Microsoft Sentinel-Lösung für SAP-Anwendungen – Funktionsreferenz
In diesem Artikel wird eine Auswahl von Funktionen beschrieben, die in Ihrem Arbeitsbereich verfügbar sind, nachdem Sie die Microsoft Sentinel-Lösung für SAP-Anwendungen installiert haben. Entdecken Sie weitere Funktionen, indem Sie in Microsoft Sentinel surfen und den Funktionscode laden.
Suchen Sie Funktionen wie folgt:
- In der Azure-Portal, auf der Seite "Allgemeine > Protokolle" auf der Registerkarte "Funktionen" und unter "Arbeitsbereichsfunktionen" aufgeführt.
- Im Defender-Portal befindet sich auf der Seite "Untersuchung und Reaktion > erweiterte Suche " auf der Registerkarte "Funktionen " und unter "Sentinel-Arbeitsbereichsfunktionen" aufgeführt.
Inhalte in diesem Artikel sind für Ihre Sicherheitsteams vorgesehen.
Verwenden von Funktionen in Ihren Abfragen anstelle von zugrunde liegenden Protokollen oder Tabellen
Es wird dringend empfohlen , die in diesem Artikel aufgeführten Funktionen nach Möglichkeit als Themen ihrer Analyse anstelle der zugrunde liegenden Protokolle oder Tabellen zu verwenden.
Diese Funktionen sollen als Prinzipalbenutzeroberfläche für die Daten dienen. Sie bilden die Grundlage für alle integrierten Analyseregeln und Arbeitsmappen, die Ihnen standardmäßig zur Verfügung stehen. Durch die Verwendung von Funktionen können Änderungen an der Dateninfrastruktur unterhalb der Funktionen vorgenommen werden, ohne dass vom Benutzer erstellte Inhalte abgebrochen werden.
SAPUsersAssignments
Die Funktion SAPUsersAssignments sammelt Daten aus mehreren SAP-Datenquellen und erstellt eine benutzerzentrierte Ansicht der aktuellen Benutzermasterdaten, einschließlich der Rollen und Profile, die derzeit zugewiesen sind.
Diese Funktion fasst die Zuweisungen von Benutzern zu Rollen und Profilen zusammen und gibt die folgenden Daten zurück:
| Feld | BESCHREIBUNG | Datenquelle/Hinweise |
|---|---|---|
| Benutzer | ID des SAP-Benutzers | Nur SAL |
| SMTP-Adresse | USR21 (SMTP_ADDR) | |
| UserType | Benutzertyp | USR02 (USTYP) |
| Zeitzone | Zeitzone | USR02 (TZONE) |
| LockedStatus | Sperrstatus | USR02 (UFLAG) |
| LastSeenDate | Zuletzt gesehen (Datum) | USR02 (TRDAT) |
| LastSeenTime | Zuletzt gesehen (Zeit) | USR02 (LTIME) |
| UserGroupAuth | Benutzergruppe in der Benutzermasterwartung | USR02 (CLASS) |
| Profiles | Gruppe von Profilen (maximale Standardgröße: 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Gruppe direkt zugewiesener Rollen (maximale Standardgröße: 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Gruppe indirekt zugewiesener Rollen (maximale Standardgröße: 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Client | Client-ID | |
| SystemID | System-ID | Wie im Connector definiert |
SAPUsersGetPrivileged
Die Funktion SAPUsersGetPrivileged gibt eine Liste der privilegierten Benutzer pro Client und System-ID zurück.
Benutzer gelten als privilegierte Benutzer, wenn sie einer der folgenden Beschreibungen entsprechen:
- Sie sind in der SAP - Privileged Users Watchlist aufgeführt.
- Sie werden einem profil zugewiesen, das in SAP aufgeführt ist – Watchlist vertraulicher Profile
- Sie werden einer rolle hinzugefügt, die in SAP aufgeführt ist – Watchlist vertraulicher Rollen
Parameter:
| Name | Optional/erforderlich | Default | Beschreibung |
|---|---|---|---|
| TimeAgo | Optional | Sieben Tage | Bestimmt, dass die Funktion Benutzermasterdaten aus der vom TimeAgo Wert definierten Zeit bis zur durch den now() Wert definierten Zeit sucht. |
Die Funktion SAPUsersGetPrivileged gibt die folgenden Daten zurück:
| Feld | BESCHREIBUNG |
|---|---|
| Benutzer | ID des SAP-Benutzers |
| Client | Client-ID |
| SystemID | System-ID |
SAPUsersAuthorizations
Die Funktion SAPUsersAuthorizations vereint Daten aus mehreren Tabellen, um eine benutzerzentrierte Ansicht der aktuellen Rollen und zugewiesenen Autorisierungen zu erstellen. Nur Benutzer mit aktiven Rollen- und Autorisierungszuweisungen werden zurückgegeben.
Parameter:
| Name | Optional/erforderlich | Default | Beschreibung |
|---|---|---|---|
| TimeAgo | Optional | Sieben Tage | Bestimmt, dass die Funktion Benutzermasterdaten aus der vom TimeAgo Wert definierten Zeit bis zur durch den now() Wert definierten Zeit sucht. |
Die Funktion SAPUsersAuthorizations gibt die folgenden Daten zurück:
| Feld | Beschreibung des Dataflows | Hinweise |
|---|---|---|
| Benutzer | ID des SAP-Benutzers | |
| Rollen | Gruppe von Rollen (maximale Standardgröße: 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Gruppe von Autorisierungen (maximale Standardgröße: 100) | {{AuthorizationsDeatils1},{AuthorizationsDeatils2}, ..., {AuthorizationsDeatils100}} |
| Client | Client-ID | |
| SystemID | System-ID |
SAPConnectorHealth
Die Funktion SAPConnectorHealth gibt den Status des Agents und der Konnektivität des zugrunde liegenden SAP-Systems an. Basierend auf dem Heartbeatprotokoll SAP_HeartBeat_CL und anderen Integritätsindikatoren werden die folgenden Daten zurückgegeben:
| Feld | Beschreibung |
|---|---|
| Agent | Agent-ID in der Agent-Konfiguration (automatisch generiert) |
| SystemID | SAP-System-ID |
| Status | Gesamtstatus der Konnektivität |
| Details | Konnektivitätsdetails |
| ExtendedDetails | Erweiterte Details zur Konnektivität |
| LastSeen | Zeitstempel der letzten Aktivität |
| StatusCode | Code, der den Status des Systems widerspiegelt |
SAPConnectorOverview
Die Funktion SAPConnectorOverview zeigt die Zeilenanzahl jeder SAP-Tabelle pro System-ID an. Sie gibt eine Liste von Datensätzen pro System-ID und deren generierte Zeit zurück.
Parameter:
| Name | Optional/erforderlich | Default | Beschreibung |
|---|---|---|---|
| TimeAgo | Optional | Sieben Tage | Bestimmt, dass die Funktion Benutzermasterdaten aus der vom TimeAgo Wert definierten Zeit bis zur durch den now() Wert definierten Zeit sucht. |
Die SAPConnectorOverview-Funktion gibt die folgenden Daten zurück:
| Feld | BESCHREIBUNG |
|---|---|
| TimeGenerated | Ein datetime-Wert des Zeitstempels der Datensatzgenerierung |
| SystemID_s | Eine Zeichenfolge, die die SAP-System-ID darstellt |
Verwenden Sie die folgende Kusto-Abfrage, um eine tägliche Trendanalyse durchzuführen:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Die Funktion SAPUsersEmail ermöglicht eine leistungsorientierte Suche nach der E-Mail-Adresse eines SAP-Benutzers pro SAP-System und Client, die normalerweise für die Zuordnung zu einem Active Directory-Konto verwendet wird.
Die SAPUsersEmail-Funktion verwendet Daten, die aus SAP-Tabellen USR21 (Benutzername/Adressschlüsselzuweisung) und ADR6 (E-Mail-Adressen) extrahiert wurden, um nach einer E-Mail-Adresse zu suchen. Falls keine E-Mail-Adresse gefunden wird, wird stattdessen die Benutzer-ID zurückgegeben.
Dieses Verhalten stellt sicher, dass SAP-Dienstkonten wie DDIC, die häufig nicht mit einer E-Mail-Adresse verknüpft sind, als Pseudo-AD-Konten protokolliert werden. Dies eröffnet auch einige UEBA-Features, die bei der Untersuchung von Vorfällen und Jagdaktivitäten helfen.
Die SAPUsersEmail-Funktion gibt die folgenden Daten zurück:
| Feld | BESCHREIBUNG |
|---|---|
| ClientID | Die SAP-Client-ID |
| SystemID | Die SAP-System-ID |
| Benutzer | Die SAP-Benutzer-ID |
| Die E-Mail-Adresse des SAP-Benutzers |
SAPSystems
Die SAPSystems-Funktion wird verwendet, um die systemspezifische Konfiguration mithilfe der SAP - Systems Watchlist zentral darzustellen.
Parameter:
| Name | Optional/erforderlich | Default | Beschreibung |
|---|---|---|---|
| SelectedSystems | Optional | All Systems |
Wird verwendet, um bestimmte SAP-Systeme zu filtern |
| SelectedSystemRoles | Optional | All System Roles |
Bestimmt die Rollen der zu betrachtenden SAP-Systeme, wie in der SAP - Systems-Watchlist definiert. |
Die Funktion SAPSystems gibt die folgenden Daten zurück:
| Feld | BESCHREIBUNG | Datenquelle/Hinweise |
|---|---|---|
| SearchKey | Suchschlüssel | Indiziertes Feld für SAP-System-ID |
| SystemRole | Rolle des SAP-Systems | Produktion, UAT |
| SystemUsage | Die Hauptnutzung des SAP-Systems | ERP, CRM |
| SystemID | Die SAP-System-ID |
SAPAuditLogConfiguration
Die SAPAuditLogConfiguration-Funktion gibt die lokale Konfiguration der SAP-Überwachungsprotokollbenachrichtigungen an den Log Analytics-Arbeitsbereich zurück, der für Microsoft Sentinel aktiviert ist. Diese Konfiguration wird für SAP-Überwachungsprotokollbezogene Warnungen verwendet.
Die SAPAuditLogConfiguration-Funktion verknüpft die Daten in der SAP Dynamic Audit Log Monitor Configuration and SAP - Systems Watchlists, um eine Systemkonfiguration pro System bei einem Leistungsaufwand pro System bereitzustellen.
Parameter:
| Name | Optional/erforderlich | Default | Beschreibung |
|---|---|---|---|
| SelectedSystems | Optional | All Systems |
Wird verwendet, um bestimmte SAP-Systeme zu filtern, die betrachtet werden sollen |
| SelectedSystemRoles | Optional | All System Roles |
Bestimmt die Rollen der zu betrachtenden SAP-Systeme (wie in der SAP - Systems-Watchlist definiert). |
| SelectedSeverities | Optional | [High, Medium] |
Wird verwendet, um Ereignisse zu bestimmen, die hinsichtlich ihrer Schweregrade untersucht werden sollen. Schweregrade pro SAP-Überwachungsprotokoll-Nachrichten-ID und Systemrolle werden in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist definiert. |
| SelectedRuleTypes | Optional | All RuleTypes |
Bestimmt, welche Ereignisse für die Erkennung der Anomalien relevant sind. Regeltypen pro SAP-Überwachungsprotokollnachrichten-ID und Systemrolle werden in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist definiert. |
Die FUNKTION SAPAuditLogConfiguration gibt die folgenden Daten zurück:
| Feld | BESCHREIBUNG | Datenquelle/Hinweise |
|---|---|---|
| CategoryName | Von SAP angegebene Ereigniskategorie | Sap Dynamic Audit Log Monitor Configuration Watchlist |
| DestinationEmail | E-Mail-Adresse des zugewiesenen Teams | Sap Dynamic Audit Log Monitor Configuration Watchlist |
| DetailedDescription | Mit Markdown formatierter Text, der in Warnungen angezeigt werden soll | Sap Dynamic Audit Log Monitor Configuration Watchlist |
| Meldungs-ID | Die SAP-Überwachungsprotokollmeldungs-ID | Sap Dynamic Audit Log Monitor Configuration Watchlist |
| MessageText | Ein exemplarischer Nachrichtentext | Sap Dynamic Audit Log Monitor Configuration Watchlist |
| RolesTagsToExclude | eine SHAPES-Rolle, ein Profil oder ein Freitexttag | Sap Dynamic Audit Log Monitor Configuration Watchlist |
| RuleType | Anomalie oder deterministisch | Sap Dynamic Audit Log Monitor Configuration Watchlist |
| Taktik | Die MITRE ATTA&CK-Taktik | Sap Dynamic Audit Log Monitor Configuration Watchlist |
| TeamsChannelID | Teams-Kanal | Sap Dynamic Audit Log Monitor Configuration Watchlist |
| SystemID | Die SAP-System-ID | SAP - Systems Watchlist |
| SystemRole | Die Rolle des SAP-Systems | SAP - Systems Watchlist |
| SystemUsage | Die Hauptnutzung des SAP-Systems | SAP - Systems Watchlist |
| IsProd | Flag für Produktionssystem | SAP - Systems Watchlist |
| Severity | Der abgeleitete Schweregrad | Schweregrad pro Systemnutzung |
| Schwellenwert | Der abgeleitete Schwellenwert | Ereignisanzahl pro Systemverwendung |
| BagOfDetails | Behälter mit Details | Ein Wörterbuch mit der Ereignisdefinition |
Weitere Informationen finden Sie unter "Verfügbare Watchlists".
SAPAuditLogAnomalies
Die SAPAuditLogAnomalies-Funktion verwendet die integrierten Maschinellen Lernfunktionen von Microsoft Sentinel von Microsoft Sentinel, um anomaliele Ereignisse zu erkennen, die im SAP-Überwachungsprotokoll beobachtet wurden.
Die SAPAuditLogAnomalies-Funktion wurde für die SAP - (Experimental) Dynamic Anomaly based Audit Log Monitor Alerts Analytics-Regel entwickelt. Während das ursprüngliche Design auf aktuelle Anomalien aufmerksam macht, kann es auch helfen, historische Anomalien hervorzuheben. Weitere Informationen finden Sie unter "Beispielverwendungen".
Die FUNKTION SAPAuditLogAnomalies lernt das Segment des Verlaufs, der von den verschiedenen Eingabeparametern definiert wird, auf den folgenden Ebenen:
- Benutzer
- Netzwerkattribute
- System
- Saisonalität
- Aktivitätsstufen
Die SAPAuditLogAnomalies-Funktion bewertet dann Ereignisse, die innerhalb des letzten DetectingTime Zeitraums auftreten, entsprechend dem gelernten, Anwenden von Schwellenwerten und anderen konfigurierbaren Ausschlusskriterien, die aus der SAP-Überwachungsprotokollkonfigurationsüberwachungsliste abgerufen wurden.
Sobald ein gleitendes Fenster der Benutzeraktivität als anomalien eingestuft wird, gibt eine zweite Abfrage die gesamte Benutzeraktivität als Nachweis zurück, der die Entscheidung unterstützt.
Parameter:
| Name | Optional/erforderlich | Default | Beschreibung |
|---|---|---|---|
| LearningTime | Optional | 14 Tage | Bestimmt den Zeitbereich, der für das Modelllernen verwendet wird. |
| DetectingTime | Optional | Eine Stunde | Bestimmt die Zeitspanne, die zur Erkennung von Anomalien betrachtet werden soll. Durch Aufrufen dieser Funktion werden DetectingTime = 0h Anomalien im gesamten LearningTime Zeitbereich hervorgehoben. |
| SelectedSystems | Optional | All Systems |
Wird verwendet, um bestimmte SAP-Systeme zu filtern, die betrachtet werden sollen |
| SelectedSystemRoles | Optional | All System Roles |
Bestimmt die Rollen der zu betrachtenden SAP-Systeme, wie in der SAP - Systems-Watchlist definiert. |
| SelectedSeverities | Optional | [High, Medium] |
Wird verwendet, um Ereignisse zu bestimmen, die hinsichtlich ihrer Schweregrade untersucht werden sollen. Schweregrade pro SAP-Überwachungsprotokoll-Nachrichten-ID und Systemrolle werden in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist definiert. |
| SelectedPrefixMask | Optional | 24 | Wird verwendet, um die Subnetzmaskenebene für das Lernen und Erkennen zu bestimmen. |
| SelectedRuleTypes | Optional | AnomaliesOnly |
Bestimmt, welche Ereignisse für die Erkennung der Anomalien relevant sind. Regeltypen pro SAP-Überwachungsprotokollnachrichten-ID und Systemrolle werden in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist definiert. |
Die Funktion SAPAuditLogAnomalies gibt die folgenden Daten zurück:
| Feld | BESCHREIBUNG |
|---|---|
| Mehrere Felder aus „SAPAuditLog“ | Schlüsselfelder aus dem SAP-Überwachungsprotokoll |
| Mehrere Felder aus „SAPAuditLogConfiguration“ | Schlüsselfelder aus der Konfiguration des Microsoft Sentinel für SAP-Überwachungsprotokolls |
| DiscoveredOn | Die gerundete Stunde, in der die Anomalie beobachtet wurde |
| EventCount | Anzahl gezählter Ereignisse pro zurückgegebener Zeile |
| AnomalCount | Anzahl beobachteter Ereignisse innerhalb des relevanten gleitenden Fensters |
| MinTime | Zeit des ersten beobachteten Ereignisses |
| MaxTime | Zeit des letzten beobachteten Ereignisses |
| Bewertung | Die vom Anomaliemodell erzeugten Anomaliebewertungen |
Empfehlungen:
Wie bei jeder Machine Learning-Lösung führt die SAPAuditLogAnomalies-Funktion mit der Zeit besser aus und kann bei Bedarf angepasst werden.
Es wird empfohlen, die Größe der gelernten Datenbank auf weniger als 100 Millionen Datensätze mit den vielen verfügbaren Eingabeparametern einzuschränken.
Beispiele für die Verwendung sind:
Um nach Anomalien für Ereignisse mit hohem Schweregrad zu suchen, die innerhalb der letzten Stunde auf Produktionssystemen für Ereignistypen aufgetreten sind, die in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist als AnomaliesOnly gekennzeichnet sind, führen Sie Folgendes aus:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Um nach allen Anomalien in den letzten 14 Tagen im BIP-System zu suchen, führen Sie Folgendes aus:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Weitere Informationen finden Sie unter Integrierte SAP-Analyseregeln für die Überwachung des SAP-Überwachungsprotokolls und der Anomalieerkennung im SAP-Überwachungsprotokoll mithilfe der Microsoft Sentinel für SAP-Lösung (Blog).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend ist eine Hilfsfunktion, die Empfehlungen für die Konfiguration der Analyseregeln der SAP – Dynamische, anomaliebasierte Überwachungsprotokoll-Monitor-Warnungen (PREVIEW) bieten soll.
Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls.
SAPUsersGetVIP
Die Microsoft Sentinel-Lösung für SAP-Anwendungen verwendet ein Konzept der zentralen Benutzermarkierung und expliziter Ausschlüsse, die Ihnen helfen sollen, falsch positive Ergebnisse mit minimalem Aufwand zu senken.
Verwenden Sie die SAPUsersGetVIP-Funktion , um Benutzer vom Auslösen von Warnungen auszuschließen, indem Sie SAP-Benutzerrollen, SAP-Benutzerfunktionen oder Tags angeben, die diese Benutzer darstellen. Weitere Informationen finden Sie unter Behandeln von falsch positiven Ergebnissen in Microsoft Sentinel
Tags, die als Eingabe für die SAPUsersGetVIP-Funktion angegeben sind, schließen alle Benutzer mit einem Tag aus, das in der SAP_User_Config Watchlist aufgeführt ist. Die gleiche Funktionalität wird erweitert, um mit Wildcards zu arbeiten, sodass Sie einer Gruppe von Benutzern mit derselben Benennungssyntax ein einzelnes Tag zuweisen können.
Markieren Sie Benutzer in der SAP_User_Config-Watchlist wie folgt:
Fügen Sie jedem Benutzer in der SAP_User_Config Watchlist nach Bedarf mehrere Tags hinzu, um verschiedene Szenarien abzudecken. Jede Warnungsregel verfügt über eigene relevante Tags, falls vorhanden, und Sie können bei Bedarf benutzerdefinierte Tags hinzufügen.
Verwenden Sie ein Sternchen (*) als Platzhalter, um Benutzer mit einer bestimmten Benennungssyntaxvorlage einzuschließen.
Fügen Sie die SAPUsersGetVIP-Funktion in Ihren Analyseregeln hinzu, um die Listen der Benutzer anzufordern, die Sie definiert haben, um von Warnungen ausgeschlossen zu werden. Fügen Sie im Funktionsaufruf ein Array mit den Tags, SAP-Rollen und SAP-Profilen hinzu, die Sie ausschließen möchten.
Verwenden Sie z. B. die folgende KQL-Abfrage in Ihrer Analyseregel, um alle Benutzer auszuschließen, die mit dem RunObsoleteProgOK-Tag in der SAP_User_Config Watchlist konfiguriert sind, oder benutzer mit der Beispiel-SAP_BASIS_ADMIN_ROLE Rolle oder dem Beispiel SAP_ADMIN_PROFILE Profil.
Ersetzen Sie beim Kopieren dieses Beispielfunktionsaufrufs SAP_BASIS_ADMIN_ROLE Rolle und SAP_ADMIN_PROFILE Profil nach Bedarf durch Ihre eigenen SAP-Rollen oder Profile.
Zum Beispiel:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
Die SAPUsersGetVIP-Funktion wird häufig in deterministischen und anomalen Überwachungsprotokollüberwachungswarnungen verwendet. Ordnen Sie ein Tag einer SAP-Überwachungsprotokollnachrichten-ID zu, oder erweitern Sie die Regelvorlage auf eine benutzerdefinierte Regel, die den Anforderungen Ihrer Organisation entspricht.
Tipp
Es wird empfohlen, sich an Ihren SAP-Systemadministrator zu wenden, um zu verstehen, welche SAP-Benutzer, Rollen und Profile in Ihre SAP_User_Config Watchlist aufgenommen werden sollen.
Parameter:
| Name | Optional/erforderlich | Default | Beschreibung |
|---|---|---|---|
| SearchForTags | Optional | dynamic('All Tags') |
Wenn SearchForTags gleich All Tags, werden alle Benutzer zusammen mit ihren Tags zurückgegeben. Andernfalls werden nur Benutzer zurückgegeben, die die tags, SAP-Rollen oder SAP-Profile enthalten SearchForTags . TagsIntersect zeigt die gefundenen Tags an und IntersectionSize enthält die Anzahl der gefundenen Tags. |
| SpecialFocusTags | Optional | Do not return any in-focus users |
Gibt alle Benutzer zurück, die die in angegebenen Tags enthalten SpecialFocusTagsund mit denen specialFocusTagged = truegekennzeichnet sind. |
Die SAPUsersGetVIP-Funktion gibt die folgende Ausgabe zurück:
| Quelle | Feld | Beschreibung des Dataflows | Hinweise |
|---|---|---|---|
| Die SAP_User_Config-Watchlist | SearchKey |
Suchschlüssel | |
| Die SAP_User_Config-Watchlist | SAPUser |
Der SAP-Benutzer | OSS, DDIC |
| Die SAP_User_Config-Watchlist | Tags |
Zeichenfolge von Tags, die dem Benutzer zugewiesen sind | RunObsoleteProgOK |
| Die SAP_User_Config-Watchlist | Microsoft Entra-Objekt-ID des Benutzers | Microsoft Entra-Objekt-ID | |
| Die SAP_User_Config-Watchlist | Benutzer-ID | Azure Directory-Benutzerbezeichner | |
| Die SAP_User_Config-Watchlist | Lokale Benutzer-SID | ||
| Die SAP_User_Config-Watchlist | Benutzerprinzipalname | ||
| Die SAP_User_Config-Watchlist | TagsList |
Eine Liste der Tags, die dem Benutzer zugewiesen sind | ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logik | TagsIntersect | Eine Gruppe von Tags, die übereinstimmen SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logik | SpecialFocusTagged | Angabe des speziellen Fokus | True, False |
| Logik | IntersectionSize | Die Anzahl der überschneidenen Tags |
SAPUsersHeader
Die Funktion SAPUsersHeader bietet einen allgemeinen Überblick über den SAP-Benutzer. Es verwendet Daten, die sowohl aus den SAP-Stammdatentabellen als auch aus den letzten Aktivitäten im SAP-Überwachungsprotokoll extrahiert wurden, um E-Mail- und IP-Adressen zu erfassen. Anschließend werden die letzten bekannten E-Mail- und IP-Adressen zusammen mit primären E-Mail- und IP-Adressen zurückgegeben.
Parameter:
| Name | Optional/erforderlich | Default | Beschreibung |
|---|---|---|---|
| SelectedSystems | Optional | All Systems |
Wird verwendet, um bestimmte SAP-Systeme zu filtern, um sich anzusehen |
| SelectedSystemRoles | Optional | All System Roles |
Bestimmt die Rollen der SAP-Systeme, die untersucht werden sollen, wie in der Watchlist SAP - Systems definiert. |
| SelectedUsers | Optional | All Users |
Kann Benutzerlisten eingeben. |
| SelectedUser | Optional | All Users |
Akzeptiert nur einen einzelnen Benutzer. |
Zum Beispiel:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Tipp
Aus Leistungsgründen werden nur einige Tage der Überwachungsaktivität berücksichtigt. Führen Sie für einen vollständigen Verlauf der Benutzeraktivität eine benutzerdefinierte KQL-Abfrage für die SAPAuditLog-Funktion aus.
Die FUNKTION SAPUsersHeader gibt die folgende Ausgabe zurück:
| Quelle | Feld | Beschreibung des Dataflows | Hinweise |
|---|---|---|---|
| Benutzer | Der SAP-Benutzer | ||
| SAP-Tabellen „ADR6“ und „USR21“ | Aus den Masterdaten des Benutzers | OSS, DDIC | |
| SAP-Tabelle „USR02“ | UserType | Zeichenfolge von Tags, die dem Benutzer zugewiesen sind | RunObsoleteProgOK |
| SAP-Tabelle „USR02“ | Zeitzone | Microsoft Entra-Objekt-ID | |
| SAP-Tabelle „USR02“ | LockedStatus | Azure Directory-Benutzerbezeichner | |
| SAP-Überwachungsprotokoll | LastSeen | Zeitstempel | Letztes Überwachungsereignis, das für den Benutzer beobachtet wurde |
| SAP-Überwachungsprotokoll | LastSeenDaysAgo | Tage vergangen seit LastSeen |
|
| SAP-Überwachungsprotokoll | PrimaryIP | Am häufigsten verwendete IP-Adresse | ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP-Überwachungsprotokoll | LastKnownIP | Zuletzt verwendete IP-Adresse | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP-Überwachungsprotokoll | PrimaryEmail | Am häufigsten verwendete E-Mail-Adresse | True, False |
| SAP-Überwachungsprotokoll | KnownIPs | Liste bekannter IP-Adressen | Sortiert nach den am häufigsten zuerst sortierten |
| SAP-Überwachungsprotokoll | KnownEmails | Liste bekannter E-Mail-Adressen | Sortiert nach den am häufigsten zuerst sortierten |
| Client | Die SAP-Client-ID | ||
| SystemID | Die SAP-System-ID | ||
| SystemRole | Rolle des SAP-Systems | Produktion, UAT | |
| SystemUsage | Die Hauptnutzung des SAP-Systems | ERP, CRM |
Zugehöriger Inhalt
Weitere Informationen finden Sie unter: