SAP HANA-auditlogboeken verzamelen in Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In dit artikel wordt uitgelegd hoe u auditlogboeken van uw SAP HANA-database verzamelt.

Inhoud in dit artikel is bedoeld voor uw beveiligings-, infrastructuur- en SAP BASIS-teams .

Belangrijk

Microsoft Sentinel SAP HANA-ondersteuning is momenteel beschikbaar in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Notitie

Dit artikel is alleen relevant voor de agent van de gegevensconnector en is niet relevant voor de SAP-oplossing zonder agent (beperkte preview).

Vereisten

SAP HANA-logboeken worden verzonden via Syslog. Zorg ervoor dat uw Azure Monitor-agent is geconfigureerd voor het verzamelen van Syslog-bestanden. Zie Syslog- en CEF-berichten opnemen in Microsoft Sentinel met de Azure Monitor-agent voor meer informatie.

SAP HANA-auditlogboeken verzamelen

1. Zorg ervoor dat het SAP HANA-auditlogboektrail is geconfigureerd voor het gebruik van Syslog, zoals beschreven in SAP Note 0002624117, die toegankelijk is vanaf de ondersteuningssite van SAP Launchpad. Zie voor meer informatie:

   • SAP HANA-audittrail - Best Practice
   • Aanbevelingen voor controle
   • Acties gecontroleerd door standaardcontrolebeleid

2. Controleer de Syslog-bestanden van uw besturingssysteem op relevante HANA-databasegebeurtenissen.

3. Meld u als gebruiker aan bij uw HANA-databasebesturingssysteem met sudo-bevoegdheden.

4. Installeer een agent op uw computer en controleer of uw computer is verbonden. Zie Azure Monitor-agent installeren en beheren voor meer informatie.

5. Configureer uw agent voor het verzamelen van Syslog-gegevens. Zie Syslog-gebeurtenissen verzamelen met Azure Monitor Agent voor meer informatie.

   Tip

   Omdat de faciliteiten waar HANA-databasegebeurtenissen worden opgeslagen, kunnen wisselen tussen verschillende distributies, raden we u aan alle faciliteiten toe te voegen. Controleer ze op basis van uw Syslog-logboeken en verwijder ze die niet relevant zijn.

Uw configuratie controleren

Gebruik de volgende stappen in zowel Microsoft Sentinel als uw SAP HANA-database om te controleren of uw systeem is geconfigureerd zoals verwacht.

Microsoft Sentinel

Controleer op de pagina Logboeken van Microsoft Sentinel of HANA-databasegebeurtenissen nu worden weergegeven in de opgenomen logboeken. Voer bijvoorbeeld de volgende query uit:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:

• let-instructie
• operator voor gegevenstabel
• where-operator
• projectoperator
• union-operator
• column_ifexists() functie

Zie het overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.

Andere resources:

• KQL-snelzoekgids
• Kusto-querytaal leerbronnen

SAP HANA

Controleer uw geconfigureerde controlebeleid in uw SAP HANA-database. Zie SAP Note 3016478 voor meer informatie over de vereiste SQL-instructies.

Analyseregels toevoegen voor SAP HANA in Microsoft Sentinel

Gebruik de volgende ingebouwde analyseregels om microsoft Sentinel te laten beginnen met het activeren van waarschuwingen voor gerelateerde SAP HANA-activiteiten:

• SAP - (PREVIEW) HANA DB - Beheerdersautorisaties toewijzen
• SAP - (PREVIEW) HANA DB - Wijzigingen in het audittrailbeleid
• SAP - (PREVIEW) HANA DB -Deactivatie van audittrail
• SAP - (PREVIEW) HANA DB -Gebruikersbeheerdersacties

Zie de Microsoft Sentinel-oplossing voor SAP-toepassingen voor meer informatie: naslaginformatie over beveiligingsinhoud.

Gerelateerde inhoud

Meer informatie over de Microsoft Sentinel-oplossing voor SAP-toepassingen:

• Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen
• De Microsoft Sentinel-oplossing voor SAP BTP implementeren