SAP® uygulamaları için Microsoft Sentinel çözümü veri başvurusu

  • Makale

Önemli

SAP için Microsoft Sentinel Tehdit İzleme çözümünün bazı bileşenleri şu anda ÖNIZLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Aşağıda not edilen bazı günlükler varsayılan olarak Microsoft Sentinel'e gönderilmez, ancak gerektiğinde bunları el ile ekleyebilirsiniz. Daha fazla bilgi için bkz . Microsoft Sentinel'e gönderilen SAP günlüklerini tanımlama.

Bu makalede SAP® uygulamaları ve veri bağlayıcısı için Microsoft Sentinel çözümünün bir parçası olarak kullanılabilen işlevler, günlükler ve tablolar açıklanmaktadır. Gelişmiş SAP kullanıcılarına yöneliktir.

SAP çözümünden kullanılabilen işlevler

Bu bölümde, SAP® uygulamaları için Microsoft Sentinel çözümünü dağıttıktan sonra çalışma alanınızda kullanılabilen işlevler açıklanmaktadır. Bu işlevleri, Çalışma alanı işlevleri altında listelenen KQL sorgularınızda kullanmak üzere Microsoft Sentinel Günlükleri sayfasında bulabilirsiniz.

Kullanıcıların, temel alınan günlükler veya tablolar yerine mümkün olduğunda işlevleri analiz konusu olarak kullanmaları kesinlikle önerilir . Bu işlevler, veriler için asıl kullanıcı arabirimi görevi görecek şekilde tasarlanmıştır. Bunlar, kullanıma hazır olarak kullanabileceğiniz tüm yerleşik analiz kurallarının ve çalışma kitaplarının temelini oluşturur. Bu, kullanıcı tarafından oluşturulan içeriği bozmadan işlevlerin altındaki veri altyapısında değişiklik yapılmasını sağlar.

SAPUsersAssignments

SAPUsersAssignments işlevi, birden çok SAP veri kaynağından veri toplar ve şu anda atanmış olan roller ve profiller de dahil olmak üzere geçerli kullanıcı ana verilerinin kullanıcı merkezli bir görünümünü oluşturur.

Bu işlev, rollere ve profillere kullanıcı atamalarını özetler ve aşağıdaki verileri döndürür:

Alan Açıklama Veri Kaynağı/Notlar
User SAP kullanıcı kimliği Yalnızca SAL
E-posta SMTP adresi USR21 (SMTP_ADDR)
UserType Kullanıcı türü USR02 (USTYP)
Saat Dilimi Time zone USR02 (TZONE)
LockedStatus Kilit durumu USR02 (UFLAG)
LastSeenDate Son görülme tarihi USR02 (TRDAT)
LastSeenTime Son görülme zamanı USR02 (LTIME)
UserGroupAuth Kullanıcı ana bakımındaki kullanıcı grubu USR02 (SıNıF)
Profiller Profil kümesi (varsayılan maksimum küme boyutu = 50) ["Profile 1", "Profile 2",...,"profile 50"]
DirectRoles Doğrudan atanan roller kümesi (varsayılan maksimum küme boyutu = 50) ["Role 1", "Role 2",...,"”"Role 50"]
ChildRoles Dolaylı olarak atanan roller kümesi (varsayılan maksimum küme boyutu = 50) ["Role 1", "Role 2",...,"”"Role 50"]
İstemci Client ID
Systemıd Sistem Kimliği Bağlayıcıda tanımlandığı gibi

SAPUsersGetPrivileged

SAPUsersGetPrivileged işlevi, istemci ve sistem kimliği başına ayrıcalıklı kullanıcıların listesini döndürür.

Sap - Privileged Users izleme listesinde listelendiklerinde, SAP - Hassas Profiller izleme listesinde listelenen bir profile atandığında veya SAP - Hassas Roller izleme listesinde listelenen bir role eklendiklerinde kullanıcılar ayrıcalıklı olarak kabul edilir.

Parametreler:

  • TimeAgo
    • İsteğe bağlı
    • Varsayılan değer: Yedi gün
    • İşlevin değer tarafından tanımlanan süreden değer tarafından TimeAgo tanımlanan now() zamana kadar Kullanıcı ana verilerini aradığını belirler.

SAPUsersGetPrivileged işlevi aşağıdaki verileri döndürür:

Alan Açıklama
User SAP kullanıcı kimliği
İstemci Client ID
Systemıd Sistem Kimliği

SAPUsersAuthorizations

SAPUsersAuthorizations işlevi, atanan geçerli rollerin ve yetkilendirmelerin kullanıcı merkezli bir görünümünü oluşturmak için çeşitli tablolardaki verileri bir araya getirir. Yalnızca etkin rol ve yetkilendirme atamalarına sahip kullanıcılar döndürülür.

Parametreler:

  • TimeAgo
    • İsteğe bağlı
    • Varsayılan değer: Yedi gün
    • İşlevin değer tarafından tanımlanan süreden değer tarafından TimeAgo tanımlanan now() zamana kadar Kullanıcı ana verilerini aradığını belirler.

SAPUsersAuthorizations işlevi aşağıdaki verileri döndürür:

Alan Açıklama Notlar
User SAP kullanıcı kimliği
Roller Rol kümesi (varsayılan en büyük küme boyutu = 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails Yetkilendirme kümesi (varsayılan maksimum küme boyutu = 100) {{AuthorizationsDeatils1},
{AuthorizationsDeatils2},
...,
{AuthorizationsDeatils100}}
İstemci Client ID
Systemıd Sistem Kimliği

SAP Bağlan orHealth

SAP Bağlan orHealth işlevi, aracının durumunu ve temel sap sisteminin bağlantısını yansıtır. Sinyal günlüğü SAP_HeartBeat_CL ve diğer sistem durumu göstergelerine bağlı olarak aşağıdaki verileri döndürür:

Alan Açıklama
Temsilci Aracı yapılandırmasındaki aracı kimliği (otomatik olarak oluşturulur)
Systemıd SAP Sistem Kimliği
Durum Genel bağlantı durumu
Ayrıntılar Bağlan üretkenlik ayrıntıları
ExtendedDetails Bağlan ivity genişletilmiş ayrıntıları
LastSeen En son etkinliğin zaman damgası
StatusCode Sistemin durumunu yansıtan kod

SAP Bağlan orOverview

SAP Bağlan orOverview işlevi, sistem kimliği başına her SAP tablosunun satır sayısını gösterir. Sistem kimliği başına veri kayıtlarının bir listesini ve bunların oluşturulduğu zamanı döndürür.

Parametreler:

  • TimeAgo
    • İsteğe bağlı
    • Varsayılan değer: Yedi gün
    • İşlevin değer tarafından tanımlanan süreden değer tarafından TimeAgo tanımlanan now() zamana kadar Kullanıcı ana verilerini aradığını belirler.
Alan Açıklama
TimeGenerated Kaydın neslinin zaman damgasının tarih saat değeri
SystemID_s SAP Sistem Kimliğini temsil eden bir dize

Günlük eğilim analizi gerçekleştirmek için aşağıdaki Kusto sorgusunu kullanın:

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

SAPUsersEmail işlevi, SAP sistemi ve istemcisi başına bir SAP kullanıcısının e-posta adresinin performans odaklı aramasını sağlar ve normalde bunu bir Active Directory hesabıyla ilişkilendirmek için kullanılır. SAP tablolarından ayıklanan veriler USR21 (Kullanıcı Adı/Adres Anahtarı Ataması) ve ADR6 (E-Posta Adresleri) kullanılarak SAPUsersEmail işlevi bir E-posta adresi arar. Bulunamazsa, e-posta adresi yerine kullanıcı kimliği döndürülür. Bu davranış, genellikle bir e-posta adresleriyle ilişkilendirilmeyen SAP hizmet hesaplarının (DDIC gibi) sahte AD hesapları olarak günlüğe kaydedilmesini sağlar ve bazı UEBA özelliklerini etkinleştirir ve olayların ve tehdit avcılığı etkinliklerinin araştırılmasında yardımcı olur.

Alan Açıklama
Clientıd SAP İstemci Kimliği
Systemıd SAP Sistem Kimliği
User SAP Kullanıcı Kimliği
E-posta SAP Kullanıcısının E-posta adresi

SAPSystems

SAPSystems işlevi, 'SAP - Systems' izleme listesi kullanılarak yapılan sistem başına yapılandırmayı merkezi olarak sunmak için kullanılır.

Parametreler:

  • SelectedSystems
    • İsteğe bağlı
    • Varsayılan değer: "Tüm Sistemler"
    • Belirli SAP sistemlerini filtrelemek için kullanılır
  • SelectedSystemRoles
    • İsteğe bağlı
    • Varsayılan değer: "Tüm Sistem Rolleri"
    • Bakılacak SAP Sistemlerinin rollerini belirler ("SAP - Systems" izleme listesinde tanımlandığı gibi)
Alan Açıklama Veri Kaynağı/Notlar
Arama Tuşu Arama Anahtarı SAP Sistem Kimliği için dizine alınan alan
SystemRole SAP Sisteminin Rolü Üretim, UAT
SystemUsage SAP sisteminin ana kullanımı ERP, CRM
Systemıd SAP Sistem Kimliği

SAPAuditLogConfiguration

SAPAuditLogConfiguration işlevi, Sap denetim günlüğüyle ilgili farklı uyarılar için kullanılacak Sentinel çalışma alanının SAP denetim günlüğü uyarısının yerel yapılandırmasını döndürür. Sistem başına rol eforuyla sistem başına yapılandırma sağlamak için 'SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırması' ve 'SAP - Systems' izleme listelerindeki verileri birleştirir.

Parametreler:

  • SelectedSystems
    • İsteğe bağlı
    • Varsayılan değer: "Tüm Sistemler"
    • Belirli SAP sistemlerini filtrelemek için kullanılır.
  • SelectedSystemRoles
    • İsteğe bağlı
    • Varsayılan değer: "Tüm Sistem Rolleri"
    • Bakılacak SAP Sistemlerinin rollerini belirler ("SAP - Systems" izleme listesinde tanımlandığı gibi).
  • Seçili Azimler
    • İsteğe bağlı
    • Varsayılan değer: ["Yüksek", "Orta"]
    • Önem dereceleri açısından bakılacak olayları belirlemek için kullanılır. SAP denetim günlüğü ileti kimliği ve sistem rolü başına önem dereceleri "SAP_Dynamic_Audit_Log_Monitor_Configuration" izleme listesinde tanımlanır.
  • SelectedRuleTypes
    • İsteğe bağlı
    • Varsayılan değer: "Tüm RuleTypes"
    • Anomalileri algılamak için hangi olayların uygun olduğunu belirler. SAP denetim günlüğü ileti kimliği ve sistem rolü başına kural türleri "SAP_Dynamic_Audit_Log_Monitor_Configuration" izleme listesinde tanımlanır.
Alan Açıklama Veri Kaynağı/Notlar
KategoriAdı SAP verilen olay kategorisi 'SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırması' izleme listesi
DestinationEmail Atanan Ekibin e-posta adresi 'SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırması' izleme listesi
DetailedDescription Uyarılarda görüntülenecek markdown biçimli metin 'SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırması' izleme listesi
Messageıd SAP denetim günlüğü ileti kimliği 'SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırması' izleme listesi
İleti Metni Örnek ileti metni 'SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırması' izleme listesi
RolesTagsToExclude ABAP Rolü, Profili veya serbest metin etiketi 'SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırması' izleme listesi
RuleType Anomali veya belirleyici 'SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırması' izleme listesi
Taktikler MITRE ATTA&CK taktiği 'SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırması' izleme listesi
TeamsChannelID Teams Kanalı 'SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırması' izleme listesi
Systemıd SAP Sistem Kimliği 'SAP - Systems' izleme listesi
SystemRole SAP Sisteminin Rolü 'SAP - Systems' izleme listesi
SystemUsage SAP sisteminin ana kullanımı 'SAP - Systems' izleme listesi
IsProd Üretim sistemi bayrağı 'SAP - Systems' izleme listesi
Önem Türetilmiş önem derecesi Sistem kullanımı başına önem derecesi
Threshold Türetilmiş eşik Sistem Kullanımı başına olay sayısı
BagOfDetails Ayrıntılar Çantası Olay tanımının ayrıntılarını içeren sözlük

SAPAuditLogAnomalies

SAPAuditLogAnomalies, SAP denetim günlüğünde gözlemlenen anormal olayları algılamaya yardımcı olmak için Sentinel'in temel kusto veritabanının yerleşik makine öğrenmesi özelliklerini kullanır. "SAP - (Deneysel) Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları" uyarı kuralı için geliştirilen bu işlev başlangıçta son anomaliler hakkında uyarı vermek üzere tasarlanmıştır, ancak geçmiş anomalileri vurgulama konusunda da yardımcı olabilir (aşağıdaki örneklere bakın).

Parametreler:

  • LearningTime
    • İsteğe bağlı
    • Varsayılan Değer: 14 gün
    • Model öğrenmesi için kullanılan zaman aralığını belirler
  • DetectingTime
    • İsteğe bağlı
    • Varsayılan değer: Bir saat
    • Anomalileri algılamak için bakılacak zaman aralığını belirler. DetectingTime = 0h ile bu işlevin çağrılması LearningTime zaman aralığının tamamında anomalileri vurgular
  • SelectedSystems
    • İsteğe bağlı
    • Varsayılan değer: "Tüm Sistemler"
    • Belirli SAP sistemlerini filtrelemek için kullanılır.
  • SelectedSystemRoles
    • İsteğe bağlı
    • Varsayılan değer: "Tüm Sistem Rolleri"
    • Bakılacak SAP Sistemlerinin rollerini belirler ("SAP - Systems" izleme listesinde tanımlandığı gibi).
  • Seçili Azimler
    • İsteğe bağlı
    • Varsayılan değer: ["Yüksek", "Orta"]
    • Önem dereceleri açısından bakılacak olayları belirlemek için kullanılır. SAP denetim günlüğü ileti kimliği ve sistem rolü başına önem dereceleri "SAP_Dynamic_Audit_Log_Monitor_Configuration" izleme listesinde tanımlanır.
  • SelectedPrefixMask
    • İsteğe bağlı
    • Varsayılan değer: 24
    • Öğrenme ve algılama için kullanılan alt ağ maskesi düzeyini belirlemek için kullanılır.
  • SelectedRuleTypes
    • İsteğe bağlı
    • Varsayılan değer: "AnomalilerOnly"
    • Anomalileri algılamak için hangi olayların uygun olduğunu belirler. SAP denetim günlüğü ileti kimliği ve sistem rolü başına kural türleri "SAP_Dynamic_Audit_Log_Monitor_Configuration" izleme listesinde tanımlanır.

Mantık

İşlev, kullanıcı, ağ öznitelikleri, sistem, mevsimsellik ve etkinlik düzeylerinde farklı giriş parametreleri tarafından tanımlanan geçmişin dilimini öğrenir. Ardından, sap denetim günlüğü yapılandırma izleme listesinden alınan eşikler ve diğer yapılandırılabilir dışlama ölçütlerini uygulayarak öğrendiklerine göre son DetectingTime zaman aralığı içinde gerçekleşen olayları değerlendirir. Kullanıcı etkinliğinin kayan penceresi anormal olarak kabul edildikten sonra ikinci bir sorgu, kararı destekleyen kanıt olarak tüm kullanıcı etkinliğini döndürür.

Ek notlar

Her makine öğrenmesi çözümünde olduğu gibi bu işlev de zamanla daha iyi performans gösterir. Yerel yapılandırma kullanılarak daha fazla ayarlama yapılabilir. Birçok kullanılabilir giriş parametresini kullanarak öğrenilen veritabanının boyutunu 100 milyon kaydın altında olacak şekilde kısıtlamanız önerilir.

Örnek: "SAP_Dynamic_Audit_Log_Monitor_Configuration" içinde "AnomaliesOnly" olarak işaretlenmiş olay türleri için üretim sistemlerinde son bir saat içinde gerçekleşen yüksek önem derecesine sahip olaylara yönelik anomaliler aranıyor

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))

Örnek: "BIP" sisteminde son 14 gün içindeki tüm anomaliler aranıyor

SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Alan Açıklama
SAPAuditLog'dan birden çok alan SAP Denetim günlüğündeki anahtar alanlar
SAPAuditLogConfiguration'dan birden çok alan SAP denetim günlüğü yapılandırması için Sentinel'den önemli alanlar
DiscoveredOn Anomalinin gözlemlendiği yuvarlanmış saat
EventCount Döndürülen satır başına sayılan olay sayısı
AnomalCount İlgili kayan pencerede gözlemlenen olay sayısı
MinTime gözlemlenen ilk olayın zamanı
MaxTime Gözlemlenen son olayın zamanı
Puan anomali, anomali modeli tarafından üretilen şekilde puanlar

Daha fazla bilgi için bkz . SAP denetim günlüğünü izlemek için yerleşik SAP analiz kuralları.

SAPAuditLogConfigRecommend

SAPAuditLogConfigRecommend, SAP - Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME) analiz kuralının yapılandırması için öneriler sunmak üzere tasarlanmış bir yardımcı işlevdir. Kuralları yapılandırmayı öğrenin.

SAPUsersGetVIP

SAP® uygulamaları için Microsoft Sentinel çözümü, hatalı pozitif sonuçları en az çabayla azaltmanıza yardımcı olmak için tasarlanmış merkezi kullanıcı etiketlemesi ve açık dışlamalar kavramını kullanır. SAP kullanıcı rollerini, SAP kullanıcı işlevlerini veya bu kullanıcıları temsil eden etiketleri belirterek kullanıcıları uyarıları tetiklemekten dışlamak için SAPUsersGetVIP işlevini kullanın. Daha fazla bilgi için bkz . Microsoft Sentinel'de hatalı pozitif sonuçları işleme.

SAPUsersGetVIP işlevi için giriş olarak belirtilen etiketler, SAP_User_Config izleme listesinde listelenen bir etikete sahip tüm kullanıcıları dışlar. Aynı işlevsellik joker karakterlerle çalışacak şekilde genişletilir ve aynı adlandırma söz dizimine sahip bir kullanıcı grubuna tek bir etiket atamanıza olanak sağlar.

  1. SAP_User_Config izleme listesindeki kullanıcıları aşağıdaki gibi etiketleyin:

    • Çeşitli senaryoları ele almak için SAP_User_Config izleme listesindeki her kullanıcıya birden çok etiket ekleyin. Her uyarı kuralının varsa kendi ilgili etiketleri vardır ve gerektiğinde özel etiketler ekleyebilirsiniz.

    • Belirli bir adlandırma söz dizimi şablonuna sahip kullanıcıları eklemek için joker karakter olarak yıldız işareti (*) kullanın.

  2. Tanımladığınız kullanıcı listelerinin uyarılardan hariç tutulmasını istemek için analiz kurallarınıza SAPUsersGetVIP işlevini ekleyin. İşlev çağrısında, hariç tutmak istediğiniz etiketleri, SAP rollerini ve SAP profillerini içeren bir dizi ekleyin.

Örneğin, analiz kuralınızda aşağıdaki KQL sorgusunu kullanarak SAP_User_Config izleme listesindeki RunObsoleteProgOK etiketiyle yapılandırılmış kullanıcıları veya örnek SAP_BASIS_ADMIN_ROLE rolüne veya örnek SAP_ADMIN_PROFILE profiline sahip kullanıcıları hariç tutun.

Bu örnek işlev çağrısını kopyalarken, SAP_BASIS_ADMIN_ROLE rolü ve SAP_ADMIN_PROFILE profilini gerektiği gibi kendi SAP rollerinizle veya profillerinizle değiştirin.

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

SAPUsersGetVIP işlevi genellikle Deterministic ve Anormal Denetim Günlüğü İzleyicisi uyarılarında kullanılır. Etiketi SAP denetim günlüğü ileti kimliğiyle ilişkilendirin veya kural şablonunu kuruluşunuzun gereksinimlerine uyan özel bir kurala genişletin.

İpucu

hangi SAP kullanıcılarını, rollerini ve profillerini SAP_User_Config izleme listenize dahil etmek için SAP sistem yöneticinize başvurmanızı öneririz.

Parametreler:

Veri Akışı Adı Veri Akışı Açıklaması Default value
SearchForTags (İsteğe bağlı) eşit All TagsolduğundaSearchForTags, tüm kullanıcılar etiketleriyle birlikte döndürülür.

Aksi takdirde yalnızca içinde belirtilen SearchForTags etiketleri, SAP rollerini veya SAP profillerini taşıyan kullanıcılar döndürülür. TagsIntersect bulunan etiketleri gösterir ve IntersectionSize bulunan etiket sayısını tutar.		 dynamic('All Tags')
SpecialFocusTags (İsteğe bağlı) içinde SpecialFocusTagsbelirtilen etiketleri taşıyan ve ile işaretlenen specialFocusTagged = truetüm kullanıcıları döndürür. Do not return any in-focus users
Source Alan Açıklama Notlar
SAP_User_Config izleme listesi Arama Tuşu Arama Anahtarı
SAP_User_Config izleme listesi SAPUser SAP Kullanıcısı OSS, DDIC
SAP_User_Config izleme listesi Etiketler Kullanıcıya atanan etiket dizesi RunObsoleteProgOK
SAP_User_Config izleme listesi Kullanıcının Microsoft Entra Nesne Kimliği Microsoft Entra Nesne Kimliği
SAP_User_Config izleme listesi Kullanıcı Tanımlayıcısı AD Kullanıcı Tanımlayıcısı
SAP_User_Config izleme listesi Kullanıcı şirket içi Sid
SAP_User_Config izleme listesi Kullanıcı Asıl Adı
SAP_User_Config izleme listesi TagsList Kullanıcıya atanan etiketlerin listesi ChangeUserMasterDataOK; RunObsoleteProgOK
Mantık TagsIntersect SearchForTags ile eşleşen bir etiket kümesi ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Mantık SpecialFocusTagged Özel odak göstergesi Doğru, Yanlış
Mantık Kesişim Boyutu Kesişen Etiketlerin sayısı

SAPUsersHeader

SAPUsersHeader işlevi, SAP kullanıcısının üst düzey bir görünümünü sağlamak için tasarlanmıştır. E-posta ve IP adreslerini toplamak için hem SAP kullanıcı ana veri tablolarından hem de SAP denetim günlüğündeki son etkinliklerden ayıklanan verileri kullanır. Ardından bilinen son e-posta ve IP adreslerinin yanı sıra birincil e-posta ve IP adreslerini döndürür. Parametreler: SelectedSystemRoles:dynamic = dynamic(["Tüm Sistem Rolleri"]) SelectedSystems:dynamic = dynamic(["Tüm Sistemler"]) SelectedUsers:dynamic = dynamic(["Tüm Kullanıcılar"]) SelectedUser:string = "Tüm Kullanıcılar"

  • SelectedSystems
    • İsteğe bağlı
    • Varsayılan değer: "Tüm Sistemler"
    • Belirli SAP sistemlerini filtrelemek için kullanılır.
  • SelectedSystemRoles
    • İsteğe bağlı
    • Varsayılan değer: "Tüm Sistem Rolleri"
    • Bakılacak SAP Sistemlerinin rollerini belirler ("SAP - Systems" izleme listesinde tanımlandığı gibi).
  • SelectedUsers
    • İsteğe bağlı
    • Varsayılan değer: "Tüm Kullanıcılar"
    • Kullanıcı listelerini giriş yapabilir.
  • SelectedUser
    • İsteğe bağlı
    • Varsayılan değer: "Tüm Kullanıcılar"
    • Yalnızca tek bir kullanıcıyı kabul eder

Ek notlar

Performansla ilgili dikkat edilmesi gerekenler için yalnızca birkaç günlük denetim etkinliği dikkate alınır. Kullanıcı etkinliğinin tam geçmişi için SAPAuditLog işlevine karşı özel bir KQL sorgusu çalıştırın.

Source Alan Açıklama Notlar
User SAP kullanıcısı
SAP tabloları ADR6 ve USR21 E-posta Kullanıcının ana verilerinden alınır OSS, DDIC
SAP tablosu USR02 UserType kullanıcıya atanan etiket dizesi RunObsoleteProgOK
SAP tablosu USR02 Saat Dilimi Microsoft Entra Nesne Kimliği
SAP tablosu USR02 LockedStatus AD Kullanıcı Tanımlayıcısı
SAP denetim günlüğü LastSeen Zaman damgası kullanıcı için gözlemlenen son denetim olayı
SAP denetim günlüğü LastSeenDaysAgo LastSeen'den bu yana geçen günler
SAP denetim günlüğü PrimaryIP En sık kullanılan IP adresi ChangeUserMasterDataOK; RunObsoleteProgOK
SAP denetim günlüğü LastKnownIP En son kullanılan IP adresi ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
SAP denetim günlüğü PrimaryEmail En sık kullanılan E-posta adresi Doğru, Yanlış
SAP denetim günlüğü Bilinen AD'ler Bilinen IP adreslerinin listesi önce en sık sıralanana göre sıralanmış
SAP denetim günlüğü Bilinen E-postalar Bilinen E-posta adreslerinin listesi önce en sık sıralanana göre sıralanmış
İstemci SAP İstemci Kimliği
Systemıd SAP sistem kimliği
SystemRole SAP Sisteminin Rolü Üretim, UAT
SystemUsage SAP sisteminin ana kullanımı ERP, CRM

Veri bağlayıcısı aracısı tarafından üretilen günlükler

Bu bölümde, Microsoft Sentinel'deki tablo adları, günlük amaçları ve ayrıntılı günlük şemaları dahil olmak üzere SAP uygulamaları veri bağlayıcısı için Microsoft Sentinel çözümünde sağlanan SAP® günlükleri açıklanmaktadır. Şema alanı açıklamaları, ilgili SAP belgelerindeki alan açıklamalarını temel alır.

En iyi sonuçları elde etmek için, verileri görselleştirmek, erişmek ve sorgulamak için aşağıda listelenen Microsoft Sentinel işlevlerini kullanın.

ABAP Uygulama günlüğü

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPAppLog

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: Daha sonra gerektiğinde yeniden oluşturabilmeniz için uygulama yürütme işleminin ilerleme durumunu kaydeder.

    Standart SAP tablosunu ve XBP arabiriminin standart hizmetlerini temel alan RFC kullanılarak kullanılabilir. Bu günlük istemci başına oluşturulur.

günlük şemasını ABAPAppLog_CL

Alan Açıklama
AppLogDateTime Uygulama günlüğü tarih saati
CallbackProgram Geri çağırma programı
CallbackRoutine Geri çağırma yordamı
CallbackType Geri arama türü
Clientıd ABAP istemci kimliği (MANDT)
ContextDDIC Bağlam DDIC yapısı
ExternalID Dış günlük kimliği
Ana Bilgisayar Ana Bilgisayar
Örnek ABAP örneği, aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
InternalMessageSerial Uygulama günlüğü iletisi seri
LevelofDetail Ayrıntı düzeyi
LogHandle Uygulama günlüğü tutamacı
LogNumber Günlük numarası
MessageClass Message sınıfı
MessageNumber İleti numarası
İleti Metni İleti metni
Messagetype İleti türü
Object Uygulama günlüğü nesnesi
OperationMode İşlem modu
ProblemClass Sorun sınıfı
ProgramAdı Program adı
SortCriterion Sıralama ölçütü
StandardText Standart metin
Subobject Uygulama günlüğü alt nesnesi
Systemıd Sistem Kimliği
SystemNumber Sistem numarası
TransactionCode İşlem kodu
User User
UserChange Kullanıcı değişikliği

ABAP Belgeleri Değiştir günlüğü

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPChangeDocsLog

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: Kayıtlar:

    • SAP NetWeaver Uygulama Sunucusu (AS) ABAP günlük değişiklikleri, değişiklik belgelerindeki iş verileri nesnelerine yapılır.

    • SAP sistemindeki kullanıcı verileri, roller, adresler gibi diğer varlıklar.

    Standart SAP tablolarını temel alan RFC kullanılarak kullanılabilir. Bu günlük istemci başına oluşturulur.

günlük şemasını ABAPChangeDocsLog_CL

Alan Açıklama
ActualChangeNum Gerçek değişiklik numarası
ChangedTableKey Tablo anahtarı değiştirildi
Changenumber Numarayı değiştir
Clientıd ABAP istemci kimliği (MANDT)
CreatedfromPlannedChange Planlı değişiklikten oluşturuldu, aşağıdaki söz diziminde: (‘X’ , ‘ ‘)
CurrencyKeyNew Para birimi anahtarı: yeni değer
CurrencyKeyOld Para birimi anahtarı: eski değer
Fieldname Alan adı
FlagText Metni bayrakla işaretleme
Ana Bilgisayar Ana Bilgisayar
Örnek ABAP örneği, aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
Dil Dil
Objectclass Nesne sınıfı, örneğin BELEG, BPAR, PFCGIDENTITY
ObjectID Nesne kimliği
PlannedChangeNum Planlı değişiklik numarası
Systemıd Sistem Kimliği
SystemNumber Sistem numarası
TableName Tablo adı
TransactionCode İşlem kodu
TypeofChange_Header Üst bilgi türü değişikliği, örneğin:
U = Değiştir; I = Ekle; E = TekLi Docu'ları sil; D = Sil; J = Tek Docu Ekle
TypeofChange_Item Öğe türü değişikliği, örneğin:
U = Değiştir; I = Ekle; E = TekLi Docu'ları sil; D = Sil; J = Tek Docu Ekle
UOMNew Ölçü birimi: yeni değer
UOMOld Ölçü birimi: eski değer
User User
DeğerYeni Alan içeriği: yeni değer
ValueOld Alan içeriği: eski değer
Sürüm Sürüm

ABAP CR günlüğü

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPCRLog

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: Değişikliklerin yapıldığı dizin nesneleri ve özelleştirmeler de dahil olmak üzere Değişiklik ve Taşıma Sistemi (CTS) günlüklerini içerir.

    Standart tablolar ve standart SAP hizmetlerini temel alan RFC kullanılarak kullanılabilir. Bu günlük tüm istemcilerdeki verilerle oluşturulur.

Not

Uygulama günlüğü, değişiklik belgeleri ve tablo kaydına ek olarak, Değişiklik ve Taşıma Sistemi'ni kullanarak üretim sisteminizde yaptığınız tüm değişiklikler CTS ve TMS günlüklerinde belgelenir.

günlük şemasını ABAPCRLog_CL

Alan Tanım
Kategori Kategori (Workbench, Özelleştirme)
Clientıd ABAP istemci kimliği (MANDT)
Açıklama Açıklama
Host Ana Bilgisayar
Örnek ABAP örneği, aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
ObjectName Object name
Nesnetürü Object type
Sahip Sahip
İstek Değişiklik talebi
Statü Statü
Systemıd Sistem Kimliği
SystemNumber Sistem numarası
TableKey Tablo anahtarı
TableName Tablo adı
Viewname Görünüm adı

ABAP DB tablo veri günlüğü (ÖNİzLEME)

Bu günlüğün Microsoft Sentinel'e gönderilmesi için, systemconfig.ini dosyasına el ile eklemeniz gerekir.

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPTableDataLog

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: Kritik veya denetimlere duyarlı olan tablolar için günlüğe kaydetme sağlar.

    Rfc'nin özel bir hizmetle kullanılmasıyla kullanılabilir. Bu günlük tüm istemcilerdeki verilerle oluşturulur.

günlük şemasını ABAPTableDataLog_CL

Alan Açıklama
DBLogID VERITABANı günlük kimliği
Ana Bilgisayar Ana Bilgisayar
Örnek ABAP örneği, aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
Dil Dil
LogKey Günlük anahtarı
Newvalue Yeni alan değeri
Oldvalue Alan eski değeri
OperationTypeSQL İşlem türü, Insert, Update, Delete
Program Program adı
Systemıd Sistem Kimliği
SystemNumber Sistem numarası
TableField Tablo alanı
TableName Tablo adı
TransactionCode İşlem kodu
UserName User
VersionNumber Sürüm numarası

ABAP Ağ Geçidi günlüğü (ÖNİzLEME)

Bu günlüğün Microsoft Sentinel'e gönderilmesi için, systemconfig.ini dosyasına el ile eklemeniz gerekir.

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPOS_GW

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: Ağ Geçidi etkinliklerini izler. SAP Denetim Web Hizmeti tarafından kullanılabilir. Bu günlük tüm istemcilerdeki verilerle oluşturulur.

günlük şemasını ABAPOS_GW_CL

Alan Açıklama
Host Ana Bilgisayar
Örnek ABAP örneği, aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
İleti Metni İleti metni
Önem İleti önem derecesi: Debug, Info, Warning, Error
Systemıd Sistem Kimliği
SystemNumber Sistem numarası

ABAP ICM günlüğü (ÖNİzLEME)

Bu günlüğün Microsoft Sentinel'e gönderilmesi için, systemconfig.ini dosyasına el ile eklemeniz gerekir.

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPOS_ICM

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: Gelen ve giden istekleri kaydeder ve HTTP isteklerinin istatistiklerini derler.

    SAP Denetim Web Hizmeti tarafından kullanılabilir. Bu günlük tüm istemcilerdeki verilerle oluşturulur.

Günlük şemasını ABAPOS_ICM_CL

Alan Açıklama
Host Ana Bilgisayar
Örnek ABAP örneği, aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
İleti Metni İleti metni
Önem İleti önem derecesi: Debug, Info, Warning, Error
Systemıd Sistem Kimliği
SystemNumber Sistem numarası

ABAP İş günlüğü

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPJobLog

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: Tüm arka plan işleme iş günlüklerini (SM37) birleştirir.

    Standart SAP tablosunu ve XBP arabirimlerinin standart hizmetlerini temel alan RFC kullanılarak kullanılabilir. Bu günlük tüm istemcilerdeki verilerle oluşturulur.

Günlük şemasını ABAPJobLog_CL

Alan Açıklama
ABAPProgram ABAP programı
BgdEventParameters Arka plan olayı parametreleri
BgdProcessingEvent Arka plan işleme olayı
Clientıd ABAP istemci kimliği (MANDT)
DynproNumber Dynpro numarası
GUIStatus GUI durumu
Ana Bilgisayar Ana Bilgisayar
Örnek ABAP örneği (HOST_SYSID_SYSNR), aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
jobclassification İş sınıflandırması
jobcount İş sayısı
JobGroup İş grubu
İşAdı İş adı
JobPriority İş önceliği
MessageClass Message sınıfı
MessageNumber İleti numarası
İleti Metni İleti metni
Messagetype İleti türü
ReleaseUser İş sürümü kullanıcısı
SchedulingDateTime Zamanlama tarih saati
StartDateTime Başlangıç tarihi saati
Systemıd Sistem Kimliği
SystemNumber Sistem numarası
Targetserver Hedef sunucu
User User
UserReleaseInstance ABAP örneği - kullanıcı sürümü
WorkProcessID İş süreci kimliği
WorkProcessNumber İş süreci numarası

ABAP Güvenlik Denetim günlüğü

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPAuditLog

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: Aşağıdaki verileri kaydeder:

    • ANA kullanıcı kayıtlarında yapılan değişiklikler gibi SAP sistem ortamında güvenlikle ilgili değişiklikler
    • Başarılı ve başarısız oturum açma girişimleri gibi daha yüksek düzeyde veri sağlayan bilgiler
    • Başarılı veya başarısız işlem başlatmaları gibi bir dizi olayın yeniden yapılandırılmasını sağlayan bilgiler

    RFC XAL/SAL arabirimleri kullanılarak kullanılabilir. SAL, Temel 7.50 sürümünden itibaren kullanılabilir. Bu günlük tüm istemcilerdeki verilerle oluşturulur.

günlük şemasını ABAPAuditLog_CL

Alan Açıklama
ABAPProgramName Program adı, yalnızca SAL
Uyarı Azmi Uyarı önem derecesi
AlertSeverityText Uyarı önem derecesi metni, yalnızca SAL
AlertValue Uyarı değeri
AuditClassID Denetim sınıfı kimliği, yalnızca SAL
Clientıd ABAP istemci kimliği (MANDT)
Bilgisayar Kullanıcı makinesi, yalnızca SAL
E-posta Kullanıcı e-posta adresi
Ana Bilgisayar Ana Bilgisayar
Örnek ABAP örneği, aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
MessageClass Message sınıfı
MessageContainerID İleti kapsayıcı kimliği, Yalnızca XAL
Messageıd İleti kimliği, örneğin ‘AU1’,’AU2’…
İleti Metni İleti metni
MonitoringObjectName MTE İzleyici nesne adı, yalnızca XAL
MonitorShortName MTE İzleyici kısa adı, yalnızca XAL
SAPProcesType Sistem Günlüğü: SAP işlem türü, yalnızca SAL
B* - Arka Plan İşleme
D* - İletişim Kutusu İşleme
U* - Görevleri Güncelleştirme
SAPWPName Sistem Günlüğü: İş süreci numarası, yalnızca SAL
Systemıd Sistem Kimliği
SystemNumber Sistem numarası
TerminalIPv6 Kullanıcı makinesi IP'si, yalnızca SAL
TransactionCode İşlem kodu, yalnızca SAL
User User
Değişken1 İleti değişkeni 1
Değişken2 İleti değişkeni 2
Değişken3 İleti değişkeni 3
Değişken4 İleti değişkeni 4

ABAP Biriktirici günlüğü

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPSpoolLog

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: Biriktirici isteklerinin geçmişiyle SAP Yazdırma için ana günlük görevi görür. (SP01).

    Standart SAP tablosunu temel alan RFC kullanılarak kullanılabilir. Bu günlük tüm istemcilerdeki verilerle oluşturulur.

günlük şemasını ABAPSpoolLog_CL

Alan Açıklama
ArchiveStatus Arşiv durumu
ArchiveType Arşiv türü
ArşivlemeCihaz Arşivleme cihazı
AutoRereoute Otomatik yeniden yönlendirme
Clientıd ABAP istemci kimliği (MANDT)
CountryKey Ülke anahtarı
DeleteSpoolRequestAuto Otomatik biriktirici isteği silme
DelFlag Silme bayrağı
Bölüm Bölüm
DocumentType Document type
ExternalMode Dış mod
Formattype Biçim türü
Ana Bilgisayar Ana Bilgisayar
Örnek ABAP örneği, aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
NumofCopies Kopya sayısı
OutputDevice Çıkış cihazı
PrinterLongName Yazıcı uzun adı
PrintImmediately Hemen yazdır
PrintOSCoverPage OSCover sayfasını yazdır
PrintSAPCoverPage SAPCover sayfasını yazdırma
Öncelik Öncelik
RecipientofSpoolRequest Biriktirici isteğinin alıcısı
SpoolErrorStatus Biriktirme hatası durumu
SpoolRequestCompleted Biriktirme isteği tamamlandı
SpoolRequestisALogForAnotherRequest Biriktirme isteği başka bir isteğin günlüğüdür
SpoolRequestName Biriktirme isteği adı
SpoolRequestNumber Biriktirme isteği numarası
SpoolRequestSuffix1 Biriktirme isteği son eki1
SpoolRequestSuffix2 Biriktirme isteği son eki2
SpoolRequestTitle Biriktirme isteği başlığı
Systemıd Sistem Kimliği
SystemNumber Sistem numarası
TelekomünikasyonPartner Telekomünikasyon iş ortağı
TelekomünikasyonPartnerE Telekomünikasyon iş ortağı E
TemSeGeneralcounter Temse sayacı
TemseNumAddProtectionRule Temse numarası koruma kuralı ekleme
TemseNumChangeProtectionRule Temse sayı değişikliği koruma kuralı
TemseNumDeleteProtectionRule Temse sayı silme koruma kuralı
TemSeObjectName Temse nesne adı
TemSeObjectPart TemSe nesne bölümü
TemseReadProtectionRule Temse okuma koruma kuralı
User User
ValueAuthCheck Değer kimlik doğrulaması denetimi

APAB Biriktiricisi Çıkış günlüğü

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPSpoolOutputLog

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: Biriktirici çıkış isteklerinin geçmişiyle SAP Yazdırma için ana günlük görevi görür. (SP02).

    Standart tabloları temel alan özel bir hizmetle RFC kullanılarak kullanılabilir. Bu günlük tüm istemcilerdeki verilerle oluşturulur.

günlük şemasını ABAPSpoolOutputLog_CL

Alan Açıklama
AppServer Uygulama sunucusu
Clientıd ABAP istemci kimliği (MANDT)
Yorum Yorum
CopyCount Kopyalama sayısı
CopyCounter Sayacı kopyalama
Bölüm Bölüm
ErrorSpoolRequestNumber Hata isteği numarası
Formattype Biçim türü
Ana Bilgisayar Ana Bilgisayar
HostName Konak adı
HostSpoolerID Konak biriktirici kimliği
Örnek ABAP örneği
LastPage Son sayfa
NumofCopies Kopya sayısı
OutputDevice Çıkış cihazı
OutputRequestNumber Çıkış isteği numarası
OutputRequestStatus Çıkış isteği durumu
PhysicalFormatType Fiziksel biçim türü
PrinterLongName Yazıcı uzun adı
PrintRequestSize Yazdırma isteği boyutu
Öncelik Öncelik
ReasonforOutputRequest Çıkış isteğinin nedeni
RecipientofSpoolRequest Biriktirici isteğinin alıcısı
SpoolNumberofOutputReqProcessed Çıkış isteği sayısı - işlenen
SpoolNumberofOutputReqWithErrors Çıkış isteği sayısı - hatalarla
SpoolNumberofOutputReqWithProblems Çıkış isteği sayısı - sorunlarla
SpoolRequestNumber Biriktirme isteği numarası
Startpage Başlangıç sayfası
Systemıd Sistem Kimliği
SystemNumber Sistem numarası
TelekomünikasyonPartner Telekomünikasyon iş ortağı
TemSeGeneralcounter Temse sayacı
Başlık Başlık
User User

ABAP Syslog

Bu günlüğün Microsoft Sentinel'e gönderilmesi için, systemconfig.ini dosyasına el ile eklemeniz gerekir.

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPOS_Syslog

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: Tüm SAP NetWeaver Uygulama Sunucusu (SAP NetWeaver AS) ABAP sistem hatalarını, uyarılarını, bilinen kullanıcıların başarısız oturum açma girişimleri nedeniyle kullanıcı kilitlerini ve iletileri işlemeyi kaydeder.

    SAP Denetim Web Hizmeti tarafından kullanılabilir. Bu günlük tüm istemcilerdeki verilerle oluşturulur.

günlük şemasını ABAPOS_Syslog_CL

Alan Açıklama
Clientıd ABAP istemci kimliği (MANDT)
Ana Bilgisayar Ana Bilgisayar
Örnek ABAP örneği, aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
MessageNumber İleti numarası
İleti Metni İleti metni
Önem İleti önem derecesi, şu değerlerden biri: Debug, Info, Warning, , Error
Systemıd Sistem Kimliği
SystemNumber Sistem numarası
TransacationCode İşlem kodu
Tür SAP işlem türü
User User

ABAP İş Akışı günlüğü

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPWorkflowLog

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: SAP İş Akışı (WebFlow Altyapısı), SAP sisteminde henüz eşlenmemiş iş süreçlerini tanımlamanızı sağlar.

    Örneğin eşlenmemiş iş süreçleri basit sürüm veya onay yordamları ya da temel malzeme oluşturma ve ardından ilişkili bölümleri koordine etme gibi daha karmaşık iş süreçleri olabilir.

    Standart SAP tablolarını temel alan RFC kullanılarak kullanılabilir. Bu günlük istemci başına oluşturulur.

günlük şemasını ABAPWorkflowLog_CL

Alan Açıklama
ActualAgent Gerçek aracı
Adres Adres
ApplicationArea Uygulama alanı
CallbackFunction Geri çağırma işlevi
Clientıd ABAP istemci kimliği (MANDT)
CreationDateTime Oluşturma tarihi saati
Oluşturucu Oluşturucu
CreatorAddress Oluşturucu adresi
Errortype Hata türü
ExceptionforMethod Yöntem için özel durum
Ana Bilgisayar Ana Bilgisayar
Örnek ABAP örneği (HOST_SYSID_SYSNR), aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
Dil Dil
LogCounter Günlük sayacı
MessageNumber İleti numarası
Messagetype İleti türü
MethodUser Yöntem kullanıcısı
Öncelik Öncelik
SimpleContainer İş öğesi için Anahtar-Değer varlıklarının listesi olarak paketlenmiş basit kapsayıcı
Statü Statü
SuperWI Süper WI
Systemıd Sistem Kimliği
SystemNumber Sistem numarası
TaskID Görev Kimliği
TasksClassification Görev sınıflandırmaları
Görev Metni Görev metni
TopTaskID Üst görev kimliği
UserCreated Kullanıcı oluşturuldu
WIText İş öğesi metni
WIType İş öğesi türü
WorkflowAction İş akışı eylemi
WorkItemID İş öğesi kimliği

ABAP WorkProcess günlüğü

Bu günlüğün Microsoft Sentinel'e gönderilmesi için, systemconfig.ini dosyasına el ile eklemeniz gerekir.

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPOS_WP

  • İlgili SAP belgeleri: SAP Yardım Portalı

  • Günlük amacı: Tüm iş süreci günlüklerini birleştirir. (varsayılan: dev_*).

    SAP Denetim Web Hizmeti tarafından kullanılabilir. Bu günlük tüm istemcilerdeki verilerle oluşturulur.

günlük şemasını ABAPOS_WP_CL

Alan Açıklama
Host Ana Bilgisayar
Örnek ABAP örneği, aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
İleti Metni İleti metni
Önem İleti önem derecesi: Debug, Info, Warning, Error
Systemıd Sistem Kimliği
SystemNumber Sistem numarası
WPNumber İş süreci numarası

HANA DB Denetim İzi

Bu günlüğün Microsoft Sentinel'e gönderilmesi için, HANA DB çalıştıran makineden Syslog verilerini toplamak için bir Microsoft Yönetim Aracısı dağıtmanız gerekir.

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPSyslog

  • İlgili SAP belgeleri: Genel | Denetim İzi

  • Günlük amacı: SAP HANA veritabanında kullanıcı eylemlerini veya denenen eylemleri kaydeder. Örneğin, hassas verilere okuma erişimini günlüğe kaydetmenizi ve izlemenizi sağlar.

    Syslog için Sentinel Linux Aracısı tarafından kullanılabilir. Bu günlük tüm istemcilerdeki verilerle oluşturulur.

Syslog günlük şeması

Alan Açıklama
Bilgisayar Konak adı
HostIP Ana bilgisayar IP'si
HostName Konak adı
ProcessID Process ID
ProcessName İşlem adı: HDB*
SeverityLevel Uyarı
SourceSystem Kaynak sistem işletim sistemi, Linux
SyslogMessage İleti, ayrıştırılmamış denetim izi iletisi

JAVA dosyaları

Bu günlüğün Microsoft Sentinel'e gönderilmesi için, systemconfig.ini dosyasına el ile eklemeniz gerekir.

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAPJAVAFilesLogs

  • İlgili SAP belgeleri: Genel | Java Güvenlik Denetim Günlüğü

  • Günlük amacı: Güvenlik Denetim Günlüğü ve Sistem (küme ve sunucu işlemi), Performans ve Ağ Geçidi günlükleri dahil olmak üzere tüm Java dosya tabanlı günlükleri birleştirir. Geliştirici İzlemeleri ve Varsayılan İzleme günlüklerini de içerir.

    SAP Denetim Web Hizmeti tarafından kullanılabilir. Bu günlük tüm istemcilerdeki verilerle oluşturulur.

JavaFilesLogsCL günlük şeması

Alan Açıklama
Uygulama Java uygulaması
Clientıd Client ID
CSNComponent CSN bileşeni, örneğin BC-XI-IBD
DCComponent DC bileşeni, örneğin com.sap.xi.util.misc
DSRCounter DSR sayacı
DSRRootContentID DSR bağlam GUID'i
DSRTransaction DSR işlem GUID'i
Ana Bilgisayar Ana Bilgisayar
Örnek Java örneği, aşağıdaki söz diziminde: <HOST>_<SYSID>_<SYSNR>
Konum Java sınıfı
Logname Java logName, örneğin: , defaulttrace, dev*, security, vb. Available
İleti Metni İleti metni
Mno İleti numarası
Pıd Process ID
Program Program adı
Oturum Oturum
Önem İleti önem derecesi: Debug,Info,Warning,Error
Çözüm Çözüm
Systemıd Sistem Kimliği
SystemNumber Sistem numarası
ThreadName İş parçacığı adı
Atılan Özel durum oluştu
TimeZone Saat Dilimi
User User

SAP Sinyal Günlüğü

  • Bu günlüğü sorgulamak için Microsoft Sentinel işlevi: SAP Bağlan orHealth

  • Günlük amacı: Aracılarla farklı SAP sistemleri arasındaki bağlantı hakkında sinyal ve diğer sistem durumu bilgilerini sağlar.

    SAP veri bağlayıcısı için Microsoft Sentinel aracıları için otomatik olarak oluşturulur.

günlük şemasını SAP_HeartBeat_CL

Alan Açıklama
TimeGenerated Günlük deftere nakil olayının zamanı
agent_id_s Aracı yapılandırmasındaki aracı kimliği (otomatik olarak oluşturulur)
agent_ver_s Aracı sürümü
host_s Aracının ana bilgisayar adı
system_id_s Netweaver ABAP Sistem Kimliği /
Netweaver SAPControl Konağı (önizleme) /
Java SAPControl konağı (önizleme)
push_timestamp_d Aracının saat dilimine göre ayıklamanın zaman damgası
agent_timezone_s Aracının saat dilimi

Doğrudan SAP sistemlerinden alınan tablolar

Bu bölümde doğrudan SAP sisteminden alınan ve Microsoft Sentinel'e alınan veri tabloları tam olarak olduğu gibi listelenir.

Bu tablolardaki verilerin Microsoft Sentinel'e gönderilmesini sağlamak için systemconfig.ini dosyasındaki ilgili ayarları yapılandırın. Daha fazla bilgi için bkz . Kullanıcı Yöneticisi veri toplamayı yapılandırma.

Bu tablolardan alınan veriler yetkilendirme yapısının, grup üyeliğinin ve kullanıcı profillerinin net bir görünümünü sağlar. Ayrıca yetkilendirme verme ve iptal etme sürecini izlemenize ve bu işlemlerle ilişkili riskleri tanımlamanıza ve yönetmenize olanak tanır.

Ayrıcalıklı kullanıcıları tanımlayan, kullanıcıları rollere, gruplara ve yetkilendirmelere eşleyen işlevleri etkinleştirmek için aşağıda listelenen tablolar gereklidir.

En iyi sonuçları elde etmek için aşağıdaki Sentinel işlev adı sütunundaki adı kullanarak bu tablolara bakın:

Tablo adı Tablo açıklaması Sentinel işlev adı
USR01 Kullanıcı ana kaydı (çalışma zamanı verileri) SAP_USR01
USR02 Oturum açma verileri (çekirdek tarafı kullanımı) SAP_USR02
UST04 Kullanıcı ana bilgisayarları
Kullanıcıları profillere Haritalar		 SAP_UST04
AGR_USERS Kullanıcılara rol atama SAP_AGR_USERS
AGR_1251 Etkinlik grubu için yetkilendirme verileri SAP_AGR_1251
USGRP_USER Kullanıcıların kullanıcı gruplarına atanma SAP_USGRP_USER
USR21 Kullanıcı adı/Adres anahtarı ataması SAP_USR21
ADR6 E-posta adresleri (iş adresi hizmetleri) SAP_ADR6
USRSTAMP Kullanıcıya yapılan tüm değişiklikler için zaman damgası SAP_USRSTAMP
ADCP Kişi/Adres ataması (iş adresi hizmetleri) SAP_ADCP
USR05 Kullanıcı ana parametre kimliği SAP_USR05
AGR_PROF Rol için profil adı SAP_AGR_PROF
AGR_FLAGS Rol öznitelikleri SAP_AGR_FLAGS
DEVACCESS Geliştirme kullanıcısı tablosu SAP_DEVACCESS
AGR_DEFINE Rol tanımı SAP_AGR_DEFINE
AGR_AGRS Bileşik rollerdeki roller SAP_AGR_AGRS
PAHI Sistem, veritabanı ve SAP parametrelerinin geçmişi SAP_PAHI
SNCSYSACL (ÖNIZLEME) SNC Erişim Denetim Listesi (ACL): Sistemler SAP_SNCSYSACL
USRACL (ÖNIZLEME) SNC Erişim Denetim Listesi (ACL): Kullanıcı SAP_USRACL

Sonraki adımlar

Daha fazla bilgi için bkz.