适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案数据参考
重要
适用于 SAP 的 Microsoft Sentinel 威胁监视解决方案的某些组件目前处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
如下所述,某些日志默认不会发送给 Microsoft Sentinel,但你可以根据需要手动添加这些日志。 有关详细信息,请参阅定义发送到 Microsoft Sentinel 的 SAP 日志。
本文介绍适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案及其数据连接器中提供的函数、日志和表。 本文适用于高级 SAP 用户。
SAP 解决方案中提供的函数
本部分介绍在部署适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案后可在工作区中使用的函数。 Microsoft Sentinel“日志”页中的“工作区函数”下面列出了可在 KQL 查询中使用的函数。
强烈建议用户尽可能使用函数作为分析的主题,而不是使用基础日志或表。 这些函数旨在用作数据的主要用户接口。 它们构成了所有现成的内置分析规则和工作簿的基础。 这样就可以对函数下的数据基础结构进行更改,而不会破坏用户创建的内容。
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAPConnectorHealth
- SAPConnectorOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
SAPUsersAssignments 函数从多个 SAP 数据源收集数据,并为当前用户主数据(包括当前分配的角色和配置文件)创建以用户为中心的视图。
此函数汇总用户的角色分配和配置文件,并返回以下数据:
字段 | 说明 | 数据源/备注 |
---|---|---|
用户 | SAP 用户 ID | 仅限 SAL |
电子邮件 | SMTP 地址 | USR21 (SMTP_ADDR) |
UserType | 用户类型 | USR02 (USTYP) |
时区 | 时区 | USR02 (TZONE) |
LockedStatus | 锁定状态 | USR02 (UFLAG) |
LastSeenDate | 上次查看日期 | USR02 (TRDAT) |
LastSeenTime | 上次查看时间 | USR02 (LTIME) |
UserGroupAuth | 用户主数据维护中的用户组 | USR02 (CLASS) |
配置文件 | 配置文件集(默认最大集大小 = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | 直接分配的角色集(默认最大集大小 = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
ChildRoles | 间接分配的角色集(默认最大集大小 = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
客户端 | 客户端 ID | |
SystemID | 系统 ID | 在连接器中定义 |
SAPUsersGetPrivileged
SAPUsersGetPrivileged 函数返回每个客户端和系统 ID 的特权用户列表。
如果用户已列在“SAP - 特权用户”监视列表中、已分配到“SAP - 敏感配置文件”监视列表中列出的配置文件,或已添加到“SAP - 敏感角色”监视列表中列出的角色,则将其视为特权用户。
参数:
- TimeAgo
- 可选
- 默认值:七天
- 确定函数是否搜寻从
TimeAgo
值定义的时间到now()
值定义的时间范围内的用户主数据。
SAPUsersGetPrivileged 函数返回以下数据:
字段 | 说明 |
---|---|
用户 | SAP 用户 ID |
客户端 | 客户端 ID |
SystemID | 系统 ID |
SAPUsersAuthorizations
SAPUsersAuthorizations 函数将多个表中的数据汇集在一起,以生成当前的所分配角色和授权的以用户为中心的视图。 仅返回具有活动角色和授权分配的用户。
参数:
- TimeAgo
- 可选
- 默认值:七天
- 确定函数是否搜寻从
TimeAgo
值定义的时间到now()
值定义的时间范围内的用户主数据。
SAPUsersAuthorizations 函数返回以下数据:
字段 | 说明 | 说明 |
---|---|---|
用户 | SAP 用户 ID | |
角色 | 角色集(默认最大集大小 = 50) | ["Role 1", "Role 2",...,"Role 50"] |
AuthorizationsDetails | 授权集(默认最大集大小 = 100) | {{AuthorizationsDeatils1} 、{AuthorizationsDeatils2} 、...、 {AuthorizationsDeatils100}} |
客户端 | 客户端 ID | |
SystemID | 系统 ID |
SAPConnectorHealth
SAPConnectorHealth 函数反映代理的和基础 SAP 系统的连接的状态。 它根据检测信号日志 SAP_HeartBeat_CL 和其他运行状况指示器返回以下数据:
字段 | 说明 |
---|---|
Agent | 代理配置中的代理 ID(自动生成) |
SystemID | SAP 系统 ID |
状态 | 总体连接状态 |
详细信息 | 连接性详细信息 |
ExtendedDetails | 连接性扩展详细信息 |
LastSeen | 最新活动的时间戳 |
StatusCode | 反映系统状态的代码 |
SAPConnectorOverview
SAPConnectorOverview 函数显示每个系统 ID 的每个 SAP 表的行计数。 它返回每个系统 ID 的数据记录及其生成时间的列表。
参数:
- TimeAgo
- 可选
- 默认值:七天
- 确定函数是否搜寻从
TimeAgo
值定义的时间到now()
值定义的时间范围内的用户主数据。
字段 | 说明 |
---|---|
TimeGenerated | 记录生成时间戳的日期/时间值 |
SystemID_s | 一个表示 SAP 系统 ID 的字符串 |
使用以下 Kusto 查询执行每日趋势分析:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
SAPUsersEmail 函数允许针对每个 SAP 系统和客户端的 SAP 用户电子邮件地址进行面向性能的查找,通常用于将其与 Active Directory 帐户相关联。 SAPUsersEmail 函数使用从 SAP 表 USR21(用户名/地址键分配)和 ADR6(电子邮件地址)中提取的数据查找电子邮件地址。 如果未找到,则返回用户 ID 而不是电子邮件地址。 此行为可确保通常未关联电子邮件地址的 SAP 服务帐户(如 DDIC)记录为伪 AD 帐户,从而启用一些 UEBA 功能,帮助调查事件和搜寻活动。
字段 | 说明 |
---|---|
ClientID | SAP 客户端 ID |
SystemID | SAP 系统 ID |
用户 | SAP 用户 ID |
电子邮件 | SAP 用户的电子邮件地址 |
SAPSystems
SAPSystems 函数用于集中展示使用“SAP - 系统”监视列表进行的每系统配置。
参数:
- SelectedSystems
- 可选
- 默认值:“所有系统”
- 用于筛选特定 SAP 系统
- SelectedSystemRoles
- 可选
- 默认值:“所有系统角色”
- 确定要查看的 SAP 系统的角色(如“SAP - 系统”监视列表中所定义)
字段 | 说明 | 数据源/备注 |
---|---|---|
SearchKey | 搜索关键字 | SAP 系统 ID 的索引字段 |
SystemRole | SAP 系统的角色 | 生产、UAT |
SystemUsage | SAP 系统的主要用法 | ERP、CRM |
SystemID | SAP 系统 ID |
SAPAuditLogConfiguration
SAPAuditLogConfiguration 函数返回 Sentinel 工作区的 SAP 审核日志警报的本地配置,用于不同的 SAP 审核日志相关警报。 它将“SAP 动态审核日志监视器配置”和“SAP - 系统”监视列表中的数据联接起来,以按系统角色提供每系统配置。
参数:
- SelectedSystems
- 可选
- 默认值:“所有系统”
- 用于筛选要查看的特定 SAP 系统。
- SelectedSystemRoles
- 可选
- 默认值:“所有系统角色”
- 确定要查看的 SAP 系统的角色(如“SAP - 系统”监视列表中所定义)。
- SelectedSeverities
- 可选
- 默认值:["High", "Medium"]
- 用于根据严重性确定要查看的事件。 每个 SAP 审核日志消息 ID 和系统角色的严重性在“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表中定义。
- SelectedRuleTypes
- 可选
- 默认值:“所有规则类型”
- 确定哪些事件与检测异常相关。 每个 SAP 审核日志消息 ID 和系统角色的规则类型在“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表中定义。
字段 | 说明 | 数据源/备注 |
---|---|---|
CategoryName | SAP 给定事件类别 | “SAP 动态审核日志监视器配置”监视列表 |
DestinationEmail | 指派团队的电子邮件地址 | “SAP 动态审核日志监视器配置”监视列表 |
DetailedDescription | 要在警报上显示的 Markdown 格式文本 | “SAP 动态审核日志监视器配置”监视列表 |
消息 ID | SAP 审核日志消息 ID | “SAP 动态审核日志监视器配置”监视列表 |
MessageText | 消息文本示例 | “SAP 动态审核日志监视器配置”监视列表 |
RolesTagsToExclude | ABAP 角色、配置文件或自定义文本标记 | “SAP 动态审核日志监视器配置”监视列表 |
RuleType | 异常或确定性 | “SAP 动态审核日志监视器配置”监视列表 |
策略 | MITRE ATTA&CK 策略 | “SAP 动态审核日志监视器配置”监视列表 |
TeamsChannelID | Teams 通道 | “SAP 动态审核日志监视器配置”监视列表 |
SystemID | SAP 系统 ID | “SAP - 系统”监视列表 |
SystemRole | SAP 系统的角色 | “SAP - 系统”监视列表 |
SystemUsage | SAP 系统的主要用法 | “SAP - 系统”监视列表 |
IsProd | 生产系统标志 | “SAP - 系统”监视列表 |
严重性 | 推导出的严重性 | 按系统使用情况的严重性 |
阈值 | 推导出的阈值 | 按系统使用情况的事件计数 |
BagOfDetails | 详细信息包 | 详细描述事件定义的字典 |
SAPAuditLogAnomalies
SAPAuditLogAnomalies 使用 Sentinel 的基础 Kusto 数据库的内置机器学习功能,帮助检测在 SAP 审核日志中观察到的异常事件。 此函数针对“SAP -(实验性)基于动态异常的审核日志监视器警报”警报规则开发,最初旨在针对最近的异常发出警报,但它也有助于突出显示历史异常(请参阅以下示例)。
参数:
- LearningTime
- 可选
- 默认值:14 天
- 确定用于模型学习的时间跨度
- DetectingTime
- 可选
- 默认值:一小时
- 确定要查看的检测异常的时间跨度。 使用 DetectingTime = 0h 调用此函数将突出显示整个 LearningTime 时间跨度中的异常
- SelectedSystems
- 可选
- 默认值:“所有系统”
- 用于筛选要查看的特定 SAP 系统。
- SelectedSystemRoles
- 可选
- 默认值:“所有系统角色”
- 确定要查看的 SAP 系统的角色(如“SAP - 系统”监视列表中所定义)。
- SelectedSeverities
- 可选
- 默认值:["High", "Medium"]
- 用于根据严重性确定要查看的事件。 每个 SAP 审核日志消息 ID 和系统角色的严重性在“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表中定义。
- SelectedPrefixMask
- 可选
- 默认值:24
- 用于确定学习和检测所用的子网掩码级别。
- SelectedRuleTypes
- 可选
- 默认值:“AnomaliesOnly”
- 确定哪些事件与检测异常相关。 每个 SAP 审核日志消息 ID 和系统角色的规则类型在“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表中定义。
逻辑
该函数学习在用户、网络属性、系统、季节性和活动级别由不同输入参数定义的历史记录切片。 然后,它根据学到的内容判断在最后一个 DetectingTime 时间跨度内发生的事件,并应用从 SAP 审核日志配置监视列表中获得的阈值和其他可配置的排除标准。 一旦用户活动的滑动窗口被视为异常,第二个查询将返回整个用户活动作为支持该决策的证据。
附加说明
与任何机器学习解决方案一样,此函数随时间推移表现得更好。 可以使用本地配置进行进一步调整。 建议使用许多可用的输入参数将学习数据库的大小限制在 1 亿条记录以下。
示例:针对在“SAP_Dynamic_Audit_Log_Monitor_Configuration”中标记为“AnomaliesOnly”的事件类型,在生产系统上查找过去一小时内发生的高严重性事件的异常情况
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
示例:在系统“BIP”中查找过去 14 天的所有异常情况
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
字段 | 说明 |
---|---|
SAPAuditLog 中的多个字段 | SAP 审核日志中的关键字段 |
SAPAuditLogConfiguration 中的多个字段 | Sentinel for SAP 审核日志配置中的关键字段 |
DiscoveredOn | 观察到异常的整点时间 |
EventCount | 按返回的行计数的事件数 |
AnomalCount | 相关滑动窗口中观察到的事件数 |
MinTime | 观察到的第一个事件的时间 |
MaxTime | 观察到的最后一个事件的时间 |
分数 | 异常模型生成的异常分数 |
有关详细信息,请参阅用于监视 SAP 审核日志的内置 SAP 分析规则。
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend 是一个帮助器函数,旨在为基于 SAP - 动态异常的审核日志监视器警报(预览版)分析规则的配置提供建议。 了解如何配置规则。
SAPUsersGetVIP
适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案使用中心用户标记和显式排除的概念,旨在帮助你轻松减少误报。 使用 SAPUsersGetVIP 函数通过指定 SAP 用户角色、SAP 用户功能或代表用户的标记将这些用户从触发警报的操作中排除。 有关详细信息,请参阅在 Microsoft Sentinel 中处理误报。
如果已将标记指定为 SAPUsersGetVIP 函数的输入,则这些标记会排除其标记已在 SAP_User_Config 监视列表中列出的所有用户。 相同的功能已扩展为使用通配符,允许你将单个标记分配给命名语法相同的一组用户。
将 SAP_User_Config 监视列表中的用户标记如下:
根据需要向 SAP_User_Config 监视列表中的每个用户添加多个标记,以涵盖各种情况。 每个预警规则都有自己的相关标记(如果有),你可以根据需要添加自定义标记。
使用星号 (*) 作为通配符来包含使用特定命名语法模板的用户。
在分析规则中添加 SAPUsersGetVIP 函数,以请求你已定义的要从警报中排除的用户列表。 在函数调用中添加一个数组,其中包含要排除的标记、SAP 角色和 SAP 配置文件。
例如,在分析规则中使用以下 KQL 查询来排除 SAP_User_Config 监视列表中配置有 RunObsoleteProgOK 标记的任何用户,或排除具有示例 SAP_BASIS_ADMIN_ROLE 角色或示例 SAP_ADMIN_PROFILE 配置文件的任何用户。
复制此示例函数调用时,请根据需要将 SAP_BASIS_ADMIN_ROLE 角色和 SAP_ADMIN_PROFILE 配置文件替换为你自己的 SAP 角色或配置文件。
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
SAPUsersGetVIP 函数通常用在确定性和异常审核日志监视器警报中。 将标记与 SAP 审核日志消息 ID 相关联,或将规则模板扩展为符合组织需求的自定义规则。
提示
建议联系 SAP 系统管理员,了解要在 SAP_User_Config 监视列表中包含哪些 SAP 用户、角色和配置文件。
参数:
名称 | 说明 | 默认值 |
---|---|---|
SearchForTags(可选) | 当 SearchForTags 等于 All Tags 时,将返回所有用户及其标记。 否则仅返回具有 SearchForTags 中指定的标记、SAP 角色或 SAP 配置文件的用户。 TagsIntersect 显示找到的标记,IntersectionSize 保存找到的标记的数量。 |
dynamic('All Tags') |
SpecialFocusTags(可选) | 返回带有 SpecialFocusTags 中指定的标记的所有用户,用 specialFocusTagged = true 标记这些用户。 |
Do not return any in-focus users |
Source | 字段 | 说明 | 备注 |
---|---|---|---|
SAP_User_Config 监视列表 | SearchKey | 搜索关键字 | |
SAP_User_Config 监视列表 | SAPUser | SAP 用户 | OSS、DDIC |
SAP_User_Config 监视列表 | 标记 | 分配给用户的标记字符串 | RunObsoleteProgOK |
SAP_User_Config 监视列表 | 用户的 Microsoft Entra 对象 ID | Microsoft Entra 对象 ID | |
SAP_User_Config 监视列表 | 用户标识符 | AD 用户标识符 | |
SAP_User_Config 监视列表 | 用户本地 SID | ||
SAP_User_Config 监视列表 | 用户主体名称 | ||
SAP_User_Config 监视列表 | TagsList | 分配给用户的标记列表 | ChangeUserMasterDataOK;RunObsoleteProgOK |
逻辑 | TagsIntersect | 与 SearchForTags 匹配的一组标记 | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
逻辑 | SpecialFocusTagged | 特殊焦点指示 | True、False |
逻辑 | IntersectionSize | 相交标记的数目 |
SAPUsersHeader
SAPUsersHeader 函数旨在提供 SAP 用户的概要视图。 它使用从 SAP 用户主数据表和 SAP 审核日志中的最近活动中提取的数据来收集电子邮件和 IP 地址。 然后返回最后已知的电子邮件和 IP 地址以及主要电子邮件和 IP 地址。 参数:SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- 可选
- 默认值:“所有系统”
- 用于筛选要查看的特定 SAP 系统。
- SelectedSystemRoles
- 可选
- 默认值:“所有系统角色”
- 确定要查看的 SAP 系统的角色(如“SAP - 系统”监视列表中所定义)。
- SelectedUsers
- 可选
- 默认值:“所有用户”
- 可以输入用户列表。
- SelectedUser
- 可选
- 默认值:“所有用户”
- 仅接受单个用户
附加说明
出于性能考虑,仅考虑几天的审核活动。 有关用户活动的完整历史记录,请针对 SAPAuditLog 函数运行自定义 KQL 查询。
源 | 字段 | 说明 | 说明 |
---|---|---|---|
用户 | SAP 用户 | ||
SAP 表 ADR6 和 USR21 | 电子邮件 | 从用户的主数据中获取 | OSS、DDIC |
SAP 表 USR02 | UserType | 分配给用户的标记字符串 | RunObsoleteProgOK |
SAP 表 USR02 | 时区 | Microsoft Entra 对象 ID | |
SAP 表 USR02 | LockedStatus | AD 用户标识符 | |
SAP 审核日志 | LastSeen | 时间戳 | 为用户观察到的最后一个审核事件 |
SAP 审核日志 | LastSeenDaysAgo | 自 LastSeen 以来经过的天数 | |
SAP 审核日志 | PrimaryIP | 最常用的 IP 地址 | ChangeUserMasterDataOK;RunObsoleteProgOK |
SAP 审核日志 | LastKnownIP | 最近使用的 IP 地址 | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
SAP 审核日志 | PrimaryEmail | 最常用的电子邮件地址 | True、False |
SAP 审核日志 | KnownIPs | 已知 IP 地址列表 | 按最频繁的优先排序 |
SAP 审核日志 | KnownEmails | 已知电子邮件地址列表 | 按最频繁的优先排序 |
客户端 | SAP 客户端 ID | ||
SystemID | SAP 系统 ID | ||
SystemRole | SAP 系统的角色 | 生产、UAT | |
SystemUsage | SAP 系统的主要用法 | ERP、CRM |
数据连接器代理生成的日志
此部分介绍适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案数据连接器中提供的 SAP 日志,包括 Microsoft Sentinel 中的表名、日志用途和详细的日志架构。 架构字段说明基于相关 SAP 文档 中的字段说明。
为获得最佳结果,请使用下面列出的 Microsoft Sentinel 函数来可视化、访问和查询数据。
- ABAP 应用程序日志
- ABAP 更改文档日志
- ABAP CR 日志
- ABAP DB 表数据日志(预览版)
- ABAP 网关日志(预览版)
- ABAP ICM 日志(预览版)
- ABAP 作业日志
- ABAP 安全审核日志
- ABAP Spool 日志
- APAB Spool 输出日志
- ABAP SysLog
- ABAP 工作流日志
- ABAP WorkProcess 日志
- HANA DB 审核线索
- JAVA 文件
- SAP 检测信号日志
ABAP 应用程序日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPAppLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:记录应用程序执行的进度,以便以后根据需要重新构造。
使用基于标准 SAP 表和 XBP 接口标准服务的 RFC 提供。 此日志是按客户端生成的。
ABAPAppLog_CL 日志架构
字段 | 说明 |
---|---|
AppLogDateTime | 应用程序日志日期时间 |
CallbackProgram | 回调程序 |
CallbackRoutine | 回调例程 |
CallbackType | 回调类型 |
ClientID | ABAP 客户端 ID (MANDT) |
ContextDDIC | 上下文 DDIC 结构 |
ExternalID | 外部日志 ID |
主机 | 主机 |
实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
InternalMessageSerial | 应用程序日志消息串行 |
LevelofDetail | 详细级别 |
LogHandle | 应用程序日志句柄 |
LogNumber | 日志编号 |
MessageClass | Message 类 |
MessageNumber | 消息号 |
MessageText | 消息正文 |
MessageType | 消息类型 |
对象 | 应用程序日志对象 |
OperationMode | 操作模式 |
ProblemClass | 问题类 |
programName | 程序名 |
SortCriterion | 排序条件 |
StandardText | 标准文本 |
SubObject | 应用程序日志子对象 |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
TransactionCode | 事务代码 |
用户 | 用户 |
UserChange | 用户更改 |
ABAP 更改文档日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPChangeDocsLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:记录:
对业务数据对象的 SAP NetWeaver 应用程序服务器 (AS) ABAP 日志更改于更改文档中。
SAP 系统中的其他实体,例如用户数据、角色、地址。
使用基于标准 SAP 表的 RFC 提供。 此日志是按客户端生成的。
ABAPChangeDocsLog_CL 日志架构
字段 | 说明 |
---|---|
ActualChangeNum | 实际更改编号 |
ChangedTableKey | 已更改表键 |
ChangeNumber | 更改编号 |
ClientID | ABAP 客户端 ID (MANDT) |
CreatedfromPlannedChange | 从计划的更改创建,采用以下语法:(‘X’ , ‘ ‘) |
CurrencyKeyNew | 货币键:新值 |
CurrencyKeyOld | 货币键:旧值 |
FieldName | 字段名称 |
FlagText | 标志文本 |
主机 | 主机 |
实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
语言 | 语言 |
ObjectClass | 对象类,如 BELEG 、BPAR 、PFCG 、IDENTITY |
ObjectID | 对象 ID |
PlannedChangeNum | 计划的更改编号 |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
TableName | 表名称 |
TransactionCode | 事务代码 |
TypeofChange_Header | 更改标头类型,包括:U = 更改;I = 插入;E = 删除单个文档;D = 删除;J = 插入单个文档 |
TypeofChange_Item | 更改项目类型,包括:U = 更改;I = 插入;E = 删除单个文档;D = 删除;J = 插入单个文档 |
UOMNew | 度量单位:新值 |
UOMOld | 度量单位:旧值 |
用户 | 用户 |
ValueNew | 字段内容:新值 |
ValueOld | 字段内容:旧值 |
版本 | 版本 |
ABAP CR 日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPCRLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:包括更改和传输系统 (CTS) 日志,包括进行了更改的 Directory 对象和自定义项。
使用基于标准表和标准 SAP 服务的 RFC 提供。 此日志使用所有客户端中的数据生成。
注意
除了应用程序日志记录、更改文档和表记录外,使用更改和传输系统对生产系统进行的所有更改都记录在 CTS 和 TMS 日志中。
ABAPCRLog_CL 日志架构
字段 | 说明 |
---|---|
类别 | 类别(工作台,自定义) |
ClientID | ABAP 客户端 ID (MANDT) |
说明 | 说明 |
主机 | 主机 |
实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
ObjectName | 对象名称 |
ObjectType | 对象类型 |
“所有者” | “所有者” |
请求 | 更改请求 |
状态 | 状态 |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
TableKey | 表键 |
TableName | 表名称 |
视图名 | 视图名称 |
ABAP DB 表数据日志(预览版)
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件。
用于查询以下日志的 Microsoft Sentinel 函数:SAPTableDataLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:为那些对审核至关重要或容易受到审核的表提供日志记录。
可通过将 RFC 与自定义服务一起使用获得。 此日志使用所有客户端中的数据生成。
ABAPTableDataLog_CL 日志架构
字段 | 说明 |
---|---|
DBLogID | DB 日志 ID |
主机 | 主机 |
实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
语言 | 语言 |
LogKey | 日志键 |
NewValue | 字段新值 |
OldValue | 字段旧值 |
OperationTypeSQL | 操作类型,Insert 、Update 、Delete |
节目 | 程序名 |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
TableField | 表字段 |
TableName | 表名称 |
TransactionCode | 事务代码 |
UserName | 用户 |
VersionNumber | 版本号 |
ABAP 网关日志(预览版)
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件。
用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_GW
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:监视网关活动。 可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
ABAPOS_GW_CL 日志架构
字段 | 说明 |
---|---|
主机 | 主机 |
实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
MessageText | 消息正文 |
严重性 | 消息严重性:Debug 、Info 、Warning 、Error |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
ABAP ICM 日志(预览版)
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件。
用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_ICM
“相关 SAP 文档”:SAP 帮助门户
“日志目的”:记录入站和出站请求,并编译 HTTP 请求的统计信息。
可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
ABAPOS_ICM_CL 日志架构
字段 | 说明 |
---|---|
主机 | 主机 |
实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
MessageText | 消息正文 |
严重性 | 消息严重性,包括:Debug 、Info 、Warning 、Error |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
ABAP 作业日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPJobLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:合并所有后台处理作业日志 (SM37)。
使用基于标准 SAP 表和 XBP 接口标准服务的 RFC 可用。 此日志使用所有客户端中的数据生成。
ABAPJobLog_CL 日志架构
字段 | 说明 |
---|---|
ABAPProgram | ABAP 程序 |
BgdEventParameters | 后台事件参数 |
BgdProcessingEvent | 后台处理事件 |
ClientID | ABAP 客户端 ID (MANDT) |
DynproNumber | Dynpro 编号 |
GUIStatus | GUI 状态 |
主机 | 主机 |
实例 | ABAP 实例 (HOST_SYSID_SYSNR),采用以下语法:<HOST>_<SYSID>_<SYSNR> |
JobClassification | 作业分类 |
JobCount | 作业计数 |
JobGroup | 作业组 |
JobName | 作业名称 |
JobPriority | 作业优先级 |
MessageClass | Message 类 |
MessageNumber | 消息号 |
MessageText | 消息正文 |
MessageType | 消息类型 |
ReleaseUser | 作业发布用户 |
SchedulingDateTime | 计划日期时间 |
StartDateTime | 开始日期时间 |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
TargetServer | 目标服务器 |
用户 | 用户 |
UserReleaseInstance | ABAP 实例 - 用户发布 |
WorkProcessID | 工作进程 ID |
WorkProcessNumber | 工作进程编号 |
ABAP 安全审核日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPAuditLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:记录以下数据:
- SAP 系统环境的安全相关更改,例如主用户记录的更改
- 提供更高级别数据的信息,例如成功和失败的登录尝试
- 启用一系列事件重建的信息,例如成功或失败的事务启动
可通过使用 RFC XAL/SAL 接口获得。 版本 Basis 7.50 及更高版本支持此功能。 此日志使用所有客户端中的数据生成。
ABAPAuditLog_CL 日志架构
字段 | 说明 |
---|---|
ABAPProgramName | 程序名,仅 SAL |
AlertSeverity | 警报严重性 |
AlertSeverityText | 警报严重性文本,仅 SAL |
AlertValue | 警报值 |
AuditClassID | 审核类 ID,仅 SAL |
ClientID | ABAP 客户端 ID (MANDT) |
Computer | 用户计算机,仅 SAL |
电子邮件 | 用户电子邮件 |
主机 | 主机 |
实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
MessageClass | Message 类 |
MessageContainerID | 消息容器 ID,仅 XAL |
消息 ID | 消息 ID,如 ‘AU1’,’AU2’… |
MessageText | 消息正文 |
MonitoringObjectName | MTE 监视器对象名称,仅 XAL |
MonitorShortName | MTE 监视器短名称,仅 XAL |
SAPProcesType | 系统日志: SAP 进程类型,仅 SAL |
B* - 后台处理 | |
D* - 对话处理 | |
U* - 更新任务 | |
SAPWPName | 系统日志:工作进程编号,仅 SAL |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
TerminalIPv6 | 用户计算机 IP,仅 SAL |
TransactionCode | 事务代码,仅 SAL |
用户 | 用户 |
Variable1 | 消息变量 1 |
Variable2 | 消息变量 2 |
Variable3 | 消息变量 3 |
Variable4 | 消息变量 4 |
ABAP Spool 日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPSpoolLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:用作 SAP 打印的主日志,包含 spool 请求的历史记录。 (SP01)。
使用基于标准 SAP 表的 RFC 提供。 此日志使用所有客户端中的数据生成。
ABAPSpoolLog_CL 日志架构
字段 | 说明 |
---|---|
ArchiveStatus | 存档状态 |
ArchiveType | 存档类型 |
ArchivingDevice | 存档设备 |
AutoRereoute | 自动重新路由 |
ClientID | ABAP 客户端 ID (MANDT) |
CountryKey | 国家/地区键 |
DeleteSpoolRequestAuto | 自动删除 spool 请求 |
DelFlag | 删除标志 |
部门 | 部门 |
DocumentType | 文档类型 |
ExternalMode | 外部模式 |
FormatType | 格式类型 |
主机 | 主机 |
实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
NumofCopies | 份数 |
OutputDevice | 输出设备 |
PrinterLongName | 打印机长名称 |
PrintImmediately | 立即打印 |
PrintOSCoverPage | 打印 OSCover 页 |
PrintSAPCoverPage | 打印 SAPCover 页 |
优先级 | 优先级 |
RecipientofSpoolRequest | spool 请求的收件人 |
SpoolErrorStatus | Spool 错误状态 |
SpoolRequestCompleted | spool 请求已完成 |
SpoolRequestisALogForAnotherRequest | Spool 请求是另一个请求的日志 |
SpoolRequestName | spool 请求名称 |
SpoolRequestNumber | spool 请求编号 |
SpoolRequestSuffix1 | Spool 请求后缀 1 |
SpoolRequestSuffix2 | Spool 请求后缀 2 |
SpoolRequestTitle | spool 请求标题 |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
TelecommunicationsPartner | 电信合作伙伴 |
TelecommunicationsPartnerE | 电信合作伙伴 E |
TemSeGeneralcounter | Temse 计数器 |
TemseNumAddProtectionRule | Temse 编号添加保护规则 |
TemseNumChangeProtectionRule | Temse 编号更改保护规则 |
TemseNumDeleteProtectionRule | Temse 编号删除保护规则 |
TemSeObjectName | Temse 对象名称 |
TemSeObjectPart | TemSe 对象部分 |
TemseReadProtectionRule | Temse 读取保护规则 |
用户 | 用户 |
ValueAuthCheck | 值身份验证检查 |
APAB Spool 输出日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPSpoolOutputLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:用作 SAP 打印的主日志,包含 spool 输出请求的历史记录。 (SP02)。
可通过将 RFC 与基于标准表的自定义服务一起使用获得。 此日志使用所有客户端中的数据生成。
ABAPSpoolOutputLog_CL 日志架构
字段 | 说明 |
---|---|
AppServer | 应用程序服务器 |
ClientID | ABAP 客户端 ID (MANDT) |
注释 | 注释 |
CopyCount | 复制计数 |
CopyCounter | 复制计数器 |
部门 | 部门 |
ErrorSpoolRequestNumber | 错误请求编号 |
FormatType | 格式类型 |
主机 | 主机 |
HostName | 主机名 |
HostSpoolerID | 主机 spooler ID |
实例 | ABAP 实例 |
LastPage | 最后一页 |
NumofCopies | 份数 |
OutputDevice | 输出设备 |
OutputRequestNumber | 输出请求编号 |
OutputRequestStatus | 获取请求状态 |
PhysicalFormatType | 物理格式类型 |
PrinterLongName | 打印机长名称 |
PrintRequestSize | 打印请求大小 |
优先级 | 优先级 |
ReasonforOutputRequest | 输出请求的原因 |
RecipientofSpoolRequest | spool 请求的收件人 |
SpoolNumberofOutputReqProcessed | 输出请求数 - 已处理 |
SpoolNumberofOutputReqWithErrors | 输出请求数 - 有错误 |
SpoolNumberofOutputReqWithProblems | 输出请求数 - 有问题 |
SpoolRequestNumber | spool 请求编号 |
StartPage | 起始页 |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
TelecommunicationsPartner | 电信合作伙伴 |
TemSeGeneralcounter | Temse 计数器 |
Title | Title |
用户 | 用户 |
ABAP Syslog
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件。
用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_Syslog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:记录所有 SAP NetWeaver 应用程序服务器 (SAP NetWeaver AS) ABAP 系统错误、警告、由于已知用户的登录尝试失败而锁定的用户锁、进程消息。
可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
ABAPOS_Syslog_CL 日志架构
字段 | 说明 |
---|---|
ClientID | ABAP 客户端 ID (MANDT) |
主机 | 主机 |
实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
MessageNumber | 消息号 |
MessageText | 消息正文 |
严重性 | 消息严重性,以下值之一:Debug 、Info 、Warning 、Error |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
TransacationCode | 事务代码 |
类型 | SAP 进程类型 |
用户 | 用户 |
ABAP 工作流日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPWorkflowLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:使用 SAP Business Workflow (WebFlow Engine),可以定义尚未映射到 SAP 系统中的业务进程。
例如,未映射的业务进程可能是简单的发布或审批过程,或者是更复杂的业务进程,如创建基本材料,然后协调关联的部门。
使用基于标准 SAP 表的 RFC 提供。 此日志是按客户端生成的。
ABAPWorkflowLog_CL 日志架构
字段 | 说明 |
---|---|
ActualAgent | 实际代理 |
地址 | 地址 |
ApplicationArea | 应用程序区域 |
CallbackFunction | 回调函数 |
ClientID | ABAP 客户端 ID (MANDT) |
CreationDateTime | 创建日期时间 |
创建者 | 创建者 |
CreatorAddress | 创建者地址 |
ErrorType | 错误类型 |
ExceptionforMethod | 方法的异常 |
主机 | 主机 |
实例 | ABAP 实例 (HOST_SYSID_SYSNR),采用以下语法:<HOST>_<SYSID>_<SYSNR> |
语言 | 语言 |
LogCounter | 日志计数器 |
MessageNumber | 消息号 |
MessageType | 消息类型 |
MethodUser | 方法用户 |
优先级 | 优先级 |
SimpleContainer | 简单容器,打包为工作项键值实体列表 |
状态 | 状态 |
SuperWI | 超级 WI |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
TaskID | 任务 ID |
TasksClassification | 任务分类 |
TaskText | 任务文本 |
TopTaskID | 最高任务 ID |
UserCreated | 创建者用户 |
WIText | 工作项文本 |
WIType | 工作项类型 |
WorkflowAction | Workflow 操作 |
WorkItemID | 工作项 ID |
ABAP WorkProcess 日志
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件。
用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_WP
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:合并所有工作进程日志。 (默认:
dev_*
)。可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
ABAPOS_WP_CL 日志架构
字段 | 说明 |
---|---|
主机 | 主机 |
实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
MessageText | 消息正文 |
严重性 | 消息严重性:Debug 、Info 、Warning 、Error |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
WPNumber | 工作进程编号 |
HANA DB 审核线索
若要将此日志发送到 Microsoft Sentinel,必须部署 Microsoft 管理代理以从运行 HANA DB 的计算机收集 Syslog 数据。
用于查询以下日志的 Microsoft Sentinel 函数:SAPSyslog
“日志用途”:记录 SAP HANA 数据库中的用户操作或尝试的操作。 例如,能够实现记录和监视对敏感数据的读取访问。
可通过 Syslog 的 Sentinel Linux 代理获得。 此日志使用所有客户端中的数据生成。
Syslog 日志架构
字段 | 说明 |
---|---|
Computer | 主机名 |
HostIP | 主机 IP |
HostName | 主机名 |
ProcessID | 进程 ID |
ProcessName | 进程名称:HDB* |
SeverityLevel | 警报 |
SourceSystem | 源系统 OS,Linux |
SyslogMessage | 消息,未分析的审核线索消息 |
JAVA 文件
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件。
用于查询以下日志的 Microsoft Sentinel 函数:SAPJAVAFilesLogs
“相关 SAP 文档”:常规 | Java 安全审核日志
“日志用途”:合并所有基于 Java 文件的日志,包括安全审核日志和系统(群集和服务器进程)、性能和网关日志。 还包括开发人员跟踪和默认跟踪日志。
可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
JavaFilesLogsCL 日志架构
字段 | 说明 |
---|---|
应用程序 | Java 应用程序 |
ClientID | 客户端 ID |
CSNComponent | CSN 组件,例如 BC-XI-IBD |
DCComponent | DC 组件,例如 com.sap.xi.util.misc |
DSRCounter | DSR 计数器 |
DSRRootContentID | DSR 上下文 GUID |
DSRTransaction | DSR 事务 GUID |
主机 | 主机 |
实例 | Java 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
位置 | Java 类 |
LogName | Java logName,例如:Available 、defaulttrace 、dev* 、security 等 |
MessageText | 消息正文 |
MNo | 消息号 |
Pid | 进程 ID |
节目 | 程序名 |
会话 | 会话 |
严重性 | 消息严重性,包括:Debug 、Info 、Warning 、Error |
解决方案 | 解决方案 |
SystemID | 系统 ID |
SystemNumber | 系统编号 |
ThreadName | 线程名 |
引发 | 引发异常 |
TimeZone | 时区 |
用户 | 用户 |
SAP 检测信号日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPConnectorHealth
日志用途:提供有关代理与不同 SAP 系统之间的连接性的检测信号和其他运行状况信息。
自动为适用于 SAP 的 Microsoft Sentinel 连接器的任何代理创建。
SAP_HeartBeat_CL 日志架构
字段 | 说明 |
---|---|
TimeGenerated | 日志发布事件的时间 |
agent_id_s | 代理配置中的代理 ID(自动生成) |
agent_ver_s | 代理版本 |
host_s | 代理的主机名 |
system_id_s | Netweaver ABAP 系统 ID/ Netweaver SAPControl 主机(预览版)/ Java SAPControl 主机(预览版) |
push_timestamp_d | 提取操作的时间戳,具体取决于代理的时区 |
agent_timezone_s | 代理的时区 |
直接从 SAP 系统检索的表
本部分列出了直接从 SAP 系统检索并按原样引入 Microsoft Sentinel 的数据表。
若要将这些表中的数据引入 Microsoft Sentinel,请在 systemconfig.ini 文件中配置相关设置。 有关详细信息,请参阅配置用户主数据收集。
从这些表中检索的数据提供了授权结构、组成员身份和用户配置文件的清晰视图。 还可以通过这些数据跟踪授权的授予和撤销过程,并识别和控制与这些过程相关的风险。
下面列出了启用识别特权用户、将用户映射到角色、组和授权的功能所需的表。
为获得最佳结果,请使用下面的“Sentinel 函数名称”列中的名称来引用这些表:
表名 | 表说明 | Sentinel 函数名称 |
---|---|---|
USR01 | 用户主记录(运行时数据) | SAP_USR01 |
USR02 | 登录数据(内核端使用) | SAP_USR02 |
UST04 | 用户主数据 将用户映射到配置文件 |
SAP_UST04 |
AGR_USERS | 为用户分配角色 | SAP_AGR_USERS |
AGR_1251 | 活动组的授权数据 | SAP_AGR_1251 |
USGRP_USER | 将用户分配到用户组 | SAP_USGRP_USER |
USR21 | 用户名/地址密钥分配 | SAP_USR21 |
ADR6 | 电子邮件地址(业务地址服务) | SAP_ADR6 |
USRSTAMP | 对用户进行的所有更改的时间戳 | SAP_USRSTAMP |
ADCP | 人员/地址分配(业务地址服务) | SAP_ADCP |
USR05 | 用户主参数 ID | SAP_USR05 |
AGR_PROF | 角色的配置文件名称 | SAP_AGR_PROF |
AGR_FLAGS | 角色属性 | SAP_AGR_FLAGS |
DEVACCESS | 开发用户的表 | SAP_DEVACCESS |
AGR_DEFINE | 角色定义 | SAP_AGR_DEFINE |
AGR_AGRS | 复合角色中的角色 | SAP_AGR_AGRS |
PAHI | 系统、数据库和 SAP 参数的历史记录 | SAP_PAHI |
SNCSYSACL(预览版) | SNC 访问控制列表 (ACL):系统 | SAP_SNCSYSACL |
USRACL(预览版) | SNC 访问控制列表 (ACL):用户 | SAP_USRACL |
后续步骤
有关详细信息,请参阅: