Udostępnij za pośrednictwem


Zbieranie dzienników inspekcji oprogramowania SAP HANA w usłudze Microsoft Sentinel

W tym artykule wyjaśniono, jak zbierać dzienniki inspekcji z bazy danych SAP HANA.

Zawartość w tym artykule jest przeznaczona dla zespołów ds . zabezpieczeń, infrastruktury i platformy SAP BASIS .

Ważne

Obsługa oprogramowania SAP HANA w usłudze Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Wymagania wstępne

Dzienniki platformy SAP HANA są wysyłane za pośrednictwem dziennika systemowego. Upewnij się, że agent usługi Azure Monitor jest skonfigurowany do zbierania plików dziennika systemowego. Aby uzyskać więcej informacji, zobacz Ingest syslog and CEF messages to Microsoft Sentinel with the Azure Monitor Agent (Pozyskiwanie dzienników systemu i komunikatów CEF do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor).

Zbieranie dzienników inspekcji oprogramowania SAP HANA

  1. Upewnij się, że dziennik inspekcji sap HANA jest skonfigurowany do używania dziennika syslog zgodnie z opisem w artykule SAP Note 0002624117, który jest dostępny z witryny pomocy technicznej programu SAP Launchpad. Aby uzyskać więcej informacji, zobacz:

  2. Sprawdź pliki dziennika systemu operacyjnego pod kątem wszelkich odpowiednich zdarzeń bazy danych HANA.

  3. Zaloguj się do systemu operacyjnego bazy danych HANA jako użytkownik z uprawnieniami sudo.

  4. Zainstaluj agenta na maszynie i upewnij się, że maszyna jest połączona. Aby uzyskać więcej informacji, zobacz Instalowanie agenta usługi Azure Monitor i zarządzanie nim.

  5. Skonfiguruj agenta do zbierania danych dziennika systemowego. Aby uzyskać więcej informacji, zobacz Zbieranie zdarzeń dziennika systemowego za pomocą agenta usługi Azure Monitor.

    Napiwek

    Ponieważ obiekty, w których są zapisywane zdarzenia bazy danych HANA, mogą ulec zmianie między różnymi dystrybucjami, zalecamy dodanie wszystkich obiektów. Sprawdź je względem dzienników usługi Syslog, a następnie usuń wszystkie, które nie są istotne.

Weryfikowanie konfiguracji

Wykonaj poniższe kroki zarówno w usłudze Microsoft Sentinel, jak i w bazie danych SAP HANA, aby sprawdzić, czy system jest skonfigurowany zgodnie z oczekiwaniami.

Microsoft Sentinel

Na stronie Dzienniki usługi Microsoft Sentinel sprawdź, czy zdarzenia bazy danych HANA są teraz wyświetlane w pozyskanych dziennikach. Na przykład uruchom następujące zapytanie:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

W bazie danych SAP HANA sprawdź skonfigurowane zasady inspekcji. Aby uzyskać więcej informacji na temat wymaganych instrukcji SQL, zobacz sap Note 3016478.

Dodawanie reguł analizy dla platformy SAP HANA w usłudze Microsoft Sentinel

Użyj następujących wbudowanych reguł analitycznych, aby usługa Microsoft Sentinel zaczęła wyzwalać alerty dotyczące powiązanego działania platformy SAP HANA:

  • SAP — (WERSJA ZAPOZNAWCZA) HANA DB — Przypisywanie autoryzacji administratora
  • SAP — (WERSJA ZAPOZNAWCZA) BAZA danych HANA — zmiany zasad dziennika inspekcji
  • SAP — (WERSJA ZAPOZNAWCZA) BAZA danych HANA — dezaktywacja dziennika inspekcji
  • SAP — (WERSJA ZAPOZNAWCZA) HANA DB — akcje administratora użytkowników

Aby uzyskać więcej informacji, zobacz Rozwiązanie Microsoft Sentinel dla aplikacji SAP: dokumentacja zawartości zabezpieczeń.

Dowiedz się więcej o rozwiązaniu Microsoft Sentinel dla aplikacji SAP: