Recopilación de registros de auditoría de SAP HANA en Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En este artículo se explica cómo recopilar registros de auditoría de una base de datos de SAP HANA.

El contenido de este artículo está pensado para los equipos deseguridad, infraestructura, y SAP BASIS.

Importante

La compatibilidad con Microsoft Sentinel SAP HANA está actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Nota:

Este artículo solo es relevante para el agente del conector de datos y no es relevante para la solución sin agente de SAP (versión preliminar limitada).

Requisitos previos

Los registros de SAP HANA se envían a través de Syslog. Asegúrese de que el agente de Azure Monitor esté configurado para recopilar archivos de Syslog. Para más información, consulte Ingesta de mensajes CEF y Syslog en Microsoft Sentinel con el agente de Azure Monitor.

Recopilación de registros de auditoría de SAP HANA

1. Asegúrese de que el registro de auditoría de SAP HANA está configurado para usar Syslog como se describe en la nota 0002624117 de SAP, a la que se accede desde el sitio de soporte técnico de SAP Launchpad. Para más información, consulte:

   • Registro de auditoría de SAP HANA: procedimiento recomendado
   • Recomendaciones de auditoría
   • Acciones auditadas por la directiva de auditoría predeterminada

2. Compruebe los archivos de Syslog del sistema operativo para ver los eventos de base de datos de HANA pertinentes.

3. Inicie sesión en el sistema operativo de la base de datos HANA como un usuario con privilegios sudo.

4. Instale un agente en el equipo y confirme que la máquina está conectada. Para más información, consulte Instalar y administrar el agente de Azure Monitor.

5. Configure el agente para recopilar datos de Syslog. Para más información, consulte Recopilar eventos de Syslog con el agente de Azure Monitor.

   Sugerencia

   Como las instalaciones donde se guardan los eventos de base de datos de HANA pueden cambiar entre cada distribución, se recomienda agregar todas las instalaciones. Compruébelas en los registros de Syslog y, a continuación, quite las que no sean pertinentes.

Comprobación de la configuración

Siga estos pasos tanto en Microsoft Sentinel como en la base de datos de SAP HANA para comprobar que el sistema está configurado según lo previsto.

Microsoft Sentinel

En la página Registros de Microsoft Sentinel, compruebe que los eventos de base de datos de HANA se muestran ahora en los registros ingeridos. Por ejemplo, ejecute la consulta siguiente:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

En la base de datos de SAP HANA, compruebe las directivas de auditoría configuradas. Para obtener más información sobre las instrucciones SQL necesarias, consulte nota de SAP 3016478.

Adición de reglas de análisis para SAP HANA en Microsoft Sentinel

Use las siguientes reglas de análisis integradas para que Microsoft Sentinel empiece a desencadenar alertas sobre la actividad relacionada de SAP HANA:

• SAP - (PREVIEW) HANA DB -Assign Admin Authorizations
• SAP - (PREVIEW) HANA DB -Audit Trail Policy Changes
• SAP - (PREVIEW) HANA DB -Deactivation of Audit Trail
• SAP - (PREVIEW) HANA DB -User Admin actions

Para obtener más información, consulte Solución de Microsoft Sentinel para aplicaciones de SAP: referencia de contenido de seguridad.

Contenido relacionado

Obtenga más información sobre las aplicaciones de Solución Microsoft Sentinel para SAP:

• Implementación de Solución Microsoft Sentinel para aplicaciones de SAP
• Implementación de la Solución Microsoft Sentinel para SAP BTP