицы | Описание таблицы | Имя функции Sentinel |
---|---|---|
USR01 | Основная запись пользователя (данные среды выполнения) | SAP_USR01 |
USR02 | Данные входа (использование на стороне ядра) | SAP_USR02 |
UST04 | Основные записи пользователя Сопоставляет пользователей с профилями |
SAP_UST04 |
AGR_USERS | Назначение ролей пользователям | SAP_AGR_USERS |
AGR_1251 | Данные авторизации для группы действий | SAP_AGR_1251 |
USGRP_USER | Назначение пользователей группам пользователей | SAP_USGRP_USER |
USR21 | Назначение имени пользователя и ключа адреса | SAP_USR21 |
ADR6 | Адреса электронной почты (службы бизнес-адресов) | SAP_ADR6 |
USRSTAMP | Метка времени для всех изменений пользователя | SAP_USRSTAMP |
ADCP | Назначение пользователей и адресов (службы бизнес-адресов) | SAP_ADCP |
USR05 | Идентификатор основного параметра пользователя | SAP_USR05 |
AGR_PROF | Имя профиля для роли | SAP_AGR_PROF |
AGR_FLAGS | Атрибуты роли | SAP_AGR_FLAGS |
DEVACCESS | Таблица для пользователя-разработчика | SAP_DEVACCESS |
AGR_DEFINE | Определение роли | SAP_AGR_DEFINE |
AGR_AGRS | Роли в составных ролях | SAP_AGR_AGRS |
PAHI | Журнал параметров системы, базы данных и SAP | SAP_PAHI |
SNCSYSACL (предварительная версия) | Список управления доступом SNC: Системы | SAP_SNCSYSACL |
USRACL (предварительная версия) | Список управления доступом SNC: Пользователь | SAP_USRACL |
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Развертывание решения Microsoft Sentinel для приложений SAP®
- Решение Microsoft Sentinel для приложений SAP с подробными требованиями к SAP®
- Развертывание соединителя данных Microsoft Sentinel для SAP с помощью SNC
- Параметры конфигурации экспертного уровня, локальное развертывание и источники журналов SAPControl
- Решение Microsoft Sentinel для приложений SAP®: встроенное содержимое безопасности
- Мониторинг работоспособности системы SAP
- Устранение неполадок с решением Microsoft Sentinel для развертывания приложений SAP®