Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe una selección de funciones que están disponibles en el área de trabajo después de instalar una solución de Microsoft Sentinel para aplicaciones sap. Para detectar más funciones, examine Microsoft Sentinel y cargue el código de la función.
Busque funciones como se indica a continuación:
- En el Azure Portal, en la página Registros generales>, en la pestaña Funciones y en Funciones del área de trabajo.
- En el portal de Defender, en la página Investigación & respuesta > Búsqueda avanzada, en la pestaña Funciones y en Sentinel funciones del área de trabajo.
El contenido de este artículo está destinado a los equipos de seguridad .
Uso de funciones en las consultas en lugar de registros o tablas subyacentes
Se recomienda encarecidamente usar las funciones enumeradas en este artículo como temas de su análisis siempre que sea posible, en lugar de los registros o tablas subyacentes.
Estas funciones están diseñadas para servir como interfaz de usuario principal para los datos. Constituyen la base de todas las reglas y libros de análisis integrados disponibles de forma inmediata. El uso de funciones permite realizar cambios en la infraestructura de datos debajo de las funciones, sin interrumpir el contenido creado por el usuario.
BAPI_XMI_LOGON (versión preliminar)
La función BAPI_XMI_LOGON es relevante cuando el sistema SAP es un sistema anterior que usa XAL y se autentica para recopilar registros de auditoría de SAP XAL.
La función BAPI_XMI_LOGON solo se admite para el conector de datos sin agente de SAP. Para obtener más información, consulte Instalación de una solución de Microsoft Sentinel para aplicaciones sap.
BAPI_SYSTEM_MTE_GETTIDBYNAME (versión preliminar)
La función BAPI_SYSTEM_MTE_GETTIDBYNAME es relevante cuando el sistema SAP es un sistema anterior que usa XAL y recupera el identificador de un elemento de supervisión del sistema por su nombre.
La función BAPI_SYSTEM_MTE_GETTIDBYNAME solo se admite para el conector de datos sin agente de SAP. Para obtener más información, consulte Instalación de una solución de Microsoft Sentinel para aplicaciones sap.
BAPI_SYSTEM_MTE_GETTREE (versión preliminar)
La función BAPI_SYSTEM_MTE_GETTREE es relevante cuando el sistema SAP es un sistema anterior que usa XAL y recupera la estructura de los elementos de supervisión del sistema.
La función BAPI_SYSTEM_MTE_GETTREE solo se admite para el conector de datos sin agente de SAP. Para obtener más información, consulte Instalación de una solución de Microsoft Sentinel para aplicaciones sap.
BAPI_SYSTEM_MTE_GETMLHIS (versión preliminar)
La función BAPI_SYSTEM_MTE_GETMLHIS es relevante cuando el sistema SAP es un sistema anterior que usa XAL y captura datos de rendimiento y estado históricos.
La función BAPI_SYSTEM_MTE_GETMLHIS solo se admite para el conector de datos sin agente de SAP. Para obtener más información, consulte Instalación de una solución de Microsoft Sentinel para aplicaciones sap.
BAPI_XMI_SET_AUDITLEVEL (versión preliminar)
La función BAPI_XMI_SET_AUDITLEVEL es relevante cuando el sistema SAP es un sistema anterior que usa XAL y configura el nivel de registro de auditoría de XAL.
La función BAPI_XMI_SET_AUDITLEVEL solo se admite para el conector de datos sin agente de SAP. Para obtener más información, consulte Instalación de una solución de Microsoft Sentinel para aplicaciones sap.
BAPI_XMI_GET_LOGHISTORY (versión preliminar)
La función BAPI_XMI_GET_LOGHISTORY es relevante cuando el sistema SAP es un sistema anterior que usa XAL y recupera entradas de registro de auditoría XAL anteriores.
La función BAPI_XMI_GET_LOGHISTORY solo se admite para el conector de datos sin agente de SAP. Para obtener más información, consulte Instalación de una solución de Microsoft Sentinel para aplicaciones sap.
SAPUsersAssignments
La función SAPUsersAssignments recopila datos de varios orígenes de datos de SAP y crea una vista centrada en el usuario de los datos maestros de usuario actuales, incluidos los roles y perfiles asignados actualmente.
Esta función resume las asignaciones de usuario a roles y perfiles y devuelve los datos siguientes:
| Campo | Description | Origen de datos/notas |
|---|---|---|
| Usuario | Identificador de usuario de SAP | Solo SAL |
| Correo electrónico | Dirección SMTP | USR21 (SMTP_ADDR) |
| UserType | Tipo de usuario | USR02 (USTYP) |
| Zona horaria | Zona horaria | USR02 (TZONE) |
| LockedStatus | Estado de bloqueo | USR02 (UFLAG) |
| LastSeenDate | Fecha de la última vista | USR02 (TRDAT) |
| LastSeenTime | Hora de la última vez que se ha visto | USR02 (LTIME) |
| UserGroupAuth | Grupo de usuarios en el mantenimiento maestro de usuarios | USR02 (CLASE) |
| Perfiles | Conjunto de perfiles (tamaño de conjunto máximo predeterminado = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Conjunto de roles asignados directamente (tamaño de conjunto máximo predeterminado = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Conjunto de roles asignados indirectamente (tamaño de conjunto máximo predeterminado = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Cliente | Id. de cliente | |
| SystemID | Id. del sistema | Como se define en el conector |
SAPUsersGetPrivileged
La función SAPUsersGetPrivileged devuelve una lista de usuarios con privilegios por cliente e identificador del sistema.
Los usuarios se consideran con privilegios cuando coinciden con cualquiera de las descripciones siguientes:
- Aparecen en la lista de reproducción SAP - Usuarios con privilegios
- Se asignan a un perfil que aparece en la lista de reproducción SAP - Perfiles confidenciales
- Se agregan a un rol que aparece en la lista de reproducción SAP - Roles confidenciales
Parámetros:
| Nombre | Opcional/Obligatorio | Predeterminado | Descripción |
|---|---|---|---|
| TimeAgo | Opcional | Siete días | Determina que la función busca datos maestros de usuario desde el tiempo definido por el TimeAgo valor hasta la hora definida por el now() valor. |
La función SAPUsersGetPrivileged devuelve los datos siguientes:
| Campo | Description |
|---|---|
| Usuario | Identificador de usuario de SAP |
| Cliente | Id. de cliente |
| SystemID | Id. del sistema |
SAPUsersAuthorizations
La función SAPUsersAuthorizations reúne datos de varias tablas para generar una vista centrada en el usuario de los roles y autorizaciones actuales asignados. Solo se devuelven los usuarios con asignaciones de rol y autorización activas.
Parámetros:
| Nombre | Opcional/Obligatorio | Predeterminado | Descripción |
|---|---|---|---|
| TimeAgo | Opcional | Siete días | Determina que la función busca datos maestros de usuario desde el tiempo definido por el TimeAgo valor hasta la hora definida por el now() valor. |
La función SAPUsersAuthorizations devuelve los datos siguientes:
| Campo | Description | Notas |
|---|---|---|
| Usuario | Identificador de usuario de SAP | |
| Funciones | Conjunto de roles (tamaño de conjunto máximo predeterminado = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Conjunto de autorizaciones (tamaño de conjunto máximo predeterminado = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Cliente | Id. de cliente | |
| SystemID | Id. del sistema |
SAPConnectorHealth
La función SAPConnectorHealth refleja el estado de la conectividad del agente y del sistema SAP subyacente. En función del registro de latidos SAP_HeartBeat_CL y otros indicadores de estado, devuelve los datos siguientes:
| Campo | Description |
|---|---|
| Agente | Id. de agente en la configuración del agente (generado automáticamente) |
| SystemID | Identificador del sistema SAP |
| Estado | Estado de conectividad general |
| Detalles | Detalles de conectividad |
| ExtendedDetails | Detalles extendidos de conectividad |
| LastSeen | Marca de tiempo de la actividad más reciente |
| StatusCode | Código que refleja el estado del sistema |
SAPConnectorOverview
La función SAPConnectorOverview muestra los recuentos de filas de cada tabla de SAP por identificador de sistema. Devuelve una lista de registros de datos por identificador del sistema y su tiempo generado.
