SAP 애플리케이션용 Microsoft Sentinel 솔루션 - 함수 참조
이 문서에서는 SAP 애플리케이션용 Microsoft Sentinel 솔루션을 설치한 후 작업 영역에서 사용할 수 있는 다양한 함수를 설명합니다. Microsoft Sentinel에서 검색하고 함수 코드를 로드하여 더 많은 함수를 검색합니다.
다음과 같이 함수를 찾습니다.
- Azure Portal 의 일반 > 로그 페이지, 함수 탭 및 작업 영역 함수 아래에 나열됩니다.
- Defender 포털 의 조사 및 응답 > 고급 헌팅 페이지의 함수 탭에 있으며 Sentinel 작업 영역 함수 아래에 나열됩니다.
이 문서의 콘텐츠는 보안 팀을 위한 것입니다.
기본 로그 또는 테이블 대신 쿼리에서 함수 사용
이 문서에 나열된 함수를 기본 로그나 테이블 대신 가능한 한 분석의 주체로 사용하는 것이 좋습니다.
이러한 함수는 데이터에 대한 주 사용자 인터페이스 역할을 하기 위한 것입니다. 이는 기본적으로 제공되는 모든 기본 제공 분석 규칙 및 통합 문서의 기초가 됩니다. 함수를 사용하면 사용자가 만든 콘텐츠를 중단하지 않고 함수 아래의 데이터 인프라를 변경할 수 있습니다.
SAPUsersAssignments
SAPUsersAssignments 함수는 여러 SAP 데이터 원본에서 데이터를 수집하고 현재 할당된 역할 및 프로필을 포함하여 현재 사용자 마스터 데이터의 사용자 중심 보기를 만듭니다.
이 함수는 역할 및 프로필에 대한 사용자 할당을 요약하고 다음 데이터를 반환합니다.
| 필드 | 설명 | 데이터 원본/메모 |
|---|---|---|
| 사용자 | SAP 사용자 ID | SAL만 |
| 전자 메일 | SMTP 주소 | USR21(SMTP_ADDR) |
| UserType | 사용자 유형 | USR02(USTYP) |
| 표준 시간대 | 표준 시간대 | USR02(TZONE) |
| LockedStatus | 잠금 상태 | USR02(UFLAG) |
| LastSeenDate | 마지막으로 본 날짜 | USR02(TRDAT) |
| LastSeenTime | 마지막으로 본 시간 | USR02(LTIME) |
| UserGroupAuth | 사용자 마스터 유지 관리의 사용자 그룹 | USR02(CLASS) |
| 프로필 | 프로필 집합(기본 최대 집합 크기 = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | 직접적으로 할당된 역할 집합(기본 최대 집합 크기 = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | 간접적으로 할당된 역할 집합(기본 최대 집합 크기 = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| 클라이언트 | 클라이언트 ID | |
| SystemID | 시스템 ID | 커넥터에 정의된 대로 |
SAPUsersGetPrivileged
SAPUsersGetPrivileged 함수는 클라이언트 및 시스템 ID별로 권한 있는 사용자 목록을 반환합니다.
사용자는 다음 설명과 일치하면 권한이 있는 것으로 간주됩니다.
- SAP - 권한 있는 사용자 관심 목록에 나열됩니다.
- SAP - 중요한 프로필 관심 목록에 나열된 프로필에 할당됩니다.
- SAP - 중요한 역할 관심 목록에 나열된 역할에 추가됩니다.
매개 변수:
| 속성 | 선택/필수 | 기본값 | 설명 |
|---|---|---|---|
| TimeAgo | 선택 사항 | 7일 | 함수가 값으로 정의된 시간부터 값으로 TimeAgo 정의된 시간까지 사용자 마스터 데이터를 검색하는지 now() 확인합니다. |
SAPUsersGetPrivileged 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 |
|---|---|
| 사용자 | SAP 사용자 ID |
| 클라이언트 | 클라이언트 ID |
| SystemID | 시스템 ID |
SAPUsersAuthorizations
SAPUsersAuthorizations 함수는 여러 테이블의 데이터를 결합하여 현재 할당된 역할 및 권한 부여에 대한 사용자 중심 보기를 생성합니다. 활성 역할 및 권한 부여가 할당된 사용자만 반환됩니다.
매개 변수:
| 속성 | 선택/필수 | 기본값 | 설명 |
|---|---|---|---|
| TimeAgo | 선택 사항 | 7일 | 함수가 값으로 정의된 시간부터 값으로 TimeAgo 정의된 시간까지 사용자 마스터 데이터를 검색하는지 now() 확인합니다. |
SAPUsersAuthorizations 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 | 참고 |
|---|---|---|
| 사용자 | SAP 사용자 ID | |
| Roles | 역할 집합(기본 최대 집합 크기 = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | 권한 부여 집합(기본 최대 집합 크기 = 100) | {{AuthorizationsDeatils1},{AuthorizationsDeatils2}, ..., {AuthorizationsDeatils100}} |
| 클라이언트 | 클라이언트 ID | |
| SystemID | 시스템 ID |
SAPConnectorHealth
SAPConnectorHealth 함수는 에이전트의 상태와 기본 SAP 시스템의 연결 상태를 반영합니다. 하트비트 로그 SAP_HeartBeat_CL 및 기타 상태 표시기를 기반으로 다음 데이터를 반환합니다.
| 필드 | 설명 |
|---|---|
| 에이전트 | 에이전트 구성의 에이전트 ID(자동으로 생성됨) |
| SystemID | SAP 시스템 ID |
| 상태 | 전체 연결 상태 |
| 세부 정보 | 연결 세부 정보 |
| ExtendedDetails | 연결 확장 세부 정보 |
| LastSeen | 최신 작업의 타임스탬프 |
| StatusCode | 시스템 상태를 반영하는 코드 |
SAPConnectorOverview
SAPConnectorOverview 함수는 시스템 ID당 각 SAP 테이블의 행 수를 표시합니다. 시스템 ID당 데이터 레코드 목록과 생성된 시간을 반환합니다.
매개 변수:
| 속성 | 선택/필수 | 기본값 | 설명 |
|---|---|---|---|
| TimeAgo | 선택 사항 | 7일 | 함수가 값으로 정의된 시간부터 값으로 TimeAgo 정의된 시간까지 사용자 마스터 데이터를 검색하는지 now() 확인합니다. |
SAPConnectorOverview 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 |
|---|---|
| TimeGenerated | 레코드 생성 타임스탬프의 날짜/시간 값 |
| SystemID_s | SAP 시스템 ID를 나타내는 문자열 |
다음 Kusto 쿼리를 사용하여 일일 추세 분석을 수행합니다.
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
SAPUsersEmail 함수를 사용하면 일반적으로 활성 디렉터리 계정과 연결하는 데 사용되는 SAP 시스템과 클라이언트별 SAP 사용자 이메일 주소 성능 지향 조회를 수행할 수 있습니다.
SAPUsersEmail 함수는 SAP 테이블 USR21(사용자 이름/주소 키 할당) 및 ADR6(전자 메일 주소)에서 추출된 데이터를 사용하여 전자 메일 주소를 찾습니다. 전자 메일 주소를 찾을 수 없는 경우 사용자 ID가 대신 반환됩니다.
이 동작은 메일 주소와 연결되지 않는 DDIC와 같은 SAP 서비스 계정이 의사 AD 계정으로 기록되도록 합니다. 또한 일부 UEBA 기능을 열어 인시던트 조사 및 헌팅 활동을 지원합니다.
SAPUsersEmail 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 |
|---|---|
| ClientID | SAP 클라이언트 ID |
| SystemID | SAP 시스템 ID |
| 사용자 | SAP 사용자 ID |
| 전자 메일 | SAP 사용자의 이메일 주소 |
SAPSystems
SAPSystems 함수는 SAP - 시스템 관심 목록을 사용하여 만든 시스템별 구성을 중앙에서 표시하는 데 사용됩니다.
매개 변수:
| 속성 | 선택/필수 | 기본값 | 설명 |
|---|---|---|---|
| SelectedSystems | 선택 사항 | All Systems |
특정 SAP 시스템을 필터링하는 데 사용됨 |
| SelectedSystemRoles | 선택 사항 | All System Roles |
SAP - 시스템 관심 목록에 정의된 대로 살펴볼 SAP 시스템의 역할을 결정합니다 . |
SAPSystems 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 | 데이터 원본/메모 |
|---|---|---|
| SearchKey | 검색 키 | SAP 시스템 ID에 대한 인덱싱된 필드 |
| SystemRole | SAP 시스템의 역할 | 프로덕션, UAT |
| SystemUsage | SAP 시스템의 주요 사용량 | ERP, CRM |
| SystemID | SAP 시스템 ID |
SAPAuditLogConfiguration
SAPAuditLogConfiguration 함수는 SAP 감사 로그 경고의 로컬 구성을 Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역으로 반환합니다. 이 구성은 SAP 감사 로그 관련 경고에 사용됩니다.
SAPAuditLogConfiguration 함수는 SAP 동적 감사 로그 모니터 구성 및 SAP - 시스템 관심 목록의 데이터를 조인하여 시스템별 역할 작업에서 시스템별 구성을 제공합니다.
매개 변수:
| 속성 | 선택/필수 | 기본값 | 설명 |
|---|---|---|---|
| SelectedSystems | 선택 사항 | All Systems |
살펴볼 특정 SAP 시스템을 필터링하는 데 사용됨 |
| SelectedSystemRoles | 선택 사항 | All System Roles |
확인할 SAP 시스템의 역할을 결정합니다(SAP - 시스템 관심 목록에 정의됨). |
| SelectedSeverities | 선택 사항 | [High, Medium] |
심각도 측면에서 살펴볼 이벤트를 결정하는 데 사용됩니다. SAP 감사 로그 메시지 ID 및 시스템 역할당 심각도는 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록에 정의됩니다. |
| SelectedRuleTypes | 선택 사항 | All RuleTypes |
변칙 검색과 관련된 이벤트를 결정합니다. SAP 감사 로그 메시지 ID 및 시스템 역할당 규칙 유형은 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록에 정의됩니다. |
SAPAuditLogConfiguration 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 | 데이터 원본/메모 |
|---|---|---|
| CategoryName | SAP 지정된 이벤트 범주 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| DestinationEmail | 할당된 팀의 이메일 주소 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| DetailedDescription | 경고에 표시할 마크다운 서식이 지정된 텍스트 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| MessageId | SAP 감사 로그 메시지 ID | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| MessageText | 샘플 메시지 텍스트 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| RolesTagsToExclude | ABAP 역할, 프로필 또는 자유 텍스트 태그 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| RuleType | 변칙 또는 결정적 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| 전술 | MITRE ATTA&CK 전술 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| TeamsChannelID | Teams 채널 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| SystemID | SAP 시스템 ID | SAP - 시스템 관심 목록 |
| SystemRole | SAP 시스템 역할 | SAP - 시스템 관심 목록 |
| SystemUsage | SAP 시스템의 주요 사용량 | SAP - 시스템 관심 목록 |
| IsProd | 프로덕션 시스템 플래그 | SAP - 시스템 관심 목록 |
| 심각도 | 파생 심각도 | 시스템 사용량별 심각도 |
| Threshold | 파생 임계값 | 시스템 사용량당 이벤트 수 |
| BagOfDetails | 세부 정보 모음 | 이벤트 정의를 자세히 설명하는 사전 |
자세한 내용은 사용 가능한 관심 목록을 참조 하세요.
SAPAuditLogAnomalies
SAPAuditLogAnomalies 함수는 Microsoft Sentinel의 기본 Kusto 데이터베이스의 기본 제공 기계 학습 기능을 사용하여 SAP 감사 로그에서 관찰된 비정상적인 이벤트를 감지하는 데 도움이 됩니다.
SAPAuditLogAnomalies 함수는 SAP - (실험적) 동적 변칙 기반 감사 로그 모니터 경고 분석 규칙을 위해 개발되었습니다. 원래 디자인은 최근의 변칙을 경고하는 것이지만, 역사적 변칙을 강조하는 데도 도움이 될 수 있습니다. 자세한 내용은 샘플 사용을 참조 하세요.
SAPAuditLogAnomalies 함수는 다음 수준에서 다양한 입력 매개 변수로 정의된 기록 조각을 알아봅니다.
- 사용자
- 네트워크 특성
- 시스템
- 계절성
- 활동 수준
그런 다음 SAPAuditLogAnomalies 함수는 학습한 내용에 따라 마지막 DetectingTime 시간 범위 내에서 발생하는 이벤트를 판단하여 SAP 감사 로그 구성 관심 목록에서 얻은 임계값 및 기타 구성 가능한 제외 조건을 적용합니다.
사용자 활동의 슬라이딩 윈도우가 비정상적인 것으로 간주되면 두 번째 쿼리는 전체 사용자 활동을 결정을 뒷받침하는 증거로 반환합니다.
매개 변수:
| 속성 | 선택/필수 | 기본값 | 설명 |
|---|---|---|---|
| LearningTime | 선택 사항 | 14일 | 모델 학습에 사용되는 시간 간격을 결정합니다. |
| DetectingTime | 선택 사항 | 1시간 | 변칙 검색에 사용할 확인 시간 간격을 결정합니다. 전체 시간 범위에서 변칙을 강조 표시하여 DetectingTime = 0h 이 함수를 LearningTime 호출합니다. |
| SelectedSystems | 선택 사항 | All Systems |
살펴볼 특정 SAP 시스템을 필터링하는 데 사용됨 |
| SelectedSystemRoles | 선택 사항 | All System Roles |
SAP - 시스템 관심 목록에 정의된 대로 살펴볼 SAP 시스템의 역할을 결정합니다 . |
| SelectedSeverities | 선택 사항 | [High, Medium] |
심각도 측면에서 살펴볼 이벤트를 결정하는 데 사용됩니다. SAP 감사 로그 메시지 ID 및 시스템 역할당 심각도는 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록에 정의됩니다. |
| SelectedPrefixMask | 선택 사항 | 24 | 학습 및 검색에 사용되는 서브넷 마스크 수준을 확인하는 데 사용됩니다. |
| SelectedRuleTypes | 선택 사항 | AnomaliesOnly |
변칙 검색과 관련된 이벤트를 결정합니다. SAP 감사 로그 메시지 ID 및 시스템 역할당 규칙 유형은 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록에 정의됩니다. |
SAPAuditLogAnomalies 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 |
|---|---|
| SAPAuditLog의 여러 필드 | SAP 감사 로그의 키 필드 |
| SAPAuditLogConfiguration의 여러 필드 | SAP 감사 로그 구성용 Microsoft Sentinel의 키 필드 |
| DiscoveredOn | 변칙이 관찰된 시간(반올림) |
| EventCount | 반환된 행당 계산된 이벤트 수 |
| AnomalCount | 관련 슬라이딩 윈도우 내에서 관찰되는 이벤트 수 |
| MinTime | 첫 번째 이벤트가 관찰된 시간 |
| MaxTime | 마지막으로 관찰된 이벤트의 시간 |
| 점수 | 변칙 모델에서 생성한 변칙 점수 |
권장 사항:
모든 기계 학습 솔루션 과 마찬가지로 SAPAuditLogAnomalies 함수는 시간에 따라 더 잘 수행되며 시간이 지남에 따라 필요에 따라 조정할 수 있습니다.
사용 가능한 많은 입력 매개 변수를 사용하여 학습된 데이터베이스의 크기를 1억 개 미만의 레코드로 제한하는 것이 좋습니다.
프로덕션 시스템에서 지난 1시간 이내에 발생한 심각도가 높은 이벤트에 대한 변칙을 검색하여 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록에 AnomaliesOnly 로 표시된 이벤트 유형을 검색하려면 다음을 실행합니다.
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))BIP 시스템에서 지난 14일 동안의 모든 변칙을 검색하려면 다음을 실행합니다.
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
자세한 내용은 SAP용 Microsoft Sentinel 솔루션(블로그)을 사용하여 SAP 감사 로그 및 SAP 감사 로그의 변칙 검색을 모니터링하기 위한 기본 제공 SAP 분석 규칙을 참조하세요.
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend는 SAP - 동적 변칙 기반 감사 로그 모니터 경고(미리 보기) 분석 규칙 구성에 대한 권장 사항을 제공하도록 설계된 도우미 함수입니다.
자세한 내용은 SAP 감사 로그 모니터링을 참조 하세요.
SAPUsersGetVIP
SAP 애플리케이션용 Microsoft Sentinel 솔루션은 최소한의 노력으로 가양성 문제를 줄이는 데 도움이 되도록 설계된 중앙 사용자 태그 지정 및 명시적 제외 개념을 사용합니다.
SAPUsersGetVIP 함수를 사용하여 SAP 사용자 역할, SAP 사용자 함수 또는 해당 사용자를 나타내는 태그를 지정하여 경고 트리거에서 사용자를 제외합니다. 자세한 내용은 Microsoft Sentinel의 가양성 처리를 참조하세요.
SAPUsersGetVIP 함수에 대한 입력으로 지정된 태그는 SAP_User_Config 관심 목록에 태그가 나열된 모든 사용자를 제외합니다. 동일한 기능이 와일드카드로 작동하도록 확장되어 동일한 명명 구문을 가진 사용자 그룹에 단일 태그를 할당할 수 있습니다.
다음과 같이 SAP_User_Config 관심 목록에 있는 사용자에 태그를 지정합니다.
다양한 시나리오를 다루기 위해 필요에 따라 SAP_User_Config 관심 목록에 있는 각 사용자에게 여러 태그를 추가합니다. 각 경고 규칙에는 고유한 관련 태그(있는 경우)가 있으며 필요에 따라 사용자 지정 태그를 추가할 수 있습니다.
별표(*)를 와일드카드로 사용하여 특정 명명 구문 템플릿이 있는 사용자를 포함합니다.
분석 규칙에 SAPUsersGetVIP 함수를 추가하여 경고에서 제외하도록 정의한 사용자 목록을 요청합니다. 함수 호출에서 제외하려는 태그, SAP 역할 및 SAP 프로필이 있는 배열을 추가합니다.
예를 들어 분석 규칙에서 다음 KQL 쿼리를 사용하여 SAP_User_Config 관심 목록에서 RunObsoleteProgOK 태그로 구성된 사용자 또는 샘플 SAP_BASIS_ADMIN_ROLE 역할 또는 샘플 SAP_ADMIN_PROFILE 프로필을 가진 사용자를 제외합니다.
이 샘플 함수 호출을 복사할 때 필요에 따라 SAP_BASIS_ADMIN_ROLE 역할 및 SAP_ADMIN_PROFILE 프로필을 사용자 고유의 SAP 역할 또는 프로필로 대체합니다.
예시:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
SAPUsersGetVIP 함수는 결정적 및 비정상적인 감사 로그 모니터 경고에서 일반적으로 사용됩니다. 태그를 SAP 감사 로그 메시지 ID와 연결하거나 규칙 템플릿을 조직의 요구 사항과 일치하는 사용자 지정 규칙으로 확장합니다.
팁
SAP 시스템 관리자에게 문의하여 SAP_User_Config 관심 목록에 포함할 SAP 사용자, 역할 및 프로필을 이해하는 것이 좋습니다.
매개 변수:
| 속성 | 선택/필수 | 기본값 | 설명 |
|---|---|---|---|
| SearchForTags | 선택 사항 | dynamic('All Tags') |
같All Tags으면 SearchForTags 모든 사용자가 태그와 함께 반환됩니다. 그렇지 않으면 지정된 SearchForTags 태그, SAP 역할 또는 SAP 프로필이 있는 사용자만 반환됩니다. TagsIntersect 는 찾은 태그를 표시하고 IntersectionSize 찾은 태그 수를 보유합니다. |
| SpecialFocusTags | 선택 사항 | Do not return any in-focus users |
지정된 SpecialFocusTags태그를 가진 모든 사용자를 반환하고 해당 태그를 으로 specialFocusTagged = true표시합니다. |
SAPUsersGetVIP 함수는 다음 출력을 반환합니다.
| Source | 필드 | 설명 | 참고 |
|---|---|---|---|
| SAP_User_Config 관심 목록 | SearchKey |
검색 키 | |
| SAP_User_Config 관심 목록 | SAPUser |
SAP 사용자 | OSS, DDIC |
| SAP_User_Config 관심 목록 | Tags |
사용자에게 할당된 태그 문자열 | RunObsoleteProgOK |
| SAP_User_Config 관심 목록 | 사용자의 Microsoft Entra 개체 ID | Microsoft Entra 개체 ID | |
| SAP_User_Config 관심 목록 | 사용자 ID | Azure Directory 사용자 식별자 | |
| SAP_User_Config 관심 목록 | 사용자 온-프레미스 SID | ||
| SAP_User_Config 관심 목록 | 사용자 계정 이름 | ||
| SAP_User_Config 관심 목록 | TagsList |
사용자에게 할당된 태그의 목록 | ChangeUserMasterDataOK;RunObsoleteProgOK |
| 논리 | TagsIntersect | 일치하는 태그 집합 SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| 논리 | SpecialFocusTagged | 특수 포커스 표시 | True, False |
| 논리 | IntersectionSize | 교차된 태그의 수 |
SAPUsersHeader
SAPUsersHeader 함수는 개략적인 SAP 사용자 보기를 제공하도록 설계되었습니다. SAP 사용자 마스터 데이터 테이블과 SAP 감사 로그의 최근 활동 모두에서 추출된 데이터를 사용하여 이메일 및 IP 주소를 수집합니다. 그런 다음, 마지막으로 알려진 이메일과 IP 주소를 기본 이메일과 IP 주소와 함께 반환합니다.
매개 변수:
| 속성 | 선택/필수 | 기본값 | 설명 |
|---|---|---|---|
| SelectedSystems | 선택 사항 | All Systems |
살펴볼 특정 SAP 시스템을 필터링하는 데 사용됩니다. |
| SelectedSystemRoles | 선택 사항 | All System Roles |
SAP - 시스템 관심 목록에 정의된 대로 살펴볼 SAP 시스템의 역할을 결정합니다 . |
| SelectedUsers | 선택 사항 | All Users |
사용자 목록을 입력할 수 있습니다. |
| SelectedUser | 선택 사항 | All Users |
단일 사용자만 허용합니다. |
예시:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
팁
성능에는 며칠 간의 감사 작업만 고려됩니다. 사용자 활동의 전체 기록을 보려면 SAPAuditLog 함수에 대해 사용자 지정 KQL 쿼리를 실행합니다.
SAPUsersHeader 함수는 다음 출력을 반환합니다.
| Source | 필드 | 설명 | 참고 |
|---|---|---|---|
| 사용자 | SAP 사용자 | ||
| SAP 테이블 ADR6 및 USR21 | 전자 메일 | 사용자의 마스터 데이터에서 가져옴 | OSS, DDIC |
| SAP 테이블 USR02 | UserType | 사용자에게 할당된 태그 문자열 | RunObsoleteProgOK |
| SAP 테이블 USR02 | 표준 시간대 | Microsoft Entra 개체 ID | |
| SAP 테이블 USR02 | LockedStatus | Azure Directory 사용자 식별자 | |
| SAP 감사 로그 | LastSeen | 타임스탬프 | 사용자에 대해 관찰된 마지막 감사 이벤트 |
| SAP 감사 로그 | LastSeenDaysAgo | 이후 경과된 일 수 LastSeen |
|
| SAP 감사 로그 | PrimaryIP | 가장 많이 사용된 IP 주소 | ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP 감사 로그 | LastKnownIP | 가장 최근에 사용된 IP 주소 | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP 감사 로그 | PrimaryEmail | 가장 자주 사용되는 전자 메일 주소 | True, False |
| SAP 감사 로그 | KnownIPs | 알려진 IP 주소 목록 | 가장 자주 먼저 정렬 |
| SAP 감사 로그 | KnownEmails | 알려진 전자 메일 주소 목록 | 가장 자주 먼저 정렬 |
| 클라이언트 | SAP 클라이언트 ID | ||
| SystemID | SAP 시스템 ID | ||
| SystemRole | SAP 시스템의 역할 | 프로덕션, UAT | |
| SystemUsage | SAP 시스템의 주요 사용량 | ERP, CRM |
관련 콘텐츠
자세한 내용은 다음을 참조하세요.