Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver ett urval av funktioner som är tillgängliga på din arbetsyta när du har installerat en Microsoft Sentinel lösning för SAP-program. Upptäck fler funktioner genom att bläddra i Microsoft Sentinel och läsa in funktionskoden.
Hitta funktioner på följande sätt:
- I Azure Portal går du till sidan Allmänna > loggar på fliken Funktioner och visas under Arbetsytefunktioner.
- I Defender-portalen går du till sidan Undersökning & svar > Avancerad jakt på fliken Funktioner och visas under Sentinel arbetsytefunktioner.
Innehållet i den här artikeln är avsett för dina säkerhetsteam .
Använda funktioner i dina frågor i stället för underliggande loggar eller tabeller
Vi rekommenderar starkt att du använder funktionerna som anges i den här artikeln som ämnen för deras analys när det är möjligt, i stället för de underliggande loggarna eller tabellerna.
Dessa funktioner är avsedda att fungera som huvudanvändargränssnittet för data. De utgör grunden för alla inbyggda analysregler och arbetsböcker som är tillgängliga för dig direkt. Med hjälp av funktioner kan ändringar göras i datainfrastrukturen under funktionerna, utan att innehållet som skapats av användaren bryts.
BAPI_XMI_LOGON (förhandsversion)
Funktionen BAPI_XMI_LOGON är relevant när ditt SAP-system är ett äldre system som använder XAL och autentiserar för att samla in SAP XAL-granskningsloggar.
Funktionen BAPI_XMI_LOGON stöds endast för sap-agentlös dataanslutning. Mer information finns i Installera en Microsoft Sentinel lösning för SAP-program.
BAPI_SYSTEM_MTE_GETTIDBYNAME (förhandsversion)
Funktionen BAPI_SYSTEM_MTE_GETTIDBYNAME är relevant när ditt SAP-system är ett äldre system med XAL och hämtar ID:t för ett systemövervakningselement efter namn.
Funktionen BAPI_SYSTEM_MTE_GETTIDBYNAME stöds endast för sap-agentlös dataanslutning. Mer information finns i Installera en Microsoft Sentinel lösning för SAP-program.
BAPI_SYSTEM_MTE_GETTREE (förhandsversion)
Funktionen BAPI_SYSTEM_MTE_GETTREE är relevant när DITT SAP-system är ett äldre system som använder XAL och hämtar strukturen för systemövervakningselement.
Funktionen BAPI_SYSTEM_MTE_GETTREE stöds endast för sap-agentlös dataanslutning. Mer information finns i Installera en Microsoft Sentinel lösning för SAP-program.
BAPI_SYSTEM_MTE_GETMLHIS (förhandsversion)
Funktionen BAPI_SYSTEM_MTE_GETMLHIS är relevant när DITT SAP-system är ett äldre system med XAL och hämtar historiska prestanda- och statusdata.
Funktionen BAPI_SYSTEM_MTE_GETMLHIS stöds endast för sap-agentlös dataanslutning. Mer information finns i Installera en Microsoft Sentinel lösning för SAP-program.
BAPI_XMI_SET_AUDITLEVEL (förhandsversion)
Funktionen BAPI_XMI_SET_AUDITLEVEL är relevant när DITT SAP-system är ett äldre system som använder XAL och konfigurerar XAL-granskningsloggningsnivån.
Funktionen BAPI_XMI_SET_AUDITLEVEL stöds endast för sap-agentlös dataanslutning. Mer information finns i Installera en Microsoft Sentinel lösning för SAP-program.
BAPI_XMI_GET_LOGHISTORY (förhandsversion)
Funktionen BAPI_XMI_GET_LOGHISTORY är relevant när ditt SAP-system är ett äldre system som använder XAL och hämtar tidigare XAL-granskningsloggposter.
Funktionen BAPI_XMI_GET_LOGHISTORY stöds endast för sap-agentlös dataanslutning. Mer information finns i Installera en Microsoft Sentinel lösning för SAP-program.
SAPUsersAssignments
Funktionen SAPUsersAssignments samlar in data från flera SAP-datakällor och skapar en användarcentrerad vy över aktuella användarhuvuddata, inklusive de roller och profiler som för närvarande är tilldelade.
Den här funktionen sammanfattar användartilldelningarna till roller och profiler och returnerar följande data:
| Fält | Beskrivning | Datakälla/anteckningar |
|---|---|---|
| Användare | SAP-användar-ID | Endast SAL |
| E-post | SMTP-adress | USR21 (SMTP_ADDR) |
| UserType | Användartyp | USR02 (USTYP) |
| Tidszon | Tidszon | USR02 (TZONE) |
| LockedStatus | Låsstatus | USR02 (UFLAG) |
| LastSeenDate | Senast sedda datum | USR02 (TRDAT) |
| LastSeenTime | Senast sedd tid | USR02 (LTIME) |
| UserGroupAuth | Användargrupp i underhåll av användarbakgrund | USR02 (KLASS) |
| Profiler | Uppsättning profiler (standardstorlek för maximal uppsättning = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Uppsättning med direkttilldelade roller (standardstorleken för maximal uppsättning = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Uppsättning indirekt tilldelade roller (standardstorlek för maximal uppsättning = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Klient | Klient-ID | |
| SystemID | System-ID | Enligt definitionen i anslutningsappen |
SAPUsersGetPrivileged
Funktionen SAPUsersGetPrivileged returnerar en lista över privilegierade användare per klient och system-ID.
Användare anses vara privilegierade när de matchar någon av följande beskrivningar:
- De listas i bevakningslistan FÖR SAP – Privilegierade användare
- De tilldelas till en profil som listas i SAP – bevakningslista för känsliga profiler
- De läggs till i en roll som anges i SAP – bevakningslistan för känsliga roller
Parametrar:
| Namn | Valfritt/obligatoriskt | Standard | Beskrivning |
|---|---|---|---|
| TimeAgo | Valfritt | Sju dagar | Avgör att funktionen söker användarhuvuddata från den tid som definieras av TimeAgo värdet till den tid som definieras av now() värdet. |
Funktionen SAPUsersGetPrivileged returnerar följande data:
| Fält | Beskrivning |
|---|---|
| Användare | SAP-användar-ID |
| Klient | Klient-ID |
| SystemID | System-ID |
SAPUsersAuthorizations
Funktionen SAPUsersAuthorizations sammanför data från flera tabeller för att skapa en användarcentrerad vy över de aktuella roller och auktoriseringar som tilldelats. Endast användare med aktiv roll och auktoriseringstilldelningar returneras.
Parametrar:
| Namn | Valfritt/obligatoriskt | Standard | Beskrivning |
|---|---|---|---|
| TimeAgo | Valfritt | Sju dagar | Avgör att funktionen söker användarhuvuddata från den tid som definieras av TimeAgo värdet till den tid som definieras av now() värdet. |
Funktionen SAPUsersAuthorizations returnerar följande data:
| Fält | Beskrivning | Kommentar |
|---|---|---|
| Användare | SAP-användar-ID | |
| Roller | Uppsättning roller (standardstorlek för maxuppsättning = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Uppsättning auktoriseringar (standardstorlek för maxuppsättning = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Klient | Klient-ID | |
| SystemID | System-ID |
SAPConnectorHealth
Funktionen SAPConnectorHealth återspeglar statusen för agentens och det underliggande SAP-systemets anslutning. Baserat på pulsslagsloggen SAP_HeartBeat_CL och andra hälsoindikatorer returneras följande data:
| Fält | Beskrivning |
|---|---|
| Agent | Agent-ID i agentens konfiguration (genereras automatiskt) |
| SystemID | SAP-system-ID |
| Status | Övergripande anslutningsstatus |
| Information | Anslutningsinformation |
| ExtendedDetails | Utökad anslutningsinformation |
| LastSeen | Tidsstämpel för den senaste aktiviteten |
| StatusCode | Kod som återspeglar systemets status |
SAPConnectorOverview
Funktionen SAPConnectorOverview visar radantal för varje SAP-tabell per system-ID. Den returnerar en lista över dataposter per system-ID och deras tid som genereras.
Parametrar:
| Namn | Valfritt/obligatoriskt | Standard | Beskrivning |
|---|---|---|---|
| TimeAgo | Valfritt | Sju dagar | Avgör att funktionen söker användarhuvuddata från den tid som definieras av TimeAgo värdet till den tid som definieras av now() värdet. |
Funktionen SAPConnectorOverview returnerar följande data:
| Fält | Beskrivning |
|---|---|
| TimeGenerated | Ett datetime-värde för tidsstämpeln för postens generering |
| SystemID_s | En sträng som representerar SAP-system-ID:t |
Använd följande Kusto-fråga för att utföra en daglig trendanalys:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Funktionen SAPUsersEmail möjliggör en prestandaorienterad sökning av en SAP-användares e-postadress per SAP-system och -klient, som normalt används för att associera den med ett Active Directory-konto.
Funktionen SAPUsersEmail använder data som extraherats från SAP-tabeller USR21 (tilldelning av användarnamn/adressnyckel) och ADR6 (e-postadresser) för att söka efter en e-postadress. Om ingen e-postadress hittas returneras användar-ID:t i stället.
Det här beteendet säkerställer att SAP-tjänstkonton som DDIC, som ofta inte är associerade med en e-postadress, loggas som pseudo-AD-konton. Detta öppnar också upp några UEBA-funktioner, med hjälp i undersökningen av incidenter och jaktaktiviteter.
Funktionen SAPUsersEmail returnerar följande data:
| Fält | Beskrivning |
|---|---|
| ClientID | SAP-klient-ID |
| SystemID | SAP-system-ID |
| Användare | SAP-användar-ID |
| E-post | SAP-användarens e-postadress |
SAPSystems
Funktionen SAPSystems används för att centralt presentera konfigurationen per system som görs med hjälp av bevakningslistan SAP – System .
Parametrar:
| Namn | Valfritt/obligatoriskt | Standard | Beskrivning |
|---|---|---|---|
| SelectedSystems | Valfritt | All Systems |
Används för att filtrera specifika SAP-system |
| SelectedSystemRoles | Valfritt | All System Roles |
Avgör rollerna för de SAP-system som ska granskas, enligt definitionen i LISTAN ÖVER SAP - System-bevakning |
Funktionen SAPSystems returnerar följande data:
| Fält | Beskrivning | Datakälla/anteckningar |
|---|---|---|
| SearchKey | Söknyckel | Indexerat fält för SAP-system-ID |
| SystemRole | SAP-systemets roll | Produktion, UAT |
| SystemUsage | Den huvudsakliga användningen av SAP-systemet | ERP, CRM |
| SystemID | SAP-system-ID |
SAPAuditLogConfiguration
Funktionen SAPAuditLogConfiguration returnerar den lokala konfigurationen av SAP-granskningsloggaviseringar till Log Analytics-arbetsytan som är aktiverad för Microsoft Sentinel. Den här konfigurationen används för SAP-granskningsloggrelaterade aviseringar.
Funktionen SAPAuditLogConfiguration ansluter data i SAP Dynamic Audit Log Monitor Configuration och SAP – Systemövervakare för att tillhandahålla en per systemkonfiguration vid ett arbete per systemroll.
Parametrar:
| Namn | Valfritt/obligatoriskt | Standard | Beskrivning |
|---|---|---|---|
| SelectedSystems | Valfritt | All Systems |
Används för att filtrera specifika SAP-system att titta på. |
| SelectedSystemRoles | Valfritt | All System Roles |
Avgör rollerna för de SAP-system som ska granskas (enligt definitionen i LISTAN ÖVER SAP - system ). |
| SelectedSeverities | Valfritt | [High, Medium] |
Används för att fastställa händelser som ska granskas med avseende på deras allvarlighetsgrad. Allvarlighetsgrad per SAP-granskningsloggmeddelande-ID och systemroll definieras i SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista. |
| SelectedRuleTypes | Valfritt | All RuleTypes |
Avgör vilka händelser som är relevanta för att identifiera avvikelserna på. Regeltyper per SAP-granskningsloggmeddelande-ID och systemroll definieras i SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista. |
Funktionen SAPAuditLogConfiguration returnerar följande data:
| Fält | Beskrivning | Datakälla/anteckningar |
|---|---|---|
| Kategorinamn | SAP-specifik händelsekategori | Visningslista för SAP Dynamic Audit Log Monitor Configuration |
| DestinationEmail | Email adress till det tilldelade teamet | Visningslista för SAP Dynamic Audit Log Monitor Configuration |
| DetailedDescription | En markdown-formaterad text som ska visas i aviseringar | Visningslista för SAP Dynamic Audit Log Monitor Configuration |
| Messageid | SAP-granskningsloggens meddelande-ID | Visningslista för SAP Dynamic Audit Log Monitor Configuration |
| MessageText | En exempelmeddelandetext | Visningslista för SAP Dynamic Audit Log Monitor Configuration |
| RolesTagsToExclude | en ABAP-roll, profil eller fritexttagg | Visningslista för SAP Dynamic Audit Log Monitor Configuration |
| RuleType | Avvikelse eller deterministisk | Visningslista för SAP Dynamic Audit Log Monitor Configuration |
| Taktik | MITRE ATTA-&CK-taktiken | Visningslista för SAP Dynamic Audit Log Monitor Configuration |
| TeamsChannelID | Teams-kanal | Visningslista för SAP Dynamic Audit Log Monitor Configuration |
| SystemID | SAP-system-ID | SAP – systembevakningslista |
| SystemRole | SAP-systemets roll | SAP – systembevakningslista |
| SystemUsage | Den huvudsakliga användningen av SAP-systemet | SAP – systembevakningslista |
| IsProd | Flagga för produktionssystem | SAP – systembevakningslista |
| Allvarlighetsgrad | Den härledda allvarlighetsgraden | Allvarlighetsgrad per systemanvändning |
| Tröskel | Det härledda tröskelvärdet | Antal händelser per systemanvändning |
| BagOfDetails | Påse med information | En ordlista med information om händelsedefinitionen |
Mer information finns i Tillgängliga visningslistor.
SAPAuditLogAnomalies
Funktionen SAPAuditLogAnomalies använder Microsoft Sentinel underliggande Kusto-databasens inbyggda maskininlärningsfunktioner för att identifiera avvikande händelser som observerats i SAP-granskningsloggen.
Funktionen SAPAuditLogAnomalies har utvecklats för analysregeln SAP – (experimentell) dynamisk avvikelsebaserad granskningsloggövervakare . Den ursprungliga designen är att varna om de senaste avvikelserna, men den kan också hjälpa till att markera historiska avvikelser. Mer information finns i Exempel på användningsområden.
Funktionen SAPAuditLogAnomalies lär sig sektorn i historiken som definieras av de olika indataparametrarna på följande nivåer:
- Användare
- Nätverksattribut
- System
- Säsongsvariationer
- Aktivitetsnivåer
Funktionen SAPAuditLogAnomalies bedömer sedan händelser som inträffar inom det senaste DetectingTime tidsintervallet enligt vad den har lärt sig och tillämpar tröskelvärden och andra konfigurerbara undantagskriterier som hämtats från sap-granskningsloggens konfigurationsbevakningslista.
När ett skjutfönster för användaraktiviteten anses vara avvikande returnerar en andra fråga hela användaraktiviteten som bevis som stöder beslutet.
Parametrar:
| Namn | Valfritt/obligatoriskt | Standard | Beskrivning |
|---|---|---|---|
| LearningTime | Valfritt | 14 dagar | Avgör tidsintervallet som används för modellinlärningen. |
| DetectingTime | Valfritt | En timme | Avgör tidsintervallet som ska undersökas för att identifiera avvikelser. Anropa den här funktionen med DetectingTime = 0h markerar avvikelser över hela LearningTime tidsintervallet. |
| SelectedSystems | Valfritt | All Systems |
Används för att filtrera specifika SAP-system att titta på. |
| SelectedSystemRoles | Valfritt | All System Roles |
Avgör rollerna för de SAP-system som ska granskas, enligt definitionen i LISTAN ÖVER SAP - System-bevakning |
| SelectedSeverities | Valfritt | [High, Medium] |
Används för att fastställa händelser som ska granskas med avseende på deras allvarlighetsgrad. Allvarlighetsgrad per SAP-granskningsloggmeddelande-ID och systemroll definieras i SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista. |
| SelectedPrefixMask | Valfritt | 24 | Används för att fastställa nätmasknivån som används för inlärning och identifiering. |
| SelectedRuleTypes | Valfritt | AnomaliesOnly |
Avgör vilka händelser som är relevanta för att identifiera avvikelserna på. Regeltyper per SAP-granskningsloggmeddelande-ID och systemroll definieras i SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista. |
Funktionen SAPAuditLogAnomalies returnerar följande data:
| Fält | Beskrivning |
|---|---|
| Flera fält från SAPAuditLog | Nyckelfält från SAP-granskningsloggen |
| Flera fält från SAPAuditLogConfiguration | Nyckelfält från Microsoft Sentinel för KONFIGURATION av SAP-granskningslogg |
| DiscoveredOn | Den avrundade timme då avvikelsen observerades på |
| EventCount | Antal händelser som räknas per rad som returneras |
| AnomalCount | Antal händelser som observerats i relevant skjutfönster |
| MinTime | Tidpunkten för den första händelsen som observerats |
| MaxTime | Tidpunkten för den senaste händelsen som observerades |
| Poäng | avvikelsepoängen som genereras av avvikelsemodellen |
Rekommendationer:
Precis som med alla maskininlärningslösningar fungerar funktionen SAPAuditLogAnomalies bättre med tiden och kan justeras efter behov allteftersom tiden går.
Vi rekommenderar att du begränsar storleken på den inlärda databasen till under 100 miljoner poster med hjälp av de många tillgängliga indataparametrarna.
Exempel på användningsområden är:
Om du vill söka efter avvikelser efter händelser med hög allvarlighetsgrad som inträffat under den senaste timmen i produktionssystemen för händelsetyper som har markerats som AvvikelserOnt i SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista kör du:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Om du vill söka efter alla avvikelser under de senaste 14 dagarna i BIP-systemet kör du:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Mer information finns i Inbyggda SAP-analysregler för övervakning av SAP-granskningsloggen och Avvikelseidentifiering i SAP-granskningsloggen med hjälp av Microsoft Sentinel för SAP-lösningen (blogg).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend är en hjälpfunktion som utformats för att ge rekommendationer för konfigurationen av analysregeln SAP – dynamisk avvikelsebaserad granskningsloggövervakare (FÖRHANDSVERSION).
Mer information finns i Övervaka SAP-granskningsloggen.
SAPUsersGetVIP
Den Microsoft Sentinel lösningen för SAP-program använder ett begrepp med central användartaggning och explicita undantag som hjälper dig att minska falska positiva identifieringar med minimal ansträngning.
Använd funktionen SAPUsersGetVIP för att undanta användare från att utlösa aviseringar genom att ange SAP-användarroller, SAP-användarfunktioner eller taggar som representerar dessa användare. Mer information finns i Hantera falska positiva identifieringar i Microsoft Sentinel.
Taggar som anges som indata för funktionen SAPUsersGetVIP utesluter alla användare med en tagg som anges i SAP_User_Config visningslista. Samma funktioner utökas för att fungera med jokertecken, så att du kan tilldela en enda tagg till en grupp användare med samma namngivningssyntax.
Tagga användare i SAP_User_Config visningslista på följande sätt:
Lägg till flera taggar till varje användare i SAP_User_Config visningslista efter behov för att täcka olika scenarier. Varje aviseringsregel har egna relevanta taggar, om sådana finns, och du kan lägga till anpassade taggar efter behov.
Använd en asterisk (*) som jokertecken för att inkludera användare med en specifik mall för namngivningssyntax.
Lägg till funktionen SAPUsersGetVIP i dina analysregler för att begära listorna över användare som du har definierat som undantagna från aviseringar. I funktionsanropet lägger du till en matris med de taggar, SAP-roller och SAP-profiler som du vill exkludera.
Använd till exempel följande KQL-fråga i analysregeln för att exkludera användare som har konfigurerats med taggen RunObsoleteProgOK i SAP_User_Config visningslista, eller användare med exempelrollen SAP_BASIS_ADMIN_ROLE eller exempelprofilen SAP_ADMIN_PROFILE .
När du kopierar det här exempelfunktionsanropet ersätter du SAP_BASIS_ADMIN_ROLE roll och SAP_ADMIN_PROFILE profil med dina egna SAP-roller eller -profiler efter behov.
Till exempel:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Funktionen SAPUsersGetVIP används ofta i deterministiska och avvikande aviseringar för granskningsloggövervakare . Associera en tagg med ett SAP-granskningsloggmeddelande-ID eller utöka regelmallen till en anpassad regel som matchar organisationens behov.
Tips
Vi rekommenderar att du kontaktar SAP-systemadministratören för att förstå vilka SAP-användare, roller och profiler som ska ingå i din SAP_User_Config visningslista.
Parametrar:
| Namn | Valfritt/obligatoriskt | Standard | Beskrivning |
|---|---|---|---|
| SearchForTags | Valfritt | dynamic('All Tags') |
När SearchForTags är lika med returneras All Tagsalla användare tillsammans med sina taggar. Annars returneras endast användare som har de taggar, SAP-roller eller SAP-profiler som anges i SearchForTags .
TagsIntersect visar de taggar som hittas och IntersectionSize innehåller antalet taggar som hittas. |
| SpecialFocusTags | Valfritt | Do not return any in-focus users |
Returnerar alla användare med de taggar som anges i SpecialFocusTagsoch markerade dem med specialFocusTagged = true. |
Funktionen SAPUsersGetVIP returnerar följande utdata:
| Source | Fält | Beskrivning | Kommentar |
|---|---|---|---|
| Visningslistan för SAP_User_Config | SearchKey |
Söknyckel | |
| Visningslistan för SAP_User_Config | SAPUser |
SAP-användaren | OSS, DDIC |
| Visningslistan för SAP_User_Config | Tags |
Sträng med taggar som tilldelats användaren | RunObsoleteProgOK |
| Visningslistan för SAP_User_Config | Användarens Microsoft Entra objekt-ID | Microsoft Entra objekt-ID | |
| Visningslistan för SAP_User_Config | Användaridentifierare | användaridentifierare för Azure Directory | |
| Visningslistan för SAP_User_Config | Användarens lokala SID | ||
| Visningslistan för SAP_User_Config | Användarens huvudnamn | ||
| Visningslistan för SAP_User_Config | TagsList |
En lista över taggar som tilldelats användaren |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logik | TagsIntersect | En uppsättning taggar som matchade SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logik | SpecialFocusTagged | Särskild fokusindikator |
True, False |
| Logik | KorsningarStorlek | Antalet korsade taggar |
SAPUsersHeader
Funktionen SAPUsersHeader är utformad för att ge en översikt över SAP-användaren. Den använder data som extraherats från både SAP-användarhuvuddatatabellerna och den senaste aktiviteten i SAP-granskningsloggen för att samla in e-post och IP-adresser. Den returnerar sedan senast kända e-postadresser och IP-adresser tillsammans med primär e-post och IP-adresser.
Parametrar:
| Namn | Valfritt/obligatoriskt | Standard | Beskrivning |
|---|---|---|---|
| SelectedSystems | Valfritt | All Systems |
Används för att filtrera specifika SAP-system att titta på |
| SelectedSystemRoles | Valfritt | All System Roles |
Avgör rollerna för de SAP-system som ska granskas, enligt definitionen i listan över SAP - System-bevakning . |
| SelectedUsers | Valfritt | All Users |
Kan ange listor över användare. |
| SelectedUser | Valfritt | All Users |
Accepterar endast en enskild användare. |
Till exempel:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Tips
För prestandaöverväganden beaktas endast några dagars granskningsaktivitet. Om du vill ha en fullständig historik över användaraktiviteten kör du en anpassad KQL-fråga mot funktionen SAPAuditLog .
Funktionen SAPUsersHeader returnerar följande utdata:
| Source | Fält | Beskrivning | Kommentar |
|---|---|---|---|
| Användare | SAP-användaren | ||
| SAP-tabellerNA ADR6 och USR21 | E-post | Hämtad från användarens huvuddata | OSS, DDIC |
| SAP-tabell USR02 | UserType | Sträng med taggar som tilldelats användaren | RunObsoleteProgOK |
| SAP-tabell USR02 | Tidszon | Microsoft Entra objekt-ID | |
| SAP-tabell USR02 | LockedStatus | användaridentifierare för Azure Directory | |
| SAP-granskningslogg | LastSeen | En tidsstämpel | Senaste granskningshändelse som observerades för användaren |
| SAP-granskningslogg | LastSeenDaysAgo | Dagar som gått sedan dess LastSeen |
|
| SAP-granskningslogg | PrimärTIP | Mest använda IP-adress |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP-granskningslogg | LastKnownIP | Senast använda IP-adress | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP-granskningslogg | PrimaryEmail | E-postadress som används oftast |
True, False |
| SAP-granskningslogg | Kända IP-adresser | Lista över kända IP-adresser | Sorteras efter de vanligaste först |
| SAP-granskningslogg | KnownEmails | Lista över kända e-postadresser | Sorteras efter de vanligaste först |
| Klient | SAP-klient-ID | ||
| SystemID | SAP-system-ID | ||
| SystemRole | SAP-systemets roll | Produktion, UAT | |
| SystemUsage | Den huvudsakliga användningen av SAP-systemet | ERP, CRM |
TH_SERVER_LIST (förhandsversion)
Den TH_SERVER_LIST funktionen är relevant när ditt SAP-system är ett äldre system som använder XAL och visar en lista över aktiva SAP-programservrar.
Funktionen TH_SERVER_LIST stöds endast med sap-agentlös dataanslutning (förhandsversion). Mer information finns i Installera en Microsoft Sentinel lösning för SAP-program.
Relaterat innehåll
Mer information finns i: