适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案数据参考
重要
适用于 SAP 的 Microsoft Sentinel 威胁监视解决方案的某些组件目前处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
如下所述,某些日志默认不会发送给 Microsoft Sentinel,但你可以根据需要手动添加这些日志。 有关详细信息,请参阅定义发送到 Microsoft Sentinel 的 SAP 日志。
本文介绍适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案及其数据连接器中提供的函数、日志和表。 本文适用于高级 SAP 用户。
SAP 解决方案中提供的函数
本部分介绍在部署适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案后可在工作区中使用的函数。 Microsoft Sentinel“日志”页中的“工作区函数”下面列出了可在 KQL 查询中使用的函数。
强烈建议用户尽可能使用函数作为分析的主题,而不是使用基础日志或表。 这些函数旨在用作数据的主要用户接口。 它们构成了所有现成的内置分析规则和工作簿的基础。 这样就可以对函数下的数据基础结构进行更改,而不会破坏用户创建的内容。
- SAPUsersAssignments
- SAPUsersGetPrivileged
- SAPUsersAuthorizations
- SAPConnectorHealth
- SAPConnectorOverview
- SAPUsersEmail
- SAPAuditLogConfiguration
- SAPAuditLogAnomalies
- SAPAuditLogConfigRecommend
- SAPSystems
- SAPUsersGetVIP
- SAPUsersHeader
SAPUsersAssignments
SAPUsersAssignments 函数从多个 SAP 数据源收集数据,并为当前用户主数据(包括当前分配的角色和配置文件)创建以用户为中心的视图。
此函数汇总用户的角色分配和配置文件,并返回以下数据:
| 字段 | 说明 | 数据源/备注 |
|---|---|---|
| 用户 | SAP 用户 ID | 仅限 SAL |
| 电子邮件 | SMTP 地址 | USR21 (SMTP_ADDR) |
| UserType | 用户类型 | USR02 (USTYP) |
| 时区 | 时区 | USR02 (TZONE) |
| LockedStatus | 锁定状态 | USR02 (UFLAG) |
| LastSeenDate | 上次查看日期 | USR02 (TRDAT) |
| LastSeenTime | 上次查看时间 | USR02 (LTIME) |
| UserGroupAuth | 用户主数据维护中的用户组 | USR02 (CLASS) |
| 配置文件 | 配置文件集(默认最大集大小 = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | 直接分配的角色集(默认最大集大小 = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | 间接分配的角色集(默认最大集大小 = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| 客户端 | 客户端 ID | |
| SystemID | 系统 ID | 在连接器中定义 |
SAPUsersGetPrivileged
SAPUsersGetPrivileged 函数返回每个客户端和系统 ID 的特权用户列表。
如果用户已列在“SAP - 特权用户”监视列表中、已分配到“SAP - 敏感配置文件”监视列表中列出的配置文件,或已添加到“SAP - 敏感角色”监视列表中列出的角色,则将其视为特权用户。
参数:
- TimeAgo
- 可选
- 默认值:七天
- 确定函数是否搜寻从
TimeAgo值定义的时间到now()值定义的时间范围内的用户主数据。
SAPUsersGetPrivileged 函数返回以下数据:
| 字段 | 说明 |
|---|---|
| 用户 | SAP 用户 ID |
| 客户端 | 客户端 ID |
| SystemID | 系统 ID |
SAPUsersAuthorizations
SAPUsersAuthorizations 函数将多个表中的数据汇集在一起,以生成当前的所分配角色和授权的以用户为中心的视图。 仅返回具有活动角色和授权分配的用户。
参数:
- TimeAgo
- 可选
- 默认值:七天
- 确定函数是否搜寻从
TimeAgo值定义的时间到now()值定义的时间范围内的用户主数据。
SAPUsersAuthorizations 函数返回以下数据:
| 字段 | 说明 | 说明 |
|---|---|---|
| 用户 | SAP 用户 ID | |
| 角色 | 角色集(默认最大集大小 = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | 授权集(默认最大集大小 = 100) | {{AuthorizationsDeatils1}、{AuthorizationsDeatils2}、...、 {AuthorizationsDeatils100}} |
| 客户端 | 客户端 ID | |
| SystemID | 系统 ID |
SAPConnectorHealth
SAPConnectorHealth 函数反映代理的和基础 SAP 系统的连接的状态。 它根据检测信号日志 SAP_HeartBeat_CL 和其他运行状况指示器返回以下数据:
| 字段 | 说明 |
|---|---|
| Agent | 代理配置中的代理 ID(自动生成) |
| SystemID | SAP 系统 ID |
| 状态 | 总体连接状态 |
| 详细信息 | 连接性详细信息 |
| ExtendedDetails | 连接性扩展详细信息 |
| LastSeen | 最新活动的时间戳 |
| StatusCode | 反映系统状态的代码 |
SAPConnectorOverview
SAPConnectorOverview 函数显示每个系统 ID 的每个 SAP 表的行计数。 它返回每个系统 ID 的数据记录及其生成时间的列表。
参数:
- TimeAgo
- 可选
- 默认值:七天
- 确定函数是否搜寻从
TimeAgo值定义的时间到now()值定义的时间范围内的用户主数据。
| 字段 | 说明 |
|---|---|
| TimeGenerated | 记录生成时间戳的日期/时间值 |
| SystemID_s | 一个表示 SAP 系统 ID 的字符串 |
使用以下 Kusto 查询执行每日趋势分析:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
SAPUsersEmail 函数允许针对每个 SAP 系统和客户端的 SAP 用户电子邮件地址进行面向性能的查找,通常用于将其与 Active Directory 帐户相关联。 SAPUsersEmail 函数使用从 SAP 表 USR21(用户名/地址键分配)和 ADR6(电子邮件地址)中提取的数据查找电子邮件地址。 如果未找到,则返回用户 ID 而不是电子邮件地址。 此行为可确保通常未关联电子邮件地址的 SAP 服务帐户(如 DDIC)记录为伪 AD 帐户,从而启用一些 UEBA 功能,帮助调查事件和搜寻活动。
| 字段 | 说明 |
|---|---|
| ClientID | SAP 客户端 ID |
| SystemID | SAP 系统 ID |
| 用户 | SAP 用户 ID |
| 电子邮件 | SAP 用户的电子邮件地址 |
SAPSystems
SAPSystems 函数用于集中展示使用“SAP - 系统”监视列表进行的每系统配置。
参数:
- SelectedSystems
- 可选
- 默认值:“所有系统”
- 用于筛选特定 SAP 系统
- SelectedSystemRoles
- 可选
- 默认值:“所有系统角色”
- 确定要查看的 SAP 系统的角色(如“SAP - 系统”监视列表中所定义)
| 字段 | 说明 | 数据源/备注 |
|---|---|---|
| SearchKey | 搜索关键字 | SAP 系统 ID 的索引字段 |
| SystemRole | SAP 系统的角色 | 生产、UAT |
| SystemUsage | SAP 系统的主要用法 | ERP、CRM |
| SystemID | SAP 系统 ID |
SAPAuditLogConfiguration
SAPAuditLogConfiguration 函数返回 Sentinel 工作区的 SAP 审核日志警报的本地配置,用于不同的 SAP 审核日志相关警报。 它将“SAP 动态审核日志监视器配置”和“SAP - 系统”监视列表中的数据联接起来,以按系统角色提供每系统配置。
参数:
- SelectedSystems
- 可选
- 默认值:“所有系统”
- 用于筛选要查看的特定 SAP 系统。
- SelectedSystemRoles
- 可选
- 默认值:“所有系统角色”
- 确定要查看的 SAP 系统的角色(如“SAP - 系统”监视列表中所定义)。
- SelectedSeverities
- 可选
- 默认值:["High", "Medium"]
- 用于根据严重性确定要查看的事件。 每个 SAP 审核日志消息 ID 和系统角色的严重性在“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表中定义。
- SelectedRuleTypes
- 可选
- 默认值:“所有规则类型”
- 确定哪些事件与检测异常相关。 每个 SAP 审核日志消息 ID 和系统角色的规则类型在“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表中定义。
| 字段 | 说明 | 数据源/备注 |
|---|---|---|
| CategoryName | SAP 给定事件类别 | “SAP 动态审核日志监视器配置”监视列表 |
| DestinationEmail | 指派团队的电子邮件地址 | “SAP 动态审核日志监视器配置”监视列表 |
| DetailedDescription | 要在警报上显示的 Markdown 格式文本 | “SAP 动态审核日志监视器配置”监视列表 |
| 消息 ID | SAP 审核日志消息 ID | “SAP 动态审核日志监视器配置”监视列表 |
| MessageText | 消息文本示例 | “SAP 动态审核日志监视器配置”监视列表 |
| RolesTagsToExclude | ABAP 角色、配置文件或自定义文本标记 | “SAP 动态审核日志监视器配置”监视列表 |
| RuleType | 异常或确定性 | “SAP 动态审核日志监视器配置”监视列表 |
| 策略 | MITRE ATTA&CK 策略 | “SAP 动态审核日志监视器配置”监视列表 |
| TeamsChannelID | Teams 通道 | “SAP 动态审核日志监视器配置”监视列表 |
| SystemID | SAP 系统 ID | “SAP - 系统”监视列表 |
| SystemRole | SAP 系统的角色 | “SAP - 系统”监视列表 |
| SystemUsage | SAP 系统的主要用法 | “SAP - 系统”监视列表 |
| IsProd | 生产系统标志 | “SAP - 系统”监视列表 |
| 严重性 | 推导出的严重性 | 按系统使用情况的严重性 |
| 阈值 | 推导出的阈值 | 按系统使用情况的事件计数 |
| BagOfDetails | 详细信息包 | 详细描述事件定义的字典 |
SAPAuditLogAnomalies
SAPAuditLogAnomalies 使用 Sentinel 的基础 Kusto 数据库的内置机器学习功能,帮助检测在 SAP 审核日志中观察到的异常事件。 此函数针对“SAP -(实验性)基于动态异常的审核日志监视器警报”警报规则开发,最初旨在针对最近的异常发出警报,但它也有助于突出显示历史异常(请参阅以下示例)。
参数:
- LearningTime
- 可选
- 默认值:14 天
- 确定用于模型学习的时间跨度
- DetectingTime
- 可选
- 默认值:一小时
- 确定要查看的检测异常的时间跨度。 使用 DetectingTime = 0h 调用此函数将突出显示整个 LearningTime 时间跨度中的异常
- SelectedSystems
- 可选
- 默认值:“所有系统”
- 用于筛选要查看的特定 SAP 系统。
- SelectedSystemRoles
- 可选
- 默认值:“所有系统角色”
- 确定要查看的 SAP 系统的角色(如“SAP - 系统”监视列表中所定义)。
- SelectedSeverities
- 可选
- 默认值:["High", "Medium"]
- 用于根据严重性确定要查看的事件。 每个 SAP 审核日志消息 ID 和系统角色的严重性在“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表中定义。
- SelectedPrefixMask
- 可选
- 默认值:24
- 用于确定学习和检测所用的子网掩码级别。
- SelectedRuleTypes
- 可选
- 默认值:“AnomaliesOnly”
- 确定哪些事件与检测异常相关。 每个 SAP 审核日志消息 ID 和系统角色的规则类型在“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表中定义。
逻辑
该函数学习在用户、网络属性、系统、季节性和活动级别由不同输入参数定义的历史记录切片。 然后,它根据学到的内容判断在最后一个 DetectingTime 时间跨度内发生的事件,并应用从 SAP 审核日志配置监视列表中获得的阈值和其他可配置的排除标准。 一旦用户活动的滑动窗口被视为异常,第二个查询将返回整个用户活动作为支持该决策的证据。
附加说明
与任何机器学习解决方案一样,此函数随时间推移表现得更好。 可以使用本地配置进行进一步调整。 建议使用许多可用的输入参数将学习数据库的大小限制在 1 亿条记录以下。
示例:针对在“SAP_Dynamic_Audit_Log_Monitor_Configuration”中标记为“AnomaliesOnly”的事件类型,在生产系统上查找过去一小时内发生的高严重性事件的异常情况
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]),
SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
示例:在系统“BIP”中查找过去 14 天的所有异常情况
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
| 字段 | 说明 |
|---|---|
| SAPAuditLog 中的多个字段 | SAP 审核日志中的关键字段 |
| SAPAuditLogConfiguration 中的多个字段 | Sentinel for SAP 审核日志配置中的关键字段 |
| DiscoveredOn | 观察到异常的整点时间 |
| EventCount | 按返回的行计数的事件数 |
| AnomalCount | 相关滑动窗口中观察到的事件数 |
| MinTime | 观察到的第一个事件的时间 |
| MaxTime | 观察到的最后一个事件的时间 |
| 分数 | 异常模型生成的异常分数 |
有关详细信息,请参阅用于监视 SAP 审核日志的内置 SAP 分析规则。
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend 是一个帮助器函数,旨在为基于 SAP - 动态异常的审核日志监视器警报(预览版)分析规则的配置提供建议。 了解如何配置规则。
SAPUsersGetVIP
适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案使用中心用户标记和显式排除的概念,旨在帮助你轻松减少误报。 使用 SAPUsersGetVIP 函数通过指定 SAP 用户角色、SAP 用户功能或代表用户的标记将这些用户从触发警报的操作中排除。 有关详细信息,请参阅在 Microsoft Sentinel 中处理误报。
如果已将标记指定为 SAPUsersGetVIP 函数的输入,则这些标记会排除其标记已在 SAP_User_Config 监视列表中列出的所有用户。 相同的功能已扩展为使用通配符,允许你将单个标记分配给命名语法相同的一组用户。
将 SAP_User_Config 监视列表中的用户标记如下:
根据需要向 SAP_User_Config 监视列表中的每个用户添加多个标记,以涵盖各种情况。 每个预警规则都有自己的相关标记(如果有),你可以根据需要添加自定义标记。
使用星号 (*) 作为通配符来包含使用特定命名语法模板的用户。
在分析规则中添加 SAPUsersGetVIP 函数,以请求你已定义的要从警报中排除的用户列表。 在函数调用中添加一个数组,其中包含要排除的标记、SAP 角色和 SAP 配置文件。
例如,在分析规则中使用以下 KQL 查询来排除 SAP_User_Config 监视列表中配置有 RunObsoleteProgOK 标记的任何用户,或排除具有示例 SAP_BASIS_ADMIN_ROLE 角色或示例 SAP_ADMIN_PROFILE 配置文件的任何用户。
复制此示例函数调用时,请根据需要将 SAP_BASIS_ADMIN_ROLE 角色和 SAP_ADMIN_PROFILE 配置文件替换为你自己的 SAP 角色或配置文件。
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
SAPUsersGetVIP 函数通常用在确定性和异常审核日志监视器警报中。 将标记与 SAP 审核日志消息 ID 相关联,或将规则模板扩展为符合组织需求的自定义规则。
提示
建议联系 SAP 系统管理员,了解要在 SAP_User_Config 监视列表中包含哪些 SAP 用户、角色和配置文件。
参数:
| 名称 | 说明 | 默认值 |
|---|---|---|
| SearchForTags(可选) | 当 SearchForTags 等于 All Tags 时,将返回所有用户及其标记。 否则仅返回具有 SearchForTags 中指定的标记、SAP 角色或 SAP 配置文件的用户。 TagsIntersect 显示找到的标记,IntersectionSize 保存找到的标记的数量。 |
dynamic('All Tags') |
| SpecialFocusTags(可选) | 返回带有 SpecialFocusTags 中指定的标记的所有用户,用 specialFocusTagged = true 标记这些用户。 |
Do not return any in-focus users |
| Source | 字段 | 说明 | 备注 |
|---|---|---|---|
| SAP_User_Config 监视列表 | SearchKey | 搜索关键字 | |
| SAP_User_Config 监视列表 | SAPUser | SAP 用户 | OSS、DDIC |
| SAP_User_Config 监视列表 | 标记 | 分配给用户的标记字符串 | RunObsoleteProgOK |
| SAP_User_Config 监视列表 | 用户的 Microsoft Entra 对象 ID | Microsoft Entra 对象 ID | |
| SAP_User_Config 监视列表 | 用户标识符 | AD 用户标识符 | |
| SAP_User_Config 监视列表 | 用户本地 SID | ||
| SAP_User_Config 监视列表 | 用户主体名称 | ||
| SAP_User_Config 监视列表 | TagsList | 分配给用户的标记列表 | ChangeUserMasterDataOK;RunObsoleteProgOK |
| 逻辑 | TagsIntersect | 与 SearchForTags 匹配的一组标记 | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| 逻辑 | SpecialFocusTagged | 特殊焦点指示 | True、False |
| 逻辑 | IntersectionSize | 相交标记的数目 |
SAPUsersHeader
SAPUsersHeader 函数旨在提供 SAP 用户的概要视图。 它使用从 SAP 用户主数据表和 SAP 审核日志中的最近活动中提取的数据来收集电子邮件和 IP 地址。 然后返回最后已知的电子邮件和 IP 地址以及主要电子邮件和 IP 地址。 参数:SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
- SelectedSystems
- 可选
- 默认值:“所有系统”
- 用于筛选要查看的特定 SAP 系统。
- SelectedSystemRoles
- 可选
- 默认值:“所有系统角色”
- 确定要查看的 SAP 系统的角色(如“SAP - 系统”监视列表中所定义)。
- SelectedUsers
- 可选
- 默认值:“所有用户”
- 可以输入用户列表。
- SelectedUser
- 可选
- 默认值:“所有用户”
- 仅接受单个用户
附加说明
出于性能考虑,仅考虑几天的审核活动。 有关用户活动的完整历史记录,请针对 SAPAuditLog 函数运行自定义 KQL 查询。
| 源 | 字段 | 说明 | 说明 |
|---|---|---|---|
| 用户 | SAP 用户 | ||
| SAP 表 ADR6 和 USR21 | 电子邮件 | 从用户的主数据中获取 | OSS、DDIC |
| SAP 表 USR02 | UserType | 分配给用户的标记字符串 | RunObsoleteProgOK |
| SAP 表 USR02 | 时区 | Microsoft Entra 对象 ID | |
| SAP 表 USR02 | LockedStatus | AD 用户标识符 | |
| SAP 审核日志 | LastSeen | 时间戳 | 为用户观察到的最后一个审核事件 |
| SAP 审核日志 | LastSeenDaysAgo | 自 LastSeen 以来经过的天数 | |
| SAP 审核日志 | PrimaryIP | 最常用的 IP 地址 | ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP 审核日志 | LastKnownIP | 最近使用的 IP 地址 | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP 审核日志 | PrimaryEmail | 最常用的电子邮件地址 | True、False |
| SAP 审核日志 | KnownIPs | 已知 IP 地址列表 | 按最频繁的优先排序 |
| SAP 审核日志 | KnownEmails | 已知电子邮件地址列表 | 按最频繁的优先排序 |
| 客户端 | SAP 客户端 ID | ||
| SystemID | SAP 系统 ID | ||
| SystemRole | SAP 系统的角色 | 生产、UAT | |
| SystemUsage | SAP 系统的主要用法 | ERP、CRM |
数据连接器代理生成的日志
此部分介绍适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案数据连接器中提供的 SAP 日志,包括 Microsoft Sentinel 中的表名、日志用途和详细的日志架构。 架构字段说明基于相关 SAP 文档 中的字段说明。
为获得最佳结果,请使用下面列出的 Microsoft Sentinel 函数来可视化、访问和查询数据。
- ABAP 应用程序日志
- ABAP 更改文档日志
- ABAP CR 日志
- ABAP DB 表数据日志(预览版)
- ABAP 网关日志(预览版)
- ABAP ICM 日志(预览版)
- ABAP 作业日志
- ABAP 安全审核日志
- ABAP Spool 日志
- APAB Spool 输出日志
- ABAP SysLog
- ABAP 工作流日志
- ABAP WorkProcess 日志
- HANA DB 审核线索
- JAVA 文件
- SAP 检测信号日志
ABAP 应用程序日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPAppLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:记录应用程序执行的进度,以便以后根据需要重新构造。
使用基于标准 SAP 表和 XBP 接口标准服务的 RFC 提供。 此日志是按客户端生成的。
ABAPAppLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| AppLogDateTime | 应用程序日志日期时间 |
| CallbackProgram | 回调程序 |
| CallbackRoutine | 回调例程 |
| CallbackType | 回调类型 |
| ClientID | ABAP 客户端 ID (MANDT) |
| ContextDDIC | 上下文 DDIC 结构 |
| ExternalID | 外部日志 ID |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| InternalMessageSerial | 应用程序日志消息串行 |
| LevelofDetail | 详细级别 |
| LogHandle | 应用程序日志句柄 |
| LogNumber | 日志编号 |
| MessageClass | Message 类 |
| MessageNumber | 消息号 |
| MessageText | 消息正文 |
| MessageType | 消息类型 |
| 对象 | 应用程序日志对象 |
| OperationMode | 操作模式 |
| ProblemClass | 问题类 |
| programName | 程序名 |
| SortCriterion | 排序条件 |
| StandardText | 标准文本 |
| SubObject | 应用程序日志子对象 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TransactionCode | 事务代码 |
| 用户 | 用户 |
| UserChange | 用户更改 |
ABAP 更改文档日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPChangeDocsLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:记录:
对业务数据对象的 SAP NetWeaver 应用程序服务器 (AS) ABAP 日志更改于更改文档中。
SAP 系统中的其他实体,例如用户数据、角色、地址。
使用基于标准 SAP 表的 RFC 提供。 此日志是按客户端生成的。
ABAPChangeDocsLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| ActualChangeNum | 实际更改编号 |
| ChangedTableKey | 已更改表键 |
| ChangeNumber | 更改编号 |
| ClientID | ABAP 客户端 ID (MANDT) |
| CreatedfromPlannedChange | 从计划的更改创建,采用以下语法:(‘X’ , ‘ ‘) |
| CurrencyKeyNew | 货币键:新值 |
| CurrencyKeyOld | 货币键:旧值 |
| FieldName | 字段名称 |
| FlagText | 标志文本 |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| 语言 | 语言 |
| ObjectClass | 对象类,如 BELEG、BPAR、PFCG、IDENTITY |
| ObjectID | 对象 ID |
| PlannedChangeNum | 计划的更改编号 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TableName | 表名称 |
| TransactionCode | 事务代码 |
| TypeofChange_Header | 更改标头类型,包括:U = 更改;I = 插入;E = 删除单个文档;D = 删除;J = 插入单个文档 |
| TypeofChange_Item | 更改项目类型,包括:U = 更改;I = 插入;E = 删除单个文档;D = 删除;J = 插入单个文档 |
| UOMNew | 度量单位:新值 |
| UOMOld | 度量单位:旧值 |
| 用户 | 用户 |
| ValueNew | 字段内容:新值 |
| ValueOld | 字段内容:旧值 |
| 版本 | 版本 |
ABAP CR 日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPCRLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:包括更改和传输系统 (CTS) 日志,包括进行了更改的 Directory 对象和自定义项。
使用基于标准表和标准 SAP 服务的 RFC 提供。 此日志使用所有客户端中的数据生成。
注意
除了应用程序日志记录、更改文档和表记录外,使用更改和传输系统对生产系统进行的所有更改都记录在 CTS 和 TMS 日志中。
ABAPCRLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| 类别 | 类别(工作台,自定义) |
| ClientID | ABAP 客户端 ID (MANDT) |
| 说明 | 说明 |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| ObjectName | 对象名称 |
| ObjectType | 对象类型 |
| “所有者” | “所有者” |
| 请求 | 更改请求 |
| 状态 | 状态 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TableKey | 表键 |
| TableName | 表名称 |
| 视图名 | 视图名称 |
ABAP DB 表数据日志(预览版)
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件。
用于查询以下日志的 Microsoft Sentinel 函数:SAPTableDataLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:为那些对审核至关重要或容易受到审核的表提供日志记录。
可通过将 RFC 与自定义服务一起使用获得。 此日志使用所有客户端中的数据生成。
ABAPTableDataLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| DBLogID | DB 日志 ID |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| 语言 | 语言 |
| LogKey | 日志键 |
| NewValue | 字段新值 |
| OldValue | 字段旧值 |
| OperationTypeSQL | 操作类型,Insert、Update、Delete |
| 节目 | 程序名 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TableField | 表字段 |
| TableName | 表名称 |
| TransactionCode | 事务代码 |
| UserName | 用户 |
| VersionNumber | 版本号 |
ABAP 网关日志(预览版)
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件。
用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_GW
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:监视网关活动。 可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
ABAPOS_GW_CL 日志架构
| 字段 | 说明 |
|---|---|
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| MessageText | 消息正文 |
| 严重性 | 消息严重性:Debug、Info、Warning、Error |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
ABAP ICM 日志(预览版)
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件。
用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_ICM
“相关 SAP 文档”:SAP 帮助门户
“日志目的”:记录入站和出站请求,并编译 HTTP 请求的统计信息。
可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
ABAPOS_ICM_CL 日志架构
| 字段 | 说明 |
|---|---|
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| MessageText | 消息正文 |
| 严重性 | 消息严重性,包括:Debug、Info、Warning、Error |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
ABAP 作业日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPJobLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:合并所有后台处理作业日志 (SM37)。
使用基于标准 SAP 表和 XBP 接口标准服务的 RFC 可用。 此日志使用所有客户端中的数据生成。
ABAPJobLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| ABAPProgram | ABAP 程序 |
| BgdEventParameters | 后台事件参数 |
| BgdProcessingEvent | 后台处理事件 |
| ClientID | ABAP 客户端 ID (MANDT) |
| DynproNumber | Dynpro 编号 |
| GUIStatus | GUI 状态 |
| 主机 | 主机 |
| 实例 | ABAP 实例 (HOST_SYSID_SYSNR),采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| JobClassification | 作业分类 |
| JobCount | 作业计数 |
| JobGroup | 作业组 |
| JobName | 作业名称 |
| JobPriority | 作业优先级 |
| MessageClass | Message 类 |
| MessageNumber | 消息号 |
| MessageText | 消息正文 |
| MessageType | 消息类型 |
| ReleaseUser | 作业发布用户 |
| SchedulingDateTime | 计划日期时间 |
| StartDateTime | 开始日期时间 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TargetServer | 目标服务器 |
| 用户 | 用户 |
| UserReleaseInstance | ABAP 实例 - 用户发布 |
| WorkProcessID | 工作进程 ID |
| WorkProcessNumber | 工作进程编号 |
ABAP 安全审核日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPAuditLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:记录以下数据:
- SAP 系统环境的安全相关更改,例如主用户记录的更改
- 提供更高级别数据的信息,例如成功和失败的登录尝试
- 启用一系列事件重建的信息,例如成功或失败的事务启动
可通过使用 RFC XAL/SAL 接口获得。 版本 Basis 7.50 及更高版本支持此功能。 此日志使用所有客户端中的数据生成。
ABAPAuditLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| ABAPProgramName | 程序名,仅 SAL |
| AlertSeverity | 警报严重性 |
| AlertSeverityText | 警报严重性文本,仅 SAL |
| AlertValue | 警报值 |
| AuditClassID | 审核类 ID,仅 SAL |
| ClientID | ABAP 客户端 ID (MANDT) |
| Computer | 用户计算机,仅 SAL |
| 电子邮件 | 用户电子邮件 |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| MessageClass | Message 类 |
| MessageContainerID | 消息容器 ID,仅 XAL |
| 消息 ID | 消息 ID,如 ‘AU1’,’AU2’… |
| MessageText | 消息正文 |
| MonitoringObjectName | MTE 监视器对象名称,仅 XAL |
| MonitorShortName | MTE 监视器短名称,仅 XAL |
| SAPProcesType | 系统日志: SAP 进程类型,仅 SAL |
| B* - 后台处理 | |
| D* - 对话处理 | |
| U* - 更新任务 | |
| SAPWPName | 系统日志:工作进程编号,仅 SAL |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TerminalIPv6 | 用户计算机 IP,仅 SAL |
| TransactionCode | 事务代码,仅 SAL |
| 用户 | 用户 |
| Variable1 | 消息变量 1 |
| Variable2 | 消息变量 2 |
| Variable3 | 消息变量 3 |
| Variable4 | 消息变量 4 |
ABAP Spool 日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPSpoolLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:用作 SAP 打印的主日志,包含 spool 请求的历史记录。 (SP01)。
使用基于标准 SAP 表的 RFC 提供。 此日志使用所有客户端中的数据生成。
ABAPSpoolLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| ArchiveStatus | 存档状态 |
| ArchiveType | 存档类型 |
| ArchivingDevice | 存档设备 |
| AutoRereoute | 自动重新路由 |
| ClientID | ABAP 客户端 ID (MANDT) |
| CountryKey | 国家/地区键 |
| DeleteSpoolRequestAuto | 自动删除 spool 请求 |
| DelFlag | 删除标志 |
| 部门 | 部门 |
| DocumentType | 文档类型 |
| ExternalMode | 外部模式 |
| FormatType | 格式类型 |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| NumofCopies | 份数 |
| OutputDevice | 输出设备 |
| PrinterLongName | 打印机长名称 |
| PrintImmediately | 立即打印 |
| PrintOSCoverPage | 打印 OSCover 页 |
| PrintSAPCoverPage | 打印 SAPCover 页 |
| 优先级 | 优先级 |
| RecipientofSpoolRequest | spool 请求的收件人 |
| SpoolErrorStatus | Spool 错误状态 |
| SpoolRequestCompleted | spool 请求已完成 |
| SpoolRequestisALogForAnotherRequest | Spool 请求是另一个请求的日志 |
| SpoolRequestName | spool 请求名称 |
| SpoolRequestNumber | spool 请求编号 |
| SpoolRequestSuffix1 | Spool 请求后缀 1 |
| SpoolRequestSuffix2 | Spool 请求后缀 2 |
| SpoolRequestTitle | spool 请求标题 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TelecommunicationsPartner | 电信合作伙伴 |
| TelecommunicationsPartnerE | 电信合作伙伴 E |
| TemSeGeneralcounter | Temse 计数器 |
| TemseNumAddProtectionRule | Temse 编号添加保护规则 |
| TemseNumChangeProtectionRule | Temse 编号更改保护规则 |
| TemseNumDeleteProtectionRule | Temse 编号删除保护规则 |
| TemSeObjectName | Temse 对象名称 |
| TemSeObjectPart | TemSe 对象部分 |
| TemseReadProtectionRule | Temse 读取保护规则 |
| 用户 | 用户 |
| ValueAuthCheck | 值身份验证检查 |
APAB Spool 输出日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPSpoolOutputLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:用作 SAP 打印的主日志,包含 spool 输出请求的历史记录。 (SP02)。
可通过将 RFC 与基于标准表的自定义服务一起使用获得。 此日志使用所有客户端中的数据生成。
ABAPSpoolOutputLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| AppServer | 应用程序服务器 |
| ClientID | ABAP 客户端 ID (MANDT) |
| 注释 | 注释 |
| CopyCount | 复制计数 |
| CopyCounter | 复制计数器 |
| 部门 | 部门 |
| ErrorSpoolRequestNumber | 错误请求编号 |
| FormatType | 格式类型 |
| 主机 | 主机 |
| HostName | 主机名 |
| HostSpoolerID | 主机 spooler ID |
| 实例 | ABAP 实例 |
| LastPage | 最后一页 |
| NumofCopies | 份数 |
| OutputDevice | 输出设备 |
| OutputRequestNumber | 输出请求编号 |
| OutputRequestStatus | 获取请求状态 |
| PhysicalFormatType | 物理格式类型 |
| PrinterLongName | 打印机长名称 |
| PrintRequestSize | 打印请求大小 |
| 优先级 | 优先级 |
| ReasonforOutputRequest | 输出请求的原因 |
| RecipientofSpoolRequest | spool 请求的收件人 |
| SpoolNumberofOutputReqProcessed | 输出请求数 - 已处理 |
| SpoolNumberofOutputReqWithErrors | 输出请求数 - 有错误 |
| SpoolNumberofOutputReqWithProblems | 输出请求数 - 有问题 |
| SpoolRequestNumber | spool 请求编号 |
| StartPage | 起始页 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TelecommunicationsPartner | 电信合作伙伴 |
| TemSeGeneralcounter | Temse 计数器 |
| Title | Title |
| 用户 | 用户 |
ABAP Syslog
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件。
用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_Syslog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:记录所有 SAP NetWeaver 应用程序服务器 (SAP NetWeaver AS) ABAP 系统错误、警告、由于已知用户的登录尝试失败而锁定的用户锁、进程消息。
可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
ABAPOS_Syslog_CL 日志架构
| 字段 | 说明 |
|---|---|
| ClientID | ABAP 客户端 ID (MANDT) |
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| MessageNumber | 消息号 |
| MessageText | 消息正文 |
| 严重性 | 消息严重性,以下值之一:Debug、Info、Warning、Error |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TransacationCode | 事务代码 |
| 类型 | SAP 进程类型 |
| 用户 | 用户 |
ABAP 工作流日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPWorkflowLog
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:使用 SAP Business Workflow (WebFlow Engine),可以定义尚未映射到 SAP 系统中的业务进程。
例如,未映射的业务进程可能是简单的发布或审批过程,或者是更复杂的业务进程,如创建基本材料,然后协调关联的部门。
使用基于标准 SAP 表的 RFC 提供。 此日志是按客户端生成的。
ABAPWorkflowLog_CL 日志架构
| 字段 | 说明 |
|---|---|
| ActualAgent | 实际代理 |
| 地址 | 地址 |
| ApplicationArea | 应用程序区域 |
| CallbackFunction | 回调函数 |
| ClientID | ABAP 客户端 ID (MANDT) |
| CreationDateTime | 创建日期时间 |
| 创建者 | 创建者 |
| CreatorAddress | 创建者地址 |
| ErrorType | 错误类型 |
| ExceptionforMethod | 方法的异常 |
| 主机 | 主机 |
| 实例 | ABAP 实例 (HOST_SYSID_SYSNR),采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| 语言 | 语言 |
| LogCounter | 日志计数器 |
| MessageNumber | 消息号 |
| MessageType | 消息类型 |
| MethodUser | 方法用户 |
| 优先级 | 优先级 |
| SimpleContainer | 简单容器,打包为工作项键值实体列表 |
| 状态 | 状态 |
| SuperWI | 超级 WI |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| TaskID | 任务 ID |
| TasksClassification | 任务分类 |
| TaskText | 任务文本 |
| TopTaskID | 最高任务 ID |
| UserCreated | 创建者用户 |
| WIText | 工作项文本 |
| WIType | 工作项类型 |
| WorkflowAction | Workflow 操作 |
| WorkItemID | 工作项 ID |
ABAP WorkProcess 日志
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件。
用于查询以下日志的 Microsoft Sentinel 函数:SAPOS_WP
“相关 SAP 文档”:SAP 帮助门户
“日志用途”:合并所有工作进程日志。 (默认:
dev_*)。可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
ABAPOS_WP_CL 日志架构
| 字段 | 说明 |
|---|---|
| 主机 | 主机 |
| 实例 | ABAP 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| MessageText | 消息正文 |
| 严重性 | 消息严重性:Debug、Info、Warning、Error |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| WPNumber | 工作进程编号 |
HANA DB 审核线索
若要将此日志发送到 Microsoft Sentinel,必须部署 Microsoft 管理代理以从运行 HANA DB 的计算机收集 Syslog 数据。
用于查询以下日志的 Microsoft Sentinel 函数:SAPSyslog
“日志用途”:记录 SAP HANA 数据库中的用户操作或尝试的操作。 例如,能够实现记录和监视对敏感数据的读取访问。
可通过 Syslog 的 Sentinel Linux 代理获得。 此日志使用所有客户端中的数据生成。
Syslog 日志架构
| 字段 | 说明 |
|---|---|
| Computer | 主机名 |
| HostIP | 主机 IP |
| HostName | 主机名 |
| ProcessID | 进程 ID |
| ProcessName | 进程名称:HDB* |
| SeverityLevel | 警报 |
| SourceSystem | 源系统 OS,Linux |
| SyslogMessage | 消息,未分析的审核线索消息 |
JAVA 文件
若要将此日志发送到 Microsoft Sentinel,必须手动将其添加到 systemconfig.ini 文件。
用于查询以下日志的 Microsoft Sentinel 函数:SAPJAVAFilesLogs
“相关 SAP 文档”:常规 | Java 安全审核日志
“日志用途”:合并所有基于 Java 文件的日志,包括安全审核日志和系统(群集和服务器进程)、性能和网关日志。 还包括开发人员跟踪和默认跟踪日志。
可通过 SAP 控制 Web 服务获得。 此日志使用所有客户端中的数据生成。
JavaFilesLogsCL 日志架构
| 字段 | 说明 |
|---|---|
| 应用程序 | Java 应用程序 |
| ClientID | 客户端 ID |
| CSNComponent | CSN 组件,例如 BC-XI-IBD |
| DCComponent | DC 组件,例如 com.sap.xi.util.misc |
| DSRCounter | DSR 计数器 |
| DSRRootContentID | DSR 上下文 GUID |
| DSRTransaction | DSR 事务 GUID |
| 主机 | 主机 |
| 实例 | Java 实例,采用以下语法:<HOST>_<SYSID>_<SYSNR> |
| 位置 | Java 类 |
| LogName | Java logName,例如:Available、defaulttrace、dev*、security 等 |
| MessageText | 消息正文 |
| MNo | 消息号 |
| Pid | 进程 ID |
| 节目 | 程序名 |
| 会话 | 会话 |
| 严重性 | 消息严重性,包括:Debug、Info、Warning、Error |
| 解决方案 | 解决方案 |
| SystemID | 系统 ID |
| SystemNumber | 系统编号 |
| ThreadName | 线程名 |
| 引发 | 引发异常 |
| TimeZone | 时区 |
| 用户 | 用户 |
SAP 检测信号日志
用于查询以下日志的 Microsoft Sentinel 函数:SAPConnectorHealth
日志用途:提供有关代理与不同 SAP 系统之间的连接性的检测信号和其他运行状况信息。
自动为适用于 SAP 的 Microsoft Sentinel 连接器的任何代理创建。
SAP_HeartBeat_CL 日志架构
| 字段 | 说明 |
|---|---|
| TimeGenerated | 日志发布事件的时间 |
| agent_id_s | 代理配置中的代理 ID(自动生成) |
| agent_ver_s | 代理版本 |
| host_s | 代理的主机名 |
| system_id_s | Netweaver ABAP 系统 ID/ Netweaver SAPControl 主机(预览版)/ Java SAPControl 主机(预览版) |
| push_timestamp_d | 提取操作的时间戳,具体取决于代理的时区 |
| agent_timezone_s | 代理的时区 |
直接从 SAP 系统检索的表
本部分列出了直接从 SAP 系统检索并按原样引入 Microsoft Sentinel 的数据表。
若要将这些表中的数据引入 Microsoft Sentinel,请在 systemconfig.ini 文件中配置相关设置。 有关详细信息,请参阅配置用户主数据收集。
从这些表中检索的数据提供了授权结构、组成员身份和用户配置文件的清晰视图。 还可以通过这些数据跟踪授权的授予和撤销过程,并识别和控制与这些过程相关的风险。
下面列出了启用识别特权用户、将用户映射到角色、组和授权的功能所需的表。
为获得最佳结果,请使用下面的“Sentinel 函数名称”列中的名称来引用这些表:
| 表名 | 表说明 | Sentinel 函数名称 |
|---|---|---|
| USR01 | 用户主记录(运行时数据) | SAP_USR01 |
| USR02 | 登录数据(内核端使用) | SAP_USR02 |
| UST04 | 用户主数据 将用户映射到配置文件 |
SAP_UST04 |
| AGR_USERS | 为用户分配角色 | SAP_AGR_USERS |
| AGR_1251 | 活动组的授权数据 | SAP_AGR_1251 |
| USGRP_USER | 将用户分配到用户组 | SAP_USGRP_USER |
| USR21 | 用户名/地址密钥分配 | SAP_USR21 |
| ADR6 | 电子邮件地址(业务地址服务) | SAP_ADR6 |
| USRSTAMP | 对用户进行的所有更改的时间戳 | SAP_USRSTAMP |
| ADCP | 人员/地址分配(业务地址服务) | SAP_ADCP |
| USR05 | 用户主参数 ID | SAP_USR05 |
| AGR_PROF | 角色的配置文件名称 | SAP_AGR_PROF |
| AGR_FLAGS | 角色属性 | SAP_AGR_FLAGS |
| DEVACCESS | 开发用户的表 | SAP_DEVACCESS |
| AGR_DEFINE | 角色定义 | SAP_AGR_DEFINE |
| AGR_AGRS | 复合角色中的角色 | SAP_AGR_AGRS |
| PAHI | 系统、数据库和 SAP 参数的历史记录 | SAP_PAHI |
| SNCSYSACL(预览版) | SNC 访问控制列表 (ACL):系统 | SAP_SNCSYSACL |
| USRACL(预览版) | SNC 访问控制列表 (ACL):用户 | SAP_USRACL |
后续步骤
有关详细信息,请参阅: