Applications Solution Microsoft Sentinel pour SAP – Informations de référence sur les fonctions
Cet article décrit une sélection de fonctions disponibles dans votre espace de travail après avoir installé une solution Microsoft Sentinel pour les applications SAP. Découvrez d’autres fonctions en parcourant Microsoft Sentinel et en chargeant le code de fonction.
Recherchez les fonctions comme suit :
- Dans le Portail Azure, dans la page Journaux généraux>, sous l’onglet Fonctions, puis sous Fonctions de l’espace de travail.
- Dans le portail Defender, dans la page de repérage avancé investigation et réponse>, sous l’onglet Fonctions, puis dans les fonctions de l’espace de travail Sentinel.
Le contenu de cet article est destiné à vos équipes de sécurité .
Utiliser des fonctions dans vos requêtes au lieu de journaux ou de tables sous-jacents
Nous vous recommandons vivement d’utiliser les fonctions répertoriées dans cet article en tant que sujets de leur analyse dans la mesure du possible, au lieu des journaux ou tables sous-jacents.
Ces fonctions sont destinées à servir d’interface utilisateur principale pour les données. Elles constituent la base de l’ensemble des règles et des classeurs d’analytique intégrées disponibles pour une utilisation immédiate. L’utilisation de fonctions permet d’apporter des modifications à l’infrastructure de données sous les fonctions, sans interrompre le contenu créé par l’utilisateur.
SAPUsersAssignments
La fonction SAPUsersAssignments rassemble des données de plusieurs sources de données SAP et crée une vue centrée sur l’utilisateur des données de référence de l’utilisateur actuel, y compris les rôles et profils actuellement affectés.
Cette fonction résume les attributions d’utilisateurs aux rôles et profils, et retourne les données suivantes :
Champ | Description | Source de données/Notes |
---|---|---|
Utilisateur | ID d’utilisateur SAP | SAL uniquement |
Courrier | Adresse SMTP | USR21 (SMTP_ADDR) |
UserType | Type d’utilisateur | USR02 (USTYP) |
Fuseau horaire | Fuseau horaire | USR02 (TZONE) |
LockedStatus | Statut de verrouillage | USR02 (UFLAG) |
LastSeenDate | Date de dernière consultation | USR02 (TRDAT) |
LastSeenTime | Heure de dernière consultation | USR02 (LTIME) |
UserGroupAuth | Groupe d’utilisateurs dans la maintenance principale de l’utilisateur | USR02 (CLASS) |
Profils | Ensemble de profils (taille maximale par défaut = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
DirectRoles | Ensemble de rôles directement affectés (taille maximale par défaut = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
ChildRoles | Ensemble de rôles indirectement affectés (taille maximale par défaut = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
Client | ID client | |
SystemID | ID système | Comme défini dans le connecteur |
SAPUsersGetPrivileged
La fonction SAPUsersGetPrivileged retourne une liste d’utilisateurs privilégiés par client et ID système.
Les utilisateurs sont considérés comme privilégiés lorsqu’ils correspondent à l’une des descriptions suivantes :
- Ils sont répertoriés dans la liste de surveillance SAP - Utilisateurs privilégiés
- Ils sont affectés à un profil répertorié dans SAP - Watchlist profils sensibles
- Ils sont ajoutés à un rôle répertorié dans SAP - Liste de surveillance des rôles sensibles
Paramètres :
Nom | Facultatif/obligatoire | Default | Description |
---|---|---|---|
TimeAgo | Facultatif | Sept jours | Détermine que la fonction recherche des données de référence utilisateur à partir de l’heure définie par la TimeAgo valeur jusqu’à l’heure définie par la now() valeur. |
La fonction SAPUsersGetPrivileged retourne les données suivantes :
Champ | Description |
---|---|
Utilisateur | ID d’utilisateur SAP |
Client | ID client |
SystemID | ID système |
SAPUsersAuthorizations
La fonction SAPUsersAuthorizations regroupe les données de plusieurs tables pour produire une vue centrée sur l’utilisateur des rôles et autorisations actuels affectés. Seuls les utilisateurs avec des attributions de rôle et d’autorisation actives sont retournés.
Paramètres :
Nom | Facultatif/obligatoire | Default | Description |
---|---|---|---|
TimeAgo | Facultatif | Sept jours | Détermine que la fonction recherche des données de référence utilisateur à partir de l’heure définie par la TimeAgo valeur jusqu’à l’heure définie par la now() valeur. |
La fonction SAPUsersAuthorizations retourne les données suivantes :
Champ | Description | Notes |
---|---|---|
Utilisateur | ID d’utilisateur SAP | |
Rôles | Ensemble de rôles (taille maximale par défaut = 50) | ["Role 1", "Role 2",...,"Role 50"] |
AuthorizationsDetails | Ensemble d’autorisations (taille maximale par défaut = 100) | {{AuthorizationsDetails1} ,{AuthorizationsDetails2} , ..., {AuthorizationsDetails100}} |
Client | ID client | |
SystemID | ID système |
SAPConnectorHealth
La fonction SAPConnectorHealth reflète l’état de la connectivité de l’agent et du système SAP sous-jacent. En fonction du journal des pulsations SAP_HeartBeat_CL et d’autres indicateurs d’intégrité, il retourne les données suivantes :
Champ | Description |
---|---|
Agent | ID d’agent dans la configuration de l’agent (généré automatiquement) |
SystemID | ID système SAP |
Statut | État de la connectivité globale |
Détails | Détails sur la connectivité |
ExtendedDetails | Détails étendus de la connectivité |
LastSeen | Horodatage de la dernière activité |
StatusCode | Code reflétant l’état du système |
SAPConnectorOverview
La fonction SAPConnectorOverview montre le nombre de lignes de chaque table SAP par ID système. Elle retourne une liste d’enregistrements de données par ID système et leur heure de génération.
Paramètres :
Nom | Facultatif/obligatoire | Default | Description |
---|---|---|---|
TimeAgo | Facultatif | Sept jours | Détermine que la fonction recherche des données de référence utilisateur à partir de l’heure définie par la TimeAgo valeur jusqu’à l’heure définie par la now() valeur. |
La fonction SAPConnectorOverview retourne les données suivantes :
Champ | Description |
---|---|
TimeGenerated | Valeur datetime de l’horodatage de la génération de l’enregistrement |
SystemID_s | Chaîne représentant l’ID système SAP |
Utilisez la requête Kusto suivante pour effectuer une analyse de tendance quotidienne :
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
La fonction SAPUsersEmail permet une recherche orientée performances de l’adresse e-mail d’un utilisateur SAP par système et client SAP, normalement utilisée pour l’associer à un compte Active Directory.
La fonction SAPUsersEmail utilise des données extraites des tables SAP USR21 (attribution de clé d’adresse/nom d’utilisateur) et ADR6 (adresses de messagerie) pour rechercher une adresse e-mail. Si aucune adresse e-mail n’est trouvée, l’ID utilisateur est retourné à la place.
Ce comportement garantit que les comptes de service SAP tels que DDIC, qui ne sont souvent pas associés à des adresses e-mail, sont enregistrés en tant que comptes pseudo AD. Cela ouvre également certaines fonctionnalités UEBA, ce qui facilite l’enquête sur les incidents et les activités de chasse.
La fonction SAPUsersEmail retourne les données suivantes :
Champ | Description |
---|---|
ClientID | The SAP client ID |
SystemID | L’ID du système SAP |
Utilisateur | ID d’utilisateur SAP |
Adresse e-mail de l’utilisateur SAP |
SAPSystems
La fonction SAPSystems est utilisée pour présenter de manière centralisée la configuration par système effectuée à l’aide de la liste de surveillance SAP - Systems .
Paramètres :
Nom | Facultatif/obligatoire | Default | Description |
---|---|---|---|
SelectedSystems | Facultatif | All Systems |
Utilisé pour filtrer des systèmes SAP spécifiques |
SelectedSystemRoles | Facultatif | All System Roles |
Détermine les rôles des systèmes SAP à examiner, comme défini dans la liste de surveillance SAP - Systems |
La fonction SAPSystems retourne les données suivantes :
Champ | Description | Source de données/Notes |
---|---|---|
Clé de recherche | Clé de recherche | Champ indexé pour l’ID système SAP |
SystemRole | Rôle du système SAP | Production, UAT |
SystemUsage | L’utilisation principale du système SAP | ERP, CRM |
SystemID | L’ID du système SAP |
SAPAuditLogConfiguration
La fonction SAPAuditLogConfiguration retourne la configuration locale des alertes du journal d’audit SAP à l’espace de travail Log Analytics activé pour Microsoft Sentinel. Cette configuration est utilisée pour les alertes liées aux journaux d’audit SAP.
La fonction SAPAuditLogConfiguration joint les données dans sap Dynamic Audit Log Monitor Configuration et SAP - Systems watchlists pour fournir une configuration par système à un effort par rôle.
Paramètres :
Nom | Facultatif/obligatoire | Default | Description |
---|---|---|---|
SelectedSystems | Facultatif | All Systems |
Utilisé pour filtrer des systèmes SAP spécifiques à examiner. |
SelectedSystemRoles | Facultatif | All System Roles |
Détermine les rôles des systèmes SAP à examiner (comme défini dans la liste de surveillance SAP - Systèmes ). |
SelectedSeverities | Facultatif | [High , Medium ] |
Permet de déterminer les événements à examiner en termes de gravité. Les gravités par ID de message du journal d’audit SAP et le rôle système sont définies dans la liste de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration . |
SelectedRuleTypes | Facultatif | All RuleTypes |
Détermine les événements pertinents pour détecter les anomalies. Les types de règles par ID de message du journal d’audit SAP et le rôle système sont définis dans la liste de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration . |
La fonction SAPAuditLogConfiguration retourne les données suivantes :
Champ | Description | Source de données/Notes |
---|---|---|
CategoryName (Nom de catégorie) | Catégorie d’événements donnée par SAP | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
DestinationEmail | Adresse e-mail de l’équipe affectée | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
DetailedDescription | Texte Markdown mis en forme à afficher sur les alertes | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
MessageID | ID du message du journal d’audit SAP | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
MessageText | Exemple de texte de message | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
RolesTagsToExclude | un rôle ABAP, un profil ou une balise de texte libre | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
RuleType | Anomalie ou déterministe | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
Tactique | La tactique MITRE ATTA&CK | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
TeamsChannelID | Canal Teams | Liste de surveillance de la configuration du moniteur de journal d’audit dynamique SAP |
SystemID | L’ID du système SAP | SAP - Liste de surveillance des systèmes |
SystemRole | Rôle du système SAP | SAP - Liste de surveillance des systèmes |
SystemUsage | L’utilisation principale du système SAP | SAP - Liste de surveillance des systèmes |
IsProd | Indicateur du système de production | SAP - Liste de surveillance des systèmes |
Niveau de gravité | Gravité dérivée | Gravité par utilisation du système |
Seuil | Seuil dérivé | Nombre d’événements par utilisation du système |
BagOfDetails | Sac de détails | Dictionnaire détaillant la définition d’événement |
Pour découvrir plus d’informations, consultez Watchlist disponibles.
SAPAuditLogAnomalies
La fonction SAPAuditLogAnomalies utilise les fonctionnalités intégrées intégrées de la base de données Kusto de Microsoft Sentinel pour détecter les événements anormaux observés dans le journal d’audit SAP.
La fonction SAPAuditLogAnomalies a été développée pour la règle d’analyse des alertes d’analyse des alertes basée sur les anomalies dynamiques (expérimentales) basée sur les anomalies. Bien que sa conception originale soit d’alerter sur les anomalies récentes, elle peut également aider à mettre en évidence les anomalies historiques. Pour plus d’informations, consultez Exemples d’utilisations.
La fonction SAPAuditLogAnomalies apprend la tranche de l’historique défini par les différents paramètres d’entrée, aux niveaux suivants :
- Utilisateur
- Attributs réseau
- System
- Saisonnalité
- Niveaux d’activité
La fonction SAPAuditLogAnomalies juge ensuite les événements qui se produisent dans le dernier DetectingTime
intervalle de temps en fonction de ce qu’il a appris, l’application de seuils et d’autres critères d’exclusion configurables obtenus à partir de la liste de surveillance de configuration du journal d’audit SAP.
Une fois qu’une fenêtre glissante de l’activité de l’utilisateur est considérée anormale, une deuxième requête retourne l’ensemble de l’activité de l’utilisateur comme preuve soutenant la décision.
Paramètres :
Nom | Facultatif/obligatoire | Default | Description |
---|---|---|---|
LearningTime | Facultatif | 14 jours | Détermine l’intervalle de temps utilisé pour l’apprentissage du modèle. |
DetectingTime | Facultatif | Une heure | Détermine l’intervalle de temps à examiner pour détecter les anomalies. L’appel de cette fonction avec DetectingTime = 0h met en surbrillance les anomalies dans l’intervalle de temps entier LearningTime . |
SelectedSystems | Facultatif | All Systems |
Utilisé pour filtrer des systèmes SAP spécifiques à examiner. |
SelectedSystemRoles | Facultatif | All System Roles |
Détermine les rôles des systèmes SAP à examiner, comme défini dans la liste de surveillance SAP - Systems |
SelectedSeverities | Facultatif | [High , Medium ] |
Permet de déterminer les événements à examiner en termes de gravité. Les gravités par ID de message du journal d’audit SAP et le rôle système sont définies dans la liste de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration . |
SelectedPrefixMask | Facultatif | 24 | Utilisé pour déterminer le niveau de masque de sous-réseau utilisé pour l’apprentissage et la détection. |
SelectedRuleTypes | Facultatif | AnomaliesOnly |
Détermine les événements pertinents pour détecter les anomalies. Les types de règles par ID de message du journal d’audit SAP et le rôle système sont définis dans la liste de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration . |
La fonction SAPAuditLogAnomalies retourne les données suivantes :
Champ | Description |
---|---|
Plusieurs champs de SAPAuditLog | Champs clés du journal d’audit SAP |
Plusieurs champs de SAPAuditLogConfiguration | Champs clés de la configuration du journal d’audit Microsoft Sentinel pour SAP |
DiscoveredOn | Heure arrondie à laquelle l’anomalie a été observée |
EventCount | Nombre d’événements comptés par ligne retournée |
AnomalCount | Nombre d’événements observés dans une fenêtre glissante appropriée |
MinTime | Heure du premier événement observé |
MaxTime | Heure du dernier événement observé |
Score | les scores d’anomalie générés par le modèle d’anomalie |
Recommandations :
Comme pour n’importe quelle solution de Machine Learning, la fonction SAPAuditLogAnomalies fonctionne mieux avec le temps et peut être ajustée selon les besoins à mesure que le temps se passe.
Nous vous recommandons de limiter la taille de la base de données apprise à moins de 100 millions d’enregistrements à l’aide des nombreux paramètres d’entrée disponibles.
Voici quelques exemples d’utilisations :
Pour rechercher des anomalies pour les événements de gravité élevée qui se sont produits au cours de la dernière heure sur les systèmes de production pour les types d’événements marqués comme AnomaliesOnly dans la liste de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration , exécutez :
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
Pour rechercher toutes les anomalies au cours des 14 derniers jours dans le système BIP , exécutez :
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Pour plus d’informations, consultez les règles d’analyse SAP intégrées pour surveiller le journal d’audit SAP et la détection d’anomalies dans le journal d’audit SAP à l’aide de la solution Microsoft Sentinel pour SAP (blog).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend est une fonction d’aide conçue pour offrir des recommandations pour la configuration de la règle d’analyse SAP - Alertes du moniteur de journal d’audit basées sur les anomalies dynamiques (PRÉVERSION).
Pour plus d’informations, consultez Surveiller le journal d’audit SAP.
SAPUsersGetVIP
La solution Microsoft Sentinel pour les applications SAP utilise un concept d’étiquetage des utilisateurs centraux et d’exclusions explicites, conçue pour vous aider à réduire les faux positifs avec un effort minimal.
Utilisez la fonction SAPUsersGetVIP pour exclure les utilisateurs du déclenchement d’alertes en spécifiant des rôles d’utilisateur SAP, des fonctions utilisateur SAP ou des balises qui représentent ces utilisateurs. Pour plus d’informations, consultez Gérer les faux positifs dans Microsoft Sentinel.
Les balises spécifiées comme entrée pour la fonction SAPUsersGetVIP excluent tous les utilisateurs avec une balise répertoriée dans la liste de surveillance SAP_User_Config . La même fonctionnalité est étendue pour fonctionner avec des caractères génériques, ce qui vous permet d’affecter une balise unique à un groupe d’utilisateurs avec la même syntaxe de nommage.
Étiquetez les utilisateurs dans la liste de surveillance SAP_User_Config comme suit :
Ajoutez plusieurs balises à chaque utilisateur dans la SAP_User_Config watchlist, selon les besoins pour couvrir différents scénarios. Chaque règle d’alerte a ses propres balises pertinentes, le cas échéant, et vous pouvez ajouter des balises personnalisées si nécessaire.
Utilisez un astérisque (*) comme caractère générique pour inclure des utilisateurs avec un modèle de syntaxe d’affectation de noms spécifique.
Ajoutez la fonction SAPUsersGetVIP dans vos règles d’analyse pour demander les listes des utilisateurs que vous avez définis pour être exclus des alertes. Dans l’appel de fonction, ajoutez un tableau avec les balises, les rôles SAP et les profils SAP que vous souhaitez exclure.
Par exemple, utilisez la requête KQL suivante dans votre règle d’analyse pour exclure tous les utilisateurs configurés avec la balise RunObsoleteProgOK dans la liste de surveillance SAP_User_Config, ou tous les utilisateurs avec l’exemple de rôle SAP_BASIS_ADMIN_ROLE ou l’exemple de profil SAP_ADMIN_PROFILE.
Lorsque vous copiez cet exemple d’appel de fonction, remplacez SAP_BASIS_ADMIN_ROLE rôle et SAP_ADMIN_PROFILE profil par vos propres rôles ou profils SAP en fonction des besoins.
Par exemple :
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
La fonction SAPUsersGetVIP est couramment utilisée dans les alertes déterministes et anormales du moniteur de journal d’audit. Associez une balise à un ID de message du journal d’audit SAP ou étendez le modèle de règle à une règle personnalisée qui correspond aux besoins de votre organisation.
Conseil
Nous vous recommandons de contacter votre administrateur système SAP pour comprendre les utilisateurs, rôles et profils SAP à inclure dans votre liste de surveillance SAP_User_Config .
Paramètres :
Nom | Facultatif/obligatoire | Default | Description |
---|---|---|---|
SearchForTags | Facultatif | dynamic('All Tags') |
En cas SearchForTags d’égalité, tous les utilisateurs sont retournés All Tags avec leurs balises. Sinon, seuls les utilisateurs portant les balises, les rôles SAP ou les profils SAP spécifiés sont SearchForTags retournés. TagsIntersect affiche les balises trouvées et IntersectionSize contient le nombre de balises trouvées. |
SpecialFocusTags | Facultatif | Do not return any in-focus users |
Retourne tous les utilisateurs portant les balises spécifiées dans SpecialFocusTags , et marqués avec ceux avec specialFocusTagged = true . |
La fonction SAPUsersGetVIP retourne la sortie suivante :
Source | Champ | Description | Notes |
---|---|---|---|
La liste de surveillance SAP_User_Config | SearchKey |
Clé de recherche | |
La liste de surveillance SAP_User_Config | SAPUser |
Utilisateur SAP | OSS, DDIC |
La liste de surveillance SAP_User_Config | Tags |
Chaîne de balises attribuées à l’utilisateur | RunObsoleteProgOK |
La liste de surveillance SAP_User_Config | ID d’objet Microsoft Entra de l’utilisateur | ID objet Microsoft Entra | |
La liste de surveillance SAP_User_Config | Identificateur de l’utilisateur | Identificateur d’utilisateur Azure Directory | |
La liste de surveillance SAP_User_Config | SID local de l’utilisateur | ||
La liste de surveillance SAP_User_Config | Nom d’utilisateur principal | ||
La liste de surveillance SAP_User_Config | TagsList |
Une liste d’étiquettes attribuées à l’utilisateur | ChangeUserMasterDataOK ;RunObsoleteProgOK |
Logique | TagsIntersect | Ensemble de balises mises en correspondance SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Logique | SpecialFocusTagged | Indication spéciale du focus | True , False |
Logique | IntersectionSize | Nombre de balises croisées |
SAPUsersHeader
La fonction SAPUsersHeader est conçue pour fournir une vue générale de l’utilisateur SAP. Il utilise des données extraites des tables de données de référence des utilisateurs SAP et de l’activité récente dans le journal d’audit SAP pour collecter des e-mails et des adresses IP. Elle retourne ensuite les dernières adresses e-mail et IP connues, ainsi que les adresses IP et e-mail principales.
Paramètres :
Nom | Facultatif/obligatoire | Default | Description |
---|---|---|---|
SelectedSystems | Facultatif | All Systems |
Utilisé pour filtrer des systèmes SAP spécifiques à examiner |
SelectedSystemRoles | Facultatif | All System Roles |
Détermine les rôles des systèmes SAP à examiner, comme défini dans la liste de surveillance SAP - Systems . |
SelectedUsers | Facultatif | All Users |
Peut entrer des listes d’utilisateurs. |
SelectedUser | Facultatif | All Users |
Accepte un seul utilisateur. |
Par exemple :
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Conseil
Pour les considérations relatives aux performances, seuls quelques jours d’activité d’audit sont pris en compte. Pour obtenir un historique complet de l’activité utilisateur, exécutez une requête KQL personnalisée sur la fonction SAPAuditLog .
La fonction SAPUsersHeader retourne la sortie suivante :
Source | Champ | Description | Notes |
---|---|---|---|
Utilisateur | Utilisateur SAP | ||
Tables SAP ADR6 et USR21 | Extrait des données de référence de l’utilisateur | OSS, DDIC | |
Table SAP USR02 | UserType | Chaîne de balises attribuées à l’utilisateur | RunObsoleteProgOK |
Table SAP USR02 | Fuseau horaire | ID objet Microsoft Entra | |
Table SAP USR02 | LockedStatus | Identificateur d’utilisateur Azure Directory | |
Journal d’audit SAP | LastSeen | Un timestamp | Dernier événement d’audit observé pour l’utilisateur |
Journal d’audit SAP | LastSeenDaysAgo | Jours passés depuis LastSeen |
|
Journal d’audit SAP | PrimaryIP | Adresse IP la plus fréquemment utilisée | ChangeUserMasterDataOK ;RunObsoleteProgOK |
Journal d’audit SAP | LastKnownIP | Adresse IP la plus récemment utilisée | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
Journal d’audit SAP | PrimaryEmail | Adresse e-mail la plus fréquemment utilisée | True , False |
Journal d’audit SAP | KnownIPs | Liste des adresses IP connues | Trié par premier le plus fréquent |
Journal d’audit SAP | KnownEmails | Liste des adresses e-mail connues | Trié par premier le plus fréquent |
Client | The SAP client ID | ||
SystemID | L’ID du système SAP | ||
SystemRole | Rôle du système SAP | Production, UAT | |
SystemUsage | L’utilisation principale du système SAP | ERP, CRM |
Contenu connexe
Pour plus d’informations, consultez l’article suivant :