Parámetros:
| Nombre | Opcional/Obligatorio | Predeterminado | Descripción |
|---|---|---|---|
| TimeAgo | Opcional | Siete días | Determina que la función busca datos maestros de usuario desde el tiempo definido por el TimeAgo valor hasta la hora definida por el now() valor. |
La función SAPConnectorOverview devuelve los datos siguientes:
| Campo | Description |
|---|---|
| TimeGenerated | Valor datetime de la marca de tiempo de la generación del registro |
| SystemID_s | Cadena que representa el identificador del sistema SAP |
Use la siguiente consulta de Kusto para realizar un análisis diario de tendencias:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
La función SAPUsersEmail permite una búsqueda orientada al rendimiento de la dirección de correo electrónico de un usuario de SAP por sistema SAP y cliente, que normalmente se usa para asociarla a una cuenta de Active Directory.
La función SAPUsersEmail usa los datos extraídos de las tablas DE SAP USR21 (asignación de nombre de usuario/clave de dirección) y ADR6 (direcciones de correo electrónico) para buscar una dirección de correo electrónico. En caso de que no se encuentre ninguna dirección de correo electrónico, se devuelve el identificador de usuario en su lugar.
Este comportamiento garantiza que las cuentas de servicio de SAP, como DDIC, que a menudo no están asociadas a direcciones de correo electrónico, se registren como pseudo cuentas de AD. Esto también abre algunas características de UEBA, lo que ayuda a investigar incidentes y actividades de búsqueda.
La función SAPUsersEmail devuelve los datos siguientes:
| Campo | Description |
|---|---|
| ClientID | Identificador de cliente de SAP |
| SystemID | Identificador del sistema SAP |
| Usuario | Identificador de usuario de SAP |
| Correo electrónico | Dirección de correo electrónico del usuario de SAP |
SAPSystems
La función SAPSystems se usa para presentar centralmente la configuración por sistema realizada mediante la lista de reproducción SAP - Systems .
Parámetros:
| Nombre | Opcional/Obligatorio | Predeterminado | Descripción |
|---|---|---|---|
| SelectedSystems | Opcional | All Systems |
Se usa para filtrar sistemas SAP específicos |
| SelectedSystemRoles | Opcional | All System Roles |
Determina los roles de los sistemas SAP que se van a examinar, tal como se define en la lista de seguimiento SAP - Sistemas |
La función SAPSystems devuelve los datos siguientes:
| Campo | Description | Origen de datos/notas |
|---|---|---|
| SearchKey | Clave de búsqueda | Campo indizado para el identificador del sistema SAP |
| SystemRole | Rol del sistema SAP | Producción, UAT |
| SystemUsage | El uso principal del sistema SAP | ERP, CRM |
| SystemID | Identificador del sistema SAP |
SAPAuditLogConfiguration
La función SAPAuditLogConfiguration devuelve la configuración local de las alertas de registro de auditoría de SAP al área de trabajo de Log Analytics habilitada para Microsoft Sentinel. Esta configuración se usa para las alertas relacionadas con el registro de auditoría de SAP.
La función SAPAuditLogConfiguration une los datos de las listas de seguimiento SAP Dynamic Audit Log Monitor ySAP - Systems para proporcionar una configuración por sistema en un esfuerzo por rol del sistema.
Parámetros:
| Nombre | Opcional/Obligatorio | Predeterminado | Descripción |
|---|---|---|---|
| SelectedSystems | Opcional | All Systems |
Se usa para filtrar sistemas SAP específicos que se van a examinar. |
| SelectedSystemRoles | Opcional | All System Roles |
Determina los roles de los sistemas SAP que se van a examinar (tal como se define en la lista de reproducción SAP - Sistemas ). |
| SelectedSeverities | Opcional | [High, Medium] |
Se usa para determinar los eventos que se deben examinar en términos de su gravedad. Las gravedades por identificador de mensaje de registro de auditoría de SAP y rol del sistema se definen en la lista de seguimiento de SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedRuleTypes | Opcional | All RuleTypes |
Determina en qué eventos son relevantes para detectar las anomalías. Los tipos de regla por identificador de mensaje de registro de auditoría de SAP y rol del sistema se definen en la lista de seguimiento de SAP_Dynamic_Audit_Log_Monitor_Configuration . |
La función SAPAuditLogConfiguration devuelve los datos siguientes:
| Campo | Description | Origen de datos/notas |
|---|---|---|
| CategoryName | Categoría de eventos dada por SAP | Lista de reproducción de configuración del Monitor de registro de auditoría dinámica de SAP |
| DestinationEmail | Email dirección del equipo asignado | Lista de reproducción de configuración del Monitor de registro de auditoría dinámica de SAP |
| DetailedDescription | Texto con formato markdown que se mostrará en las alertas | Lista de reproducción de configuración del Monitor de registro de auditoría dinámica de SAP |
| MessageID | Identificador del mensaje de registro de auditoría de SAP | Lista de reproducción de configuración del Monitor de registro de auditoría dinámica de SAP |
| MessageText | Un texto de mensaje de ejemplo | Lista de reproducción de configuración del Monitor de registro de auditoría dinámica de SAP |
| RolesTagsToExclude | una etiqueta de rol, perfil o texto libre de ABAP | Lista de reproducción de configuración del Monitor de registro de auditoría dinámica de SAP |
| RuleType | Anomalía o determinista | Lista de reproducción de configuración del Monitor de registro de auditoría dinámica de SAP |
| Tácticas | La táctica MITRE ATTA&CK | Lista de reproducción de configuración del Monitor de registro de auditoría dinámica de SAP |
| TeamsChannelID | Canal de Teams | Lista de reproducción de configuración del Monitor de registro de auditoría dinámica de SAP |
| SystemID | Identificador del sistema SAP | SAP: lista de reproducción de sistemas |
| SystemRole | Rol del sistema SAP | SAP: lista de reproducción de sistemas |
| SystemUsage | El uso principal del sistema SAP | SAP: lista de reproducción de sistemas |
| IsProd | Marca del sistema de producción | SAP: lista de reproducción de sistemas |
| Severity | Gravedad derivada | Gravedad por uso del sistema |
| Umbral | Umbral derivado | Recuento de eventos por uso del sistema |
| BagOfDetails | Bolsa de detalles | Diccionario que detalla la definición de eventos |
Para obtener más información, consulte Listas de reproducción disponibles.
SAPAuditLogAnomalies
La función SAPAuditLogAnomalies usa las funcionalidades de aprendizaje automático integradas de la base de datos Kusto subyacente de Microsoft Sentinel para ayudar a detectar eventos anómalos observados en el registro de auditoría de SAP.
La función SAPAuditLogAnomalies se desarrolló para la regla de análisis de alertas del Monitor de registro de auditoría basada en anomalías dinámicas de SAP ( (experimental ). Aunque su diseño original es alertar sobre anomalías recientes, también puede ayudar a resaltar las anomalías históricas. Para obtener más información, vea Usos de ejemplo.
La función SAPAuditLogAnomalies aprende el segmento del historial definido por los distintos parámetros de entrada, en los niveles siguientes:
- Usuario
- Atributos de red
- Sistema
- Estacionalidad
- Niveles de actividad
A continuación, la función SAPAuditLogAnomalies evalúa los eventos que se producen en el último DetectingTime intervalo de tiempo según lo aprendido, aplicando umbrales y otros criterios de exclusión configurables obtenidos de la lista de seguimiento de configuración del registro de auditoría de SAP.
Una vez que una ventana deslizante de la actividad del usuario se considera anómala, una segunda consulta devuelve toda la actividad del usuario como evidencia que respalda la decisión.
Parámetros:
| Nombre | Opcional/Obligatorio | Predeterminado | Descripción |
|---|---|---|---|
| LearningTime | Opcional | 14 días | Determina el intervalo de tiempo usado para el aprendizaje del modelo. |
| DetectingTime | Opcional | Una hora | Determina el intervalo de tiempo que se va a examinar para detectar anomalías. Llamar a esta función con DetectingTime = 0h resalta anomalías en todo LearningTime el intervalo de tiempo. |
| SelectedSystems | Opcional | All Systems |
Se usa para filtrar sistemas SAP específicos que se van a examinar. |
| SelectedSystemRoles | Opcional | All System Roles |
Determina los roles de los sistemas SAP que se van a examinar, tal como se define en la lista de seguimiento SAP - Sistemas |
| SelectedSeverities | Opcional | [High, Medium] |
Se usa para determinar los eventos que se deben examinar en términos de su gravedad. Las gravedades por identificador de mensaje de registro de auditoría de SAP y rol del sistema se definen en la lista de seguimiento de SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedPrefixMask | Opcional | 24 | Se usa para determinar el nivel de máscara de subred usado para el aprendizaje y la detección. |
| SelectedRuleTypes | Opcional | AnomaliesOnly |
Determina en qué eventos son relevantes para detectar las anomalías. Los tipos de regla por identificador de mensaje de registro de auditoría de SAP y rol del sistema se definen en la lista de seguimiento de SAP_Dynamic_Audit_Log_Monitor_Configuration . |
La función SAPAuditLogAnomalies devuelve los datos siguientes:
| Campo | Description |
|---|---|
| Varios campos de SAPAuditLog | Campos clave del registro de auditoría de SAP |
| Varios campos de SAPAuditLogConfiguration | Campos clave de la Microsoft Sentinel para la configuración del registro de auditoría de SAP |
| DiscoveredOn | Hora redondeada en la que se observó la anomalía |
| EventCount | Número de eventos contados por fila devuelta |
| AnomalCount | Número de eventos observados en la ventana deslizante pertinente |
| MinTime | Hora del primer evento observado |
| MaxTime | Hora del último evento observado |
| Puntuación | las puntuaciones de anomalías generadas por el modelo de anomalías |
Recomendaciones:
Al igual que con cualquier solución de aprendizaje automático, la función SAPAuditLogAnomalies funciona mejor con el tiempo y se puede ajustar según sea necesario a medida que transcurre el tiempo.
Se recomienda restringir el tamaño de la base de datos aprendida para que sea inferior a 100 millones de registros mediante los muchos parámetros de entrada disponibles.
Entre los usos de ejemplo se incluyen:
Para buscar anomalías en los eventos de gravedad alta que se produjeron en la última hora en los sistemas de producción para los tipos de eventos marcados como AnomaliesOnly en la lista de seguimiento de SAP_Dynamic_Audit_Log_Monitor_Configuration , ejecute:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Para buscar todas las anomalías de los últimos 14 días en el sistema BIP , ejecute:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Para obtener más información, consulte Reglas de análisis de SAP integradas para supervisar el registro de auditoría de SAP y Detección de anomalías en el registro de auditoría de SAP mediante el Microsoft Sentinel para la solución SAP (blog).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend es una función auxiliar diseñada para ofrecer recomendaciones para la configuración de la regla de análisis SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW).
Para obtener más información, consulte Supervisión del registro de auditoría de SAP.
SAPUsersGetVIP
La solución Microsoft Sentinel para aplicaciones SAP usa un concepto de etiquetado de usuarios central y exclusiones explícitas, diseñado para ayudarle a reducir los falsos positivos con un esfuerzo mínimo.
Use la función SAPUsersGetVIP para excluir a los usuarios de la activación de alertas especificando roles de usuario de SAP, funciones de usuario de SAP o etiquetas que representen a esos usuarios. Para obtener más información, vea Control de falsos positivos en Microsoft Sentinel.
Las etiquetas especificadas como entrada para la función SAPUsersGetVIP excluyen a todos los usuarios con una etiqueta que aparece en la lista de reproducción de SAP_User_Config . La misma funcionalidad se amplía para trabajar con caracteres comodín, lo que le permite asignar una sola etiqueta a un grupo de usuarios con la misma sintaxis de nomenclatura.
Etiquete a los usuarios en la lista de reproducción de SAP_User_Config como se indica a continuación:
Agregue varias etiquetas a cada usuario en la lista de reproducción de SAP_User_Config , según sea necesario para cubrir varios escenarios. Cada regla de alerta tiene sus propias etiquetas pertinentes, si las hay, y puede agregar etiquetas personalizadas según sea necesario.
Use un asterisco (*) como carácter comodín para incluir usuarios con una plantilla de sintaxis de nomenclatura específica.
Agregue la función SAPUsersGetVIP en las reglas de análisis para solicitar que las listas de usuarios que ha definido se excluyan de las alertas. En la llamada a la función, agregue una matriz con las etiquetas, los roles de SAP y los perfiles de SAP que desea excluir.
Por ejemplo, use la siguiente consulta KQL en la regla de análisis para excluir los usuarios configurados con la etiqueta RunObsoleteProgOK en la lista de seguimiento de SAP_User_Config , o cualquier usuario con el rol de SAP_BASIS_ADMIN_ROLE de ejemplo o el perfil de SAP_ADMIN_PROFILE de ejemplo.
Al copiar esta llamada de función de ejemplo, reemplace SAP_BASIS_ADMIN_ROLE rol y SAP_ADMIN_PROFILE perfil por sus propios roles o perfiles de SAP según sea necesario.
Por ejemplo:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
La función SAPUsersGetVIP se usa normalmente en alertas deterministas y anómalas del Monitor de registros de auditoría . Asocie una etiqueta con un identificador de mensaje de registro de auditoría de SAP o extienda la plantilla de regla a una regla personalizada que coincida con las necesidades de su organización.
Sugerencia
Se recomienda ponerse en contacto con el administrador del sistema SAP para comprender qué usuarios, roles y perfiles de SAP se incluirán en la lista de reproducción de SAP_User_Config .
Parámetros:
| Nombre | Opcional/Obligatorio | Predeterminado | Descripción |
|---|---|---|---|
| SearchForTags | Opcional | dynamic('All Tags') |
Cuando SearchForTags es igual All Tagsa , se devuelven todos los usuarios junto con sus etiquetas. De lo contrario, solo se devuelven los usuarios que llevan las etiquetas, los roles de SAP o los perfiles de SAP especificados en SearchForTags .
TagsIntersect muestra las etiquetas que se encuentran y IntersectionSize contiene el número de etiquetas que se encuentran. |
| SpecialFocusTags | Opcional | Do not return any in-focus users |
Devuelve todos los usuarios que llevan las etiquetas especificadas en SpecialFocusTagsy las marcan con specialFocusTagged = true. |
La función SAPUsersGetVIP devuelve la salida siguiente:
| Origen | Campo | Description | Notas |
|---|---|---|---|
| Lista de reproducción de SAP_User_Config | SearchKey |
Clave de búsqueda | |
| Lista de reproducción de SAP_User_Config | SAPUser |
El usuario de SAP | OSS, DDIC |
| Lista de reproducción de SAP_User_Config | Tags |
Cadena de etiquetas asignadas al usuario | RunObsoleteProgOK |
| Lista de reproducción de SAP_User_Config | Identificador de objeto de Microsoft Entra del usuario | Microsoft Entra identificador de objeto | |
| Lista de reproducción de SAP_User_Config | Identificador de usuario | identificador de usuario de Azure Directory | |
| Lista de reproducción de SAP_User_Config | SID local del usuario | ||
| Lista de reproducción de SAP_User_Config | Nombre principal de usuario | ||
| Lista de reproducción de SAP_User_Config | TagsList |
Lista de etiquetas asignadas al usuario |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Lógica | TagsIntersect | Un conjunto de etiquetas que coincidieron SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Lógica | SpecialFocusTagged | Indicación de foco especial |
True, False |
| Lógica | IntersectionSize | Número de etiquetas intersecadas |
SAPUsersHeader
La función SAPUsersHeader está diseñada para proporcionar una vista de alto nivel del usuario de SAP. Usa datos extraídos de las tablas de datos maestros de usuario de SAP y de la actividad reciente en el registro de auditoría de SAP para recopilar direcciones IP y de correo electrónico. A continuación, devuelve el último correo electrónico conocido y las direcciones IP, junto con el correo electrónico principal y las direcciones IP.
Parámetros:
| Nombre | Opcional/Obligatorio | Predeterminado | Descripción |
|---|---|---|---|
| SelectedSystems | Opcional | All Systems |
Se usa para filtrar sistemas SAP específicos para examinar |
| SelectedSystemRoles | Opcional | All System Roles |
Determina los roles de los sistemas SAP que se van a examinar, tal como se define en la lista de seguimiento SAP - Sistemas . |
| SelectedUsers | Opcional | All Users |
Puede especificar listas de usuarios. |
| SelectedUser | Opcional | All Users |
Solo acepta un solo usuario. |
Por ejemplo:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Sugerencia
En el caso de las consideraciones de rendimiento, solo se tienen en cuenta unos pocos días de actividad de auditoría. Para obtener un historial completo de la actividad del usuario, ejecute una consulta KQL personalizada en la función SAPAuditLog .
La función SAPUsersHeader devuelve la salida siguiente:
| Origen | Campo | Description | Notas |
|---|---|---|---|
| Usuario | El usuario de SAP | ||
| Tablas de SAP ADR6 y USR21 | Correo electrónico | Tomado de los datos maestros del usuario | OSS, DDIC |
| Tabla DE SAP USR02 | UserType | Cadena de etiquetas asignadas al usuario | RunObsoleteProgOK |
| Tabla DE SAP USR02 | Zona horaria | Microsoft Entra identificador de objeto | |
| Tabla DE SAP USR02 | LockedStatus | identificador de usuario de Azure Directory | |
| Registro de auditoría de SAP | LastSeen | Marca de tiempo | Último evento de auditoría observado para el usuario |
| Registro de auditoría de SAP | LastSeenDaysAgo | Días transcurridos desde LastSeen |
|
| Registro de auditoría de SAP | PrimaryIP | Dirección IP que se usa con más frecuencia |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Registro de auditoría de SAP | LastKnownIP | Dirección IP usada más recientemente | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Registro de auditoría de SAP | PrimaryEmail | Dirección de correo electrónico usada con más frecuencia |
True, False |
| Registro de auditoría de SAP | Direcciones IP conocidas | Lista de direcciones IP conocidas | Ordenados por la mayoría de los frecuentes primero |
| Registro de auditoría de SAP | KnownEmails | Lista de direcciones de correo electrónico conocidas | Ordenados por la mayoría de los frecuentes primero |
| Cliente | Identificador de cliente de SAP | ||
| SystemID | Identificador del sistema SAP | ||
| SystemRole | Rol del sistema SAP | Producción, UAT | |
| SystemUsage | El uso principal del sistema SAP | ERP, CRM |
TH_SERVER_LIST (versión preliminar)
La función TH_SERVER_LIST es relevante cuando el sistema SAP es un sistema anterior que usa XAL y enumera los servidores de aplicaciones de SAP activos.
La función TH_SERVER_LIST solo se admite con el conector de datos sin agente de SAP (versión preliminar). Para obtener más información, consulte Instalación de una solución de Microsoft Sentinel para aplicaciones sap.
Contenido relacionado
Para más información, vea: