Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive una selezione di funzioni disponibili nell'area di lavoro dopo l'installazione di una soluzione Microsoft Sentinel per le applicazioni SAP. Per altre funzioni, esplorare Microsoft Sentinel e caricare il codice della funzione.
Trovare le funzioni come indicato di seguito:
- Nella portale di Azure, nella pagina Log generali>, nella scheda Funzioni ed elencato in Funzioni dell'area di lavoro.
- Nella pagina Ricerca avanzata della risposta > & indagine del portale di Defender, nella scheda Funzioni ed elencata in Sentinel funzioni dell'area di lavoro.
Il contenuto di questo articolo è destinato ai team di sicurezza .
Usare le funzioni nelle query anziché i log o le tabelle sottostanti
È consigliabile usare le funzioni elencate in questo articolo come argomenti dell'analisi, quando possibile, anziché i log o le tabelle sottostanti.
Queste funzioni sono destinate a fungere da interfaccia utente principale per i dati. Costituiscono la base per tutte le regole di analisi predefinite e le cartelle di lavoro disponibili all'utente. L'uso di funzioni consente di apportare modifiche all'infrastruttura dati sotto le funzioni, senza interrompere il contenuto creato dall'utente.
BAPI_XMI_LOGON (anteprima)
La funzione BAPI_XMI_LOGON è rilevante quando il sistema SAP è un sistema precedente che usa XAL e esegue l'autenticazione per raccogliere i log di controllo DI SAP XAL.
La funzione BAPI_XMI_LOGON è supportata solo per il connettore dati senza agente SAP. Per altre informazioni, vedere Installare una soluzione Microsoft Sentinel per le applicazioni SAP.
BAPI_SYSTEM_MTE_GETTIDBYNAME (anteprima)
La funzione BAPI_SYSTEM_MTE_GETTIDBYNAME è rilevante quando il sistema SAP è un sistema precedente che usa XAL e recupera l'ID di un elemento di monitoraggio del sistema per nome.
La funzione BAPI_SYSTEM_MTE_GETTIDBYNAME è supportata solo per il connettore dati senza agente SAP. Per altre informazioni, vedere Installare una soluzione Microsoft Sentinel per le applicazioni SAP.
BAPI_SYSTEM_MTE_GETTREE (anteprima)
La funzione BAPI_SYSTEM_MTE_GETTREE è rilevante quando il sistema SAP è un sistema precedente che usa XAL e recupera la struttura degli elementi di monitoraggio del sistema.
La funzione BAPI_SYSTEM_MTE_GETTREE è supportata solo per il connettore dati senza agente SAP. Per altre informazioni, vedere Installare una soluzione Microsoft Sentinel per le applicazioni SAP.
BAPI_SYSTEM_MTE_GETMLHIS (anteprima)
La funzione BAPI_SYSTEM_MTE_GETMLHIS è rilevante quando il sistema SAP è un sistema precedente che usa XAL e recupera i dati cronologici sulle prestazioni e sullo stato.
La funzione BAPI_SYSTEM_MTE_GETMLHIS è supportata solo per il connettore dati senza agente SAP. Per altre informazioni, vedere Installare una soluzione Microsoft Sentinel per le applicazioni SAP.
BAPI_XMI_SET_AUDITLEVEL (anteprima)
La funzione BAPI_XMI_SET_AUDITLEVEL è rilevante quando il sistema SAP è un sistema precedente che usa XAL e configura il livello di registrazione di controllo XAL.
La funzione BAPI_XMI_SET_AUDITLEVEL è supportata solo per il connettore dati senza agente SAP. Per altre informazioni, vedere Installare una soluzione Microsoft Sentinel per le applicazioni SAP.
BAPI_XMI_GET_LOGHISTORY (anteprima)
La funzione BAPI_XMI_GET_LOGHISTORY è rilevante quando il sistema SAP è un sistema precedente che usa XAL e recupera le voci del log di controllo XAL precedenti.
La funzione BAPI_XMI_GET_LOGHISTORY è supportata solo per il connettore dati senza agente SAP. Per altre informazioni, vedere Installare una soluzione Microsoft Sentinel per le applicazioni SAP.
SAPUsersAssignments
La funzione SAPUsersAssignments raccoglie i dati da più origini dati SAP e crea una visualizzazione incentrata sull'utente dei dati master utente correnti, inclusi i ruoli e i profili attualmente assegnati.
Questa funzione riepiloga le assegnazioni utente a ruoli e profili e restituisce i dati seguenti:
| Campo | Descrizione | Origine dati/Note |
|---|---|---|
| Utente | ID utente SAP | Solo SAL |
| Posta elettronica | Indirizzo SMTP | USR21 (SMTP_ADDR) |
| Usertype | Tipo utente | USR02 (USTYP) |
| Fuso orario | Fuso orario | USR02 (TZONE) |
| LockedStatus | Stato blocco | USR02 (UFLAG) |
| LastSeenDate | Data ultima visualizzazione | USR02 (TRDAT) |
| LastSeenTime | Ora dell'ultima visualizzazione | USR02 (LTIME) |
| UserGroupAuth | Gruppo di utenti nella manutenzione master utente | USR02 (CLASSE) |
| Profili | Set di profili (dimensione massima predefinita del set = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Set di ruoli assegnati direttamente (dimensioni massime predefinite del set = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Set di ruoli assegnati indirettamente (dimensioni massime set predefinite = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Client | ID client | |
| SystemID | ID sistema | Come definito nel connettore |
SAPUsersGetPrivileged
La funzione SAPUsersGetPrivileged restituisce un elenco di utenti con privilegi per client e ID di sistema.
Gli utenti sono considerati con privilegi quando corrispondono a una delle descrizioni seguenti:
- Sono elencati nell'elenco di controllo SAP - Privileged Users
- Vengono assegnati a un profilo elencato in SAP - Elenco di controllo Profili sensibili
- Vengono aggiunti a un ruolo elencato in SAP - Elenco di controllo ruoli sensibili
Parametri:
| Nome | Facoltativo/Obbligatorio | Impostazione predefinita | Descrizione |
|---|---|---|---|
| TimeAgo | Facoltativo | Sette giorni | Determina che la funzione cerca i dati master dell'utente dall'ora definita dal TimeAgo valore fino all'ora definita dal now() valore. |
La funzione SAPUsersGetPrivileged restituisce i dati seguenti:
| Campo | Descrizione |
|---|---|
| Utente | ID utente SAP |
| Client | ID client |
| SystemID | ID sistema |
SAPUsersAuthorizations
La funzione SAPUsersAuthorizations riunisce i dati di diverse tabelle per produrre una visualizzazione incentrata sull'utente dei ruoli e delle autorizzazioni correnti assegnati. Vengono restituiti solo gli utenti con ruoli attivi e assegnazioni di autorizzazione.
Parametri:
| Nome | Facoltativo/Obbligatorio | Impostazione predefinita | Descrizione |
|---|---|---|---|
| TimeAgo | Facoltativo | Sette giorni | Determina che la funzione cerca i dati master dell'utente dall'ora definita dal TimeAgo valore fino all'ora definita dal now() valore. |
La funzione SAPUsersAuthorizations restituisce i dati seguenti:
| Campo | Descrizione | Note |
|---|---|---|
| Utente | ID utente SAP | |
| Ruoli | Set di ruoli (dimensioni massime predefinite del set = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Set di autorizzazioni (dimensioni massime predefinite del set = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Client | ID client | |
| SystemID | ID sistema |
SAPConnectorHealth
La funzione SAPConnectorHealth riflette lo stato della connettività dell'agente e del sistema SAP sottostante. In base al log heartbeat SAP_HeartBeat_CL e ad altri indicatori di integrità, vengono restituiti i dati seguenti:
| Campo | Descrizione |
|---|---|
| Agente | ID agente nella configurazione dell'agente (generato automaticamente) |
| SystemID | ID sistema SAP |
| Stato | Stato di connettività complessivo |
| Dettagli | Dettagli della connettività |
| ExtendedDetails | Dettagli estesi della connettività |
| LastSeen | Timestamp dell'attività più recente |
| StatusCode | Codice che riflette lo stato del sistema |
SAPConnectorOverview
La funzione SAPConnectorOverview mostra i conteggi delle righe di ogni tabella SAP per ID di sistema. Restituisce un elenco di record di dati per ID di sistema e il relativo tempo generato.
Parametri:
| Nome | Facoltativo/Obbligatorio | Impostazione predefinita | Descrizione |
|---|---|---|---|
| TimeAgo | Facoltativo | Sette giorni | Determina che la funzione cerca i dati master dell'utente dall'ora definita dal TimeAgo valore fino all'ora definita dal now() valore. |
La funzione SAPConnectorOverview restituisce i dati seguenti:
| Campo | Descrizione |
|---|---|
| TimeGenerated | Valore datetime del timestamp della generazione del record |
| SystemID_s | Stringa che rappresenta l'ID di sistema SAP |
Usare la query Kusto seguente per eseguire un'analisi giornaliera delle tendenze:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
La funzione SAPUsersEmail consente una ricerca orientata alle prestazioni dell'indirizzo di posta elettronica di un utente SAP per sistema e client SAP, in genere usata per associarlo a un account active directory.
La funzione SAPUsersEmail usa i dati estratti dalle tabelle SAP USR21 (assegnazione di nome utente/chiave di indirizzo) e ADR6 (indirizzi di posta elettronica) per cercare un indirizzo di posta elettronica. Se non viene trovato alcun indirizzo di posta elettronica, viene restituito l'ID utente.
Questo comportamento garantisce che gli account del servizio SAP, ad esempio DDIC, che spesso non sono associati a indirizzi di posta elettronica, vengano registrati come pseudo account AD. Questo apre anche alcune caratteristiche UEBA, aiutando nell'indagine di eventi imprevisti e attività di caccia.
La funzione SAPUsersEmail restituisce i dati seguenti:
| Campo | Descrizione |
|---|---|
| Clientid | The SAP client ID |
| SystemID | ID sistema SAP |
| Utente | ID utente SAP |
| Posta elettronica | Indirizzo di posta elettronica dell'utente SAP |
SAPSystems
La funzione SAPSystems viene usata per presentare centralmente la configurazione per sistema eseguita tramite l'elenco di controllo SAP - Systems .
Parametri:
| Nome | Facoltativo/Obbligatorio | Impostazione predefinita | Descrizione |
|---|---|---|---|
| SelectedSystems | Facoltativo | All Systems |
Usato per filtrare sistemi SAP specifici |
| SelectedSystemRoles | Facoltativo | All System Roles |
Determina i ruoli dei sistemi SAP da esaminare, come definito nell'elenco di controllo SAP - Systems |
La funzione SAPSystems restituisce i dati seguenti:
| Campo | Descrizione | Origine dati/Note |
|---|---|---|
| SearchKey | Chiave di ricerca | Campo indicizzato per l'ID di sistema SAP |
| SystemRole | Ruolo del sistema SAP | Produzione, UAT |
| SystemUsage | L'utilizzo principale del sistema SAP | ERP, CRM |
| SystemID | ID sistema SAP |
SAPAuditLogConfiguration
La funzione SAPAuditLogConfiguration restituisce la configurazione locale degli avvisi del log di controllo SAP all'area di lavoro Log Analytics abilitata per Microsoft Sentinel. Questa configurazione viene usata per gli avvisi correlati al log di controllo SAP.
La funzione SAPAuditLogConfiguration unisce i dati negli elenchi di controllo SAP Dynamic Audit Log Monitor Configuration e SAP - Systems per fornire una configurazione per sistema con un impegno per ogni ruolo del sistema.
Parametri:
| Nome | Facoltativo/Obbligatorio | Impostazione predefinita | Descrizione |
|---|---|---|---|
| SelectedSystems | Facoltativo | All Systems |
Usato per filtrare sistemi SAP specifici da esaminare. |
| SelectedSystemRoles | Facoltativo | All System Roles |
Determina i ruoli dei sistemi SAP da esaminare (come definito nell'elenco di controllo SAP - Systems ). |
| SelectedSeverities | Facoltativo | [High, Medium] |
Usato per determinare gli eventi da esaminare in termini di gravità. Le severità per ID messaggio del log di controllo SAP e ruolo di sistema sono definite nell'elenco di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedRuleTypes | Facoltativo | All RuleTypes |
Determina gli eventi rilevanti per il rilevamento delle anomalie. I tipi di regola per ID messaggio del log di controllo SAP e ruolo di sistema sono definiti nell'elenco di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration . |
La funzione SAPAuditLogConfiguration restituisce i dati seguenti:
| Campo | Descrizione | Origine dati/Note |
|---|---|---|
| Categoryname | Categoria di eventi specificata da SAP | Elenco di controllo della configurazione di Monitoraggio log di controllo dinamico SAP |
| DestinationEmail | Email indirizzo del team assegnato | Elenco di controllo della configurazione di Monitoraggio log di controllo dinamico SAP |
| Descrizione dettagliata | Testo formattato markdown da visualizzare sugli avvisi | Elenco di controllo della configurazione di Monitoraggio log di controllo dinamico SAP |
| MessageID | ID messaggio del log di controllo SAP | Elenco di controllo della configurazione di Monitoraggio log di controllo dinamico SAP |
| MessageText | Testo di un messaggio di esempio | Elenco di controllo della configurazione di Monitoraggio log di controllo dinamico SAP |
| RolesTagsToExclude | un tag di ruolo, profilo o testo libero ABAP | Elenco di controllo della configurazione di Monitoraggio log di controllo dinamico SAP |
| RuleType | Anomalia o deterministica | Elenco di controllo della configurazione di Monitoraggio log di controllo dinamico SAP |
| Tattiche | La tattica MITRE ATTA&CK | Elenco di controllo della configurazione di Monitoraggio log di controllo dinamico SAP |
| TeamsChannelID | Canale teams | Elenco di controllo della configurazione di Monitoraggio log di controllo dinamico SAP |
| SystemID | ID sistema SAP | SAP - Elenco di controllo dei sistemi |
| SystemRole | Ruolo del sistema SAP | SAP - Elenco di controllo dei sistemi |
| SystemUsage | L'utilizzo principale del sistema SAP | SAP - Elenco di controllo dei sistemi |
| IsProd | Flag del sistema di produzione | SAP - Elenco di controllo dei sistemi |
| Gravità | Gravità derivata | Gravità per utilizzo del sistema |
| Soglia | Soglia derivata | Numero di eventi per utilizzo del sistema |
| BagOfDetails | Borsa di dettagli | Dizionario che illustra in dettaglio la definizione dell'evento |
Per altre informazioni, vedere Watchlist disponibili.
SAPAuditLogAnomalies
La funzione SAPAuditLogAnomalies usa le funzionalità di Machine Learning predefinite del database Kusto sottostante di Microsoft Sentinel per rilevare gli eventi anomali osservati nel log di controllo SAP.
La funzione SAPAuditLogAnomalies è stata sviluppata per la regola di analisi degli avvisi sap - (sperimentale) basata su anomalie dinamiche di Audit Log Monitor . Anche se il suo design originale è quello di avvisare sulle anomalie recenti, può anche aiutare a evidenziare anomalie storiche. Per altre informazioni, vedere Usi di esempio.
La funzione SAPAuditLogAnomalies apprende la sezione della cronologia definita dai diversi parametri di input, ai livelli seguenti:
- Utente
- Attributi di rete
- Sistema
- Stagionalità
- Livelli di attività
La funzione SAPAuditLogAnomalies valuta quindi gli eventi che si verificano nell'ultimo DetectingTime intervallo di tempo in base a quanto appreso, applicando soglie e altri criteri di esclusione configurabili ottenuti dall'elenco di controllo della configurazione del log di controllo SAP.
Una volta che una finestra scorrevole dell'attività utente è considerata anomala, una seconda query restituisce l'intera attività utente come prova a supporto della decisione.
Parametri:
| Nome | Facoltativo/Obbligatorio | Impostazione predefinita | Descrizione |
|---|---|---|---|
| LearningTime | Facoltativo | 14 giorni | Determina l'intervallo di tempo usato per l'apprendimento del modello. |
| DetectingTime | Facoltativo | Un'ora | Determina l'intervallo di tempo da esaminare per rilevare le anomalie. La chiamata di questa funzione con DetectingTime = 0h evidenzia le anomalie nell'intero LearningTime intervallo di tempo. |
| SelectedSystems | Facoltativo | All Systems |
Usato per filtrare sistemi SAP specifici da esaminare. |
| SelectedSystemRoles | Facoltativo | All System Roles |
Determina i ruoli dei sistemi SAP da esaminare, come definito nell'elenco di controllo SAP - Systems |
| SelectedSeverities | Facoltativo | [High, Medium] |
Usato per determinare gli eventi da esaminare in termini di gravità. Le severità per ID messaggio del log di controllo SAP e ruolo di sistema sono definite nell'elenco di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedPrefixMask | Facoltativo | 24 | Usato per determinare il livello di subnet mask usato per l'apprendimento e il rilevamento. |
| SelectedRuleTypes | Facoltativo | AnomaliesOnly |
Determina gli eventi rilevanti per il rilevamento delle anomalie. I tipi di regola per ID messaggio del log di controllo SAP e ruolo di sistema sono definiti nell'elenco di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration . |
La funzione SAPAuditLogAnomalies restituisce i dati seguenti:
| Campo | Descrizione |
|---|---|
| Più campi da SAPAuditLog | Campi chiave del log di controllo SAP |
| Più campi da SAPAuditLogConfiguration | Campi chiave del Microsoft Sentinel per la configurazione del log di controllo SAP |
| DiscoveredOn | L'ora arrotondata in cui è stata osservata l'anomalia |
| EventCount | Numero di eventi conteggiati per riga restituita |
| AnomalCount | Numero di eventi osservati all'interno della finestra scorrevole pertinente |
| MinTime | Ora del primo evento osservato |
| MaxTime | Ora dell'ultimo evento osservato |
| Punteggio | i punteggi di anomalia generati dal modello di anomalia |
Raccomandazioni:
Come per qualsiasi soluzione di Machine Learning, la funzione SAPAuditLogAnomalies offre prestazioni migliori con il tempo e può essere regolata in base alle esigenze man mano che il tempo passa.
È consigliabile limitare le dimensioni del database appreso in modo che siano inferiori a 100 milioni di record usando i numerosi parametri di input disponibili.
Per cercare anomalie per gli eventi di gravità elevata che si sono verificati nell'ultima ora nei sistemi di produzione per i tipi di evento contrassegnati come AnomaliesOnlynell'elenco di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration , eseguire:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Per cercare tutte le anomalie negli ultimi 14 giorni nel sistema BIP , eseguire:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Per altre informazioni, vedere Regole di analisi SAP predefinite per il monitoraggio del log di controllo SAP e rilevamento anomalie nel log di controllo SAP usando la soluzione Microsoft Sentinel per SAP (blog).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend è una funzione helper progettata per offrire raccomandazioni per la configurazione della regola di analisi SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW).
Per altre informazioni, vedere Monitorare il log di controllo SAP.
SAPUsersGetVIP
La soluzione Microsoft Sentinel per le applicazioni SAP usa un concetto di tag utente centrale ed esclusioni esplicite, progettato per ridurre i falsi positivi con il minimo sforzo.
Usare la funzione SAPUsersGetVIP per escludere gli utenti dall'attivazione degli avvisi specificando ruoli utente SAP, funzioni utente SAP o tag che rappresentano tali utenti. Per altre informazioni, vedere Gestire i falsi positivi in Microsoft Sentinel.
I tag specificati come input per la funzione SAPUsersGetVIP escludono tutti gli utenti con un tag elencato nell'elenco di controllo SAP_User_Config. La stessa funzionalità viene estesa per funzionare con caratteri jolly, consentendo di assegnare un singolo tag a un gruppo di utenti con la stessa sintassi di denominazione.
Contrassegna gli utenti nell'elenco di controllo SAP_User_Config come indicato di seguito:
Aggiungere più tag a ogni utente nell'elenco di controllo SAP_User_Config , in base alle esigenze per coprire vari scenari. Ogni regola di avviso ha i propri tag pertinenti, se presenti, ed è possibile aggiungere tag personalizzati in base alle esigenze.
Usare un asterisco (*) come carattere jolly per includere gli utenti con un modello di sintassi di denominazione specifico.
Aggiungere la funzione SAPUsersGetVIP nelle regole di analisi per richiedere gli elenchi di utenti definiti per essere esclusi dagli avvisi. Nella chiamata di funzione aggiungere una matrice con i tag, i ruoli SAP e i profili SAP che si vuole escludere.
Ad esempio, usare la query KQL seguente nella regola di analisi per escludere tutti gli utenti configurati con il tag RunObsoleteProgOKnell'elenco di controllo SAP_User_Config o gli utenti con il ruolo di SAP_BASIS_ADMIN_ROLE di esempio o il profilo di SAP_ADMIN_PROFILE di esempio.
Quando si copia questa chiamata di funzione di esempio, sostituire SAP_BASIS_ADMIN_ROLE ruolo e SAP_ADMIN_PROFILE profilo con i propri ruoli o profili SAP in base alle esigenze.
Ad esempio:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
La funzione SAPUsersGetVIP viene comunemente usata negli avvisi di Monitoraggio log di controllo deterministici e anomali . Associare un tag a un ID messaggio del log di controllo SAP o estendere il modello di regola a una regola personalizzata che soddisfi le esigenze dell'organizzazione.
Consiglio
È consigliabile contattare l'amministratore di sistema SAP per comprendere quali utenti, ruoli e profili SAP includere nell'elenco di controllo SAP_User_Config.
Parametri:
| Nome | Facoltativo/Obbligatorio | Impostazione predefinita | Descrizione |
|---|---|---|---|
| SearchForTags | Facoltativo | dynamic('All Tags') |
Quando SearchForTags è uguale a , tutti gli utenti vengono restituiti All Tagsinsieme ai relativi tag. In caso contrario, vengono restituiti solo gli utenti con tag, ruoli SAP o profili SAP specificati in SearchForTags .
TagsIntersect mostra i tag trovati e IntersectionSize contiene il numero di tag trovati. |
| SpecialFocusTags | Facoltativo | Do not return any in-focus users |
Restituisce tutti gli utenti con i tag specificati in SpecialFocusTagse contrassegnati con specialFocusTagged = true. |
La funzione SAPUsersGetVIP restituisce l'output seguente:
| Origine | Campo | Descrizione | Note |
|---|---|---|---|
| Elenco di controllo SAP_User_Config | SearchKey |
Chiave di ricerca | |
| Elenco di controllo SAP_User_Config | SAPUser |
L'utente SAP | OSS, DDIC |
| Elenco di controllo SAP_User_Config | Tags |
Stringa di tag assegnati all'utente | RunObsoleteProgOK |
| Elenco di controllo SAP_User_Config | ID oggetto Microsoft Entra dell'utente | ID oggetto Microsoft Entra | |
| Elenco di controllo SAP_User_Config | Identificatore utente | identificatore utente della directory Azure | |
| Elenco di controllo SAP_User_Config | SID locale dell'utente | ||
| Elenco di controllo SAP_User_Config | Nome entità utente | ||
| Elenco di controllo SAP_User_Config | TagsList |
Elenco di tag assegnati all'utente |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logica | TagsIntersect | Set di tag corrispondenti SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logica | SpecialFocusTagged | Indicazione dello stato attivo speciale |
True, False |
| Logica | IntersezioneSize | Numero di tag intersecati |
SAPUsersHeader
La funzione SAPUsersHeader è progettata per fornire una visualizzazione generale dell'utente SAP. Usa i dati estratti sia dalle tabelle dati master degli utenti SAP che dall'attività recente nel log di controllo SAP per raccogliere indirizzi e-mail e IP. Restituisce quindi l'ultimo indirizzo e-mail e indirizzi IP noti insieme alla posta elettronica primaria e agli indirizzi IP.
Parametri:
| Nome | Facoltativo/Obbligatorio | Impostazione predefinita | Descrizione |
|---|---|---|---|
| SelectedSystems | Facoltativo | All Systems |
Usato per filtrare sistemi SAP specifici da esaminare |
| SelectedSystemRoles | Facoltativo | All System Roles |
Determina i ruoli dei sistemi SAP da esaminare, come definito nell'elenco di controllo SAP - Systems . |
| SelectedUsers | Facoltativo | All Users |
Può inserire elenchi di utenti. |
| SelectedUser | Facoltativo | All Users |
Accetta solo un singolo utente. |
Ad esempio:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Consiglio
Per considerazioni sulle prestazioni, vengono presi in considerazione solo alcuni giorni di attività di controllo. Per una cronologia completa dell'attività utente, eseguire una query KQL personalizzata sulla funzione SAPAuditLog .
La funzione SAPUsersHeader restituisce l'output seguente:
| Origine | Campo | Descrizione | Note |
|---|---|---|---|
| Utente | L'utente SAP | ||
| Tabelle SAP ADR6 e USR21 | Posta elettronica | Tratti dai dati master dell'utente | OSS, DDIC |
| Tabella SAP USR02 | Usertype | Stringa di tag assegnati all'utente | RunObsoleteProgOK |
| Tabella SAP USR02 | Fuso orario | ID oggetto Microsoft Entra | |
| Tabella SAP USR02 | LockedStatus | identificatore utente della directory Azure | |
| Log di controllo SAP | LastSeen | Timestamp | Ultimo evento di controllo osservato per l'utente |
| Log di controllo SAP | LastSeenDaysAgo | Giorni trascorsi da quando LastSeen |
|
| Log di controllo SAP | PrimaryIP | Indirizzo IP usato più di frequente |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Log di controllo SAP | LastKnownIP | Indirizzo IP usato più di recente | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Log di controllo SAP | PrimaryEmail | Indirizzo di posta elettronica usato più di frequente |
True, False |
| Log di controllo SAP | Indirizzi IP noti | Elenco di indirizzi IP noti | Ordinato in base al primo più frequente |
| Log di controllo SAP | KnownEmails | Elenco di indirizzi di posta elettronica noti | Ordinato in base al primo più frequente |
| Client | The SAP client ID | ||
| SystemID | ID sistema SAP | ||
| SystemRole | Ruolo del sistema SAP | Produzione, UAT | |
| SystemUsage | L'utilizzo principale del sistema SAP | ERP, CRM |
TH_SERVER_LIST (anteprima)
La funzione TH_SERVER_LIST è rilevante quando il sistema SAP è un sistema precedente che usa XAL ed elenca i server applicazioni SAP attivi.
La funzione TH_SERVER_LIST è supportata solo con il connettore dati senza agente SAP (anteprima). Per altre informazioni, vedere Installare una soluzione Microsoft Sentinel per le applicazioni SAP.
Contenuto correlato
Per altre informazioni, vedere: