Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen beskriver et utvalg av funksjoner som er tilgjengelige i arbeidsområdet etter at du har installert en Microsoft Sentinel løsning for SAP-programmer. Oppdag flere funksjoner ved å bla gjennom Microsoft Sentinel og laste inn funksjonskoden.
Finn funksjoner som følger:
- I Azure Portal, på Generelle > logger-siden, på Funksjoner-fanen og oppført under Arbeidsområdefunksjoner.
- I Defender-portalen, på undersøkelses-& svarsiden > Avansert jakt, på Funksjoner-fanen og oppført under Sentinel arbeidsområdefunksjoner.
Innholdet i denne artikkelen er ment for sikkerhetsteamene dine.
Bruke funksjoner i spørringene i stedet for underliggende logger eller tabeller
Vi anbefaler på det sterkeste at du bruker funksjonene som er oppført i denne artikkelen, som emne for analysen når det er mulig, i stedet for de underliggende loggene eller tabellene.
Disse funksjonene er ment å fungere som hovedbrukergrensesnittet for dataene. De danner grunnlaget for alle de innebygde analysereglene og arbeidsbøkene som er tilgjengelige for deg. Ved hjelp av funksjoner kan det gjøres endringer i datainfrastrukturen under funksjonene, uten å bryte brukeropprettet innhold.
BAPI_XMI_LOGON (forhåndsvisning)
Funksjonen BAPI_XMI_LOGON er relevant når SAP-systemet er et eldre system som bruker XAL, og godkjenner for å samle inn SAP XAL-overvåkingslogger.
Funksjonen BAPI_XMI_LOGON støttes bare for SAP-agentløs datakobling. Hvis du vil ha mer informasjon, kan du se Installere en Microsoft Sentinel løsning for SAP-programmer.
BAPI_SYSTEM_MTE_GETTIDBYNAME (forhåndsvisning)
Funksjonen BAPI_SYSTEM_MTE_GETTIDBYNAME er relevant når SAP-systemet er et eldre system som bruker XAL, og henter ID-en til et systemovervåkingselement etter navn.
Funksjonen BAPI_SYSTEM_MTE_GETTIDBYNAME støttes bare for SAP-agentløs datakobling. Hvis du vil ha mer informasjon, kan du se Installere en Microsoft Sentinel løsning for SAP-programmer.
BAPI_SYSTEM_MTE_GETTREE (forhåndsvisning)
Funksjonen BAPI_SYSTEM_MTE_GETTREE er relevant når SAP-systemet er et eldre system som bruker XAL, og henter strukturen til systemovervåkingselementer.
Funksjonen BAPI_SYSTEM_MTE_GETTREE støttes bare for SAP-agentløs datakobling. Hvis du vil ha mer informasjon, kan du se Installere en Microsoft Sentinel løsning for SAP-programmer.
BAPI_SYSTEM_MTE_GETMLHIS (forhåndsvisning)
Funksjonen BAPI_SYSTEM_MTE_GETMLHIS er relevant når SAP-systemet er et eldre system som bruker XAL, og henter historisk ytelse og statusdata.
Funksjonen BAPI_SYSTEM_MTE_GETMLHIS støttes bare for SAP-agentløs datakobling. Hvis du vil ha mer informasjon, kan du se Installere en Microsoft Sentinel løsning for SAP-programmer.
BAPI_XMI_SET_AUDITLEVEL (forhåndsvisning)
Funksjonen BAPI_XMI_SET_AUDITLEVEL er relevant når SAP-systemet er et eldre system som bruker XAL, og konfigurerer loggingsnivået for XAL-overvåking.
Funksjonen BAPI_XMI_SET_AUDITLEVEL støttes bare for SAP-agentløs datakobling. Hvis du vil ha mer informasjon, kan du se Installere en Microsoft Sentinel løsning for SAP-programmer.
BAPI_XMI_GET_LOGHISTORY (forhåndsvisning)
Funksjonen BAPI_XMI_GET_LOGHISTORY er relevant når SAP-systemet er et eldre system som bruker XAL, og henter tidligere XAL-overvåkingsloggoppføringer.
Funksjonen BAPI_XMI_GET_LOGHISTORY støttes bare for SAP-agentløs datakobling. Hvis du vil ha mer informasjon, kan du se Installere en Microsoft Sentinel løsning for SAP-programmer.
SAPUsersAssignments
SAPUsersAssignments-funksjonen samler inn data fra flere SAP-datakilder og oppretter en brukerorientert visning av gjeldende hoveddata for bruker, inkludert rollene og profilene som for øyeblikket er tilordnet.
Denne funksjonen oppsummerer brukertilordningene til roller og profiler, og returnerer følgende data:
| Felt | Beskrivelse | Datakilde/notater |
|---|---|---|
| Bruker | SAP-bruker-ID | Bare sal |
| E-post | SMTP-adresse | USR21 (SMTP_ADDR) |
| UserType | Brukertype | USR02 (USTYP) |
| Tidssone | Tidssone | USR02 (TZONE) |
| Låststatus | Låsestatus | USR02 (UFLAG) |
| LastSeenDate | Dato for sist sett | USR02 (TRDAT) |
| LastSeenTime | Sist sett tid | USR02 (LTIME) |
| UserGroupAuth | Brukergruppe i vedlikehold av hovedbruker | USR02 (KLASSE) |
| Profiler | Sett med profiler (standard maksimumsstørrelse = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Sett med direkte tilordnede roller (standard maks. angitt størrelse = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Sett med indirekte tilordnede roller (standard maks. angitt størrelse = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Klient | Klient-ID | |
| SystemID | System-ID | Som definert i koblingen |
SAPUsersGetPrivileged
SAPUsersGetPrivileged-funksjonen returnerer en liste over privilegerte brukere per klient og system-ID.
Brukere anses som privilegerte når de samsvarer med følgende beskrivelser:
- De er oppført i visningslisten sap – privilegerte brukere
- De er tilordnet til en profil som er oppført i SAP – visningsliste for sensitive profiler
- De legges til i en rolle som er oppført i SAP – visningsliste for sensitive roller
Parametere:
| Navn | Valgfritt/obligatorisk | Standard | Beskrivelse |
|---|---|---|---|
| TimeAgo | Valgfri | Sju dager | Bestemmer at funksjonen søker etter hoveddata for brukeren fra tidspunktet som er definert av TimeAgo verdien til tidspunktet som er now() definert av verdien. |
SAPUsersGetPrivileged-funksjonen returnerer følgende data:
| Felt | Beskrivelse |
|---|---|
| Bruker | SAP-bruker-ID |
| Klient | Klient-ID |
| SystemID | System-ID |
SAPUsersAuthorizations
SAPUsersAuthorizations-funksjonen samler data fra flere tabeller for å produsere en brukerorientert visning av gjeldende roller og autorisasjoner som er tilordnet. Bare brukere med aktive roller og godkjenningstildelinger returneres.
Parametere:
| Navn | Valgfritt/obligatorisk | Standard | Beskrivelse |
|---|---|---|---|
| TimeAgo | Valgfri | Sju dager | Bestemmer at funksjonen søker etter hoveddata for brukeren fra tidspunktet som er definert av TimeAgo verdien til tidspunktet som er now() definert av verdien. |
SapUsersAuthorizations-funksjonen returnerer følgende data:
| Felt | Beskrivelse | Merknader |
|---|---|---|
| Bruker | SAP-bruker-ID | |
| Roller | Sett med roller (standard maks. angitt størrelse = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Sett med autorisasjoner (standard maksimumsstørrelse = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Klient | Klient-ID | |
| SystemID | System-ID |
SAPConnectorHealth
SAPConnectorHealth-funksjonen gjenspeiler statusen til agentens og det underliggende SAP-systemets tilkobling. Basert på livstegnloggen SAP_HeartBeat_CL og andre tilstandsindikatorer, returnerer den følgende data:
| Felt | Beskrivelse |
|---|---|
| Agent | Agent-ID i agentens konfigurasjon (automatisk generert) |
| SystemID | SYSTEM-ID for SAP |
| Status | Generell tilkoblingsstatus |
| Detaljer | Tilkoblingsdetaljer |
| ExtendedDetails | Utvidede detaljer for tilkobling |
| LastSeen | Tidsstempel for siste aktivitet |
| StatusCode | Kode som gjenspeiler systemets status |
SAPConnectorOverview
SAPConnectorOverview-funksjonen viser radantall for hver SAP-tabell per system-ID. Den returnerer en liste over dataposter per system-ID, og tiden som genereres.
Parametere:
| Navn | Valgfritt/obligatorisk | Standard | Beskrivelse |
|---|---|---|---|
| TimeAgo | Valgfri | Sju dager | Bestemmer at funksjonen søker etter hoveddata for brukeren fra tidspunktet som er definert av TimeAgo verdien til tidspunktet som er now() definert av verdien. |
SAPConnectorOverview-funksjonen returnerer følgende data:
| Felt | Beskrivelse |
|---|---|
| TimeGenerated | En datetime-verdi for tidsstempelet for postens generering |
| SystemID_s | En streng som representerer SAP-system-ID-en |
Bruk følgende Kusto-spørring til å utføre en daglig trendanalyse:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
SAPUsersEmail-funksjonen muliggjør et ytelsesorientert oppslag av en SAP-brukers e-postadresse per SAP-system og -klient, som vanligvis brukes til å knytte den til en Active Directory-konto.
SAPUsersEmail-funksjonen bruker data som er trukket ut fra SAP-tabeller USR21 (brukernavn/adressenøkkeltilordning) og ADR6 (E-postadresser) til å se etter en e-postadresse. Hvis det ikke blir funnet noen e-postadresse, returneres bruker-ID-en i stedet.
Denne virkemåten sikrer at SAP-tjenestekontoer som DDIC, som ofte ikke er knyttet til en e-postadresse, logges som pseudo AD-kontoer. Dette åpner også opp noen UEBA funksjoner, hjelpe i etterforskningen av hendelser og jaktaktiviteter.
SAPUsersEmail-funksjonen returnerer følgende data:
| Felt | Beskrivelse |
|---|---|
| ClientID | SAP-klient-ID-en |
| SystemID | SYSTEM-ID-en for SAP |
| Bruker | BRUKER-ID-en for SAP |
| E-post | E-postadressen til SAP-brukeren |
SAPSystems
SAPSystems-funksjonen brukes til sentralt å presentere per system-konfigurasjonen som er gjort ved hjelp av SAP - Systems watchlist.
Parametere:
| Navn | Valgfritt/obligatorisk | Standard | Beskrivelse |
|---|---|---|---|
| SelectedSystems | Valgfri | All Systems |
Brukes til å filtrere bestemte SAP-systemer |
| SelectedSystemRoles | Valgfri | All System Roles |
Bestemmer rollene til SAP-systemene som skal ses på, som definert i sap - systems watchlist |
SAPSystems-funksjonen returnerer følgende data:
| Felt | Beskrivelse | Datakilde/notater |
|---|---|---|
| SearchKey | Søkenøkkel | Indeksert felt for SAP-system-ID |
| SystemRole | SAP-systemets rolle | Produksjon, UAT |
| SystemBruker | Hovedbruken av SAP-systemet | ERP, CRM |
| SystemID | SYSTEM-ID-en for SAP |
SAPAuditLogConfiguration
SAPAuditLogConfiguration-funksjonen returnerer den lokale konfigurasjonen av SAP-overvåkingsloggvarsler til Log Analytics-arbeidsområdet som er aktivert for Microsoft Sentinel. Denne konfigurasjonen brukes for SAP-overvåkingsloggrelaterte varsler.
SAPAuditLogConfiguration-funksjonen kobler sammen dataene i SAP Dynamic Audit Log Monitor Configuration og SAP – Systems watchlists for å gi en per-system-konfigurasjon på en per system-rolle innsats.
Parametere:
| Navn | Valgfritt/obligatorisk | Standard | Beskrivelse |
|---|---|---|---|
| SelectedSystems | Valgfri | All Systems |
Brukes til å filtrere bestemte SAP-systemer å se på. |
| SelectedSystemRoles | Valgfri | All System Roles |
Bestemmer rollene til SAP-systemene som skal ses på (som definert i sap - systems watchlist). |
| SelectedSeverities | Valgfri | [High, Medium] |
Brukes til å bestemme hendelser som skal ses på når det gjelder alvorsgrader. Alvorsgrader per meldings-ID for SAP-overvåkingslogg og systemrolle er definert i SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste. |
| SelectedRuleTypes | Valgfri | All RuleTypes |
Bestemmer hvilke hendelser som er relevante for å oppdage avvikene. Regeltyper per meldings-ID for SAP-overvåkingslogg og systemrolle er definert i SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste. |
SAPAuditLogConfiguration-funksjonen returnerer følgende data:
| Felt | Beskrivelse | Datakilde/notater |
|---|---|---|
| Kategorinavn | SAP-gitt hendelseskategori | Overvåkingsliste for konfigurasjon av konfigurasjon for SAP-dynamisk overvåkingslogg |
| Målpost | E-postadressen til det tilordnede teamet | Overvåkingsliste for konfigurasjon av konfigurasjon for SAP-dynamisk overvåkingslogg |
| Detaljert beskrivelse | En markdown-formatert tekst som skal vises i varsler | Overvåkingsliste for konfigurasjon av konfigurasjon for SAP-dynamisk overvåkingslogg |
| MessageID | Meldings-ID-en for SAP-overvåkingsloggen | Overvåkingsliste for konfigurasjon av konfigurasjon for SAP-dynamisk overvåkingslogg |
| MessageText | En eksempelmeldingstekst | Overvåkingsliste for konfigurasjon av konfigurasjon for SAP-dynamisk overvåkingslogg |
| RolesTagsToExclude | en ABAP-rolle, profil eller fri tekstkode | Overvåkingsliste for konfigurasjon av konfigurasjon for SAP-dynamisk overvåkingslogg |
| RuleType | Avvik eller deterministisk | Overvåkingsliste for konfigurasjon av konfigurasjon for SAP-dynamisk overvåkingslogg |
| Taktikk | MITRE ATTA&CK taktikk | Overvåkingsliste for konfigurasjon av konfigurasjon for SAP-dynamisk overvåkingslogg |
| TeamsChannelID | Teams-kanal | Overvåkingsliste for konfigurasjon av konfigurasjon for SAP-dynamisk overvåkingslogg |
| SystemID | SYSTEM-ID-en for SAP | SAP – System-visningsliste |
| SystemRole | SAP-systemets rolle | SAP – System-visningsliste |
| SystemBruker | Hovedbruken av SAP-systemet | SAP – System-visningsliste |
| IsProd | Produksjonssystemflagg | SAP – System-visningsliste |
| Alvorlighetsgraden | Den avledede alvorsgraden | Alvorsgrad per systembruk |
| Terskelen | Den avledede terskelen | Hendelsesantall per systembruk |
| BagOfDetails | Pose med detaljer | En ordliste som beskriver hendelsesdefinisjonen |
Hvis du vil ha mer informasjon, kan du se Tilgjengelige visningslister.
SAPAuditLogAnomalies
SAPAuditLogAnomalies-funksjonen bruker Microsoft Sentinel underliggende Kusto-databasens innebygde maskinlæringsfunksjoner for å oppdage uregelmessige hendelser som er observert i SAP-overvåkingsloggen.
SAPAuditLogAnomalies-funksjonen ble utviklet for analyseregelen SAP - (Eksperimentell) Dynamisk avviksbasert overvåkingsloggovervåking varsler. Selv om den opprinnelige utformingen er å varsle om nylige avvik, kan det også bidra til å markere historiske avvik. Hvis du vil ha mer informasjon, kan du se Eksempelbruk.
SAPAuditLogAnomalies-funksjonen lærer delen av loggen som er definert av de ulike inndataparameterne, på følgende nivåer:
- Bruker
- Nettverksattributter
- System
- Sesongavhengige
- Aktivitetsnivåer
SAPAuditLogAnomalies-funksjonen vurderer deretter hendelser som forekommer innenfor siste DetectingTime tidsrom i henhold til hva den lærte, ved å bruke terskler og andre konfigurerbare utelukkelseskriterier hentet fra sap-overvåkingsloggkonfigurasjonen.
Når et glidende vindu med brukeraktivitet anses som uregelmessig, returnerer en annen spørring hele brukeraktiviteten som bevis som støtter avgjørelsen.
Parametere:
| Navn | Valgfritt/obligatorisk | Standard | Beskrivelse |
|---|---|---|---|
| Læringstid | Valgfri | 14 dager | Bestemmer tidsintervallet som brukes for modelllæringen. |
| DetectingTime | Valgfri | Én time | Bestemmer tidsintervallet som skal ses på for å oppdage avvik. Kaller denne funksjonen med DetectingTime = 0h uthev avvik over hele LearningTime tidsintervallet. |
| SelectedSystems | Valgfri | All Systems |
Brukes til å filtrere bestemte SAP-systemer å se på. |
| SelectedSystemRoles | Valgfri | All System Roles |
Bestemmer rollene til SAP-systemene som skal ses på, som definert i sap - systems watchlist |
| SelectedSeverities | Valgfri | [High, Medium] |
Brukes til å bestemme hendelser som skal ses på når det gjelder alvorsgrader. Alvorsgrader per meldings-ID for SAP-overvåkingslogg og systemrolle er definert i SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste. |
| SelectedPrefixMask | Valgfri | 24 | Brukes til å bestemme maskenivået for delnett som brukes til å lære og oppdage. |
| SelectedRuleTypes | Valgfri | AnomaliesOnly |
Bestemmer hvilke hendelser som er relevante for å oppdage avvikene. Regeltyper per meldings-ID for SAP-overvåkingslogg og systemrolle er definert i SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste. |
SAPAuditLogAnomalies-funksjonen returnerer følgende data:
| Felt | Beskrivelse |
|---|---|
| Flere felt fra SAPAuditLog | Nøkkelfelt fra SAP-overvåkingsloggen |
| Flere felt fra SAPAuditLogConfiguration | Nøkkelfelt fra Microsoft Sentinel for konfigurasjon av SAP-overvåkingslogg |
| DiscoveredOn | Den avrundede timen som avviket ble observert på |
| EventCount | Antall hendelser som telles per rad returnert |
| AnomalCount | Antall hendelser som er observert i relevant skyvevindu |
| MinTime | Tidspunktet for første hendelse observert |
| MaxTime | Tidspunkt for siste hendelse observert |
| Score | avviksresultatene som produseres av avviksmodellen |
Anbefalinger:
Som med alle maskinlæringsløsninger fungerer SAPAuditLogAnomalies-funksjonen bedre med tiden og kan justeres etter behov etter hvert som tiden går.
Vi anbefaler at du begrenser størrelsen på den lærde databasen til å være under 100 millioner poster ved hjelp av de mange tilgjengelige inndataparameterne.
Hvis du vil søke etter avvik etter hendelser med høy alvorlighetsgrad som har oppstått i løpet av den siste timen på produksjonssystemer for hendelsestyper som er merket som AvvikPå følgende i SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste, kjører du:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Hvis du vil søke etter alle avvik i de siste 14 dagene i BIP-systemet , kjører du:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Hvis du vil ha mer informasjon, kan du se innebygde SAP-analyseregler for overvåking av SAP-overvåkingsloggen og avviksregistrering i SAP-overvåkingsloggen ved hjelp av Microsoft Sentinel for SAP-løsning (blogg).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend er en hjelpefunksjon som er utformet for å gi anbefalinger for konfigurasjonen av analyseregelen for dynamisk avviksbasert overvåkingsloggovervåking (PREVIEW).
Hvis du vil ha mer informasjon, kan du se Overvåke SAP-overvåkingsloggen.
SAPUsersGetVIP
Den Microsoft Sentinel løsningen for SAP-programmer bruker et konsept med sentral brukermerking og eksplisitte utelukkelser, utformet for å hjelpe deg med å redusere falske positiver med minimal innsats.
Bruk SAPUsersGetVIP-funksjonen til å utelate brukere fra å utløse varsler ved å angi SAP-brukerroller, SAP-brukerfunksjoner eller koder som representerer disse brukerne. Hvis du vil ha mer informasjon, kan du se Håndtere falske positiver i Microsoft Sentinel.
Koder angitt som inndata for SAPUsersGetVIP-funksjonen utelater alle brukere med en kode som er oppført i SAP_User_Config visningsliste. Den samme funksjonaliteten er utvidet til å fungere med jokertegn, slik at du kan tilordne en enkelt kode til en gruppe brukere med samme navnesyntaks.
Merk brukere i visningslisten for SAP_User_Config på følgende måte:
Legg til flere koder for hver bruker i SAP_User_Config visningsliste, etter behov for å dekke ulike scenarioer. Hver varslingsregel har eventuelle egne relevante koder, og du kan legge til egendefinerte koder etter behov.
Bruk en stjerne (*) som jokertegn for å inkludere brukere med en bestemt mal for navnesyntaks.
Legg til SAPUsersGetVIP-funksjonen i analysereglene for å be om lister over brukere du har definert for å bli utelatt fra varsler. Legg til en matrise med kodene, SAP-rollene og SAP-profilene du vil utelate, i funksjonskallet.
Du kan for eksempel bruke følgende KQL-spørring i analyseregelen til å utelate alle brukere som er konfigurert med RunObsoleteProgOK-koden i SAP_User_Config visningsliste, eller brukere med SAP_BASIS_ADMIN_ROLE eksempelrollen eller SAP_ADMIN_PROFILE profil .
Når du kopierer dette eksempelfunksjonskallet, erstatter du SAP_BASIS_ADMIN_ROLE rolle og SAP_ADMIN_PROFILE profil med dine egne SAP-roller eller -profiler etter behov.
Eksempel:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
SAPUsersGetVIP-funksjonen brukes vanligvis i deterministiske og uregelmessige overvåkingsloggovervåkingsvarsler. Knytt en kode til en MELDINGS-ID for SAP-overvåkingslogg, eller utvid regelmalen til en egendefinert regel som samsvarer med organisasjonens behov.
Tips
Vi anbefaler at du kontakter SAP-systemadministratoren for å forstå hvilke SAP-brukere, roller og profiler som skal inkluderes i SAP_User_Config visningsliste.
Parametere:
| Navn | Valgfritt/obligatorisk | Standard | Beskrivelse |
|---|---|---|---|
| SearchForTags | Valgfri | dynamic('All Tags') |
Når SearchForTags er lik , returneres All Tagsalle brukere sammen med kodene. Ellers returneres bare brukere som har kodene, SAP-rollene eller SAP-profilene som er angitt i SearchForTags .
TagsIntersect viser kodene som er funnet, og IntersectionSize inneholder antall koder som finnes. |
| SpecialFocusTags | Valgfri | Do not return any in-focus users |
Returnerer alle brukere som bærer kodene som er angitt i SpecialFocusTags, og merket dem med specialFocusTagged = true. |
SAPUsersGetVIP-funksjonen returnerer følgende utdata:
| Kilde | Felt | Beskrivelse | Merknader |
|---|---|---|---|
| Visningslisten for SAP_User_Config | SearchKey |
Søkenøkkel | |
| Visningslisten for SAP_User_Config | SAPUser |
SAP-brukeren | OSS, DDIC |
| Visningslisten for SAP_User_Config | Tags |
Streng med koder tilordnet til bruker | RunObsoleteProgOK |
| Visningslisten for SAP_User_Config | Brukerens objekt-ID for Microsoft Entra | Microsoft Entra objekt-ID | |
| Visningslisten for SAP_User_Config | Brukeridentifikator | brukeridentifikator for Azure directory | |
| Visningslisten for SAP_User_Config | Lokal SID for bruker | ||
| Visningslisten for SAP_User_Config | Brukerhovednavn | ||
| Visningslisten for SAP_User_Config | TagsList |
En liste over merker som er tilordnet brukeren |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logikk | TagsIntersect | Et sett med koder som samsvarer SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logikk | SpecialFocusTagged | Spesialfokusindikasjon |
True, False |
| Logikk | IntersectionSize | Antall kryssende koder |
SAPUsersHeader
SAPUsersHeader-funksjonen er utformet for å gi en visning på høyt nivå av SAP-brukeren. Den bruker data som er trukket ut fra både sap-brukerens hoveddatatabeller og nylig aktivitet i SAP-overvåkingsloggen til å samle inn e-post og IP-adresser. Den returnerer deretter siste kjente e-postadresser og IP-adresser sammen med primære e-postadresser og IP-adresser.
Parametere:
| Navn | Valgfritt/obligatorisk | Standard | Beskrivelse |
|---|---|---|---|
| SelectedSystems | Valgfri | All Systems |
Brukes til å filtrere bestemte SAP-systemer å se på |
| SelectedSystemRoles | Valgfri | All System Roles |
Bestemmer rollene til SAP-systemene som skal ses på, som definert i sap - systems watchlist. |
| SelectedUsers | Valgfri | All Users |
Kan skrive inn lister over brukere. |
| SelectedUser | Valgfri | All Users |
Godtar bare én enkelt bruker. |
Eksempel:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Tips
For ytelsesvurderinger vurderes bare noen få dager med overvåkingsaktivitet. Hvis du vil ha en fullstendig logg over brukeraktivitet, kjører du en egendefinert KQL-spørring mot SAPAuditLog-funksjonen .
SAPUsersHeader-funksjonen returnerer følgende utdata:
| Kilde | Felt | Beskrivelse | Merknader |
|---|---|---|---|
| Bruker | SAP-brukeren | ||
| SAP-tabeller ADR6 og USR21 | E-post | Hentet fra brukerens hoveddata | OSS, DDIC |
| SAP-tabell USR02 | UserType | Streng med koder tilordnet til bruker | RunObsoleteProgOK |
| SAP-tabell USR02 | Tidssone | Microsoft Entra objekt-ID | |
| SAP-tabell USR02 | Låststatus | brukeridentifikator for Azure directory | |
| SAP-overvåkingslogg | LastSeen | Et tidsstempel | Siste overvåkingshendelse observert for brukeren |
| SAP-overvåkingslogg | LastSeenDaysAgo | Dager som har gått siden LastSeen |
|
| SAP-overvåkingslogg | PrimærIP | Den mest brukte IP-adressen |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP-overvåkingslogg | LastKnownIP | Siste brukte IP-adresse | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP-overvåkingslogg | PrimaryEmail | Hyppigst brukte e-postadresse |
True, False |
| SAP-overvåkingslogg | KjenteP-er | Liste over kjente IP-adresser | Sortert etter oftest først |
| SAP-overvåkingslogg | Kjente e-post | Liste over kjente e-postadresser | Sortert etter oftest først |
| Klient | SAP-klient-ID-en | ||
| SystemID | SYSTEM-ID-en for SAP | ||
| SystemRole | SAP-systemets rolle | Produksjon, UAT | |
| SystemBruker | Hovedbruken av SAP-systemet | ERP, CRM |
TH_SERVER_LIST (forhåndsvisning)
Funksjonen TH_SERVER_LIST er relevant når SAP-systemet er et eldre system som bruker XAL, og lister opp aktive SAP-programservere.
Funksjonen TH_SERVER_LIST støttes bare med SAP-agentløs datakobling (forhåndsvisning). Hvis du vil ha mer informasjon, kan du se Installere en Microsoft Sentinel løsning for SAP-programmer.
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se: