你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

适用于 Microsoft Sentinel 的 SecurityBridge Threat Detection for SAP 连接器

SecurityBridge 是首个也是唯一一个本机集成的综合安全平台，可在各个方面保护运行 SAP 的组织免受针对其核心业务应用程序的内部和外部威胁。 SecurityBridge 平台是经 SAP 认证的附加产品，由全球各地的组织使用，可满足客户对高级网络安全、实时监视、合规性、代码安全和修补的需求，以抵御内部和外部威胁。借助此 Microsoft Sentinel 解决方案，可以将来自所有本地实例和基于云的 SAP 实例的 SecurityBridge Threat Detection 事件集成到安全监视中。使用此 Microsoft Sentinel 解决方案，可接收规范化和口语化安全事件、预生成的仪表板和现成模板来进行 SAP 安全监视。

连接器属性

连接器属性	说明
Log Analytics 表	SecurityBridgeLogs_CL
数据收集规则支持	目前不支持
支持的服务	Christoph Nagy

查询示例

前 10 个事件名称

SecurityBridgeLogs_CL 

| extend Name = tostring(split(RawData, '
|')[5]) 

| summarize count() by Name 
| top 10 by count_

供应商安装说明

注意

此数据连接器依赖于基于 Kusto 函数的分析程序来按预期方式工作。 按照以下步骤创建 Kusto Functions 别名 SecurityBridgeLogs

注意

此数据连接器是使用 SecurityBridge Application Platform 7.4.0 开发的。

1. 安装并载入适用于 Linux 或 Windows 的代理

此解决方案需要通过 Microsoft Sentinel 代理安装收集日志

以下操作系统支持 Sentinel 代理：

1. Windows Server

2. SUSE Linux Enterprise Server

3. Redhat Linux Enterprise Server

4. Oracle Linux Enterprise Server

5. 如果在 HPUX/AIX 上安装 SAP 解决方案，则需要在上面列出的某个 Linux 选项上部署日志收集器，并将日志转发到该收集器

6. 配置要收集的日志

配置要收集的自定义日志目录

1. 选择上面的链接以打开工作区高级设置
2. 单击“+ 添加自定义”
3. 单击“浏览”以上传 SecurityBridge SAP 日志文件示例（例如 AED_20211129164544.cef）。 然后单击“下一步 >”
4. 选择“换行符”作为记录分隔符，然后单击“下一步 >”
5. 选择“Windows”或“Linux”，并根据配置输入 SecurityBridge 日志的路径。 例如：

• “/usr/sap/tmp/sb_events/*.cef”

注意：可以在配置中添加任意数量的路径。

6. 输入路径后，单击要应用的“+”符号，然后单击“下一步 >”

7. 将 SecurityBridgeLogs 添加为自定义日志名称，然后单击“完成”

8. 在 Microsoft Sentinel 中检查日志

打开 Log Analytics 以检查是否使用自定义日志表 SecurityBridgeLogs_CL 接收日志。

注意：新日志最多可能需要 30 分钟才会显示在 SecurityBridgeLogs_CL 表中。

后续步骤

有关详细信息，请转到 Azure 市场中的相关解决方案。