Shromažďování protokolů auditu SAP HANA v Microsoft Sentinelu
Tento článek vysvětluje, jak shromažďovat protokoly auditu z databáze SAP HANA.
Obsah v tomto článku je určený pro týmy zabezpečení, infrastruktury a SAP BASIS .
Důležité
Podpora SAP HANA pro Microsoft Sentinel je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Poznámka:
Tento článek je relevantní jenom pro agenta datového konektoru a není relevantní pro řešení bez agentů SAP (limited Preview).
Požadavky
Protokoly SAP HANA se odesílají přes Syslog. Ujistěte se, že je agent služby Azure Monitor nakonfigurovaný tak, aby shromažďoval soubory Syslog. Další informace najdete v tématu Ingestování zpráv syslogu a CEF do Služby Microsoft Sentinel pomocí agenta služby Azure Monitor.
Shromažďování protokolů auditu SAP HANA
Ujistěte se, že je záznam protokolu auditu SAP HANA nakonfigurovaný tak, aby používal Syslog, jak je popsáno v 0002624117 SAP Note, který je přístupný z webu podpory SAP Launchpad. Další informace naleznete v tématu:
Zkontrolujte, jestli soubory Syslog operačního systému neobsahují všechny relevantní události databáze HANA.
Přihlaste se k databázovému operačnímu systému HANA jako uživatel s oprávněními sudo.
Nainstalujte na počítač agenta a ověřte, že je počítač připojený. Další informace najdete v tématu Instalace a správa agenta služby Azure Monitor.
Nakonfigurujte agenta tak, aby shromažďovali data Syslogu. Další informace najdete v tématu Shromažďování událostí syslogu pomocí agenta služby Azure Monitor.
Tip
Vzhledem k tomu, že zařízení, ve kterých se ukládají databázové události HANA, se můžou měnit mezi různými distribucemi, doporučujeme přidat všechna zařízení. Zkontrolujte je v protokolech Syslogu a odeberte všechny, které nejsou relevantní.
Ověření konfigurace
Pomocí následujících kroků v Microsoft Sentinelu i v databázi SAP HANA ověřte, že je váš systém nakonfigurovaný podle očekávání.
Microsoft Sentinel
Na stránce Protokoly microsoft Sentinelu zkontrolujte, jestli se v přijatých protokolech teď zobrazují události databáze HANA. Spusťte například následující dotaz:
//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];
let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')
SAP HANA
V databázi SAP HANA zkontrolujte nakonfigurované zásady auditu. Další informace o požadovanýchpříkazch 3016478 ch
Přidání analytických pravidel pro SAP HANA v Microsoft Sentinelu
Pomocí následujících předdefinovaných analytických pravidel můžete, aby Služba Microsoft Sentinel začala spouštět upozornění na související aktivitu SAP HANA:
- SAP – (PREVIEW) HANA DB – Přiřazení autorizací pro správce
- SAP – (PREVIEW) HANA DB –Audit Trail Policy Changes
- SAP – (PREVIEW) HANA DB – Deaktivace záznamu auditu
- SAP – (PREVIEW) HANA DB – Akce správy uživatelů
Další informace najdete v tématu Řešení Microsoft Sentinel pro aplikace SAP: referenční informace k obsahu zabezpečení.
Související obsah
Další informace o řešení Microsoft Sentinel pro aplikace SAP: