Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano wybór funkcji dostępnych w obszarze roboczym po zainstalowaniu rozwiązania Microsoft Sentinel dla aplikacji SAP. Odkryj więcej funkcji, przeglądając usługę Microsoft Sentinel i ładując kod funkcji.
Znajdź funkcje w następujący sposób:
- W witrynie Azure Portal na stronie Dzienniki ogólne > na karcie Funkcje i wyświetlonej w obszarze Funkcje.
- W portalu usługi Defender na stronie Zaawansowane wyszukiwanie zagrożeń dla badania i odpowiedzi > na karcie Funkcje i wyświetlone w obszarze Funkcje obszaru roboczego usługi Sentinel.
Zawartość tego artykułu jest przeznaczona dla zespołów ds. zabezpieczeń .
Używanie funkcji w zapytaniach zamiast bazowych dzienników lub tabel
Zdecydowanie zalecamy używanie funkcji wymienionych w tym artykule jako tematów ich analizy, jeśli to możliwe, zamiast bazowych dzienników lub tabel.
Te funkcje mają służyć jako główny interfejs użytkownika do danych. Stanowią one podstawę dla wszystkich wbudowanych reguł analitycznych i skoroszytów dostępnych dla Ciebie. Użycie funkcji umożliwia wprowadzanie zmian w infrastrukturze danych pod funkcjami bez przerywania zawartości utworzonej przez użytkownika.
BAPI_XMI_LOGON (wersja zapoznawcza)
Funkcja BAPI_XMI_LOGON jest odpowiednia, gdy system SAP jest starszym systemem przy użyciu biblioteki XAL i uwierzytelnia się w celu zbierania dzienników inspekcji sap XAL.
Funkcja BAPI_XMI_LOGON jest obsługiwana tylko dla łącznika danych bez agenta SAP. Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania usługi Microsoft Sentinel dla aplikacji SAP.
BAPI_SYSTEM_MTE_GETTIDBYNAME (wersja zapoznawcza)
Funkcja BAPI_SYSTEM_MTE_GETTIDBYNAME jest odpowiednia, gdy system SAP jest starszym systemem przy użyciu biblioteki XAL i pobiera identyfikator elementu monitorowania systemu według nazwy.
Funkcja BAPI_SYSTEM_MTE_GETTIDBYNAME jest obsługiwana tylko dla łącznika danych bez agenta SAP. Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania usługi Microsoft Sentinel dla aplikacji SAP.
BAPI_SYSTEM_MTE_GETTREE (wersja zapoznawcza)
Funkcja BAPI_SYSTEM_MTE_GETTREE jest odpowiednia, gdy system SAP jest starszym systemem przy użyciu biblioteki XAL i pobiera strukturę elementów monitorowania systemu.
Funkcja BAPI_SYSTEM_MTE_GETTREE jest obsługiwana tylko dla łącznika danych bez agenta SAP. Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania usługi Microsoft Sentinel dla aplikacji SAP.
BAPI_SYSTEM_MTE_GETMLHIS (wersja zapoznawcza)
Funkcja BAPI_SYSTEM_MTE_GETMLHIS jest odpowiednia, gdy system SAP jest starszym systemem przy użyciu biblioteki XAL i pobiera historyczne dane dotyczące wydajności i stanu.
Funkcja BAPI_SYSTEM_MTE_GETMLHIS jest obsługiwana tylko dla łącznika danych bez agenta SAP. Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania usługi Microsoft Sentinel dla aplikacji SAP.
BAPI_XMI_SET_AUDITLEVEL (wersja zapoznawcza)
Funkcja BAPI_XMI_SET_AUDITLEVEL jest odpowiednia, gdy system SAP jest starszym systemem przy użyciu biblioteki XAL i konfiguruje poziom rejestrowania inspekcji XAL.
Funkcja BAPI_XMI_SET_AUDITLEVEL jest obsługiwana tylko dla łącznika danych bez agenta SAP. Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania usługi Microsoft Sentinel dla aplikacji SAP.
BAPI_XMI_GET_LOGHISTORY (wersja zapoznawcza)
Funkcja BAPI_XMI_GET_LOGHISTORY jest odpowiednia, gdy system SAP jest starszym systemem przy użyciu biblioteki XAL i pobiera wcześniejsze wpisy dziennika inspekcji XAL.
Funkcja BAPI_XMI_GET_LOGHISTORY jest obsługiwana tylko dla łącznika danych bez agenta SAP. Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania usługi Microsoft Sentinel dla aplikacji SAP.
SAPUsersAssignments
Funkcja SAPUsersAssignments zbiera dane z wielu źródeł danych SAP i tworzy zorientowany na użytkownika widok bieżących danych głównych użytkownika, w tym role i profile aktualnie przypisane.
Ta funkcja podsumowuje przypisania użytkowników do ról i profilów oraz zwraca następujące dane:
| Pole | opis | Źródło danych/notatki |
|---|---|---|
| Użytkownik | Identyfikator użytkownika SAP | Tylko SAL |
| Adres SMTP | USR21 (SMTP_ADDR) | |
| Typ użytkownika | Typ użytkownika | USR02 (USTYP) |
| Strefa czasowa | Strefa czasowa | USR02 (TZONE) |
| LockedStatus | Stan blokady | USR02 (UFLAG) |
| DataOstatniegoWidziania | Data ostatniego zobaczenia | USR02 (TRDAT) |
| LastSeenTime | Ostatnio widziano | USR02 (LTIME) |
| UserGroupAuth | Grupa użytkowników w konserwacji wzorca użytkownika | USR02 (KLASA) |
| Profile | Zestaw profilów (domyślny maksymalny rozmiar zestawu = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| Role bezpośrednie | Zestaw ról przypisanych bezpośrednio (domyślny maksymalny rozmiar zestawu = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Role podrzędne | Zestaw ról przypisanych pośrednio (domyślny maksymalny rozmiar zestawu = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Klient | ID klienta | |
| Identyfikator systemowy | Identyfikator systemowy | Zgodnie z definicją w łączniku |
SAPUsersGetPrivileged
Funkcja SAPUsersGetPrivileged zwraca listę uprzywilejowanych użytkowników na klienta i identyfikator systemu.
Użytkownicy są traktowani jako uprzywilejowani, gdy są zgodni z dowolnym z następujących opisów:
- Są one wymienione na liście obserwowanych sap — Privileged Users
- Są one przypisane do profilu wymienionego na liście obserwowanych profilów SAP — poufne profile
- Są one dodawane do roli wymienionej w systemie SAP — lista obserwowanych ról poufnych
Parametry:
| Nazwisko | Opcjonalne/wymagane | Domyślny | opis |
|---|---|---|---|
| TimeAgo | Opcjonalnie | Siedem dni | Określa, że funkcja szuka danych głównych użytkownika z czasu zdefiniowanego TimeAgo przez wartość do czasu zdefiniowanego now() przez wartość. |
Funkcja SAPUsersGetPrivileged zwraca następujące dane:
| Pole | opis |
|---|---|
| Użytkownik | Identyfikator użytkownika SAP |
| Klient | ID klienta |
| Identyfikator systemowy | Identyfikator systemowy |
SAPUsersAuthorizations
Funkcja SAPUsersAuthorizations łączy dane z kilku tabel w celu utworzenia widoku skoncentrowanego na użytkowniku przypisanych bieżących ról i autoryzacji. Zwracane są tylko użytkownicy z aktywną rolą i przypisaniami autoryzacji.
Parametry:
| Nazwisko | Opcjonalne/wymagane | Domyślny | opis |
|---|---|---|---|
| TimeAgo | Opcjonalnie | Siedem dni | Określa, że funkcja szuka danych głównych użytkownika z czasu zdefiniowanego TimeAgo przez wartość do czasu zdefiniowanego now() przez wartość. |
Funkcja SAPUsersAuthorizations zwraca następujące dane:
| Pole | opis | Uwagi |
|---|---|---|
| Użytkownik | Identyfikator użytkownika SAP | |
| Role | Zestaw ról (domyślny maksymalny rozmiar zestawu = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Zestaw autoryzacji (domyślny maksymalny rozmiar zestawu = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Klient | ID klienta | |
| Identyfikator systemowy | Identyfikator systemowy |
SAPConnectorHealth
Funkcja SAPConnectorHealth odzwierciedla stan łączności agenta i bazowego systemu SAP. Na podstawie SAP_HeartBeat_CL dziennika pulsu i innych wskaźników kondycji zwraca następujące dane:
| Pole | opis |
|---|---|
| Przedstawiciel | Identyfikator agenta w konfiguracji agenta (generowany automatycznie) |
| Identyfikator systemowy | Identyfikator systemu SAP |
| Stan | Ogólny stan łączności |
| Szczegóły | Szczegóły łączności |
| ExtendedDetails | Szczegóły rozszerzonej łączności |
| LastSeen | Sygnatura czasowa najnowszego działania |
| Kod stanu | Kod odzwierciedlający stan systemu |
SAPConnectorOverview
Funkcja SAPConnectorOverview przedstawia liczbę wierszy każdej tabeli SAP na identyfikator systemu. Zwraca listę rekordów danych na identyfikator systemu i wygenerowany czas.
Parametry:
| Nazwisko | Opcjonalne/wymagane | Domyślny | opis |
|---|---|---|---|
| TimeAgo | Opcjonalnie | Siedem dni | Określa, że funkcja szuka danych głównych użytkownika z czasu zdefiniowanego TimeAgo przez wartość do czasu zdefiniowanego now() przez wartość. |
Funkcja SAPConnectorOverview zwraca następujące dane:
| Pole | opis |
|---|---|
| Godzina utworzenia | Wartość daty/godziny znacznika czasu generowania rekordu |
| SystemID_s | Ciąg reprezentujący identyfikator systemu SAP |
Użyj następującego zapytania Kusto, aby wykonać codzienną analizę trendu:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Funkcja SAPUsersEmail umożliwia zorientowane na wydajność wyszukiwanie adresu e-mail użytkownika SAP dla systemu SAP i klienta, zwykle używane do skojarzenia go z kontem usługi Active Directory.
Funkcja SAPUsersEmail używa danych wyodrębnionych z tabel SAP USR21 (nazwa użytkownika/przypisanie klucza adresu) i ADR6 (adresy e-mail), aby wyszukać adres e-mail. Jeśli nie zostanie znaleziony żaden adres e-mail, zamiast tego zostanie zwrócony identyfikator użytkownika.
To zachowanie gwarantuje, że konta usług SAP, takie jak DDIC, które często nie są skojarzone z adresami e-mail, są rejestrowane jako pseudo konta usługi AD. Otwiera to również niektóre funkcje UEBA, ułatwiając badanie zdarzeń i działań polowania.
Funkcja SAPUsersEmail zwraca następujące dane:
| Pole | opis |
|---|---|
| ClientID | Identyfikator klienta SAP |
| Identyfikator systemowy | Identyfikator systemu SAP |
| Użytkownik | Identyfikator użytkownika SAP |
| Adres e-mail użytkownika SAP |
SAPSystems
Funkcja SAPSystems służy do centralnego prezentowania konfiguracji dla poszczególnych systemów przy użyciu listy kontrolnej SAP - Systems .
Parametry:
| Nazwisko | Opcjonalne/wymagane | Domyślny | opis |
|---|---|---|---|
| SelectedSystems | Opcjonalnie | All Systems |
Służy do filtrowania określonych systemów SAP |
| SelectedSystemRoles | Opcjonalnie | All System Roles |
Określa role systemów SAP, które mają być przeglądane zgodnie z definicją na liście kontrolnej SAP — Systems |
Funkcja SAPSystems zwraca następujące dane:
| Pole | opis | Źródło danych/notatki |
|---|---|---|
| Klucz wyszukiwania | Klucz wyszukiwania | Pole indeksowane dla identyfikatora systemu SAP |
| Rola systemu | Rola systemu SAP | Produkcja, UAT |
| SystemUsage | Główne użycie systemu SAP | ERP, CRM |
| Identyfikator systemowy | Identyfikator systemu SAP |
SAPAuditLogConfiguration
Funkcja SAPAuditLogConfiguration zwraca lokalną konfigurację alertów dziennika inspekcji SAP do obszaru roboczego usługi Log Analytics włączonego dla usługi Microsoft Sentinel. Ta konfiguracja jest używana w przypadku alertów związanych z dziennikami inspekcji sap.
Funkcja SAPAuditLogConfiguration łączy dane z listy kontrolnej monitora dzienników inspekcji SAP i SAP — Systems , aby zapewnić konfigurację dla poszczególnych systemów w ramach nakładu pracy nad rolą systemu.
Parametry:
| Nazwisko | Opcjonalne/wymagane | Domyślny | opis |
|---|---|---|---|
| SelectedSystems | Opcjonalnie | All Systems |
Służy do filtrowania określonych systemów SAP do przyjrzenia się. |
| SelectedSystemRoles | Opcjonalnie | All System Roles |
Określa role systemów SAP, które mają być przeglądane (zgodnie z definicją na liście kontrolnej SAP — Systems ). |
| SelectedSeverities | Opcjonalnie | [High, Medium] |
Służy do określania zdarzeń, które mają być sprawdzane pod względem ich ważności. Ważność dla identyfikatora komunikatu dziennika inspekcji sap i roli systemu są definiowane na liście do monitorowania SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedRuleTypes | Opcjonalnie | All RuleTypes |
Określa, które zdarzenia są istotne do wykrywania anomalii. Typy reguł dla identyfikatora komunikatu dziennika inspekcji SAP i roli systemu są definiowane na liście SAP_Dynamic_Audit_Log_Monitor_Configuration watchlist. |
Funkcja SAPAuditLogConfiguration zwraca następujące dane:
| Pole | opis | Źródło danych/notatki |
|---|---|---|
| Nazwa kategorii | Kategoria zdarzeń dla systemu SAP | Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| DestinationEmail | Adres e-mail przypisanego zespołu | Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| Szczegółowy opis | Tekst sformatowany w języku znaczników markdown, który ma być wyświetlany w alertach | Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| Identyfikator komunikatu | Identyfikator komunikatu dziennika inspekcji SAP | Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| Tekst komunikatu | Przykładowy tekst wiadomości | Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| RolesTagsToExclude | rola ABAP, profil lub dowolny tag tekstowy | Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| TypReguły | Anomalia lub deterministyczna | Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| Taktyka | Taktyka MITRE ATTA&CK | Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| TeamsChannelID | Kanał usługi Teams | Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP |
| Identyfikator systemowy | Identyfikator systemu SAP | SAP — lista obserwowana systemów |
| Rola systemu | Rola systemu SAP | SAP — lista obserwowana systemów |
| SystemUsage | Główne użycie systemu SAP | SAP — lista obserwowana systemów |
| IsProd | Flaga systemu produkcyjnego | SAP — lista obserwowana systemów |
| Ważność | Ważność pochodna | Ważność na użycie systemu |
| Próg | Próg pochodny | Liczba zdarzeń na użycie systemu |
| BagOfDetails | Torba ze szczegółami | Słownik opisujący definicję zdarzenia |
Aby uzyskać więcej informacji, zobacz Dostępne listy do obejrzenia.
SAPAuditLogAnomalies
Funkcja SAPAuditLogAnomalies używa wbudowanych funkcji uczenia maszynowego bazy danych Kusto usługi Microsoft Sentinel w celu wykrywania nietypowych zdarzeń zaobserwowanych w dzienniku inspekcji sap.
Funkcja SAPAuditLogAnomalies została opracowana dla reguły analizy alertów alertów monitora dzienników inspekcji opartych na anomalii sap - (eksperymentalne ). Chociaż jego oryginalnym projektem jest zgłaszanie alertów dotyczących ostatnich anomalii, może również pomóc wyróżnić anomalie historyczne. Aby uzyskać więcej informacji, zobacz Przykładowe zastosowania.
Funkcja SAPAuditLogAnomalies uczy się wycinka historii zdefiniowanej przez różne parametry wejściowe na następujących poziomach:
- Użytkownik
- Atrybuty sieci
- System
- Sezonowość
- Poziomy aktywności
Funkcja SAPAuditLogAnomalies następnie ocenia zdarzenia występujące w ciągu ostatniego DetectingTime przedziału czasu zgodnie z tym, co się dowiedziało, stosując progi i inne konfigurowalne kryteria wykluczania uzyskane z listy kontrolnej konfiguracji dziennika inspekcji SAP.
Gdy okno przewijania aktywności użytkownika zostanie uznane za nietypowe, drugie zapytanie zwraca całą aktywność użytkownika jako dowód potwierdzający decyzję.
Parametry:
| Nazwisko | Opcjonalne/wymagane | Domyślny | opis |
|---|---|---|---|
| LearningTime | Opcjonalnie | 14 dni | Określa przedział czasu używany do uczenia modelu. |
| DetectingTime | Opcjonalnie | Jedna godzina | Określa przedział czasu, który ma być sprawdzany pod kątem wykrywania anomalii. Wywołanie tej funkcji z wyróżnionymi DetectingTime = 0h anomaliami przez cały LearningTime przedział czasu. |
| SelectedSystems | Opcjonalnie | All Systems |
Służy do filtrowania określonych systemów SAP do przyjrzenia się. |
| SelectedSystemRoles | Opcjonalnie | All System Roles |
Określa role systemów SAP, które mają być przeglądane zgodnie z definicją na liście kontrolnej SAP — Systems |
| SelectedSeverities | Opcjonalnie | [High, Medium] |
Służy do określania zdarzeń, które mają być sprawdzane pod względem ich ważności. Ważność dla identyfikatora komunikatu dziennika inspekcji sap i roli systemu są definiowane na liście do monitorowania SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedPrefixMask | Opcjonalnie | 24 | Służy do określania poziomu maski podsieci używanego do uczenia się i wykrywania. |
| SelectedRuleTypes | Opcjonalnie | AnomaliesOnly |
Określa, jakie zdarzenia są istotne do wykrywania anomalii. Typy reguł dla identyfikatora komunikatu dziennika inspekcji SAP i roli systemu są definiowane na liście SAP_Dynamic_Audit_Log_Monitor_Configuration watchlist. |
Funkcja SAPAuditLogAnomalies zwraca następujące dane:
| Pole | opis |
|---|---|
| Wiele pól z programu SAPAuditLog | Pola klucza z dziennika inspekcji SAP |
| Wiele pól z polecenia SAPAuditLogConfiguration | Pola kluczy z usługi Microsoft Sentinel dla konfiguracji dziennika inspekcji SAP |
| Odnaleziono | Zaokrąglona godzina, w której zaobserwowano anomalię |
| LiczbaZdarzeń | Liczba zdarzeń zliczanych na wiersz zwracany |
| AnomalCount | Liczba zdarzeń zaobserwowanych w odpowiednim oknie przesuwnym |
| MinTime | Czas pierwszego zaobserwowanego zdarzenia |
| MaxTime | Czas ostatniego zaobserwowanego zdarzenia |
| Wynik | wyniki anomalii generowane przez model anomalii |
Zalecenia:
Podobnie jak w przypadku dowolnego rozwiązania do uczenia maszynowego, funkcja SAPAuditLogAnomalies działa lepiej z czasem i może być dostosowywana zgodnie z potrzebami w miarę upływu czasu.
Zalecamy ograniczenie rozmiaru poznanej bazy danych do 100 milionów rekordów przy użyciu wielu dostępnych parametrów wejściowych.
Przykładowe zastosowania obejmują:
Aby wyszukać anomalie dotyczące zdarzeń o wysokiej ważności, które wystąpiły w ciągu ostatniej godziny w systemach produkcyjnych dla typów zdarzeń oznaczonych jako AnomaliesOnly na liście obserwowanych SAP_Dynamic_Audit_Log_Monitor_Configuration , uruchom polecenie:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Aby wyszukać wszystkie anomalie w ciągu ostatnich 14 dni w systemie BIP , uruchom polecenie:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Aby uzyskać więcej informacji, zobacz Wbudowane reguły analizy sap do monitorowania dziennika inspekcji SAP i wykrywania anomalii w dzienniku inspekcji SAP przy użyciu rozwiązania Microsoft Sentinel dla rozwiązania SAP (blog).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend to funkcja pomocnika przeznaczona do oferowania rekomendacji dotyczących konfiguracji reguły analizy alertów monitora dzienników inspekcji (WERSJA ZAPOZNAWCZA) systemu SAP - Dynamic Anomaly Based Audit Log Monitor.
Aby uzyskać więcej informacji, zobacz Monitorowanie dziennika inspekcji SAP.
SAPUsersGetVIP
Rozwiązanie Microsoft Sentinel dla aplikacji SAP korzysta z koncepcji znakowania użytkowników centralnych i jawnych wykluczeń, które ułatwiają obniżenie wyników fałszywie dodatnich przy minimalnym nakładzie pracy.
Użyj funkcji SAPUsersGetVIP , aby wykluczyć użytkowników z wyzwalania alertów przez określenie ról użytkowników sap, funkcji użytkownika sap lub tagów reprezentujących tych użytkowników. Aby uzyskać więcej informacji, zobacz Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel.
Tagi określone jako dane wejściowe dla funkcji SAPUsersGetVIP wykluczają wszystkich użytkowników z tagiem wymienionym na liście SAP_User_Config watchlist. Ta sama funkcja została rozszerzona w celu pracy z symbolami wieloznacznymi, umożliwiając przypisanie pojedynczego tagu do grupy użytkowników z tą samą składnią nazewnictwa.
Taguj użytkowników na liście SAP_User_Config watchlist w następujący sposób:
Dodaj wiele tagów do każdego użytkownika na liście SAP_User_Config watchlist, zgodnie z potrzebami, aby uwzględnić różne scenariusze. Każda reguła alertu ma własne odpowiednie tagi, jeśli istnieją, i w razie potrzeby można dodać tagi niestandardowe.
Użyj gwiazdki (*) jako symbolu wieloznakowego, aby uwzględnić użytkowników z określonym szablonem składni nazewnictwa.
Dodaj funkcję SAPUsersGetVIP w regułach analizy, aby zażądać listy użytkowników zdefiniowanych do wykluczenia z alertów. W wywołaniu funkcji dodaj tablicę z tagami, rolami SAP i profilami SAP, które chcesz wykluczyć.
Na przykład użyj następującego zapytania KQL w regule analizy, aby wykluczyć wszystkich użytkowników skonfigurowanych za pomocą tagu RunObsoleteProgOK na liście do obejrzenia SAP_User_Config lub wszystkich użytkowników z przykładową rolą SAP_BASIS_ADMIN_ROLE lub przykładowym profilem SAP_ADMIN_PROFILE .
Podczas kopiowania tego przykładowego wywołania funkcji zastąp SAP_BASIS_ADMIN_ROLE rolę i profil SAP_ADMIN_PROFILE własnymi rolami lub profilami SAP zgodnie z potrzebami.
Na przykład:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Funkcja SAPUsersGetVIP jest często używana w alertach deterministycznego i nietypowego monitora dziennika inspekcji . Skojarz tag z identyfikatorem komunikatu dziennika inspekcji SAP lub rozszerz szablon reguły na niestandardową regułę zgodną z potrzebami organizacji.
Napiwek
Zalecamy skontaktowanie się z administratorem systemu SAP, aby zrozumieć, którzy użytkownicy, role i profile sap mają być uwzględniani na liście obserwowanych SAP_User_Config .
Parametry:
| Nazwisko | Opcjonalne/wymagane | Domyślny | opis |
|---|---|---|---|
| SearchForTags | Opcjonalnie | dynamic('All Tags') |
Gdy SearchForTags równa All Tagssię , wszyscy użytkownicy są zwracani wraz z tagami. W przeciwnym razie zwracane są tylko użytkownicy z tagami, rolami SAP lub profilami SAP określonymi w elem SearchForTags .
TagsIntersect wyświetla znalezione tagi i IntersectionSize zawiera liczbę znalezionych tagów. |
| SpecialFocusTags | Opcjonalnie | Do not return any in-focus users |
Zwraca wszystkich użytkowników z tagami określonymi w obiekcie SpecialFocusTagsi oznaczonymi elementami specialFocusTagged = true. |
Funkcja SAPUsersGetVIP zwraca następujące dane wyjściowe:
| Źródło | Pole | opis | Uwagi |
|---|---|---|---|
| Lista do obejrzenia SAP_User_Config | SearchKey |
Klucz wyszukiwania | |
| Lista do obejrzenia SAP_User_Config | SAPUser |
Użytkownik SAP | System operacyjny, DDIC |
| Lista do obejrzenia SAP_User_Config | Tags |
Ciąg tagów przypisanych do użytkownika | RunObsoleteProgOK |
| Lista do obejrzenia SAP_User_Config | Identyfikator obiektu Microsoft Entra użytkownika | Identyfikator obiektu Entra firmy Microsoft | |
| Lista do obejrzenia SAP_User_Config | Identyfikator użytkownika | Identyfikator użytkownika usługi Azure Directory | |
| Lista do obejrzenia SAP_User_Config | Lokalny identyfikator SID użytkownika | ||
| Lista do obejrzenia SAP_User_Config | Główna nazwa użytkownika | ||
| Lista do obejrzenia SAP_User_Config | TagsList |
Lista tagów przypisanych do użytkownika |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logika | TagsIntersect | Zestaw tagów pasujących SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logika | SpecialFocusTagged | Specjalne wskazanie fokusu |
True, False |
| Logika | Rozmiar skrzyżowania | Liczba intersected tagów |
SAPUsersHeader
Funkcja SAPUsersHeader została zaprojektowana w celu zapewnienia wysokiego poziomu widoku użytkownika SAP. Używa on danych wyodrębnionych zarówno z tabel danych głównych użytkownika sap, jak i ostatnich działań w dzienniku inspekcji SAP w celu zbierania wiadomości e-mail i adresów IP. Następnie zwraca ostatni znany adres e-mail i adresy IP wraz z podstawowymi adresami e-mail i IP.
Parametry:
| Nazwisko | Opcjonalne/wymagane | Domyślny | opis |
|---|---|---|---|
| SelectedSystems | Opcjonalnie | All Systems |
Służy do filtrowania określonych systemów SAP w celu przyjrzenia się |
| SelectedSystemRoles | Opcjonalnie | All System Roles |
Określa role systemów SAP, które mają być przeglądane zgodnie z definicją na liście kontrolnej SAP - Systems . |
| Wybraniuużytkownicy | Opcjonalnie | All Users |
Może wprowadzać listy użytkowników. |
| SelectedUser | Opcjonalnie | All Users |
Akceptuje tylko jednego użytkownika. |
Na przykład:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Napiwek
W przypadku zagadnień dotyczących wydajności należy wziąć pod uwagę tylko kilka dni działania inspekcji. Aby uzyskać pełną historię aktywności użytkownika, uruchom niestandardowe zapytanie KQL względem funkcji SAPAuditLog .
Funkcja SAPUsersHeader zwraca następujące dane wyjściowe:
| Źródło | Pole | opis | Uwagi |
|---|---|---|---|
| Użytkownik | Użytkownik SAP | ||
| Tabele SAP ADR6 i USR21 | Pobrane z danych głównych użytkownika | System operacyjny, DDIC | |
| TABELA SAP USR02 | Typ użytkownika | Ciąg tagów przypisanych do użytkownika | RunObsoleteProgOK |
| TABELA SAP USR02 | Strefa czasowa | Identyfikator obiektu Entra firmy Microsoft | |
| TABELA SAP USR02 | LockedStatus | Identyfikator użytkownika usługi Azure Directory | |
| Dziennik inspekcji SAP | LastSeen | Znacznik czasu | Ostatnie zdarzenie inspekcji zaobserwowane dla użytkownika |
| Dziennik inspekcji SAP | LastSeenDaysAgo | Liczba dni minęła od LastSeen |
|
| Dziennik inspekcji SAP | Podstawowy elementIP | Najczęściej używany adres IP |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Dziennik inspekcji SAP | LastKnownIP | Ostatnio używany adres IP | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Dziennik inspekcji SAP | Poczta podstawowa | Najczęściej używany adres e-mail |
True, False |
| Dziennik inspekcji SAP | Znane adresy IP | Lista znanych adresów IP | Posortowane według najczęściej spotykanych pierwszych |
| Dziennik inspekcji SAP | Znane wiadomości e-mail | Lista znanych adresów e-mail | Posortowane według najczęściej spotykanych pierwszych |
| Klient | Identyfikator klienta SAP | ||
| Identyfikator systemowy | Identyfikator systemu SAP | ||
| Rola systemu | Rola systemu SAP | Produkcja, UAT | |
| SystemUsage | Główne użycie systemu SAP | ERP, CRM |
TH_SERVER_LIST (wersja zapoznawcza)
Funkcja TH_SERVER_LIST jest odpowiednia, gdy system SAP jest starszym systemem przy użyciu biblioteki XAL i wyświetla listę aktywnych serwerów aplikacji SAP.
Funkcja TH_SERVER_LIST jest obsługiwana tylko w przypadku łącznika danych bez agenta SAP (wersja zapoznawcza). Aby uzyskać więcej informacji, zobacz Instalowanie rozwiązania usługi Microsoft Sentinel dla aplikacji SAP.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz: