Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve uma seleção de funções que estão disponíveis em seu workspace após a instalação de uma solução do Microsoft Sentinel para aplicativos SAP. Descubra mais funções navegando no Microsoft Sentinel e carregando o código da função.
Encontre as seguintes funções:
- No portal do Azure, na página Logs Gerais>, na guia Funções e listada nas funções do Workspace.
- No portal do Defender, na página Investigação & resposta > Busca avançada , na guia Funções e listada nas funções de workspace do Sentinel.
O conteúdo deste artigo destina-se às suas equipes de segurança .
Usar funções em suas consultas em vez de logs ou tabelas subjacentes
É altamente recomendável que você use as funções listadas neste artigo como os assuntos de sua análise sempre que possível, em vez dos logs ou tabelas subjacentes.
Essas funções devem servir como a principal interface do usuário para os dados. Elas formam a base de todas as regras de análise e pastas de trabalho internas disponíveis para você. O uso de funções permite que alterações sejam feitas na infraestrutura de dados abaixo das funções, sem interromper o conteúdo criado pelo usuário.
BAPI_XMI_LOGON (versão prévia)
A função BAPI_XMI_LOGON é relevante quando seu sistema SAP é um sistema mais antigo usando XAL e se autentica para coletar logs de auditoria do SAP XAL.
A função BAPI_XMI_LOGON tem suporte apenas para o conector de dados sem agente do SAP. Para obter mais informações, consulte Instalar uma solução do Microsoft Sentinel para aplicativos SAP.
BAPI_SYSTEM_MTE_GETTIDBYNAME (versão prévia)
A função BAPI_SYSTEM_MTE_GETTIDBYNAME é relevante quando seu sistema SAP é um sistema mais antigo usando XAL e recupera a ID de um elemento de monitoramento do sistema por nome.
A função BAPI_SYSTEM_MTE_GETTIDBYNAME tem suporte apenas para o conector de dados sem agente sap. Para obter mais informações, consulte Instalar uma solução do Microsoft Sentinel para aplicativos SAP.
BAPI_SYSTEM_MTE_GETTREE (versão prévia)
A função BAPI_SYSTEM_MTE_GETTREE é relevante quando seu sistema SAP é um sistema mais antigo usando XAL e recupera a estrutura de elementos de monitoramento do sistema.
A função BAPI_SYSTEM_MTE_GETTREE tem suporte apenas para o conector de dados sem agente do SAP. Para obter mais informações, consulte Instalar uma solução do Microsoft Sentinel para aplicativos SAP.
BAPI_SYSTEM_MTE_GETMLHIS (versão prévia)
A função BAPI_SYSTEM_MTE_GETMLHIS é relevante quando seu sistema SAP é um sistema mais antigo usando XAL e busca dados históricos de desempenho e status.
A função BAPI_SYSTEM_MTE_GETMLHIS tem suporte apenas para o conector de dados sem agente do SAP. Para obter mais informações, consulte Instalar uma solução do Microsoft Sentinel para aplicativos SAP.
BAPI_XMI_SET_AUDITLEVEL (versão prévia)
A função BAPI_XMI_SET_AUDITLEVEL é relevante quando seu sistema SAP é um sistema mais antigo usando XAL e configura o nível de log de auditoria XAL.
A função BAPI_XMI_SET_AUDITLEVEL tem suporte apenas para o conector de dados sem agente do SAP. Para obter mais informações, consulte Instalar uma solução do Microsoft Sentinel para aplicativos SAP.
BAPI_XMI_GET_LOGHISTORY (versão prévia)
A função BAPI_XMI_GET_LOGHISTORY é relevante quando seu sistema SAP é um sistema mais antigo usando XAL e recupera entradas de log de auditoria XAL anteriores.
A função BAPI_XMI_GET_LOGHISTORY tem suporte apenas para o conector de dados sem agente do SAP. Para obter mais informações, consulte Instalar uma solução do Microsoft Sentinel para aplicativos SAP.
SAPUsersAssignments
A função SAPUsersAssignments coleta dados de várias fontes de dados SAP e cria uma exibição centrada no usuário dos dados mestres do usuário atual, incluindo as funções e perfis atribuídos no momento.
Essa função resume as atribuições de usuário a funções e perfis e retorna os seguintes dados:
| Campo | Descrição | Fonte de dados/Observações |
|---|---|---|
| Usuário | ID de usuário do SAP | Somente SAL |
| Endereço SMTP | USR21 (SMTP_ADDR) | |
| Tipo de Usuário | Tipo de usuário | USR02 (USTYP) |
| Fuso horário | Fuso horário | USR02 (TZONE) |
| LockedStatus | Bloquear status | USR02 (UFLAG) |
| DataDaÚltimaVisualização | Data da última vez em que foi visto | USR02 (TRDAT) |
| LastSeenTime | Hora da última vez em que foi visto | USR02 (LTIME) |
| UserGroupAuth | Grupo de usuários na manutenção mestre do usuário | USR02 (CLASSE) |
| Perfis | Conjunto de perfis (tamanho máximo do conjunto padrão = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Conjunto de funções atribuídas diretamente (tamanho máximo do conjunto padrão = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Conjunto de funções atribuídas indiretamente (tamanho máximo do conjunto padrão = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Cliente | ID do Cliente | |
| SystemID | ID do sistema | Conforme definido no conector |
SAPUsersGetPrivileged
A função SAPUsersGetPrivileged retorna uma lista de usuários privilegiados por cliente e ID do sistema.
Os usuários são considerados privilegiados quando correspondem a qualquer uma das seguintes descrições:
- Eles estão listados na lista de observação SAP – Usuários Privilegiados
- Eles são atribuídos a um perfil listado na lista de observação SAP – Perfis Confidenciais
- Eles são adicionados a uma função listada na lista de observação SAP – Funções Confidenciais
Parâmetros:
| Nome | Opcional/Necessário | Padrão | Descrição |
|---|---|---|---|
| TimeAgo | Opcional | Sete dias | Determina que a função busque dados mestre do usuário desde o tempo definido pelo TimeAgo valor até o tempo definido pelo now() valor. |
A função SAPUsersGetPrivileged retorna os seguintes dados:
| Campo | Descrição |
|---|---|
| Usuário | ID de usuário do SAP |
| Cliente | ID do Cliente |
| SystemID | ID do sistema |
SAPUsersAuthorizations
A função SAPUsersAuthorizations reúne dados de várias tabelas para produzir uma exibição centrada no usuário das funções e autorizações atuais atribuídas. Somente os usuários com funções ativas e atribuições de autorização são retornados.
Parâmetros:
| Nome | Opcional/Necessário | Padrão | Descrição |
|---|---|---|---|
| TimeAgo | Opcional | Sete dias | Determina que a função busque dados mestre do usuário desde o tempo definido pelo TimeAgo valor até o tempo definido pelo now() valor. |
A função SAPUsersAuthorizations retorna os seguintes dados:
| Campo | Descrição | Observações |
|---|---|---|
| Usuário | ID de usuário do SAP | |
| Funções | Conjunto de funções (tamanho máximo do conjunto padrão = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Conjunto de autorizações (tamanho máximo do conjunto padrão = 100) |
{{AuthorizationsDetails1},Microsoft.Network/virtualNetworks/write, ..., {AuthorizationsDetails100}} |
| Cliente | ID do Cliente | |
| SystemID | ID do sistema |
SAPConnectorHealth
A função SAPConnectorHealth reflete o status da conectividade do agente e do sistema SAP subjacente. Com base no log de pulsação SAP_HeartBeat_CL e em outros indicadores de integridade, ele retorna os seguintes dados:
| Campo | Descrição |
|---|---|
| Agente | ID do agente na configuração do agente (gerada automaticamente) |
| SystemID | ID do sistema SAP |
| Situação | Status da conectividade geral |
| Detalhes | Detalhes de conectividade |
| ExtendedDetails | Detalhes estendidos da conectividade |
| Última vez visto | Carimbo de data/hora da atividade mais recente |
| CódigoDeStatus | Código que reflete o status do sistema |
SAPConnectorOverview
A função SAPConnectorOverview mostra contagens de linhas de cada tabela SAP por ID do Sistema. Ele retorna uma lista de registros de dados por ID do sistema e seu tempo gerado.
Parâmetros:
| Nome | Opcional/Necessário | Padrão | Descrição |
|---|---|---|---|
| TimeAgo | Opcional | Sete dias | Determina que a função busque dados mestre do usuário desde o tempo definido pelo TimeAgo valor até o tempo definido pelo now() valor. |
A função SAPConnectorOverview retorna os seguintes dados:
| Campo | Descrição |
|---|---|
| Gerado por tempo | Um valor datetime do timestamp da geração do registro |
| SystemID_s | Uma string que representa a ID do sistema SAP |
Use a seguinte consulta Kusto para executar uma análise de tendência diária:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
A função SAPUsersEmail permite uma pesquisa orientada ao desempenho do endereço de email de um usuário SAP por sistema SAP e cliente, normalmente usado para associá-lo a uma conta do active directory.
A função SAPUsersEmail usa dados extraídos das tabelas SAP USR21 (Atribuição de Nome de Usuário/Chave de Endereço) e ADR6 (Endereços de Email) para procurar um endereço de email. Caso nenhum endereço de e-mail seja encontrado, o ID do usuário será retornado.
Esse comportamento garante que as contas de serviço SAP, como DDIC, que geralmente não estão associadas a endereços de email, sejam registradas como contas do pseudo AD. Isso também abre alguns recursos da UEBA, auxiliando na investigação de incidentes e atividades de caça.
A função SAPUsersEmail retorna os seguintes dados:
| Campo | Descrição |
|---|---|
| ClientID | O ID do cliente SAP |
| SystemID | A ID do sistema SAP |
| Usuário | O ID do usuário SAP |
| O endereço de e-mail do usuário SAP |
SAPSystems
A função SAPSystems é usada para apresentar centralmente a configuração por sistema feita usando a watchlist SAP – Sistemas .
Parâmetros:
| Nome | Opcional/Necessário | Padrão | Descrição |
|---|---|---|---|
| SelectedSystems | Opcional | All Systems |
Usado para filtrar sistemas SAP específicos |
| SelectedSystemRoles | Opcional | All System Roles |
Determina as funções dos Sistemas SAP a serem analisadas, conforme definido na watchlist SAP – Sistemas |
A função SAPSystems retorna os seguintes dados:
| Campo | Descrição | Fonte de dados/Observações |
|---|---|---|
| Chave de Busca | Chave de pesquisa | Campo indexado para ID do sistema SAP |
| SystemRole | A função do sistema SAP | Produção, UAT |
| SystemUsage | O uso principal do sistema SAP | ERP, CRM |
| SystemID | A ID do sistema SAP |
SAPAuditLogConfiguration
A função SAPAuditLogConfiguration retorna a configuração local dos alertas de log de auditoria do SAP para o workspace do Log Analytics habilitado para o Microsoft Sentinel. Essa configuração é usada para alertas relacionados ao log de auditoria do SAP.
A função SAPAuditLogConfiguration une os dados na configuração do SAP Dynamic Audit Log Monitor e nas listas de observação SAP – Sistemas para fornecer uma configuração por sistema em um esforço por função de sistema.
Parâmetros:
| Nome | Opcional/Necessário | Padrão | Descrição |
|---|---|---|---|
| SelectedSystems | Opcional | All Systems |
Usado para filtrar sistemas SAP específicos a serem examinados. |
| SelectedSystemRoles | Opcional | All System Roles |
Determina as funções dos Sistemas SAP a serem analisadas (conforme definido na watchlist SAP – Sistemas ). |
| SelectedSeverities | Opcional | [High, Medium] |
Usado para determinar eventos a serem examinados em termos de suas severidades. As severidades por ID da mensagem de log de auditoria do SAP e a função do sistema são definidas na SAP_Dynamic_Audit_Log_Monitor_Configuration watchlist. |
| SelectedRuleTypes | Opcional | All RuleTypes |
Determina quais eventos são relevantes para detectar as anomalias. Os tipos de regra por ID da mensagem de log de auditoria do SAP e a função do sistema são definidos na lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration . |
A função SAPAuditLogConfiguration retorna os seguintes dados:
| Campo | Descrição | Fonte de dados/Observações |
|---|---|---|
| Nome da Categoria | Categoria de eventos fornecida pelo SAP | Lista de observação da Configuração do Sap Dynamic Audit Log Monitor |
| DestinationEmail | Email endereço da equipe atribuída | Lista de observação da Configuração do Sap Dynamic Audit Log Monitor |
| DetailedDescription | Um texto com formatação markdown a ser exibido em alertas | Lista de observação da Configuração do Sap Dynamic Audit Log Monitor |
| MessageID | A ID da mensagem de log de auditoria do SAP | Lista de observação da Configuração do Sap Dynamic Audit Log Monitor |
| Texto da Mensagem | Um texto de mensagem de amostra | Lista de observação da Configuração do Sap Dynamic Audit Log Monitor |
| RolesTagsToExclude | uma função, perfil ou tag de texto livre ABAP | Lista de observação da Configuração do Sap Dynamic Audit Log Monitor |
| TipoDeRegra | Anomalia ou determinística | Lista de observação da Configuração do Sap Dynamic Audit Log Monitor |
| Táticas | A tática MITRE ATTA&CK | Lista de observação da Configuração do Sap Dynamic Audit Log Monitor |
| TeamsChannelID | Canal do Teams | Lista de observação da Configuração do Sap Dynamic Audit Log Monitor |
| SystemID | A ID do sistema SAP | SAP – Watchlist de sistemas |
| SystemRole | A função do sistema SAP | SAP – Watchlist de sistemas |
| SystemUsage | O uso principal do sistema SAP | SAP – Watchlist de sistemas |
| IsProd | Sinalizador do sistema de produção | SAP – Watchlist de sistemas |
| Severidade | A severidade derivada | Severidade por uso do sistema |
| Limite | O limite derivado | Contagem de eventos por uso do sistema |
| BagOfDetails | Saco de detalhes | Um dicionário que detalha a definição do evento |
Para obter mais informações, consulte as watchlists disponíveis.
SAPAuditLogAnomalies
A função SAPAuditLogAnomalies usa os recursos internos de aprendizado de máquina do banco de dados Kusto do Microsoft Sentinel para ajudar a detectar eventos anormais observados no log de auditoria do SAP.
A função SAPAuditLogAnomalies foi desenvolvida para a regra de análise de alertas do Sap – (Experimental) Dynamic Anomaly based Audit Log Monitor Alerts . Embora seu design original seja alertar sobre anomalias recentes, ele também pode ajudar a destacar anomalias históricas. Para obter mais informações, consulte Exemplo de usos.
A função SAPAuditLogAnomalies aprende a fatia do histórico definido pelos diferentes parâmetros de entrada, nos seguintes níveis:
- Usuário
- Atributos de rede
- Sistema
- Sazonalidade
- Níveis de atividade
A função SAPAuditLogAnomalies , em seguida, avalia os eventos que ocorrem no último DetectingTime período de tempo de acordo com o que aprendeu, aplicando limites e outros critérios de exclusão configuráveis obtidos da lista de observação de configuração de log de auditoria sap.
Depois que uma janela deslizante da atividade do usuário é considerada anômala, uma segunda consulta retorna toda a atividade do usuário como evidência que dá suporte à decisão.
Parâmetros:
| Nome | Opcional/Necessário | Padrão | Descrição |
|---|---|---|---|
| LearningTime | Opcional | 14 dias | Determina o intervalo de tempo usado para o aprendizado do modelo. |
| DetectingTime | Opcional | Uma hora | Determina o período de tempo a ser analisado para detectar anomalias. Chamar essa função com DetectingTime = 0h destaca anomalias em todo LearningTime o período de tempo. |
| SelectedSystems | Opcional | All Systems |
Usado para filtrar sistemas SAP específicos a serem examinados. |
| SelectedSystemRoles | Opcional | All System Roles |
Determina as funções dos Sistemas SAP a serem analisadas, conforme definido na watchlist SAP – Sistemas |
| SelectedSeverities | Opcional | [High, Medium] |
Usado para determinar eventos a serem examinados em termos de suas severidades. As severidades por ID da mensagem de log de auditoria do SAP e a função do sistema são definidas na SAP_Dynamic_Audit_Log_Monitor_Configuration watchlist. |
| SelectedPrefixMask | Opcional | 24 | Usado para determinar o nível de máscara de sub-rede usado para aprendizado e detecção. |
| SelectedRuleTypes | Opcional | AnomaliesOnly |
Determina quais eventos são relevantes para detectar as anomalias. Os tipos de regra por ID da mensagem de log de auditoria do SAP e a função do sistema são definidos na lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration . |
A função SAPAuditLogAnomalies retorna os seguintes dados:
| Campo | Descrição |
|---|---|
| Vários campos do SAPAuditLog | Campos-chave do log de auditoria SAP |
| Vários campos de SAPAuditLogConfiguration | Campos-chave da configuração do log de auditoria do Microsoft Sentinel para SAP |
| DiscoveredOn | A hora arredondada na qual a anomalia foi observada |
| Contagem de Eventos | Número de eventos contados por linha retornada |
| AnomalCount | Número de eventos observados dentro da janela deslizante relevante |
| MinTime | Hora do primeiro evento observado |
| MaxTime | Hora do último evento observado |
| Pontuação | As pontuações de anomalias, conforme produzido pelo modelo de anomalias |
Recomendações:
Assim como acontece com qualquer solução de machine learning, a função SAPAuditLogAnomalies tem um desempenho melhor com o tempo e pode ser ajustada conforme o tempo passa.
Recomendamos restringir o tamanho do banco de dados aprendido para menos de 100 milhões de registros usando os muitos parâmetros de entrada disponíveis.
Para procurar anomalias em eventos de alta severidade que ocorreram na última hora em sistemas de produção para tipos de eventos marcados como AnomaliesOnly na SAP_Dynamic_Audit_Log_Monitor_Configuration watchlist, execute:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Para pesquisar todas as anomalias nos últimos 14 dias no sistema BIP , execute:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Para obter mais informações, consulte as regras de análise internas do SAP para monitorar o log de auditoria sap e a detecção de anomalias no log de auditoria do SAP usando a solução do Microsoft Sentinel para SAP (blog).
SAPAuditLogConfigRecommend
O SAPAuditLogConfigRecommend é uma função auxiliar projetada para oferecer recomendações para a configuração da regra de análise SAP – Alertas do Monitor de Log de Auditoria Baseado em Anomalias Dinâmicas (PREVIEW ).
Para obter mais informações, consulte Monitorar o log de auditoria do SAP.
SAPUsersGetVIP
A solução do Microsoft Sentinel para aplicativos SAP usa um conceito de marcação de usuário central e exclusões explícitas, projetadas para ajudá-lo a reduzir falsos positivos com esforço mínimo.
Use a função SAPUsersGetVIP para excluir os usuários de disparar alertas especificando funções de usuário SAP, funções de usuário SAP ou marcas que representam esses usuários. Para obter mais informações, consulte Manipular falsos positivos no Microsoft Sentinel.
As marcas especificadas como entrada para a função SAPUsersGetVIP excluem todos os usuários com uma marca listada na SAP_User_Config watchlist. A mesma funcionalidade é estendida para trabalhar com curingas, permitindo que você atribua uma única tag a um grupo de usuários com a mesma sintaxe de nomenclatura.
Marque os usuários na lista de observação SAP_User_Config da seguinte maneira:
Adicione várias marcas a cada usuário na SAP_User_Config watchlist, conforme necessário para abranger vários cenários. Cada regra de alerta tem suas próprias tags relevantes, se houver, e você pode adicionar tags personalizadas conforme necessário.
Use um asterisco (*) como curinga para incluir usuários com um modelo de sintaxe de nomenclatura específico.
Adicione a função SAPUsersGetVIP em suas regras de análise para solicitar as listas de usuários que você definiu para serem excluídos dos alertas. Na chamada de função, adicione uma matriz com as marcas, funções SAP e perfis SAP que você deseja excluir.
Por exemplo, use a consulta KQL a seguir em sua regra de análise para excluir todos os usuários configurados com a marca RunObsoleteProgOK na watchlist SAP_User_Config ou qualquer usuário com a função SAP_BASIS_ADMIN_ROLE de exemplo ou o perfil de SAP_ADMIN_PROFILE de exemplo.
Ao copiar essa chamada de função de exemplo, substitua SAP_BASIS_ADMIN_ROLE função e SAP_ADMIN_PROFILE perfil por suas próprias funções ou perfis SAP, conforme necessário.
Por exemplo:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
A função SAPUsersGetVIP é comumente usada em alertas determinísticos e anômalos do Log Monitor de Auditoria . Associe uma tag a uma ID de mensagem de log de auditoria do SAP ou estenda o modelo de regra para uma regra personalizada que corresponda às necessidades da sua organização.
Dica
Recomendamos entrar em contato com o administrador do sistema SAP para entender quais usuários, funções e perfis do SAP incluir na sua lista de SAP_User_Config .
Parâmetros:
| Nome | Opcional/Necessário | Padrão | Descrição |
|---|---|---|---|
| SearchForTags | Opcional | dynamic('All Tags') |
Quando SearchForTags igual a , todos os usuários são retornados All Tagsjunto com suas tags. Caso contrário, somente os usuários com as tags, funções SAP ou perfis SAP especificados serão SearchForTags retornados.
TagsIntersect mostra as marcas encontradas e IntersectionSize contém o número de marcas encontradas. |
| SpecialFocusTags | Opcional | Do not return any in-focus users |
Retorna todos os usuários com as tags especificadas em SpecialFocusTags, e marcou aqueles com specialFocusTagged = true. |
A função SAPUsersGetVIP retorna a seguinte saída:
| Origem | Campo | Descrição | Observações |
|---|---|---|---|
| A SAP_User_Config watchlist | SearchKey |
Chave de pesquisa | |
| A SAP_User_Config watchlist | SAPUser |
O usuário SAP | OSS, DDIC |
| A SAP_User_Config watchlist | Tags |
String de tags atribuídas ao usuário | RunObsoleteProgOK |
| A SAP_User_Config watchlist | ID do objeto do Microsoft Entra do usuário | ID de objeto do Microsoft Entra | |
| A SAP_User_Config watchlist | Identificador de usuário | Identificador de usuário do Azure Directory | |
| A SAP_User_Config watchlist | SID local do usuário | ||
| A SAP_User_Config watchlist | Nome UPN | ||
| A SAP_User_Config watchlist | TagsList |
Uma lista de marcações atribuídas ao usuário |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Lógica | TagsIntersect | Um conjunto de tags que correspondem SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Lógica | SpecialFocusTagged | Indicação de foco especial |
True, False |
| Lógica | Intersecções | O número de tags intersectadas |
SAPUsersHeader
A função SAPUsersHeader foi projetada para fornecer uma exibição de alto nível do usuário sap. Ele usa dados extraídos das tabelas de dados mestre do usuário SAP e da atividade recente no log de auditoria do SAP para coletar endereços IP e de e-mail. Em seguida, ela retorna os últimos endereços IP e email conhecidos, juntamente com endereços IP e email primários.
Parâmetros:
| Nome | Opcional/Necessário | Padrão | Descrição |
|---|---|---|---|
| SelectedSystems | Opcional | All Systems |
Usado para filtrar sistemas SAP específicos a serem examinados |
| SelectedSystemRoles | Opcional | All System Roles |
Determina as funções dos Sistemas SAP a serem analisadas, conforme definido na watchlist SAP – Sistemas . |
| SelectedUsers | Opcional | All Users |
Pode inserir listas de usuários. |
| SelectedUser | Opcional | All Users |
Aceita apenas um único usuário. |
Por exemplo:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Dica
Para considerações de desempenho, apenas alguns dias de atividade de auditoria são levados em conta. Para obter um histórico completo de atividades do usuário, execute uma consulta KQL personalizada na função SAPAuditLog .
A função SAPUsersHeader retorna a seguinte saída:
| Origem | Campo | Descrição | Observações |
|---|---|---|---|
| Usuário | O usuário SAP | ||
| Tabelas SAP ADR6 e USR21 | Obtido dos dados mestres do usuário | OSS, DDIC | |
| Tabela SAP USR02 | Tipo de Usuário | String de tags atribuídas ao usuário | RunObsoleteProgOK |
| Tabela SAP USR02 | Fuso horário | ID de objeto do Microsoft Entra | |
| Tabela SAP USR02 | LockedStatus | Identificador de usuário do Azure Directory | |
| O log de auditoria do SAP | Última vez visto | Um carimbo de data/hora | Último evento de auditoria observado para o usuário |
| O log de auditoria do SAP | LastSeenDaysAgo | Dias se passaram desde então LastSeen |
|
| O log de auditoria do SAP | PrimaryIP | Endereço IP usado com mais frequência |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| O log de auditoria do SAP | LastKnownIP | Endereço IP usado mais recentemente | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| O log de auditoria do SAP | PrimaryEmail | Endereço de e-mail usado com mais frequência |
True, False |
| O log de auditoria do SAP | KnownIPs | Lista de endereços IP conhecidos | Ordenados por mais frequentes primeiro |
| O log de auditoria do SAP | KnownEmails | Lista de endereços de e-mail conhecidos | Ordenados por mais frequentes primeiro |
| Cliente | O ID do cliente SAP | ||
| SystemID | A ID do sistema SAP | ||
| SystemRole | A função do sistema SAP | Produção, UAT | |
| SystemUsage | O uso principal do sistema SAP | ERP, CRM |
TH_SERVER_LIST (versão prévia)
A função TH_SERVER_LIST é relevante quando seu sistema SAP é um sistema mais antigo usando XAL e lista servidores de aplicativos SAP ativos.
A função TH_SERVER_LIST tem suporte apenas com o conector de dados sem agente do SAP (versão prévia). Para obter mais informações, consulte Instalar uma solução do Microsoft Sentinel para aplicativos SAP.
Conteúdo relacionado
Para saber mais, veja: