Microsoft Sentinel-oplossing voor SAP-toepassingen - naslaginformatie over functies
In dit artikel wordt een selectie van functies beschreven die beschikbaar zijn in uw werkruimte nadat u een Microsoft Sentinel-oplossing voor SAP-toepassingen hebt geïnstalleerd. Ontdek meer functies door te bladeren in Microsoft Sentinel en de functiecode te laden.
Ga als volgt te werk om functies te zoeken:
- Ga in Azure Portal naar de pagina Algemene > logboeken , op het tabblad Functies en vermeld onder Werkruimtefuncties.
- Ga in de Defender-portal naar de pagina Geavanceerde opsporing voor onderzoek en antwoorden>, op het tabblad Functies en vermeld onder Sentinel-werkruimtefuncties.
Inhoud in dit artikel is bedoeld voor uw beveiligingsteams .
Functies gebruiken in uw query's in plaats van onderliggende logboeken of tabellen
We raden u ten zeerste aan de functies in dit artikel te gebruiken als de onderwerpen van hun analyse, indien mogelijk, in plaats van de onderliggende logboeken of tabellen.
Deze functies zijn bedoeld als de principal-gebruikersinterface voor de gegevens. Ze vormen de basis voor alle ingebouwde analyseregels en werkmappen die u standaard beschikbaar hebt. Door functies te gebruiken, kunnen wijzigingen in de gegevensinfrastructuur onder de functies worden aangebracht, zonder dat de door de gebruiker gemaakte inhoud wordt onderbroken.
SAPUsersAssignments
De functie SAPUsersAssignments verzamelt gegevens uit meerdere SAP-gegevensbronnen en maakt een gebruikersgerichte weergave van de huidige gebruikershoofdgegevens, inclusief de rollen en profielen die momenteel zijn toegewezen.
Met deze functie worden de gebruikerstoewijzingen voor rollen en profielen samengevat en worden de volgende gegevens geretourneerd:
| Veld | Beschrijving | Gegevensbron/notities |
|---|---|---|
| User | SAP-gebruikers-id | Alleen SAL |
| E-mailen | SMTP-adres | USR21 (SMTP_ADDR) |
| UserType | Gebruikerstype | USR02 (USTYP) |
| Tijdzone | Time zone | USR02 (TZONE) |
| LockedStatus | Vergrendelingsstatus | USR02 (UFLAG) |
| LastSeenDate | Laatst geziene datum | USR02 (TRDAT) |
| LastSeenTime | Tijd laatst gezien | USR02 (LTIME) |
| UserGroupAuth | Gebruikersgroep in hoofdonderhoud van gebruikers | USR02 (KLASSE) |
| Profielen | Set profielen (standaard maximale grootte instellen = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Set rechtstreeks toegewezen rollen (standaard maximale grootte van set = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Set indirect toegewezen rollen (standaard maximale setgrootte = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Klant | Client ID | |
| SystemID | Systeem-id | Zoals gedefinieerd in de connector |
SAPUsersGetPrivileged
De functie SAPUsersGetPrivileged retourneert een lijst met bevoegde gebruikers per client en systeem-id.
Gebruikers worden beschouwd als bevoegd wanneer ze overeenkomen met een van de volgende beschrijvingen:
- Ze worden vermeld in de watchlist voor bevoegde gebruikers in SAP
- Ze worden toegewezen aan een profiel dat wordt vermeld in SAP - Watchlist voor gevoelige profielen
- Ze worden toegevoegd aan een rol die wordt vermeld in SAP - Watchlist voor gevoelige rollen
Parameters:
| Naam | Optioneel/vereist | Default | Beschrijving |
|---|---|---|---|
| TimeAgo | Optioneel | Zeven dagen | Bepaalt dat de functie zoekt naar hoofdgegevens van gebruikers uit de tijd die is gedefinieerd door de TimeAgo waarde tot de tijd die door de now() waarde is gedefinieerd. |
De functie SAPUsersGetPrivileged retourneert de volgende gegevens:
| Veld | Beschrijving |
|---|---|
| User | SAP-gebruikers-id |
| Klant | Client ID |
| SystemID | Systeem-id |
SAPUsersAuthorizations
De functie SAPUsersAuthorizations brengt gegevens uit verschillende tabellen samen om een gebruikersgerichte weergave te maken van de huidige rollen en autorisaties die zijn toegewezen. Alleen gebruikers met actieve rol- en autorisatietoewijzingen worden geretourneerd.
Parameters:
| Naam | Optioneel/vereist | Default | Beschrijving |
|---|---|---|---|
| TimeAgo | Optioneel | Zeven dagen | Bepaalt dat de functie zoekt naar hoofdgegevens van gebruikers uit de tijd die is gedefinieerd door de TimeAgo waarde tot de tijd die door de now() waarde is gedefinieerd. |
De functie SAPUsersAuthorizations retourneert de volgende gegevens:
| Veld | Omschrijving | Opmerkingen |
|---|---|---|
| User | SAP-gebruikers-id | |
| Rollen | Set rollen (standaard maximale grootte van set = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Set autorisaties (standaard maximale grootte van set = 100) | {{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Klant | Client ID | |
| SystemID | Systeem-id |
SAPConnectorHealth
De functie SAPConnectorHealth weerspiegelt de status van de agent en de connectiviteit van het onderliggende SAP-systeem. Op basis van het heartbeatlogboek SAP_HeartBeat_CL en andere statusindicatoren worden de volgende gegevens geretourneerd:
| Veld | Beschrijving |
|---|---|
| Agent | Agent-id in de configuratie van de agent (automatisch gegenereerd) |
| SystemID | SAP-systeem-id |
| Status | Algemene connectiviteitsstatus |
| DETAILS | Connectiviteitsgegevens |
| ExtendedDetails | Uitgebreide details van connectiviteit |
| LastSeen | Tijdstempel van de meest recente activiteit |
| StatusCode | Code die de status van het systeem weergeeft |
SAPConnectorOverview
De functie SAPConnectorOverview toont het aantal rijen van elke SAP-tabel per systeem-id. Het retourneert een lijst met gegevensrecords per systeem-id en de gegenereerde tijd.
Parameters:
| Naam | Optioneel/vereist | Default | Beschrijving |
|---|---|---|---|
| TimeAgo | Optioneel | Zeven dagen | Bepaalt dat de functie zoekt naar hoofdgegevens van gebruikers uit de tijd die is gedefinieerd door de TimeAgo waarde tot de tijd die door de now() waarde is gedefinieerd. |
De functie SAPConnectorOverview retourneert de volgende gegevens:
| Veld | Beschrijving |
|---|---|
| TimeGenerated | Een datum/tijd-waarde van de tijdstempel van de generatie van de record |
| SystemID_s | Een tekenreeks die de SAP-systeem-id vertegenwoordigt |
Gebruik de volgende Kusto-query om een dagelijkse trendanalyse uit te voeren:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
Met de functie SAPUsersEmail kunt u prestatiegericht zoeken naar het e-mailadres van een SAP-gebruiker per SAP-systeem en -client, die normaal gesproken wordt gebruikt om het te koppelen aan een Active Directory-account.
De functie SAPUsersEmail gebruikt gegevens die zijn geëxtraheerd uit SAP-tabellen USR21 (Toewijzing van gebruikersnaam/adressleutel) en ADR6 (e-mailadressen) om naar een e-mailadres te zoeken. Als er geen e-mailadres wordt gevonden, wordt in plaats daarvan de gebruikers-id geretourneerd.
Dit gedrag zorgt ervoor dat SAP-serviceaccounts zoals DDIC, die vaak niet zijn gekoppeld aan een e-mailadres, worden geregistreerd als pseudo AD-accounts. Hiermee worden ook enkele UEBA-functies geopend, die helpen bij het onderzoeken van incidenten en opsporingsactiviteiten.
De functie SAPUsersEmail retourneert de volgende gegevens:
| Veld | Beschrijving |
|---|---|
| ClientID | De SAP-client-id |
| SystemID | De SAP-systeem-id |
| User | De SAP-gebruikers-id |
| E-mailen | Het e-mailadres van de SAP-gebruiker |
SAPSystems
De functie SAPSystems wordt gebruikt om de configuratie per systeem centraal weer te geven met behulp van de SAP - Systems watchlist.
Parameters:
| Naam | Optioneel/vereist | Default | Beschrijving |
|---|---|---|---|
| SelectedSystems | Optioneel | All Systems |
Wordt gebruikt om specifieke SAP-systemen te filteren |
| SelectedSystemRoles | Optioneel | All System Roles |
Bepaalt de rollen van de SAP-systemen die moeten worden bekeken, zoals gedefinieerd in de watchlist voor SAP - Systemen |
De functie SAPSystems retourneert de volgende gegevens:
| Veld | Beschrijving | Gegevensbron/notities |
|---|---|---|
| SearchKey | Zoeksleutel | Geïndexeerd veld voor SAP-systeem-id |
| SystemRole | De rol van het SAP-systeem | Productie, UAT |
| SystemUsage | Het belangrijkste gebruik van het SAP-systeem | ERP, CRM |
| SystemID | De SAP-systeem-id |
SAPAuditLogConfiguration
De functie SAPAuditLogConfiguration retourneert de lokale configuratie van de SAP-auditlogboekwaarschuwingen naar de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel. Deze configuratie wordt gebruikt voor sap-auditlogboekwaarschuwingen.
Met de functie SAPAuditLogConfiguration worden de gegevens samengevoegd in de SAP Dynamic Audit Log Monitor Configuration en SAP - Systems watchlists om een configuratie per systeem te bieden op basis van een taak per systeem.
Parameters:
| Naam | Optioneel/vereist | Default | Beschrijving |
|---|---|---|---|
| SelectedSystems | Optioneel | All Systems |
Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken. |
| SelectedSystemRoles | Optioneel | All System Roles |
Bepaalt de rollen van de SAP-systemen die moeten worden bekeken (zoals gedefinieerd in de watchlist voor SAP - Systemen ). |
| SelectedSeverities | Optioneel | [High, Medium] |
Wordt gebruikt om gebeurtenissen te bepalen die moeten worden bekeken in termen van hun ernst. Ernst per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst. |
| SelectedRuleTypes | Optioneel | All RuleTypes |
Bepaalt welke gebeurtenissen relevant zijn voor het detecteren van de afwijkingen op. Regeltypen per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst. |
De functie SAPAuditLogConfiguration retourneert de volgende gegevens:
| Veld | Beschrijving | Gegevensbron/notities |
|---|---|---|
| CategoryName | SAP-gebeurteniscategorie | Controlelijst voor configuratie van SAP Dynamic Audit Log Monitor |
| DestinationEmail | E-mailadres van het toegewezen team | Controlelijst voor configuratie van SAP Dynamic Audit Log Monitor |
| DetailedDescription | Een markdown opgemaakte tekst die moet worden weergegeven in waarschuwingen | Controlelijst voor configuratie van SAP Dynamic Audit Log Monitor |
| MessageID | De bericht-id van het SAP-auditlogboek | Controlelijst voor configuratie van SAP Dynamic Audit Log Monitor |
| MessageText | Een voorbeeldberichttekst | Controlelijst voor configuratie van SAP Dynamic Audit Log Monitor |
| RolesTagsToExclude | een ABAP-rol, profiel of vrije teksttag | Controlelijst voor configuratie van SAP Dynamic Audit Log Monitor |
| Regeltype | Anomalie of deterministisch | Controlelijst voor configuratie van SAP Dynamic Audit Log Monitor |
| Tactieken | De MITRE ATTA&CK-tactiek | Controlelijst voor configuratie van SAP Dynamic Audit Log Monitor |
| TeamsChannelID | Teams-kanaal | Controlelijst voor configuratie van SAP Dynamic Audit Log Monitor |
| SystemID | De SAP-systeem-id | SAP - Watchlist voor systemen |
| SystemRole | De rol van het SAP-systeem | SAP - Watchlist voor systemen |
| SystemUsage | Het belangrijkste gebruik van het SAP-systeem | SAP - Watchlist voor systemen |
| IsProd | Vlag voor productiesysteem | SAP - Watchlist voor systemen |
| Ernst | De afgeleide ernst | Ernst per systeemgebruik |
| Threshold | De afgeleide drempelwaarde | Aantal gebeurtenissen per systeemgebruik |
| BagOfDetails | Tas met details | Een woordenlijst met een detail van de gebeurtenisdefinitie |
Zie Beschikbare volglijsten voor meer informatie.
SAPAuditLogAnomalies
De functie SAPAuditLogAnomalies maakt gebruik van de ingebouwde machine learning-mogelijkheden van Microsoft Sentinel van Microsoft Sentinel om afwijkende gebeurtenissen te detecteren die in het SAP-auditlogboek zijn waargenomen.
De functie SAPAuditLogAnomalies is ontwikkeld voor de analyseregel SAP - (Experimenteel) Dynamic Anomaly based Audit Log Monitor Alerts Analytics. Hoewel het oorspronkelijke ontwerp is om te waarschuwen voor recente afwijkingen, kan het ook helpen om historische afwijkingen te markeren. Zie Voorbeeldgebruik voor meer informatie.
De functie SAPAuditLogAnomalies leert het segment van de geschiedenis die is gedefinieerd door de verschillende invoerparameters, op de volgende niveaus:
- User
- Netwerkkenmerken
- Systeem
- Periodieke variatie
- Activiteitsniveaus
De functie SAPAuditLogAnomalies beoordeelt vervolgens gebeurtenissen die plaatsvinden binnen de laatste DetectingTime periode op basis van wat deze heeft geleerd, het toepassen van drempelwaarden en andere configureerbare uitsluitingscriteria die zijn verkregen uit de watchlist voor de configuratie van het SAP-auditlogboek.
Zodra een schuifvenster van gebruikersactiviteit als afwijkend wordt beschouwd, retourneert een tweede query de volledige gebruikersactiviteit als bewijs dat de beslissing ondersteunt.
Parameters:
| Naam | Optioneel/vereist | Default | Beschrijving |
|---|---|---|---|
| LearningTime | Optioneel | 14 dagen | Bepaalt de tijdsduur die wordt gebruikt voor het leren van modellen. |
| DetectingTime | Optioneel | Eén uur | Bepaalt de tijdsduur die moet worden bekeken voor het detecteren van afwijkingen. Het aanroepen van deze functie met DetectingTime = 0h markeringen van afwijkingen gedurende de hele LearningTime periode. |
| SelectedSystems | Optioneel | All Systems |
Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken. |
| SelectedSystemRoles | Optioneel | All System Roles |
Bepaalt de rollen van de SAP-systemen die moeten worden bekeken, zoals gedefinieerd in de watchlist voor SAP - Systemen |
| SelectedSeverities | Optioneel | [High, Medium] |
Wordt gebruikt om gebeurtenissen te bepalen die moeten worden bekeken in termen van hun ernst. Ernst per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst. |
| SelectedPrefixMask | Optioneel | 24 | Wordt gebruikt om het niveau van het subnetmasker te bepalen dat wordt gebruikt voor leren en detecteren. |
| SelectedRuleTypes | Optioneel | AnomaliesOnly |
Bepaalt welke gebeurtenissen relevant zijn voor het detecteren van de afwijkingen. Regeltypen per SAP-auditlogboekbericht-id en systeemrol worden gedefinieerd in de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst. |
De functie SAPAuditLogAnomalies retourneert de volgende gegevens:
| Veld | Beschrijving |
|---|---|
| Meerdere velden uit SAPAuditLog | Sleutelvelden uit het SAP-auditlogboek |
| Meerdere velden van SAPAuditLogConfiguration | Sleutelvelden uit de configuratie van microsoft Sentinel voor SAP-auditlogboek |
| DiscoveredOn | Het afgeronde uur waarop de anomalie werd waargenomen |
| EventCount | Aantal gebeurtenissen geteld per rij |
| AnomalCount | Aantal gebeurtenissen dat is waargenomen in het relevante schuifvenster |
| MinTime | Tijdstip van eerste waargenomen gebeurtenis |
| MaxTime | Tijdstip waarop de laatste gebeurtenis is waargenomen |
| Score | de anomaliescores zoals geproduceerd door het anomaliemodel |
Aanbevelingen:
Net als bij elke machine learning-oplossing presteert de functie SAPAuditLogAnomalies beter met tijd en kan de functie zo nodig worden aangepast zodra de tijd vordert.
We raden u aan om de grootte van de geleerde database te beperken tot minder dan 100 miljoen records met behulp van de vele beschikbare invoerparameters.
Als u wilt zoeken naar afwijkingen voor gebeurtenissen met een hoge ernst die zich in het afgelopen uur in productiesystemen hebben voorgedaan voor gebeurtenistypen die zijn gemarkeerd als AnomaliesOnly in de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst, voert u het volgende uit:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Als u wilt zoeken naar alle afwijkingen in de afgelopen 14 dagen in het BIP-systeem , voert u het volgende uit:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Zie ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek en anomaliedetectie in het SAP-auditlogboek met behulp van de Microsoft Sentinel voor SAP-oplossing (blog) voor meer informatie.
SAPAuditLogConfigRecommend
De SAPAuditLogConfigRecommend is een helperfunctie die is ontworpen om aanbevelingen te bieden voor de configuratie van de analyseregel SAP - Dynamic Anomaly Based Audit Log Monitor Alerts (PREVIEW).
Zie Het SAP-auditlogboek bewaken voor meer informatie.
SAPUsersGetVIP
De Microsoft Sentinel-oplossing voor SAP-toepassingen maakt gebruik van een concept van centrale gebruikerstags en expliciete uitsluitingen, ontworpen om u te helpen fout-positieven met minimale inspanning te verlagen.
Gebruik de functie SAPUsersGetVIP om gebruikers uit te sluiten van het activeren van waarschuwingen door SAP-gebruikersrollen, SAP-gebruikersfuncties of tags op te geven die deze gebruikers vertegenwoordigen. Zie Fout-positieven afhandelen in Microsoft Sentinel voor meer informatie.
Tags die zijn opgegeven als invoer voor de functie SAPUsersGetVIP sluiten alle gebruikers uit met een tag die wordt vermeld in de SAP_User_Config watchlist. Dezelfde functionaliteit wordt uitgebreid om te werken met jokertekens, zodat u één tag kunt toewijzen aan een groep gebruikers met dezelfde naamgevingssyntaxis.
Tag gebruikers in de SAP_User_Config volglijst als volgt:
Voeg indien nodig meerdere tags toe aan elke gebruiker in de SAP_User_Config volglijst. Elke waarschuwingsregel heeft zijn eigen relevante tags, indien van toepassing, en u kunt indien nodig aangepaste tags toevoegen.
Gebruik een sterretje (*) als jokerteken om gebruikers met een specifieke naamgevingsyntaxissjabloon op te nemen.
Voeg de functie SAPUsersGetVIP toe aan uw analyseregels om de lijsten aan te vragen van gebruikers die u hebt gedefinieerd om te worden uitgesloten van waarschuwingen. Voeg in de functieaanroep een matrix toe met de tags, SAP-rollen en SAP-profielen die u wilt uitsluiten.
Gebruik bijvoorbeeld de volgende KQL-query in uw analyseregel om gebruikers uit te sluiten die zijn geconfigureerd met de Tag RunObsoleteProgOK in de SAP_User_Config volglijst, of gebruikers met de voorbeeldrol SAP_BASIS_ADMIN_ROLE of het voorbeeldprofiel SAP_ADMIN_PROFILE .
Wanneer u deze voorbeeldfunctieoproep kopieert, vervangt u SAP_BASIS_ADMIN_ROLE rol en SAP_ADMIN_PROFILE profiel indien nodig door uw eigen SAP-rollen of -profielen.
Voorbeeld:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
De functie SAPUsersGetVIP wordt vaak gebruikt in deterministische en afwijkende waarschuwingen voor controlelogboekcontrole . Koppel een tag aan een bericht-id van het SAP-auditlogboek of breid de regelsjabloon uit naar een aangepaste regel die overeenkomt met de behoeften van uw organisatie.
Tip
We raden u aan contact op te nemen met uw SAP-systeembeheerder om te begrijpen welke SAP-gebruikers, -rollen en -profielen moeten worden opgenomen in uw SAP_User_Config volglijst.
Parameters:
| Naam | Optioneel/vereist | Default | Beschrijving |
|---|---|---|---|
| SearchForTags | Optioneel | dynamic('All Tags') |
Als SearchForTags dit gelijk is All Tagsaan, worden alle gebruikers samen met hun tags geretourneerd. Anders worden alleen gebruikers met de tags, SAP-rollen of SAP-profielen geretourneerd die zijn opgegeven in SearchForTags . TagsIntersect toont de gevonden tags en IntersectionSize bevat het aantal gevonden tags. |
| SpecialFocusTags | Optioneel | Do not return any in-focus users |
Retourneert alle gebruikers met de opgegeven SpecialFocusTagstags en markeert deze met specialFocusTagged = true. |
De functie SAPUsersGetVIP retourneert de volgende uitvoer:
| Bron | Veld | Omschrijving | Opmerkingen |
|---|---|---|---|
| De SAP_User_Config watchlist | SearchKey |
Zoeksleutel | |
| De SAP_User_Config watchlist | SAPUser |
De SAP-gebruiker | OSS, DDIC |
| De SAP_User_Config watchlist | Tags |
Tekenreeks van tags die aan de gebruiker zijn toegewezen | RunObsoleteProgOK |
| De SAP_User_Config watchlist | Object-id van Microsoft Entra van gebruiker | Microsoft Entra-object-id | |
| De SAP_User_Config watchlist | Gebruikers-id | Azure Directory-gebruikers-id | |
| De SAP_User_Config watchlist | On-premises SID van gebruiker | ||
| De SAP_User_Config watchlist | User principal name | ||
| De SAP_User_Config watchlist | TagsList |
Een lijst met tags die aan de gebruiker zijn toegewezen | ChangeUserMasterDataOK;RunObsoleteProgOK |
| Logica | TagsIntersect | Een set tags die overeenkomen met SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Logica | SpecialFocusTagged | Speciale focusindicatie | True, False |
| Logica | Snijpunt | Het aantal gekruiste tags |
SAPUsersHeader
De functie SAPUsersHeader is ontworpen om een algemeen overzicht van de SAP-gebruiker te bieden. Er worden gegevens gebruikt die zijn geëxtraheerd uit zowel de hoofdgegevenstabellen van de SAP-gebruiker als de recente activiteit in het SAP-auditlogboek om e-mail en IP-adressen te verzamelen. Vervolgens worden laatst bekende e-mailadressen en IP-adressen geretourneerd, samen met primaire e-mailadressen en IP-adressen.
Parameters:
| Naam | Optioneel/vereist | Default | Beschrijving |
|---|---|---|---|
| SelectedSystems | Optioneel | All Systems |
Wordt gebruikt om specifieke SAP-systemen te filteren om naar te kijken |
| SelectedSystemRoles | Optioneel | All System Roles |
Bepaalt de rollen van de SAP-systemen die moeten worden bekeken, zoals gedefinieerd in de watchlist voor SAP - Systemen . |
| SelectedUsers | Optioneel | All Users |
Kan invoerlijsten van gebruikers invoeren. |
| SelectedUser | Optioneel | All Users |
Accepteert slechts één gebruiker. |
Voorbeeld:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Tip
Voor prestatieoverwegingen wordt slechts een paar dagen aan controleactiviteiten overwogen. Voer voor een volledige geschiedenis van gebruikersactiviteit een aangepaste KQL-query uit op de functie SAPAuditLog .
De functie SAPUsersHeader retourneert de volgende uitvoer:
| Bron | Veld | Omschrijving | Opmerkingen |
|---|---|---|---|
| User | De SAP-gebruiker | ||
| SAP-tabellen ADR6 en USR21 | E-mailen | Afkomstig van de hoofdgegevens van de gebruiker | OSS, DDIC |
| SAP-tabel USR02 | UserType | Tekenreeks van tags die aan de gebruiker zijn toegewezen | RunObsoleteProgOK |
| SAP-tabel USR02 | Tijdzone | Microsoft Entra-object-id | |
| SAP-tabel USR02 | LockedStatus | Azure Directory-gebruikers-id | |
| SAP-auditlogboek | LastSeen | Een tijdstempel | Laatste controlegebeurtenis waargenomen voor de gebruiker |
| SAP-auditlogboek | LastSeenDaysAgo | Dagen verstreken sinds LastSeen |
|
| SAP-auditlogboek | PrimaryIP | Meest gebruikte IP-adres | ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP-auditlogboek | LastKnownIP | Laatst gebruikt IP-adres | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP-auditlogboek | PrimaryEmail | Meestgebruikte e-mailadres | True, False |
| SAP-auditlogboek | Bekende IP's | Lijst met bekende IP-adressen | Gesorteerd op de meest voorkomende eerste |
| SAP-auditlogboek | KnownEmails | Lijst met bekende e-mailadressen | Gesorteerd op de meest voorkomende eerste |
| Klant | De SAP-client-id | ||
| SystemID | De SAP-systeem-id | ||
| SystemRole | De rol van het SAP-systeem | Productie, UAT | |
| SystemUsage | Het belangrijkste gebruik van het SAP-systeem | ERP, CRM |
Gerelateerde inhoud
Zie voor meer informatie: