Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa kuvataan joukko funktioita, jotka ovat käytettävissä työtilassa sen jälkeen, kun olet asentanut Microsoft Sentinel ratkaisun SAP-sovelluksille. Löydä lisää funktioita selaamalla Microsoft Sentinel ja lataamalla funktiokoodi.
Etsi funktiot seuraavasti:
- Azure-portaali Yleiset > lokit -sivulla, Funktiot-välilehdellä ja lueteltu kohdassa Työtilafunktiot.
- Defender-portaalin Investigation & response > Advanced hunting -sivulla Funktiot-välilehdellä, joka on lueteltu kohdassa Sentinel työtilafunktiot.
Tämän artikkelin sisältö on tarkoitettu suojausryhmille .
Käytä funktioita kyselyissäsi pohjana olevien lokien tai taulukoiden sijaan
Suosittelemme painokkaasti , että käytät tässä artikkelissa lueteltuja funktioita analyysien aiheina aina kun se on mahdollista pohjana olevien lokien tai taulukoiden sijaan.
Nämä funktiot on tarkoitettu toimimaan tietojen pääasiallisena käyttöliittymänä. Ne muodostavat perustan kaikille valmiille analytiikkasäännöille ja työkirjoille, jotka ovat käytettävissäsi. Funktioiden avulla voit tehdä muutoksia tietoinfrastruktuuriin funktioiden alla rikkomatta käyttäjän luomaa sisältöä.
BAPI_XMI_LOGON (esikatselu)
BAPI_XMI_LOGON funktiolla on merkitystä, kun SAP-järjestelmä on vanhempi XAL-järjestelmää käyttävä järjestelmä, ja se todennetaan SAP XAL -valvontalokien keräämiseksi.
BAPI_XMI_LOGON-funktiota tuetaan vain SAP Agentless Data Connector -liittimelle. Lisätietoja on artikkelissa Microsoft Sentinel ratkaisun asentaminen SAP-sovelluksille.
BAPI_SYSTEM_MTE_GETTIDBYNAME (esikatselu)
BAPI_SYSTEM_MTE_GETTIDBYNAME-funktiolla on merkitystä, kun SAP-järjestelmäsi on vanhempi XAL-järjestelmää käyttävä järjestelmä, ja se hakee järjestelmän valvontaelementin tunnuksen nimen mukaan.
BAPI_SYSTEM_MTE_GETTIDBYNAME funktiota tuetaan vain SAP Agentless Data Connector -liittimelle. Lisätietoja on artikkelissa Microsoft Sentinel ratkaisun asentaminen SAP-sovelluksille.
BAPI_SYSTEM_MTE_GETTREE (esikatselu)
BAPI_SYSTEM_MTE_GETTREE funktiolla on merkitystä, kun SAP-järjestelmäsi on vanhempi XAL-järjestelmää käyttävä järjestelmä ja hakee järjestelmän valvontaelementtien rakenteen.
BAPI_SYSTEM_MTE_GETTREE-funktiota tuetaan vain SAP Agentless Data Connector -liittimelle. Lisätietoja on artikkelissa Microsoft Sentinel ratkaisun asentaminen SAP-sovelluksille.
BAPI_SYSTEM_MTE_GETMLHIS (esikatselu)
BAPI_SYSTEM_MTE_GETMLHIS-funktiolla on merkitystä, kun SAP-järjestelmäsi on vanhempi XAL-järjestelmää käyttävä järjestelmä ja hakee historialliset suorituskyky- ja tilatiedot.
BAPI_SYSTEM_MTE_GETMLHIS-funktiota tuetaan vain SAP-agentless data connectorille. Lisätietoja on artikkelissa Microsoft Sentinel ratkaisun asentaminen SAP-sovelluksille.
BAPI_XMI_SET_AUDITLEVEL (esikatselu)
BAPI_XMI_SET_AUDITLEVEL funktiolla on merkitystä, kun SAP-järjestelmä on vanhempi XAL-järjestelmää käyttävä järjestelmä, ja se määrittää XAL-valvontalokitason.
BAPI_XMI_SET_AUDITLEVEL-funktiota tuetaan vain SAP Agentless Data Connector -liittimelle. Lisätietoja on artikkelissa Microsoft Sentinel ratkaisun asentaminen SAP-sovelluksille.
BAPI_XMI_GET_LOGHISTORY (esikatselu)
BAPI_XMI_GET_LOGHISTORY funktiolla on merkitystä, kun SAP-järjestelmäsi on vanhempi XAL-järjestelmää käyttävä järjestelmä ja hakee aiemmat XAL-valvontalokimerkinnät.
BAPI_XMI_GET_LOGHISTORY-funktiota tuetaan vain SAP Agentless Data Connector -liittimelle. Lisätietoja on artikkelissa Microsoft Sentinel ratkaisun asentaminen SAP-sovelluksille.
SAPUsersAssignments
SAPUsersAssignments-funktio kerää tietoja useista SAP-tietolähteistä ja luo käyttäjäkeskeisen näkymän nykyisistä käyttäjän päätiedoista, mukaan lukien tällä hetkellä määritetyt roolit ja profiilit.
Tämä funktio tekee yhteenvedon käyttäjämäärityksistä rooleihin ja profiileihin ja palauttaa seuraavat tiedot:
| Kenttä | Kuvaus | Tietolähde/huomautukset |
|---|---|---|
| Käyttäjä | SAP-käyttäjätunnus | Vain SAL |
| Sähköposti | SMTP-osoite | USR21 (SMTP_ADDR) |
| Käyttäjätyyppi | Käyttäjätyyppi | USR02 (USTYP) |
| Aikavyöhyke | Aikavyöhyke | USR02 (TZONE) |
| LockedStatus | Lukitse tila | USR02 (UFLAG) |
| SukunimiNimiPäivämäärä | Viimeksi nähty päivämäärä | USR02 (TRDAT) |
| LastSeenTime | Edellinen nähty aika | USR02 (LTIME) |
| UserGroupAuth | Käyttäjäryhmä käyttäjän päähuollon aikana | USR02 (LUOKKA) |
| Profiilit | Profiilijoukko (oletusarvoinen enimmäiskoko = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Suoraan määritettyjen roolien joukko (oletusarvoinen enimmäisjoukkokoko = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Aliroolit | Epäsuorasti määritettyjen roolien joukko (oletusarvoinen enimmäisjoukkokoko = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Asiakas | Asiakastunnus | |
| SystemID | Järjestelmätunnus | Kuten liittimessä on määritetty |
SAPUsersGetPrivileged
SAPUsersGetPrivileged-funktio palauttaa etuoikeutettujen käyttäjien luettelon asiakas- ja järjestelmätunnusta kohden.
Käyttäjiä pidetään etuoikeutettuina, kun he vastaavat mitä tahansa seuraavista kuvauksista:
- Ne on lueteltu SAP – Etuoikeutetut käyttäjät -katseluluettelossa
- Heidät on määritetty sap-profiiliin – luottamuksellisten profiilien katseluluettelo
- Heidät lisätään rooliin, joka on lueteltu SAP:ssä – Luottamuksellisten roolien katseluluettelo
Parametrit:
| Nimi | Valinnainen tai pakollinen | Oletus | Kuvaus |
|---|---|---|---|
| TimeAgo | Valinnainen | Seitsemän päivää | Määrittää, että funktio hakee käyttäjän päätietoja arvon määrittämästä TimeAgo ajasta arvon määrittämään now() aikaan asti. |
SAPUsersGetPrivileged-funktio palauttaa seuraavat tiedot:
| Kenttä | Kuvaus |
|---|---|
| Käyttäjä | SAP-käyttäjätunnus |
| Asiakas | Asiakastunnus |
| SystemID | Järjestelmätunnus |
SAPUsersAuthorizations
SAPUsersAuthorizations-funktio kokoaa yhteen useiden taulukoiden tiedot ja tuottaa käyttäjäkeskeisen näkymän nykyisistä määritetyistä rooleista ja valtuutuksista. Vain käyttäjät, joilla on aktiivinen rooli ja valtuutusmääritykset, palautetaan.
Parametrit:
| Nimi | Valinnainen tai pakollinen | Oletus | Kuvaus |
|---|---|---|---|
| TimeAgo | Valinnainen | Seitsemän päivää | Määrittää, että funktio hakee käyttäjän päätietoja arvon määrittämästä TimeAgo ajasta arvon määrittämään now() aikaan asti. |
SAPUsersAuthorizations-funktio palauttaa seuraavat tiedot:
| Kenttä | Kuvaus | Huomautuksia |
|---|---|---|
| Käyttäjä | SAP-käyttäjätunnus | |
| Roolit | Roolijoukko (oletusarvoinen enimmäisjoukkokoko = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Valtuutusjoukko (oletusarvon mukainen enimmäiskoko = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Asiakas | Asiakastunnus | |
| SystemID | Järjestelmätunnus |
SAPConnectorHealth
SAPConnectorHealth-funktio kuvastaa agentin tilaa ja taustalla olevaa SAP-järjestelmän yhteyttä. Se palauttaa seuraavat tiedot sykelokin SAP_HeartBeat_CL ja muiden kuntoindikaattorien perusteella:
| Kenttä | Kuvaus |
|---|---|
| Agentti | Agentin tunnus agentin määrityksessä (automaattisesti luotu) |
| SystemID | SAP-järjestelmän tunnus |
| Tila | Yleinen yhteystila |
| Tiedot | Yhteystiedot |
| ExtendedDetails | Liitettävyyden lisätiedot |
| Viimeksi käytetty | Viimeisimmän toiminnan aikaleima |
| StatusCode | Koodi, joka kuvastaa järjestelmän tilaa |
SAPConnectorOverview
SAPConnectorOverview-funktio näyttää kunkin SAP-taulukon rivimäärät järjestelmätunnusta kohden. Se palauttaa luettelon tietueista järjestelmätunnusta kohden ja niiden luodun ajan.
Parametrit:
| Nimi | Valinnainen tai pakollinen | Oletus | Kuvaus |
|---|---|---|---|
| TimeAgo | Valinnainen | Seitsemän päivää | Määrittää, että funktio hakee käyttäjän päätietoja arvon määrittämästä TimeAgo ajasta arvon määrittämään now() aikaan asti. |
SAPConnectorOverview-funktio palauttaa seuraavat tiedot:
| Kenttä | Kuvaus |
|---|---|
| TimeGenerated | Tietueen luonnin aikaleiman datetime-arvo |
| SystemID_s | MERKKIJONO, joka edustaa SAP-järjestelmätunnusta |
Käytä seuraavaa Kusto-kyselyä päivittäisen trendianalyysin suorittamiseen:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
SAPUsersEmail-funktio mahdollistaa SAP-käyttäjän sähköpostiosoitteen suorituskykypohjaisen haun SAP-järjestelmää ja asiakasta kohti, ja sitä käytetään yleensä liittämään se Active Directory -tiliin.
SAPUsersEmail-funktio käyttää SAP-taulukoista USR21 (Käyttäjänimi/Osoiteavainmääritys) ja ADR6:sta (sähköpostiosoitteet) poimittuja tietoja sähköpostiosoitteen etsimiseen. Jos sähköpostiosoitetta ei löydy, palautetaan sen sijaan käyttäjätunnus.
Tämä toiminto varmistaa, että SAP-palvelutilit, kuten DDIC, joita ei useinkaan ole liitetty sähköpostiosoitteisiin, kirjataan pseudo-AD-tileinä. Tämä avaa myös joitakin UEBA:n ominaisuuksia, jotka auttavat tapausten ja metsästystoiminnan tutkinnassa.
SAPUsersEmail-funktio palauttaa seuraavat tiedot:
| Kenttä | Kuvaus |
|---|---|
| Asiakastunnus | SAP-asiakastunnus |
| SystemID | SAP-järjestelmän tunnus |
| Käyttäjä | SAP-käyttäjätunnus |
| Sähköposti | SAP-käyttäjän sähköpostiosoite |
SAPSystems
SAPSystems-funktion avulla voidaan keskitetysti esittää järjestelmäkohtainen määritys, joka on tehty SAP – järjestelmien katseluluettelon avulla.
Parametrit:
| Nimi | Valinnainen tai pakollinen | Oletus | Kuvaus |
|---|---|---|---|
| Valitut järjestelmät | Valinnainen | All Systems |
Käytetään tiettyjen SAP-järjestelmien suodattamiseen |
| SelectedSystemRoles | Valinnainen | All System Roles |
Määrittää tarkasteltavat SAP-järjestelmien roolit SAP – Järjestelmien katseluluettelossa määritetyllä tavalla |
SAPSystems-funktio palauttaa seuraavat tiedot:
| Kenttä | Kuvaus | Tietolähde/huomautukset |
|---|---|---|
| Hakuavain | Hakuavain | SAP-järjestelmätunnuksen indeksoitu kenttä |
| SystemRole | SAP-järjestelmän rooli | Tuotanto, UAT |
| SystemUsage | SAP-järjestelmän pääasiallinen käyttö | ERP, CRM |
| SystemID | SAP-järjestelmän tunnus |
SAPAuditLogConfiguration
SAPAuditLogConfiguration-funktio palauttaa SAP-valvontaloki-ilmoitusten paikallisen määrityksen log analytics -työtilaan, joka on käytössä Microsoft Sentinel. Tätä määritystä käytetään SAP-valvontalokiin liittyvissä ilmoituksiin.
SAPAuditLogConfiguration-funktio yhdistää SAP Dynamic Audit Log Monitor Configuration- ja SAP – Systems -katseluluetteloiden tiedot ja tarjoaa järjestelmäkohtaisen määrityksen järjestelmäkohtaisessa roolissa.
Parametrit:
| Nimi | Valinnainen tai pakollinen | Oletus | Kuvaus |
|---|---|---|---|
| Valitut järjestelmät | Valinnainen | All Systems |
Käytetään tiettyjen SAP-järjestelmien suodattamiseen tarkastelua varten. |
| SelectedSystemRoles | Valinnainen | All System Roles |
Määrittää tarkasteltavat SAP-järjestelmien roolit (määritelty SAP – Järjestelmien katseluluettelossa). |
| SelectedSeverities | Valinnainen | [High, Medium] |
Käytetään määrittämään tapahtumat, joita tarkastellaan niiden vakavuusasteen suhteen. SAP-valvontalokin viestitunnuksen ja järjestelmäroolin vakavuusasteet määritetään SAP_Dynamic_Audit_Log_Monitor_Configuration katseluluettelossa. |
| Valitutruletyypit | Valinnainen | All RuleTypes |
Määrittää, mitkä tapahtumat ovat olennaisia poikkeamien havaitsemiseksi kohteessa. SAP-valvontalokin viestitunnuksen ja järjestelmäroolin sääntötyypit määritetään SAP_Dynamic_Audit_Log_Monitor_Configuration katseluluettelossa. |
SAPAuditLogConfiguration-funktio palauttaa seuraavat tiedot:
| Kenttä | Kuvaus | Tietolähde/huomautukset |
|---|---|---|
| Luokan nimi | SAP:n antama tapahtumaluokka | SAP Dynamic Audit Log Monitor Configuration - katseluluettelo |
| DestinationEmail | Määritetyn ryhmän sähköpostiosoite | SAP Dynamic Audit Log Monitor Configuration - katseluluettelo |
| DetailedDescription | Ilmoituksista näytettävä markdown-muotoiltu teksti | SAP Dynamic Audit Log Monitor Configuration - katseluluettelo |
| MessageID | SAP-valvontalokin viestitunnus | SAP Dynamic Audit Log Monitor Configuration - katseluluettelo |
| Viestin teksti | Malliviestin teksti | SAP Dynamic Audit Log Monitor Configuration - katseluluettelo |
| RolesTagsToExclude | ABAP-rooli, profiili tai vapaa tekstitunniste | SAP Dynamic Audit Log Monitor Configuration - katseluluettelo |
| Säännön tyyppi | Poikkeama tai deterministinen | SAP Dynamic Audit Log Monitor Configuration - katseluluettelo |
| Taktiikka | MITRE ATTA&CK-taktiikka | SAP Dynamic Audit Log Monitor Configuration - katseluluettelo |
| TeamsChannelID | Teams-kanava | SAP Dynamic Audit Log Monitor Configuration - katseluluettelo |
| SystemID | SAP-järjestelmän tunnus | SAP – Järjestelmien katseluluettelo |
| SystemRole | SAP-järjestelmän rooli | SAP – Järjestelmien katseluluettelo |
| SystemUsage | SAP-järjestelmän pääasiallinen käyttö | SAP – Järjestelmien katseluluettelo |
| IsProd | Tuotantojärjestelmän merkintä | SAP – Järjestelmien katseluluettelo |
| Vakavuus | Johdettu vakavuus | Vakavuus järjestelmän käyttöä kohden |
| Kynnys | Johdettu raja-arvo | Tapahtumien määrä järjestelmän käyttöä kohden |
| BagOfDetails | Tietosäilö | Sanasto, joka kertoo tapahtuman määrityksen |
Lisätietoja on kohdassa Käytettävissä olevat katseluluettelot.
SAPAuditLogAnomalies
SAPAuditLogAnomalies-funktio käyttää Microsoft Sentinel pohjana olevia Kusto-tietokannan sisäisiä koneoppimisominaisuuksia. Se auttaa havaitsemaan SAP-valvontalokissa havaittuja poikkeavia tapahtumia.
SAPAuditLogAnomalies-funktio on kehitetty SAP - (Kokeellinen) dynaaminen poikkeamapohjainen valvontalokin tarkkailun hälytysten analytiikkasääntöä varten. Vaikka sen alkuperäinen rakenne on varoittaa viimeaikaisista poikkeamista, se voi myös auttaa korostamaan historiallisia poikkeavuuksia. Lisätietoja on kohdassa Mallien käyttö.
SAPAuditLogAnomalies-funktio oppii eri syöteparametrien määrittämän historian sektorin seuraavilla tasoilla:
- Käyttäjä
- Verkkomääritteet
- Järjestelmä
- Kausiluonteisuus
- Toimintatasot
SAPAuditLogAnomalies-funktio tuomitsee tapahtumat, jotka tapahtuivat edellisen DetectingTime ajankohdan aikana oppimansa mukaan, käyttämällä raja-arvoja ja muita määritettävissä olevia poissulkemiskriteerejä, jotka on saatu SAP-valvontalokin määritysten katseluluettelosta.
Kun käyttäjän toiminnan liukuva ikkuna katsotaan poikkeavaksi, toinen kysely palauttaa koko käyttäjän toiminnan todisteena päätöksestä.
Parametrit:
| Nimi | Valinnainen tai pakollinen | Oletus | Kuvaus |
|---|---|---|---|
| LearningTime | Valinnainen | 14 päivää | Määrittää mallin oppimisessa käytetyn aikavälin. |
| DetectingTime | Valinnainen | Tunti | Määrittää poikkeamien havaitsemisen aikavälin. Tämän funktion DetectingTime = 0h kutsuminen korostaa poikkeamat koko LearningTime aikavälillä. |
| Valitut järjestelmät | Valinnainen | All Systems |
Käytetään tiettyjen SAP-järjestelmien suodattamiseen tarkastelua varten. |
| SelectedSystemRoles | Valinnainen | All System Roles |
Määrittää tarkasteltavat SAP-järjestelmien roolit SAP – Järjestelmien katseluluettelossa määritetyllä tavalla |
| SelectedSeverities | Valinnainen | [High, Medium] |
Käytetään määrittämään tapahtumat, joita tarkastellaan niiden vakavuusasteen suhteen. SAP-valvontalokin viestitunnuksen ja järjestelmäroolin vakavuusasteet määritetään SAP_Dynamic_Audit_Log_Monitor_Configuration katseluluettelossa. |
| SelectedPrefixMask | Valinnainen | 24 | Käytetään oppimiseen ja havaitsemiseen käytetyn aliverkon peitetason määrittämiseen. |
| Valitutruletyypit | Valinnainen | AnomaliesOnly |
Määrittää, mitkä tapahtumat ovat olennaisia poikkeamien havaitsemiseksi. SAP-valvontalokin viestitunnuksen ja järjestelmäroolin sääntötyypit määritetään SAP_Dynamic_Audit_Log_Monitor_Configuration katseluluettelossa. |
SAPAuditLogAnomalies-funktio palauttaa seuraavat tiedot:
| Kenttä | Kuvaus |
|---|---|
| Useita kenttiä SAPAuditLog-lokista | AVAINKENTÄT SAP-valvontalokista |
| Useita kenttiä SAPAuditLogConfiguration-kohteesta | Avainkentät sap-valvontalokin määritysten Microsoft Sentinel |
| Löydetty | Pyöristetty tunti, jolloin poikkeamaa havaittiin |
| Tapahtumien määrä | Palautettua riviä kohden laskettujen tapahtumien määrä |
| AnomalCount | Asiaankuuluvan liukuvan ikkunan havaittujen tapahtumien määrä |
| MinTime | Ensimmäisen tapahtuman toteamisaika |
| Enimmäisaika | Viimeisen havaitun tapahtuman aika |
| Tulos | poikkeamamallin tuottamat poikkeamapisteet |
Suositukset:
Kuten minkä tahansa koneoppimisratkaisun kohdalla, SAPAuditLogAnomalies-funktio toimii paremmin ajan myötä, ja sitä voidaan säätää tarpeen mukaan ajan kuluessa.
Suosittelemme, että rajoitat opitut tietokannat alle 100 miljoonaan tietueeseen monien käytettävissä olevien syöteparametrien avulla.
Esimerkkikäytöt ovat seuraavat:
Jos haluat etsiä poikkeamia tapahtumista, joiden vakavuus on suuri ja jotka ovat tapahtuneet viimeisen tunnin aikana tuotantojärjestelmissä tapahtumatyypeille, jotka on merkitty poikkeavuuksiksiOnlySAP_Dynamic_Audit_Log_Monitor_Configuration katseluluettelossa, suorita:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Jos haluat etsiä kaikkia poikkeamia viimeisten 14 päivän ajalta BIP-järjestelmässä , suorita:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Lisätietoja on artikkelissa SISÄISET SAP-analytiikkasäännöt SAP-valvontalokin japoikkeamien tunnistamisen valvomiseksi SAP-valvontalokissa Microsoft Sentinel SAP-ratkaisun avulla (blogi).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend on aputoiminto, joka on suunniteltu tarjoamaan suosituksia SAP - Dynamic Anomaly Based Audit Log Monitor Alerts (PREVIEW) -analytiikkasäännön määritykseen.
Lisätietoja on artikkelissa SAP-valvontalokin valvonta.
SAPUsersGetVIP
SAP-sovellusten Microsoft Sentinel ratkaisu käyttää keskitetyn käyttäjän tunnisteiden ja eksplisiittisten poissulkemisten käsitettä, jonka tarkoituksena on auttaa pienentämään false-positiivisia arvoja pienellä vaivalla.
SAPUsersGetVIP-funktion avulla voit estää käyttäjiä käynnistämästä ilmoituksia määrittämällä SAP-käyttäjärooleja, SAP-käyttäjäfunktioita tai kyseisiä käyttäjiä edustavia tunnisteita. Lisätietoja on artikkelissa Käsittele epätosi-positiivisia arvoja Microsoft Sentinel.
SAPUsersGetVIP-funktion syötteeksi määritetyt tunnisteet jättävät pois kaikki käyttäjät, joilla on tunniste SAP_User_Config katseluluettelossa. Sama toiminto on laajennettu toimimaan yleismerkkien kanssa, joten voit määrittää yksittäisen tunnisteen käyttäjäryhmälle, jolla on sama nimeämissyntaksi.
Merkitse SAP_User_Config katseluluettelon käyttäjät seuraavasti:
Lisää useita tunnisteita kuhunkin käyttäjään SAP_User_Config katseluluettelossa eri skenaarioiden kattamiseksi. Jokaisella ilmoitussäännöllä on omat tunnisteensa, jos niitä on, ja voit lisätä mukautettuja tunnisteita tarvittaessa.
Käytä tähteä (*) yleismerkkinä, jos haluat sisällyttää mukaan käyttäjiä, joilla on tietty nimeämissyntaksimalli.
Lisäämällä SAPUsersGetVIP-funktion analytiikkasääntöihisi voit pyytää määrittämiäsi käyttäjäluetteloita jäämään pois ilmoituksista. Lisää funktiokutsussa matriisi, joka sisältää tunnisteet, SAP-roolit ja SAP-profiilit, jotka haluat jättää pois.
Voit esimerkiksi käyttää seuraavaa KQL-kyselyä analytiikkasäännössä, jos haluat jättää pois kaikki käyttäjät, joille on määritetty RunObsoleteProgOK-tunnisteSAP_User_Config katseluluettelossa, tai käyttäjät, joilla on mallirooli SAP_BASIS_ADMIN_ROLE tai SAP_ADMIN_PROFILE malliprofiilissa.
Kun kopioit tätä mallifunktiokutsua, korvaa SAP_BASIS_ADMIN_ROLE rooli ja SAP_ADMIN_PROFILE profiilisi omilla SAP-rooleillasi tai profiileillasi tarvittaessa.
Esimerkki:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
SAPUsersGetVIP-funktiota käytetään yleisesti Deterministic- ja Anomalous Audit Log Monitor -hälytyksissä. Liitä tunniste SAP-valvontalokin viestitunnukseen tai laajenna sääntömalli mukautettuun sääntöön, joka vastaa organisaatiosi tarpeita.
Vihje
Suosittelemme ottamaan yhteyttä SAP-järjestelmänvalvojaasi ja ymmärtämään, mitkä SAP-käyttäjät, roolit ja profiilit haluat sisällyttää SAP_User_Config katseluluetteloosi.
Parametrit:
| Nimi | Valinnainen tai pakollinen | Oletus | Kuvaus |
|---|---|---|---|
| Hakusanojen hakeminen | Valinnainen | dynamic('All Tags') |
Kun SearchForTags arvo on All Tagsyhtä suuri kuin , kaikki käyttäjät palautetaan yhdessä tunnisteidensa kanssa. Muussa tapauksessa palautetaan vain käyttäjät, joilla on kohteessa SearchForTags määritetyt tunnisteet, SAP-roolit tai SAP-profiilit.
TagsIntersect näyttää löytyneet tunnisteet ja IntersectionSize sisältää löytyneiden tunnisteiden määrän. |
| SpecialFocusTags | Valinnainen | Do not return any in-focus users |
Palauttaa kaikki käyttäjät, joilla on kohteessa SpecialFocusTagsmääritetyt tunnisteet ja jotka on merkitty -merkinnällä specialFocusTagged = true. |
SAPUsersGetVIP-funktio palauttaa seuraavan tuloksen:
| Lähde | Kenttä | Kuvaus | Huomautuksia |
|---|---|---|---|
| SAP_User_Config katseluluettelo | SearchKey |
Hakuavain | |
| SAP_User_Config katseluluettelo | SAPUser |
SAP-käyttäjä | OSS, DDIC |
| SAP_User_Config katseluluettelo | Tags |
Käyttäjälle määritettyjen tunnisteiden merkkijono | RunObsoleteProgOK |
| SAP_User_Config katseluluettelo | Käyttäjän Microsoft Entra objektitunnus | Microsoft Entra objektitunnus | |
| SAP_User_Config katseluluettelo | Käyttäjätunnus | Azure-hakemiston käyttäjätunnus | |
| SAP_User_Config katseluluettelo | Käyttäjän paikallinen SID-tunnus | ||
| SAP_User_Config katseluluettelo | Käyttäjän päänimi | ||
| SAP_User_Config katseluluettelo | TagsList |
Käyttäjälle määritettyjen tunnisteiden luettelo |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logiikka | TagsIntersect | Tunnistejoukko, joka vastaa toisiaan SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logiikka | SpecialFocusTagged | Erityistarkistusmerkintä |
True, False |
| Logiikka | Leikkauskoko | Risteävien tunnisteiden määrä |
SAPUsersHeader
SAPUsersHeader-funktio on suunniteltu tarjoamaan SAP-käyttäjälle korkean tason näkymä. Se käyttää sekä SAP-käyttäjän päätietotaulukoista että SAP-valvontalokin viimeaikaisista toiminnoista poimittuja tietoja sähköposti- ja IP-osoitteiden keräämiseksi. Se palauttaa sitten viimeksi tunnetut sähköposti- ja IP-osoitteet sekä ensisijaiset sähköposti- ja IP-osoitteet.
Parametrit:
| Nimi | Valinnainen tai pakollinen | Oletus | Kuvaus |
|---|---|---|---|
| Valitut järjestelmät | Valinnainen | All Systems |
Käytetään tiettyjen SAP-järjestelmien suodattamiseen tarkastelua varten |
| SelectedSystemRoles | Valinnainen | All System Roles |
Määrittää tarkasteltavat SAP-järjestelmien roolit SAP – Järjestelmien katseluluettelossa määritetyllä tavalla. |
| Valitut käyttäjät | Valinnainen | All Users |
Voi syöttää käyttäjäluetteloita. |
| SelectedUser | Valinnainen | All Users |
Hyväksyy vain yhden käyttäjän. |
Esimerkki:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Vihje
Suorituskykyyn liittyviä huomioon otettavia seikkoja on otettava huomioon vain muutama päivä valvontatoimia. Saat täydellisen käyttäjätoimintojen historian suorittamalla mukautetun KQL-kyselyn SAPAuditLog-funktiota vastaan.
SAPUsersHeader-funktio palauttaa seuraavan tuloksen:
| Lähde | Kenttä | Kuvaus | Huomautuksia |
|---|---|---|---|
| Käyttäjä | SAP-käyttäjä | ||
| SAP-taulukot ADR6 ja USR21 | Sähköposti | Otettu käyttäjän päätiedoista | OSS, DDIC |
| SAP-taulukko USR02 | Käyttäjätyyppi | Käyttäjälle määritettyjen tunnisteiden merkkijono | RunObsoleteProgOK |
| SAP-taulukko USR02 | Aikavyöhyke | Microsoft Entra objektitunnus | |
| SAP-taulukko USR02 | LockedStatus | Azure-hakemiston käyttäjätunnus | |
| SAP-valvontaloki | Viimeksi käytetty | Aikaleima | Viimeisin havainnoitu käyttäjän seurantatapahtuma |
| SAP-valvontaloki | LastSeenDaysAgo | Kuluneet päivät LastSeen |
|
| SAP-valvontaloki | Ensisijainenip | Useimmin käytetty IP-osoite |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP-valvontaloki | LastKnownIP | Viimeksi käytetty IP-osoite | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP-valvontaloki | Ensisijainen sähköposti | Useimmin käytetty sähköpostiosoite |
True, False |
| SAP-valvontaloki | Tunnetut | Tunnettujen IP-osoitteiden luettelo | Lajiteltu useimmin käytetyn ensimmäisen mukaan |
| SAP-valvontaloki | Tunnetut sähköpostit | Luettelo tunnetuista sähköpostiosoitteista | Lajiteltu useimmin käytetyn ensimmäisen mukaan |
| Asiakas | SAP-asiakastunnus | ||
| SystemID | SAP-järjestelmän tunnus | ||
| SystemRole | SAP-järjestelmän rooli | Tuotanto, UAT | |
| SystemUsage | SAP-järjestelmän pääasiallinen käyttö | ERP, CRM |
TH_SERVER_LIST (esikatselu)
TH_SERVER_LIST-funktiolla on merkitystä, kun SAP-järjestelmäsi on vanhempi XAL-järjestelmää käyttävä järjestelmä, ja siinä luetellaan aktiiviset SAP-sovelluspalvelimet.
TH_SERVER_LIST-funktiota tuetaan vain SAP Agentless Data Connector (Preview) -liittimellä. Lisätietoja on artikkelissa Microsoft Sentinel ratkaisun asentaminen SAP-sovelluksille.
Aiheeseen liittyvä sisältö
Lisätietoja on seuraavissa artikkeleissa: