Freigeben über


Microsoft Sentinel-Lösung für SAP-Anwendungen – Funktionsreferenz

In diesem Artikel wird eine Auswahl von Funktionen beschrieben, die in Ihrem Arbeitsbereich verfügbar sind, nachdem Sie eine Microsoft Sentinel-Lösung für SAP-Anwendungen installiert haben. Entdecken Sie weitere Funktionen, indem Sie in Microsoft Sentinel surfen und den Funktionscode laden.

Suchen Sie Funktionen wie folgt:

  • In der Azure-Portal, auf der Seite "Allgemeine > Protokolle" auf der Registerkarte "Funktionen" und unter "Arbeitsbereichsfunktionen" aufgeführt.
  • Im Defender-Portal befindet sich auf der Seite "Untersuchung und Reaktion > erweiterte Suche " auf der Registerkarte "Funktionen " und unter "Sentinel-Arbeitsbereichsfunktionen" aufgeführt.

Inhalte in diesem Artikel sind für Ihre Sicherheitsteams vorgesehen.

Verwenden von Funktionen in Ihren Abfragen anstelle von zugrunde liegenden Protokollen oder Tabellen

Es wird dringend empfohlen , die in diesem Artikel aufgeführten Funktionen nach Möglichkeit als Themen ihrer Analyse anstelle der zugrunde liegenden Protokolle oder Tabellen zu verwenden.

Diese Funktionen sollen als Prinzipalbenutzeroberfläche für die Daten dienen. Sie bilden die Grundlage für alle integrierten Analyseregeln und Arbeitsmappen, die Ihnen standardmäßig zur Verfügung stehen. Durch die Verwendung von Funktionen können Änderungen an der Dateninfrastruktur unterhalb der Funktionen vorgenommen werden, ohne dass vom Benutzer erstellte Inhalte abgebrochen werden.

SAPUsersAssignments

Die Funktion SAPUsersAssignments sammelt Daten aus mehreren SAP-Datenquellen und erstellt eine benutzerzentrierte Ansicht der aktuellen Benutzermasterdaten, einschließlich der Rollen und Profile, die derzeit zugewiesen sind.

Diese Funktion fasst die Zuweisungen von Benutzern zu Rollen und Profilen zusammen und gibt die folgenden Daten zurück:

Feld BESCHREIBUNG Datenquelle/Hinweise
Benutzer ID des SAP-Benutzers Nur SAL
E-Mail SMTP-Adresse USR21 (SMTP_ADDR)
UserType Benutzertyp USR02 (USTYP)
Zeitzone Zeitzone USR02 (TZONE)
LockedStatus Sperrstatus USR02 (UFLAG)
LastSeenDate Zuletzt gesehen (Datum) USR02 (TRDAT)
LastSeenTime Zuletzt gesehen (Zeit) USR02 (LTIME)
UserGroupAuth Benutzergruppe in der Benutzermasterwartung USR02 (CLASS)
Profiles Gruppe von Profilen (maximale Standardgröße: 50) ["Profile 1", "Profile 2",...,"profile 50"]
DirectRoles Gruppe direkt zugewiesener Rollen (maximale Standardgröße: 50) ["Role 1", "Role 2",...,"”"Role 50"]
ChildRoles Gruppe indirekt zugewiesener Rollen (maximale Standardgröße: 50) ["Role 1", "Role 2",...,"”"Role 50"]
Client Client-ID
SystemID System-ID Wie im Connector definiert

SAPUsersGetPrivileged

Die Funktion SAPUsersGetPrivileged gibt eine Liste der privilegierten Benutzer pro Client und System-ID zurück.

Benutzer gelten als privilegierte Benutzer, wenn sie einer der folgenden Beschreibungen entsprechen:

  • Sie sind in der SAP - Privileged Users Watchlist aufgeführt.
  • Sie werden einem profil zugewiesen, das in SAP aufgeführt ist – Watchlist vertraulicher Profile
  • Sie werden einer rolle hinzugefügt, die in SAP aufgeführt ist – Watchlist vertraulicher Rollen

Parameter:

Name Optional/erforderlich Default Beschreibung
TimeAgo Optional Sieben Tage Bestimmt, dass die Funktion Benutzermasterdaten aus der vom TimeAgo Wert definierten Zeit bis zur durch den now() Wert definierten Zeit sucht.

Die Funktion SAPUsersGetPrivileged gibt die folgenden Daten zurück:

Feld BESCHREIBUNG
Benutzer ID des SAP-Benutzers
Client Client-ID
SystemID System-ID

SAPUsersAuthorizations

Die Funktion SAPUsersAuthorizations vereint Daten aus mehreren Tabellen, um eine benutzerzentrierte Ansicht der aktuellen Rollen und zugewiesenen Autorisierungen zu erstellen. Nur Benutzer mit aktiven Rollen- und Autorisierungszuweisungen werden zurückgegeben.

Parameter:

Name Optional/erforderlich Default Beschreibung
TimeAgo Optional Sieben Tage Bestimmt, dass die Funktion Benutzermasterdaten aus der vom TimeAgo Wert definierten Zeit bis zur durch den now() Wert definierten Zeit sucht.

Die Funktion SAPUsersAuthorizations gibt die folgenden Daten zurück:

Feld Beschreibung des Dataflows Hinweise
Benutzer ID des SAP-Benutzers
Rollen Gruppe von Rollen (maximale Standardgröße: 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails Gruppe von Autorisierungen (maximale Standardgröße: 100) {{AuthorizationsDetails1},
{AuthorizationsDetails2},
...,
{AuthorizationsDetails100}}
Client Client-ID
SystemID System-ID

SAPConnectorHealth

Die Funktion SAPConnectorHealth gibt den Status des Agents und der Konnektivität des zugrunde liegenden SAP-Systems an. Basierend auf dem Heartbeatprotokoll SAP_HeartBeat_CL und anderen Integritätsindikatoren werden die folgenden Daten zurückgegeben:

Feld Beschreibung
Agent Agent-ID in der Agent-Konfiguration (automatisch generiert)
SystemID SAP-System-ID
Status Gesamtstatus der Konnektivität
Details Konnektivitätsdetails
ExtendedDetails Erweiterte Details zur Konnektivität
LastSeen Zeitstempel der letzten Aktivität
StatusCode Code, der den Status des Systems widerspiegelt

SAPConnectorOverview

Die Funktion SAPConnectorOverview zeigt die Zeilenanzahl jeder SAP-Tabelle pro System-ID an. Sie gibt eine Liste von Datensätzen pro System-ID und deren generierte Zeit zurück.

Parameter:

Name Optional/erforderlich Default Beschreibung
TimeAgo Optional Sieben Tage Bestimmt, dass die Funktion Benutzermasterdaten aus der vom TimeAgo Wert definierten Zeit bis zur durch den now() Wert definierten Zeit sucht.

Die SAPConnectorOverview-Funktion gibt die folgenden Daten zurück:

Feld BESCHREIBUNG
TimeGenerated Ein datetime-Wert des Zeitstempels der Datensatzgenerierung
SystemID_s Eine Zeichenfolge, die die SAP-System-ID darstellt

Verwenden Sie die folgende Kusto-Abfrage, um eine tägliche Trendanalyse durchzuführen:

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

Die Funktion SAPUsersEmail ermöglicht eine leistungsorientierte Suche nach der E-Mail-Adresse eines SAP-Benutzers pro SAP-System und Client, die normalerweise für die Zuordnung zu einem Active Directory-Konto verwendet wird.

Die SAPUsersEmail-Funktion verwendet Daten, die aus SAP-Tabellen USR21 (Benutzername/Adressschlüsselzuweisung) und ADR6 (E-Mail-Adressen) extrahiert wurden, um nach einer E-Mail-Adresse zu suchen. Falls keine E-Mail-Adresse gefunden wird, wird stattdessen die Benutzer-ID zurückgegeben.

Dieses Verhalten stellt sicher, dass SAP-Dienstkonten wie DDIC, die häufig nicht mit einer E-Mail-Adresse verknüpft sind, als Pseudo-AD-Konten protokolliert werden. Dies eröffnet auch einige UEBA-Features, die bei der Untersuchung von Vorfällen und Jagdaktivitäten helfen.

Die SAPUsersEmail-Funktion gibt die folgenden Daten zurück:

Feld BESCHREIBUNG
ClientID Die SAP-Client-ID
SystemID Die SAP-System-ID
Benutzer Die SAP-Benutzer-ID
E-Mail Die E-Mail-Adresse des SAP-Benutzers

SAPSystems

Die SAPSystems-Funktion wird verwendet, um die systemspezifische Konfiguration mithilfe der SAP - Systems Watchlist zentral darzustellen.

Parameter:

Name Optional/erforderlich Default Beschreibung
SelectedSystems Optional All Systems Wird verwendet, um bestimmte SAP-Systeme zu filtern
SelectedSystemRoles Optional All System Roles Bestimmt die Rollen der zu betrachtenden SAP-Systeme, wie in der SAP - Systems-Watchlist definiert.

Die Funktion SAPSystems gibt die folgenden Daten zurück:

Feld BESCHREIBUNG Datenquelle/Hinweise
SearchKey Suchschlüssel Indiziertes Feld für SAP-System-ID
SystemRole Rolle des SAP-Systems Produktion, UAT
SystemUsage Die Hauptnutzung des SAP-Systems ERP, CRM
SystemID Die SAP-System-ID

SAPAuditLogConfiguration

Die SAPAuditLogConfiguration-Funktion gibt die lokale Konfiguration der SAP-Überwachungsprotokollbenachrichtigungen an den Log Analytics-Arbeitsbereich zurück, der für Microsoft Sentinel aktiviert ist. Diese Konfiguration wird für SAP-Überwachungsprotokollbezogene Warnungen verwendet.

Die SAPAuditLogConfiguration-Funktion verknüpft die Daten in der SAP Dynamic Audit Log Monitor Configuration and SAP - Systems Watchlists, um eine Systemkonfiguration pro System bei einem Leistungsaufwand pro System bereitzustellen.

Parameter:

Name Optional/erforderlich Default Beschreibung
SelectedSystems Optional All Systems Wird verwendet, um bestimmte SAP-Systeme zu filtern, die betrachtet werden sollen
SelectedSystemRoles Optional All System Roles Bestimmt die Rollen der zu betrachtenden SAP-Systeme (wie in der SAP - Systems-Watchlist definiert).
SelectedSeverities Optional [High, Medium] Wird verwendet, um Ereignisse zu bestimmen, die hinsichtlich ihrer Schweregrade untersucht werden sollen. Schweregrade pro SAP-Überwachungsprotokoll-Nachrichten-ID und Systemrolle werden in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist definiert.
SelectedRuleTypes Optional All RuleTypes Bestimmt, welche Ereignisse für die Erkennung der Anomalien relevant sind. Regeltypen pro SAP-Überwachungsprotokollnachrichten-ID und Systemrolle werden in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist definiert.

Die FUNKTION SAPAuditLogConfiguration gibt die folgenden Daten zurück:

Feld BESCHREIBUNG Datenquelle/Hinweise
CategoryName Von SAP angegebene Ereigniskategorie Sap Dynamic Audit Log Monitor Configuration Watchlist
DestinationEmail E-Mail-Adresse des zugewiesenen Teams Sap Dynamic Audit Log Monitor Configuration Watchlist
DetailedDescription Mit Markdown formatierter Text, der in Warnungen angezeigt werden soll Sap Dynamic Audit Log Monitor Configuration Watchlist
Meldungs-ID Die SAP-Überwachungsprotokollmeldungs-ID Sap Dynamic Audit Log Monitor Configuration Watchlist
MessageText Ein exemplarischer Nachrichtentext Sap Dynamic Audit Log Monitor Configuration Watchlist
RolesTagsToExclude eine SHAPES-Rolle, ein Profil oder ein Freitexttag Sap Dynamic Audit Log Monitor Configuration Watchlist
RuleType Anomalie oder deterministisch Sap Dynamic Audit Log Monitor Configuration Watchlist
Taktik Die MITRE ATTA&CK-Taktik Sap Dynamic Audit Log Monitor Configuration Watchlist
TeamsChannelID Teams-Kanal Sap Dynamic Audit Log Monitor Configuration Watchlist
SystemID Die SAP-System-ID SAP - Systems Watchlist
SystemRole Die Rolle des SAP-Systems SAP - Systems Watchlist
SystemUsage Die Hauptnutzung des SAP-Systems SAP - Systems Watchlist
IsProd Flag für Produktionssystem SAP - Systems Watchlist
Severity Der abgeleitete Schweregrad Schweregrad pro Systemnutzung
Schwellenwert Der abgeleitete Schwellenwert Ereignisanzahl pro Systemverwendung
BagOfDetails Behälter mit Details Ein Wörterbuch mit der Ereignisdefinition

Weitere Informationen finden Sie unter Verfügbare Watchlists.

SAPAuditLogAnomalies

Die SAPAuditLogAnomalies-Funktion verwendet die integrierten Maschinellen Lernfunktionen von Microsoft Sentinel von Microsoft Sentinel, um anomaliele Ereignisse zu erkennen, die im SAP-Überwachungsprotokoll beobachtet wurden.

Die SAPAuditLogAnomalies-Funktion wurde für die SAP - (Experimental) Dynamic Anomaly based Audit Log Monitor Alerts Analytics-Regel entwickelt. Während das ursprüngliche Design auf aktuelle Anomalien aufmerksam macht, kann es auch helfen, historische Anomalien hervorzuheben. Weitere Informationen finden Sie unter "Beispielverwendungen".

Die FUNKTION SAPAuditLogAnomalies lernt das Segment des Verlaufs, der von den verschiedenen Eingabeparametern definiert wird, auf den folgenden Ebenen:

  • Benutzer
  • Netzwerkattribute
  • System
  • Saisonalität
  • Aktivitätsstufen

Die SAPAuditLogAnomalies-Funktion bewertet dann Ereignisse, die innerhalb des letzten DetectingTime Zeitraums auftreten, entsprechend dem gelernten, Anwenden von Schwellenwerten und anderen konfigurierbaren Ausschlusskriterien, die aus der SAP-Überwachungsprotokollkonfigurationsüberwachungsliste abgerufen wurden.

Sobald ein gleitendes Fenster der Benutzeraktivität als anomalien eingestuft wird, gibt eine zweite Abfrage die gesamte Benutzeraktivität als Nachweis zurück, der die Entscheidung unterstützt.

Parameter:

Name Optional/erforderlich Default Beschreibung
LearningTime Optional 14 Tage Bestimmt den Zeitbereich, der für das Modelllernen verwendet wird.
DetectingTime Optional Eine Stunde Bestimmt die Zeitspanne, die zur Erkennung von Anomalien betrachtet werden soll. Durch Aufrufen dieser Funktion werden DetectingTime = 0h Anomalien im gesamten LearningTime Zeitbereich hervorgehoben.
SelectedSystems Optional All Systems Wird verwendet, um bestimmte SAP-Systeme zu filtern, die betrachtet werden sollen
SelectedSystemRoles Optional All System Roles Bestimmt die Rollen der zu betrachtenden SAP-Systeme, wie in der SAP - Systems-Watchlist definiert.
SelectedSeverities Optional [High, Medium] Wird verwendet, um Ereignisse zu bestimmen, die hinsichtlich ihrer Schweregrade untersucht werden sollen. Schweregrade pro SAP-Überwachungsprotokoll-Nachrichten-ID und Systemrolle werden in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist definiert.
SelectedPrefixMask Optional 24 Wird verwendet, um die Subnetzmaskenebene für das Lernen und Erkennen zu bestimmen.
SelectedRuleTypes Optional AnomaliesOnly Bestimmt, welche Ereignisse für die Erkennung der Anomalien relevant sind. Regeltypen pro SAP-Überwachungsprotokollnachrichten-ID und Systemrolle werden in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist definiert.

Die Funktion SAPAuditLogAnomalies gibt die folgenden Daten zurück:

Feld BESCHREIBUNG
Mehrere Felder aus „SAPAuditLog“ Schlüsselfelder aus dem SAP-Überwachungsprotokoll
Mehrere Felder aus „SAPAuditLogConfiguration“ Schlüsselfelder aus der Konfiguration des Microsoft Sentinel für SAP-Überwachungsprotokolls
DiscoveredOn Die gerundete Stunde, in der die Anomalie beobachtet wurde
EventCount Anzahl gezählter Ereignisse pro zurückgegebener Zeile
AnomalCount Anzahl beobachteter Ereignisse innerhalb des relevanten gleitenden Fensters
MinTime Zeit des ersten beobachteten Ereignisses
MaxTime Zeit des letzten beobachteten Ereignisses
Bewertung Die vom Anomaliemodell erzeugten Anomaliebewertungen

Empfehlungen:

Wie bei jeder Machine Learning-Lösung führt die SAPAuditLogAnomalies-Funktion mit der Zeit besser aus und kann bei Bedarf angepasst werden.

Es wird empfohlen, die Größe der gelernten Datenbank auf weniger als 100 Millionen Datensätze mit den vielen verfügbaren Eingabeparametern einzuschränken.

Beispiele für die Verwendung sind:

  • Um nach Anomalien für Ereignisse mit hohem Schweregrad zu suchen, die innerhalb der letzten Stunde auf Produktionssystemen für Ereignistypen aufgetreten sind, die in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist als AnomaliesOnly gekennzeichnet sind, führen Sie Folgendes aus:

    SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
    SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
    
  • Um nach allen Anomalien in den letzten 14 Tagen im BIP-System zu suchen, führen Sie Folgendes aus:

    SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
    

Weitere Informationen finden Sie unter Integrierte SAP-Analyseregeln für die Überwachung des SAP-Überwachungsprotokolls und der Anomalieerkennung im SAP-Überwachungsprotokoll mithilfe der Microsoft Sentinel für SAP-Lösung (Blog).

SAPAuditLogConfigRecommend

SAPAuditLogConfigRecommend ist eine Hilfsfunktion, die Empfehlungen für die Konfiguration der Analyseregeln der SAP – Dynamische, anomaliebasierte Überwachungsprotokoll-Monitor-Warnungen (PREVIEW) bieten soll.

Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls.

SAPUsersGetVIP

Die Microsoft Sentinel-Lösung für SAP-Anwendungen verwendet ein Konzept der zentralen Benutzermarkierung und expliziter Ausschlüsse, die Ihnen helfen sollen, falsch positive Ergebnisse mit minimalem Aufwand zu senken.

Verwenden Sie die SAPUsersGetVIP-Funktion , um Benutzer vom Auslösen von Warnungen auszuschließen, indem Sie SAP-Benutzerrollen, SAP-Benutzerfunktionen oder Tags angeben, die diese Benutzer darstellen. Weitere Informationen finden Sie unter Behandeln von falsch positiven Ergebnissen in Microsoft Sentinel

Tags, die als Eingabe für die SAPUsersGetVIP-Funktion angegeben sind, schließen alle Benutzer mit einem Tag aus, das in der SAP_User_Config Watchlist aufgeführt ist. Die gleiche Funktionalität wird erweitert, um mit Wildcards zu arbeiten, sodass Sie einer Gruppe von Benutzern mit derselben Benennungssyntax ein einzelnes Tag zuweisen können.

  1. Markieren Sie Benutzer in der SAP_User_Config-Watchlist wie folgt:

    • Fügen Sie jedem Benutzer in der SAP_User_Config Watchlist nach Bedarf mehrere Tags hinzu, um verschiedene Szenarien abzudecken. Jede Warnungsregel verfügt über eigene relevante Tags, falls vorhanden, und Sie können bei Bedarf benutzerdefinierte Tags hinzufügen.

    • Verwenden Sie ein Sternchen (*) als Platzhalter, um Benutzer mit einer bestimmten Benennungssyntaxvorlage einzuschließen.

  2. Fügen Sie die SAPUsersGetVIP-Funktion in Ihren Analyseregeln hinzu, um die Listen der Benutzer anzufordern, die Sie definiert haben, um von Warnungen ausgeschlossen zu werden. Fügen Sie im Funktionsaufruf ein Array mit den Tags, SAP-Rollen und SAP-Profilen hinzu, die Sie ausschließen möchten.

Verwenden Sie z. B. die folgende KQL-Abfrage in Ihrer Analyseregel, um alle Benutzer auszuschließen, die mit dem RunObsoleteProgOK-Tag in der SAP_User_Config Watchlist konfiguriert sind, oder benutzer mit der Beispiel-SAP_BASIS_ADMIN_ROLE Rolle oder dem Beispiel SAP_ADMIN_PROFILE Profil.

Ersetzen Sie beim Kopieren dieses Beispielfunktionsaufrufs SAP_BASIS_ADMIN_ROLE Rolle und SAP_ADMIN_PROFILE Profil nach Bedarf durch Ihre eigenen SAP-Rollen oder Profile.

Zum Beispiel:

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

Die SAPUsersGetVIP-Funktion wird häufig in deterministischen und anomalen Überwachungsprotokollüberwachungswarnungen verwendet. Ordnen Sie ein Tag einer SAP-Überwachungsprotokollnachrichten-ID zu, oder erweitern Sie die Regelvorlage auf eine benutzerdefinierte Regel, die den Anforderungen Ihrer Organisation entspricht.

Tipp

Es wird empfohlen, sich an Ihren SAP-Systemadministrator zu wenden, um zu verstehen, welche SAP-Benutzer, Rollen und Profile in Ihre SAP_User_Config Watchlist aufgenommen werden sollen.

Parameter:

Name Optional/erforderlich Default Beschreibung
SearchForTags Optional dynamic('All Tags') Wenn SearchForTags gleich All Tags, werden alle Benutzer zusammen mit ihren Tags zurückgegeben.

Andernfalls werden nur Benutzer zurückgegeben, die die tags, SAP-Rollen oder SAP-Profile enthalten SearchForTags . TagsIntersect zeigt die gefundenen Tags an und IntersectionSize enthält die Anzahl der gefundenen Tags.
SpecialFocusTags Optional Do not return any in-focus users Gibt alle Benutzer zurück, die die in angegebenen Tags enthalten SpecialFocusTagsund mit denen specialFocusTagged = truegekennzeichnet sind.

Die SAPUsersGetVIP-Funktion gibt die folgende Ausgabe zurück:

Quelle Feld Beschreibung des Dataflows Hinweise
Die SAP_User_Config-Watchlist SearchKey Suchschlüssel
Die SAP_User_Config-Watchlist SAPUser Der SAP-Benutzer OSS, DDIC
Die SAP_User_Config-Watchlist Tags Zeichenfolge von Tags, die dem Benutzer zugewiesen sind RunObsoleteProgOK
Die SAP_User_Config-Watchlist Microsoft Entra-Objekt-ID des Benutzers Microsoft Entra-Objekt-ID
Die SAP_User_Config-Watchlist Benutzer-ID Azure Directory-Benutzerbezeichner
Die SAP_User_Config-Watchlist Lokale Benutzer-SID
Die SAP_User_Config-Watchlist Benutzerprinzipalname
Die SAP_User_Config-Watchlist TagsList Eine Liste der Tags, die dem Benutzer zugewiesen sind ChangeUserMasterDataOK;RunObsoleteProgOK
Logik TagsIntersect Eine Gruppe von Tags, die übereinstimmen SearchForTags ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Logik SpecialFocusTagged Angabe des speziellen Fokus True, False
Logik IntersectionSize Die Anzahl der überschneidenen Tags

SAPUsersHeader

Die Funktion SAPUsersHeader bietet einen allgemeinen Überblick über den SAP-Benutzer. Es verwendet Daten, die sowohl aus den SAP-Stammdatentabellen als auch aus den letzten Aktivitäten im SAP-Überwachungsprotokoll extrahiert wurden, um E-Mail- und IP-Adressen zu erfassen. Anschließend werden die letzten bekannten E-Mail- und IP-Adressen zusammen mit primären E-Mail- und IP-Adressen zurückgegeben.

Parameter:

Name Optional/erforderlich Default Beschreibung
SelectedSystems Optional All Systems Wird verwendet, um bestimmte SAP-Systeme zu filtern, um sich anzusehen
SelectedSystemRoles Optional All System Roles Bestimmt die Rollen der SAP-Systeme, die untersucht werden sollen, wie in der Watchlist SAP - Systems definiert.
SelectedUsers Optional All Users Kann Benutzerlisten eingeben.
SelectedUser Optional All Users Akzeptiert nur einen einzelnen Benutzer.

Zum Beispiel:

SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"

Tipp

Aus Leistungsgründen werden nur einige Tage der Überwachungsaktivität berücksichtigt. Führen Sie für einen vollständigen Verlauf der Benutzeraktivität eine benutzerdefinierte KQL-Abfrage für die SAPAuditLog-Funktion aus.

Die FUNKTION SAPUsersHeader gibt die folgende Ausgabe zurück:

Quelle Feld Beschreibung des Dataflows Hinweise
Benutzer Der SAP-Benutzer
SAP-Tabellen „ADR6“ und „USR21“ E-Mail Aus den Masterdaten des Benutzers OSS, DDIC
SAP-Tabelle „USR02“ UserType Zeichenfolge von Tags, die dem Benutzer zugewiesen sind RunObsoleteProgOK
SAP-Tabelle „USR02“ Zeitzone Microsoft Entra-Objekt-ID
SAP-Tabelle „USR02“ LockedStatus Azure Directory-Benutzerbezeichner
SAP-Überwachungsprotokoll LastSeen Zeitstempel Letztes Überwachungsereignis, das für den Benutzer beobachtet wurde
SAP-Überwachungsprotokoll LastSeenDaysAgo Tage vergangen seit LastSeen
SAP-Überwachungsprotokoll PrimaryIP Am häufigsten verwendete IP-Adresse ChangeUserMasterDataOK;RunObsoleteProgOK
SAP-Überwachungsprotokoll LastKnownIP Zuletzt verwendete IP-Adresse ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
SAP-Überwachungsprotokoll PrimaryEmail Am häufigsten verwendete E-Mail-Adresse True, False
SAP-Überwachungsprotokoll KnownIPs Liste bekannter IP-Adressen Sortiert nach den am häufigsten zuerst sortierten
SAP-Überwachungsprotokoll KnownEmails Liste bekannter E-Mail-Adressen Sortiert nach den am häufigsten zuerst sortierten
Client Die SAP-Client-ID
SystemID Die SAP-System-ID
SystemRole Rolle des SAP-Systems Produktion, UAT
SystemUsage Die Hauptnutzung des SAP-Systems ERP, CRM

Weitere Informationen finden Sie unter: