Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird eine Auswahl von Funktionen beschrieben, die in Ihrem Arbeitsbereich verfügbar sind, nachdem Sie eine Microsoft Sentinel Lösung für SAP-Anwendungen installiert haben. Entdecken Sie weitere Funktionen, indem Sie in Microsoft Sentinel durchsuchen und den Funktionscode laden.
Suchen Sie funktionen wie folgt:
- Im Azure-Portal auf der Seite Allgemeine > Protokolle auf der Registerkarte Funktionen und unter Arbeitsbereichsfunktionen aufgeführt.
- Im Defender-Portal auf der Seite Untersuchung & Antwort > Erweiterte Suche auf der Registerkarte Funktionen und unter Sentinel Arbeitsbereichsfunktionen aufgeführt.
Die Inhalte in diesem Artikel sind für Ihre Sicherheitsteams bestimmt.
Verwenden von Funktionen in Ihren Abfragen anstelle von zugrunde liegenden Protokollen oder Tabellen
Es wird dringend empfohlen , die in diesem Artikel aufgeführten Funktionen nach Möglichkeit anstelle der zugrunde liegenden Protokolle oder Tabellen als Themen ihrer Analyse zu verwenden.
Diese Funktionen sollen als Hauptbenutzerschnittstelle für die Daten dienen. Sie bilden die Grundlage für alle integrierten Analyseregeln und Arbeitsmappen, die Ihnen sofort zur Verfügung stehen. Mithilfe von Funktionen können Änderungen an der Dateninfrastruktur unter den Funktionen vorgenommen werden, ohne benutzerseitig erstellte Inhalte zu unterbrechen.
BAPI_XMI_LOGON (Vorschau)
Die BAPI_XMI_LOGON-Funktion ist relevant, wenn Es sich bei Ihrem SAP-System um ein älteres System handelt, das XAL verwendet, und sich zum Sammeln von SAP XAL-Überwachungsprotokollen authentifiziert.
Die BAPI_XMI_LOGON-Funktion wird nur für den SAP-Datenconnector ohne Agent unterstützt. Weitere Informationen finden Sie unter Installieren einer Microsoft Sentinel Lösung für SAP-Anwendungen.
BAPI_SYSTEM_MTE_GETTIDBYNAME (Vorschau)
Die funktion BAPI_SYSTEM_MTE_GETTIDBYNAME ist relevant, wenn Es sich bei Ihrem SAP-System um ein älteres System mit XAL handelt und die ID eines Systemüberwachungselements anhand des Namens abruft.
Die funktion BAPI_SYSTEM_MTE_GETTIDBYNAME wird nur für den SAP-Datenconnector ohne Agent unterstützt. Weitere Informationen finden Sie unter Installieren einer Microsoft Sentinel Lösung für SAP-Anwendungen.
BAPI_SYSTEM_MTE_GETTREE (Vorschau)
Die funktion BAPI_SYSTEM_MTE_GETTREE ist relevant, wenn Es sich bei Ihrem SAP-System um ein älteres System mit XAL handelt und die Struktur der Systemüberwachungselemente abruft.
Die BAPI_SYSTEM_MTE_GETTREE-Funktion wird nur für den SAP-Datenconnector ohne Agent unterstützt. Weitere Informationen finden Sie unter Installieren einer Microsoft Sentinel Lösung für SAP-Anwendungen.
BAPI_SYSTEM_MTE_GETMLHIS (Vorschau)
Die funktion BAPI_SYSTEM_MTE_GETMLHIS ist relevant, wenn Es sich bei Ihrem SAP-System um ein älteres System handelt, das XAL verwendet, und die Verlaufsleistung und status Daten abruft.
Die funktion BAPI_SYSTEM_MTE_GETMLHIS wird nur für den SAP-Datenconnector ohne Agent unterstützt. Weitere Informationen finden Sie unter Installieren einer Microsoft Sentinel Lösung für SAP-Anwendungen.
BAPI_XMI_SET_AUDITLEVEL (Vorschau)
Die funktion BAPI_XMI_SET_AUDITLEVEL ist relevant, wenn Es sich bei Ihrem SAP-System um ein älteres System handelt, das XAL verwendet, und konfiguriert den XAL-Überwachungsprotokolliergrad.
Die BAPI_XMI_SET_AUDITLEVEL-Funktion wird nur für den SAP-Datenconnector ohne Agent unterstützt. Weitere Informationen finden Sie unter Installieren einer Microsoft Sentinel Lösung für SAP-Anwendungen.
BAPI_XMI_GET_LOGHISTORY (Vorschau)
Die funktion BAPI_XMI_GET_LOGHISTORY ist relevant, wenn Es sich bei Ihrem SAP-System um ein älteres System handelt, das XAL verwendet und frühere XAL-Überwachungsprotokolleinträge abruft.
Die BAPI_XMI_GET_LOGHISTORY-Funktion wird nur für den SAP-Datenconnector ohne Agent unterstützt. Weitere Informationen finden Sie unter Installieren einer Microsoft Sentinel Lösung für SAP-Anwendungen.
SAPUsersAssignments
Die SAPUsersAssignments-Funktion sammelt Daten aus mehreren SAP-Datenquellen und erstellt eine benutzerorientierte Ansicht der aktuellen Benutzer-master Daten, einschließlich der aktuell zugewiesenen Rollen und Profile.
Diese Funktion fasst die Benutzerzuweisungen zu Rollen und Profilen zusammen und gibt die folgenden Daten zurück:
| Feld | Beschreibung | Datenquelle/Hinweise |
|---|---|---|
| Benutzer | SAP-Benutzer-ID | Nur SAL |
| SMTP-Adresse | USR21 (SMTP_ADDR) | |
| UserType | Benutzertyp | USR02 (USTYP) |
| Zeitzone | Zeitzone | USR02 (TZONE) |
| LockedStatus | sperren status | USR02 (UFLAG) |
| LastSeenDate | Datum der letzten Angezeigten | USR02 (TRDAT) |
| LastSeenTime | Zuletzt gesehene Zeit | USR02 (LTIME) |
| UserGroupAuth | Benutzergruppe in der Benutzer-master-Wartung | USR02 (KLASSE) |
| Profile | Gruppe von Profilen (maximale Standardgröße = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Satz von direkt zugewiesenen Rollen (standard: maximale Setgröße = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Gruppe indirekt zugewiesener Rollen (standard: max set size = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Client | Client-ID | |
| SystemID | System-ID | Wie im Connector definiert |
SAPUsersGetPrivileged
Die Funktion SAPUsersGetPrivileged gibt eine Liste privilegierter Benutzer pro Client und System-ID zurück.
Benutzer gelten als privilegiert, wenn sie mit einer der folgenden Beschreibungen übereinstimmen:
- Sie sind in der Watchlist "SAP – Privilegierte Benutzer " aufgeführt.
- Sie werden einem Profil zugewiesen, das in der Watchlist "SAP – Sensible Profile" aufgeführt ist.
- Sie werden einer Rolle hinzugefügt, die in der Watchlist "SAP – Sensible Rollen " aufgeführt ist.
Parameter:
| Name | Optional/Erforderlich | Standard | Beschreibung |
|---|---|---|---|
| TimeAgo | Optional | Sieben Tage | Bestimmt, dass die Funktion nach Benutzerdaten master von der durch den TimeAgo Wert definierten Zeit bis zu der durch den now() Wert definierten Zeit sucht. |
Die Funktion SAPUsersGetPrivileged gibt die folgenden Daten zurück:
| Feld | Beschreibung |
|---|---|
| Benutzer | SAP-Benutzer-ID |
| Client | Client-ID |
| SystemID | System-ID |
SAPUsersAuthorizations
Die SapUsersAuthorizations-Funktion vereint Daten aus mehreren Tabellen, um eine benutzerorientierte Ansicht der aktuellen zugewiesenen Rollen und Autorisierungen zu erstellen. Es werden nur Benutzer mit aktiven Rollen- und Autorisierungszuweisungen zurückgegeben.
Parameter:
| Name | Optional/Erforderlich | Standard | Beschreibung |
|---|---|---|---|
| TimeAgo | Optional | Sieben Tage | Bestimmt, dass die Funktion nach Benutzerdaten master von der durch den TimeAgo Wert definierten Zeit bis zu der durch den now() Wert definierten Zeit sucht. |
Die Funktion SAPUsersAuthorizations gibt die folgenden Daten zurück:
| Feld | Beschreibung | Anmerkungen |
|---|---|---|
| Benutzer | SAP-Benutzer-ID | |
| Rollen | Satz von Rollen (standard max. Set size = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Satz von Autorisierungen (Standardmäßige maximale Setgröße = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Client | Client-ID | |
| SystemID | System-ID |
SAPConnectorHealth
Die SAPConnectorHealth-Funktion spiegelt die status der Konnektivität des Agents und des zugrunde liegenden SAP-Systems wider. Basierend auf dem Taktprotokoll SAP_HeartBeat_CL und anderen Integritätsindikatoren werden die folgenden Daten zurückgegeben:
| Feld | Beschreibung |
|---|---|
| Agent | Agent-ID in der Konfiguration des Agents (automatisch generiert) |
| SystemID | SAP-System-ID |
| Status | Gesamtkonnektivität status |
| Details | Konnektivitätsdetails |
| ExtendedDetails | Erweiterte Konnektivitätsdetails |
| LastSeen | Zeitstempel der letzten Aktivität |
| StatusCode | Code, der die status des Systems widerspiegelt |
SAPConnectorÜbersicht
Die FUNKTION SAPConnectorOverview zeigt die Zeilenanzahl jeder SAP-Tabelle pro System-ID an. Es gibt eine Liste von Datensätzen pro System-ID und deren generierter Zeit zurück.
Parameter:
| Name | Optional/Erforderlich | Standard | Beschreibung |
|---|---|---|---|
| TimeAgo | Optional | Sieben Tage | Bestimmt, dass die Funktion nach Benutzerdaten master von der durch den TimeAgo Wert definierten Zeit bis zu der durch den now() Wert definierten Zeit sucht. |
Die FUNKTION SAPConnectorOverview gibt die folgenden Daten zurück:
| Feld | Beschreibung |
|---|---|
| TimeGenerated | Ein datetime-Wert des Zeitstempels der Datensatzgenerierung |
| SystemID_s | Eine Zeichenfolge, die die SAP-System-ID darstellt. |
Verwenden Sie die folgende Kusto-Abfrage, um eine tägliche Trendanalyse durchzuführen:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Die Funktion SAPUsersEmail ermöglicht eine leistungsorientierte Suche der E-Mail-Adresse eines SAP-Benutzers pro SAP-System und -Client, die normalerweise verwendet wird, um sie einem Active Directory-Konto zuzuordnen.
Die Funktion SAPUsersEmail verwendet Daten, die aus den SAP-Tabellen USR21 (Benutzername/Adressschlüsselzuweisung) und ADR6 (E-Mail-Adressen) extrahiert wurden, um nach einer E-Mail-Adresse zu suchen. Falls keine E-Mail-Adresse gefunden wird, wird stattdessen die Benutzer-ID zurückgegeben.
Dieses Verhalten stellt sicher, dass SAP-Dienstkonten wie DDIC, die häufig keiner E-Mail-Adresse zugeordnet sind, als Pseudo-AD-Konten protokolliert werden. Dies eröffnet auch einige UEBA-Features, die bei der Untersuchung von Vorfällen und Hunting-Aktivitäten helfen.
Die Funktion SAPUsersEmail gibt die folgenden Daten zurück:
| Feld | Beschreibung |
|---|---|
| Clientid | Die SAP-Client-ID |
| SystemID | Die SAP-System-ID |
| Benutzer | Die SAP-Benutzer-ID |
| Die E-Mail-Adresse des SAP-Benutzers |
SAPSystems
Die SapSystems-Funktion wird verwendet, um die systemspezifische Konfiguration mithilfe der Watchlist SAP - Systems zentral darzustellen.
Parameter:
| Name | Optional/Erforderlich | Standard | Beschreibung |
|---|---|---|---|
| SelectedSystems | Optional | All Systems |
Wird zum Filtern bestimmter SAP-Systeme verwendet |
| SelectedSystemRoles | Optional | All System Roles |
Bestimmt die Rollen der SAP-Systeme, die untersucht werden sollen, wie in der Watchlist "SAP - Systems " definiert. |
Die Funktion SAPSystems gibt die folgenden Daten zurück:
| Feld | Beschreibung | Datenquelle/Hinweise |
|---|---|---|
| SearchKey | Suchschlüssel | Indiziertes Feld für SAP-System-ID |
| SystemRole | Die Rolle des SAP-Systems | Produktion, UAT |
| SystemUsage | Die Hauptnutzung des SAP-Systems | ERP, CRM |
| SystemID | Die SAP-System-ID |
SAPAuditLogConfiguration
Die Funktion SAPAuditLogConfiguration gibt die lokale Konfiguration der SAP-Überwachungsprotokollwarnungen an den Log Analytics-Arbeitsbereich zurück, der für Microsoft Sentinel aktiviert ist. Diese Konfiguration wird für SAP-Überwachungsprotokollwarnungen verwendet.
Die Funktion SAPAuditLogConfiguration verknüpft die Daten in der SAP Dynamic Audit Log Monitor-Konfiguration und sap - Systems Watchlists, um eine Systemkonfiguration pro Systemrolle bereitzustellen.
Parameter:
| Name | Optional/Erforderlich | Standard | Beschreibung |
|---|---|---|---|
| SelectedSystems | Optional | All Systems |
Wird verwendet, um bestimmte SAP-Systeme zu filtern, die untersucht werden sollen. |
| SelectedSystemRoles | Optional | All System Roles |
Bestimmt die Rollen der SAP-Systeme, die untersucht werden sollen (wie in der Watchlist SAP - Systems definiert). |
| SelectedSeverities | Optional | [High, Medium] |
Wird verwendet, um Ereignisse zu bestimmen, die in Bezug auf ihre Schweregrade betrachtet werden sollen. Schweregrade pro SAP-Überwachungsprotokollmeldungs-ID und Systemrolle sind in der SAP_Dynamic_Audit_Log_Monitor_Configuration-Watchlist definiert. |
| SelectedRuleTypes | Optional | All RuleTypes |
Bestimmt, welche Ereignisse für die Erkennung der Anomalien relevant sind. Regeltypen pro MELDUNGS-ID des SAP-Überwachungsprotokolls und der Systemrolle werden in der SAP_Dynamic_Audit_Log_Monitor_Configuration-Watchlist definiert. |
Die SAPAuditLogConfiguration-Funktion gibt die folgenden Daten zurück:
| Feld | Beschreibung | Datenquelle/Hinweise |
|---|---|---|
| Categoryname | VON SAP angegebene Ereigniskategorie | Sap Dynamic Audit Log Monitor Configuration (Watchlist für die Konfiguration des dynamischen Überwachungsprotokolls für SAP) |
| DestinationEmail | Email Adresse des zugewiesenen Teams | Sap Dynamic Audit Log Monitor Configuration (Watchlist für die Konfiguration des dynamischen Überwachungsprotokolls für SAP) |
| DetailedDescription | Ein markdown formatierter Text, der in Warnungen angezeigt werden soll | Sap Dynamic Audit Log Monitor Configuration (Watchlist für die Konfiguration des dynamischen Überwachungsprotokolls für SAP) |
| MessageID | Meldungs-ID des SAP-Überwachungsprotokolls | Sap Dynamic Audit Log Monitor Configuration (Watchlist für die Konfiguration des dynamischen Überwachungsprotokolls für SAP) |
| MessageText | Ein Beispielnachrichtentext | Sap Dynamic Audit Log Monitor Configuration (Watchlist für die Konfiguration des dynamischen Überwachungsprotokolls für SAP) |
| RolesTagsToExclude | ein ABAP-Rollen-, Profil- oder Freitexttag | Sap Dynamic Audit Log Monitor Configuration (Watchlist für die Konfiguration des dynamischen Überwachungsprotokolls für SAP) |
| RuleType | Anomalie oder deterministisch | Sap Dynamic Audit Log Monitor Configuration (Watchlist für die Konfiguration des dynamischen Überwachungsprotokolls für SAP) |
| Taktik | Die MITRE ATTA&CK-Taktik | Sap Dynamic Audit Log Monitor Configuration (Watchlist für die Konfiguration des dynamischen Überwachungsprotokolls für SAP) |
| TeamsChannelID | Teams-Kanal | Sap Dynamic Audit Log Monitor Configuration (Watchlist für die Konfiguration des dynamischen Überwachungsprotokolls für SAP) |
| SystemID | Die SAP-System-ID | SAP – Watchlist für Systeme |
| SystemRole | Die Rolle des SAP-Systems | SAP – Watchlist für Systeme |
| SystemUsage | Die Hauptnutzung des SAP-Systems | SAP – Watchlist für Systeme |
| IsProd | Produktionssystemflag | SAP – Watchlist für Systeme |
| Severity | Der abgeleitete Schweregrad | Schweregrad pro Systemnutzung |
| Schwellenwert | Der abgeleitete Schwellenwert | Ereignisanzahl pro Systemnutzung |
| BagOfDetails | Tasche mit Details | Ein Wörterbuch, das die Ereignisdefinition detailliert darstellt |
Weitere Informationen finden Sie unter Verfügbare Watchlists.
SAPAuditLogAnomalies
Die FUNKTION SAPAuditLogAnomalies verwendet die integrierten Machine Learning-Funktionen der Microsoft Sentinel zugrunde liegenden Kusto-Datenbank, um anomale Ereignisse zu erkennen, die im SAP-Überwachungsprotokoll beobachtet werden.
Die SapAuditLogAnomalies-Funktion wurde für die Analyseregel SAP - (Experimental) Dynamic Anomaly based Audit Log Monitor Alerts entwickelt. Während der ursprüngliche Entwurf darin besteht, warnungen bei aktuellen Anomalien, kann es auch helfen, historische Anomalien hervorzuheben. Weitere Informationen finden Sie unter Beispielverwendungen.
Die Funktion SAPAuditLogAnomalies lernt den Slice des Verlaufs, der durch die verschiedenen Eingabeparameter definiert wird, auf den folgenden Ebenen:
- Benutzer
- Netzwerkattribute
- System
- Saisonalität
- Aktivitätsstufen
Die SAPAuditLogAnomalies-Funktion bewertet dann Ereignisse, die innerhalb der letzten DetectingTime Zeitspanne aufgetreten sind, entsprechend dem, was sie gelernt hat, und wendet Schwellenwerte und andere konfigurierbare Ausschlusskriterien an, die aus der Watchlist der SAP-Überwachungsprotokollkonfiguration abgerufen wurden.
Sobald ein gleitendes Fenster der Benutzeraktivität als anormmal gilt, gibt eine zweite Abfrage die gesamte Benutzeraktivität als Beweis zurück, der die Entscheidung unterstützt.
Parameter:
| Name | Optional/Erforderlich | Standard | Beschreibung |
|---|---|---|---|
| LearningTime | Optional | 14 Tage | Bestimmt den Zeitraum, der für das Lernen des Modells verwendet wird. |
| DetectingTime | Optional | Eine Stunde | Bestimmt den Zeitraum, der für die Erkennung von Anomalien untersucht werden soll. Das Aufrufen dieser Funktion mit DetectingTime = 0h hebt Anomalien über den gesamten LearningTime Zeitraum hinweg hervor. |
| SelectedSystems | Optional | All Systems |
Wird verwendet, um bestimmte SAP-Systeme zu filtern, die untersucht werden sollen. |
| SelectedSystemRoles | Optional | All System Roles |
Bestimmt die Rollen der SAP-Systeme, die untersucht werden sollen, wie in der Watchlist "SAP - Systems " definiert. |
| SelectedSeverities | Optional | [High, Medium] |
Wird verwendet, um Ereignisse zu bestimmen, die in Bezug auf ihre Schweregrade betrachtet werden sollen. Schweregrade pro SAP-Überwachungsprotokollmeldungs-ID und Systemrolle sind in der SAP_Dynamic_Audit_Log_Monitor_Configuration-Watchlist definiert. |
| SelectedPrefixMask | Optional | 24 | Wird verwendet, um die Subnetzmaskenebene zu bestimmen, die zum Lernen und Erkennen verwendet wird. |
| SelectedRuleTypes | Optional | AnomaliesOnly |
Bestimmt, welche Ereignisse für die Erkennung der Anomalien relevant sind. Regeltypen pro MELDUNGS-ID des SAP-Überwachungsprotokolls und der Systemrolle werden in der SAP_Dynamic_Audit_Log_Monitor_Configuration-Watchlist definiert. |
Die Funktion SAPAuditLogAnomalies gibt die folgenden Daten zurück:
| Feld | Beschreibung |
|---|---|
| Mehrere Felder aus SAPAuditLog | Schlüsselfelder aus dem SAP-Überwachungsprotokoll |
| Mehrere Felder aus SAPAuditLogConfiguration | Schlüsselfelder aus dem Microsoft Sentinel für die SAP-Überwachungsprotokollkonfiguration |
| DiscoveredOn | Die abgerundete Stunde, an der die Anomalie beobachtet wurde |
| EventCount | Anzahl der pro zurückgegebenen Zeile gezählten Ereignisse |
| AnomalCount | Anzahl der innerhalb des relevanten gleitenden Fensters beobachteten Ereignisse |
| MinTime | Zeitpunkt des ersten beobachteten Ereignisses |
| MaxTime | Zeitpunkt des letzten beobachteten Ereignisses |
| Bewertung | die Vom Anomaliemodell erzeugten Anomaliebewertungen |
Empfehlungen:
Wie bei jeder Machine Learning-Lösung funktioniert auch die FUNKTION SAPAuditLogAnomalies mit der Zeit besser und kann nach Bedarf angepasst werden.
Es wird empfohlen, die Größe der gelernten Datenbank mithilfe der vielen verfügbaren Eingabeparameter auf unter 100 Millionen Datensätze zu beschränken.
Beispiele für Verwendungen sind:
Um nach Anomalien für Ereignisse mit hohem Schweregrad zu suchen, die innerhalb der letzten Stunde auf Produktionssystemen für Ereignistypen aufgetreten sind, die in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist als AnomaliesOnly gekennzeichnet sind, führen Sie Folgendes aus:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Um nach allen Anomalien in den letzten 14 Tagen im BIP-System zu suchen, führen Sie Folgendes aus:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Weitere Informationen finden Sie unter Integrierte SAP-Analyseregeln zum Überwachen des SAP-Überwachungsprotokolls und Anomalieerkennung im SAP-Überwachungsprotokoll mithilfe der lösung Microsoft Sentinel für SAP (Blog).
SAPAuditLogConfigRecommend
SapAuditLogConfigRecommend ist eine Hilfsfunktion, die Empfehlungen für die Konfiguration der analyseregel SAP – Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW) bietet.
Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls.
SAPUsersGetVIP
Die Microsoft Sentinel Lösung für SAP-Anwendungen verwendet ein Konzept der zentralen Benutzermarkierung und expliziter Ausschlüsse, das Ihnen helfen soll, falsch positive Ergebnisse mit minimalem Aufwand zu verringern.
Verwenden Sie die Funktion SAPUsersGetVIP , um Benutzer von der Auslösung von Warnungen auszuschließen, indem Sie SAP-Benutzerrollen, SAP-Benutzerfunktionen oder Tags angeben, die diese Benutzer darstellen. Weitere Informationen finden Sie unter Behandeln falsch positiver Ergebnisse in Microsoft Sentinel.
Tags, die als Eingabe für die FUNKTION SAPUsersGetVIP angegeben sind, schließen alle Benutzer aus, deren Tag in der SAP_User_Config Watchlist aufgeführt ist. Die gleiche Funktionalität wird für die Verwendung von Wildcards erweitert, sodass Sie einer Gruppe von Benutzern mit der gleichen Benennungssyntax ein einzelnes Tag zuweisen können.
Kennzeichnen Sie Benutzer in der SAP_User_Config Watchlist wie folgt:
Fügen Sie jedem Benutzer in der SAP_User_Config Watchlist nach Bedarf mehrere Tags hinzu, um verschiedene Szenarien abzudecken. Jede Warnungsregel verfügt ggf. über eigene relevante Tags, und Sie können bei Bedarf benutzerdefinierte Tags hinzufügen.
Verwenden Sie ein Sternchen (*) als Platzhalter, um Benutzer mit einer bestimmten Namenssyntaxvorlage einzuschließen.
Fügen Sie die Funktion SAPUsersGetVIP in Ihren Analyseregeln hinzu, um die Listen von Benutzern anzufordern, die Sie definiert haben, um von Warnungen ausgeschlossen zu werden. Fügen Sie im Funktionsaufruf ein Array mit den Tags, SAP-Rollen und SAP-Profilen hinzu, die Sie ausschließen möchten.
Verwenden Sie beispielsweise die folgende KQL-Abfrage in Ihrer Analyseregel, um alle Benutzer auszuschließen, die mit dem RunObsoleteProgOK-Tag in der SAP_User_Config Watchlist konfiguriert sind, oder alle Benutzer mit der Beispielrolle SAP_BASIS_ADMIN_ROLE oder dem Beispielprofil SAP_ADMIN_PROFILE .
Ersetzen Sie beim Kopieren dieses Beispielfunktionsaufrufs nach Bedarf SAP_BASIS_ADMIN_ROLE Rolle und SAP_ADMIN_PROFILE Profil durch Ihre eigenen SAP-Rollen oder -Profile.
Zum Beispiel:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Die Funktion SAPUsersGetVIP wird häufig in Warnungen des Deterministischen und anomalen Überwachungsprotokollmonitors verwendet. Ordnen Sie ein Tag einer SAP-Überwachungsprotokollmeldungs-ID zu, oder erweitern Sie die Regelvorlage auf eine benutzerdefinierte Regel, die den Anforderungen Ihrer organization entspricht.
Tipp
Es wird empfohlen, sich an Ihren SAP-Systemadministrator zu wenden, um zu erfahren, welche SAP-Benutzer, Rollen und Profile in Ihre SAP_User_Config Watchlist aufgenommen werden sollen.
Parameter:
| Name | Optional/Erforderlich | Standard | Beschreibung |
|---|---|---|---|
| SearchForTags | Optional | dynamic('All Tags') |
Wenn SearchForTags gleich ist All Tags, werden alle Benutzer zusammen mit ihren Tags zurückgegeben. Andernfalls werden nur Benutzer mit den in SearchForTags angegebenen Tags, SAP-Rollen oder SAP-Profilen zurückgegeben.
TagsIntersect zeigt die gefundenen Tags an und IntersectionSize enthält die Anzahl der gefundenen Tags. |
| SpecialFocusTags | Optional | Do not return any in-focus users |
Gibt alle Benutzer zurück, die die in SpecialFocusTagsangegebenen Tags tragen und diese mit specialFocusTagged = truemarkiert haben. |
Die Funktion SAPUsersGetVIP gibt die folgende Ausgabe zurück:
| Quelle | Feld | Beschreibung | Anmerkungen |
|---|---|---|---|
| Die SAP_User_Config Watchlist | SearchKey |
Suchschlüssel | |
| Die SAP_User_Config Watchlist | SAPUser |
Der SAP-Benutzer | OSS, DDIC |
| Die SAP_User_Config Watchlist | Tags |
Zeichenfolge von Tags, die dem Benutzer zugewiesen sind | RunObsoleteProgOK |
| Die SAP_User_Config Watchlist | Microsoft Entra Objekt-ID des Benutzers | Microsoft Entra Objekt-ID | |
| Die SAP_User_Config Watchlist | Benutzer-ID | Azure Directory-Benutzer-ID | |
| Die SAP_User_Config Watchlist | Lokale BENUTZER-SID | ||
| Die SAP_User_Config Watchlist | Benutzerprinzipalname | ||
| Die SAP_User_Config Watchlist | TagsList |
Eine Liste der Dem Benutzer zugewiesenen Tags |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logik | TagsIntersect | Eine Gruppe von Tags, die übereinstimmen SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logik | SpecialFocusTagged | Spezielle Fokusanzeige |
True, False |
| Logik | IntersectionSize | Die Anzahl der überschneidend markierten Tags |
SAPUsersHeader
Die SAPUsersHeader-Funktion wurde entwickelt, um eine allgemeine Ansicht des SAP-Benutzers bereitzustellen. Es verwendet Daten, die sowohl aus dem SAP-Benutzer master Datentabellen als auch aus den letzten Aktivitäten im SAP-Überwachungsprotokoll extrahiert wurden, um E-Mail- und IP-Adressen zu erfassen. Anschließend werden die letzten bekannten E-Mail- und IP-Adressen sowie primäre E-Mail- und IP-Adressen zurückgegeben.
Parameter:
| Name | Optional/Erforderlich | Standard | Beschreibung |
|---|---|---|---|
| SelectedSystems | Optional | All Systems |
Wird verwendet, um bestimmte SAP-Systeme zu filtern, die untersucht werden sollen. |
| SelectedSystemRoles | Optional | All System Roles |
Bestimmt die Rollen der SAP-Systeme, die untersucht werden sollen, wie in der Watchlist "SAP - Systems " definiert. |
| SelectedUsers | Optional | All Users |
Kann Benutzerlisten eingeben. |
| SelectedUser | Optional | All Users |
Akzeptiert nur einen einzelnen Benutzer. |
Zum Beispiel:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Tipp
Bei Leistungsüberlegungen werden nur wenige Tage der Überwachungsaktivität berücksichtigt. Um einen vollständigen Verlauf der Benutzeraktivität zu erhalten, führen Sie eine benutzerdefinierte KQL-Abfrage für die SAPAuditLog-Funktion aus.
Die FUNKTION SAPUsersHeader gibt die folgende Ausgabe zurück:
| Quelle | Feld | Beschreibung | Anmerkungen |
|---|---|---|---|
| Benutzer | Der SAP-Benutzer | ||
| SAP-Tabellen ADR6 und USR21 | Aus den master Daten des Benutzers | OSS, DDIC | |
| SAP-Tabelle USR02 | UserType | Zeichenfolge von Tags, die dem Benutzer zugewiesen sind | RunObsoleteProgOK |
| SAP-Tabelle USR02 | Zeitzone | Microsoft Entra Objekt-ID | |
| SAP-Tabelle USR02 | LockedStatus | Azure Directory-Benutzer-ID | |
| SAP-Überwachungsprotokoll | LastSeen | Ein Zeitstempel | Letztes Überwachungsereignis, das für den Benutzer beobachtet wurde |
| SAP-Überwachungsprotokoll | LastSeenDaysAgo | Tage, die seit vergangen sind LastSeen |
|
| SAP-Überwachungsprotokoll | PrimaryIP | Am häufigsten verwendete IP-Adresse |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP-Überwachungsprotokoll | LastKnownIP | Zuletzt verwendete IP-Adresse | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP-Überwachungsprotokoll | PrimaryEmail | Am häufigsten verwendete E-Mail-Adresse |
True, False |
| SAP-Überwachungsprotokoll | Bekannte IP-Adressen | Liste der bekannten IP-Adressen | Sortiert nach der häufigsten zuerst |
| SAP-Überwachungsprotokoll | KnownEmails | Liste der bekannten E-Mail-Adressen | Sortiert nach der häufigsten zuerst |
| Client | Die SAP-Client-ID | ||
| SystemID | Die SAP-System-ID | ||
| SystemRole | Die Rolle des SAP-Systems | Produktion, UAT | |
| SystemUsage | Die Hauptnutzung des SAP-Systems | ERP, CRM |
TH_SERVER_LIST (Vorschau)
Die funktion TH_SERVER_LIST ist relevant, wenn Es sich bei Ihrem SAP-System um ein älteres System mit XAL handelt und aktive SAP-Anwendungsserver auflistet.
Die TH_SERVER_LIST-Funktion wird nur mit dem SAP-Datenconnector ohne Agent (Vorschau) unterstützt. Weitere Informationen finden Sie unter Installieren einer Microsoft Sentinel Lösung für SAP-Anwendungen.
Verwandte Inhalte
Weitere Informationen finden Sie unter: