Udostępnij za pośrednictwem


Rozwiązanie Microsoft Sentinel dla aplikacji SAP — dokumentacja funkcji

W tym artykule opisano wybór funkcji dostępnych w obszarze roboczym po zainstalowaniu rozwiązania Microsoft Sentinel dla aplikacji SAP. Odkryj więcej funkcji, przeglądając usługę Microsoft Sentinel i ładując kod funkcji.

Znajdź funkcje w następujący sposób:

  • W witrynie Azure Portal na stronie Dzienniki ogólne > na karcie Funkcje i wyświetlonej w obszarze Funkcje.
  • W portalu usługi Defender na stronie Zaawansowane wyszukiwanie zagrożeń dla badania i odpowiedzi > na karcie Funkcje i wyświetlone w obszarze Funkcje obszaru roboczego usługi Sentinel.

Zawartość tego artykułu jest przeznaczona dla zespołów ds . zabezpieczeń .

Używanie funkcji w zapytaniach zamiast bazowych dzienników lub tabel

Zdecydowanie zalecamy używanie funkcji wymienionych w tym artykule jako tematów ich analizy, jeśli to możliwe, zamiast bazowych dzienników lub tabel.

Te funkcje mają służyć jako główny interfejs użytkownika do danych. Stanowią one podstawę dla wszystkich wbudowanych reguł analitycznych i skoroszytów dostępnych dla Ciebie. Użycie funkcji umożliwia wprowadzanie zmian w infrastrukturze danych pod funkcjami bez przerywania zawartości utworzonej przez użytkownika.

SAPUsersAssignments

Funkcja SAPUsersAssignments zbiera dane z wielu źródeł danych SAP i tworzy zorientowany na użytkownika widok bieżących danych głównych użytkownika, w tym role i profile aktualnie przypisane.

Ta funkcja podsumowuje przypisania użytkowników do ról i profilów oraz zwraca następujące dane:

Pole opis Źródło danych/notatki
User Identyfikator użytkownika SAP Tylko SAL
Email Adres SMTP USR21 (SMTP_ADDR)
UserType Typ użytkownika USR02 (USTYP)
Strefa czasowa Time zone USR02 (TZONE)
LockedStatus Stan blokady USR02 (UFLAG)
LastSeenDate Data ostatniego zobaczenia USR02 (TRDAT)
LastSeenTime Ostatnio widziano USR02 (LTIME)
UserGroupAuth Grupa użytkowników w konserwacji wzorca użytkownika USR02 (KLASA)
Profile Zestaw profilów (domyślny maksymalny rozmiar zestawu = 50) ["Profile 1", "Profile 2",...,"profile 50"]
Role bezpośrednie Zestaw ról przypisanych bezpośrednio (domyślny maksymalny rozmiar zestawu = 50) ["Role 1", "Role 2",...,"”"Role 50"]
Role podrzędne Zestaw ról przypisanych pośrednio (domyślny maksymalny rozmiar zestawu = 50) ["Role 1", "Role 2",...,"”"Role 50"]
Klient Client ID
Identyfikator systemowy Identyfikator systemowy Zgodnie z definicją w łączniku

SAPUsersGetPrivileged

Funkcja SAPUsersGetPrivileged zwraca listę uprzywilejowanych użytkowników na klienta i identyfikator systemu.

Użytkownicy są traktowani jako uprzywilejowani, gdy są zgodni z dowolnym z następujących opisów:

  • Są one wymienione na liście obserwowanych sap — Privileged Users
  • Są one przypisane do profilu wymienionego na liście obserwowanych profilów SAP — poufne profile
  • Są one dodawane do roli wymienionej w systemie SAP — lista obserwowanych ról poufnych

Parametry:

Nazwisko Opcjonalne/wymagane Domyślny opis
TimeAgo Opcjonalnie Siedem dni Określa, że funkcja szuka danych głównych użytkownika z czasu zdefiniowanego TimeAgo przez wartość do czasu zdefiniowanego now() przez wartość.

Funkcja SAPUsersGetPrivileged zwraca następujące dane:

Pole opis
User Identyfikator użytkownika SAP
Klient Client ID
Identyfikator systemowy Identyfikator systemowy

SAPUsersAuthorizations

Funkcja SAPUsersAuthorizations łączy dane z kilku tabel w celu utworzenia widoku skoncentrowanego na użytkowniku przypisanych bieżących ról i autoryzacji. Zwracane są tylko użytkownicy z aktywną rolą i przypisaniami autoryzacji.

Parametry:

Nazwisko Opcjonalne/wymagane Domyślny opis
TimeAgo Opcjonalnie Siedem dni Określa, że funkcja szuka danych głównych użytkownika z czasu zdefiniowanego TimeAgo przez wartość do czasu zdefiniowanego now() przez wartość.

Funkcja SAPUsersAuthorizations zwraca następujące dane:

Pole opis Uwagi
User Identyfikator użytkownika SAP
Role Zestaw ról (domyślny maksymalny rozmiar zestawu = 50) ["Role 1", "Role 2",...,"Role 50"]
AuthorizationsDetails Zestaw autoryzacji (domyślny maksymalny rozmiar zestawu = 100) {{AuthorizationsDetails1},
{AuthorizationsDetails2},
...,
{AuthorizationsDetails100}}
Klient Client ID
Identyfikator systemowy Identyfikator systemowy

SAPConnectorHealth

Funkcja SAPConnectorHealth odzwierciedla stan łączności agenta i bazowego systemu SAP. Na podstawie SAP_HeartBeat_CL dziennika pulsu i innych wskaźników kondycji zwraca następujące dane:

Pole opis
Agent Identyfikator agenta w konfiguracji agenta (generowany automatycznie)
Identyfikator systemowy Identyfikator systemu SAP
Stan Ogólny stan łączności
Szczegóły Szczegóły łączności
ExtendedDetails Szczegóły rozszerzonej łączności
LastSeen Sygnatura czasowa najnowszego działania
StatusCode Kod odzwierciedlający stan systemu

SAPConnectorOverview

Funkcja SAPConnectorOverview przedstawia liczbę wierszy każdej tabeli SAP na identyfikator systemu. Zwraca listę rekordów danych na identyfikator systemu i wygenerowany czas.

Parametry:

Nazwisko Opcjonalne/wymagane Domyślny opis
TimeAgo Opcjonalnie Siedem dni Określa, że funkcja szuka danych głównych użytkownika z czasu zdefiniowanego TimeAgo przez wartość do czasu zdefiniowanego now() przez wartość.

Funkcja SAPConnectorOverview zwraca następujące dane:

Pole opis
TimeGenerated Wartość daty/godziny znacznika czasu generowania rekordu
SystemID_s Ciąg reprezentujący identyfikator systemu SAP

Użyj następującego zapytania Kusto, aby wykonać codzienną analizę trendu:

SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s

SAPUsersEmail

Funkcja SAPUsersEmail umożliwia zorientowane na wydajność wyszukiwanie adresu e-mail użytkownika SAP dla systemu SAP i klienta, zwykle używane do skojarzenia go z kontem usługi Active Directory.

Funkcja SAPUsersEmail używa danych wyodrębnionych z tabel SAP USR21 (nazwa użytkownika/przypisanie klucza adresu) i ADR6 (adresy e-mail), aby wyszukać adres e-mail. Jeśli nie zostanie znaleziony żaden adres e-mail, zamiast tego zostanie zwrócony identyfikator użytkownika.

To zachowanie gwarantuje, że konta usług SAP, takie jak DDIC, które często nie są skojarzone z adresami e-mail, są rejestrowane jako pseudo konta usługi AD. Otwiera to również niektóre funkcje UEBA, ułatwiając badanie zdarzeń i działań polowania.

Funkcja SAPUsersEmail zwraca następujące dane:

Pole opis
ClientID Identyfikator klienta SAP
Identyfikator systemowy Identyfikator systemu SAP
User Identyfikator użytkownika SAP
Email Adres e-mail użytkownika SAP

SAPSystems

Funkcja SAPSystems służy do centralnego prezentowania konfiguracji dla poszczególnych systemów przy użyciu listy kontrolnej SAP - Systems .

Parametry:

Nazwisko Opcjonalne/wymagane Domyślny opis
SelectedSystems Opcjonalnie All Systems Służy do filtrowania określonych systemów SAP
SelectedSystemRoles Opcjonalnie All System Roles Określa role systemów SAP, które mają być przeglądane zgodnie z definicją na liście kontrolnej SAP — Systems

Funkcja SAPSystems zwraca następujące dane:

Pole opis Źródło danych/notatki
Klucz wyszukiwania Klucz wyszukiwania Pole indeksowane dla identyfikatora systemu SAP
SystemRole Rola systemu SAP Produkcja, UAT
SystemUsage Główne użycie systemu SAP ERP, CRM
Identyfikator systemowy Identyfikator systemu SAP

SAPAuditLogConfiguration

Funkcja SAPAuditLogConfiguration zwraca lokalną konfigurację alertów dziennika inspekcji SAP do obszaru roboczego usługi Log Analytics włączonego dla usługi Microsoft Sentinel. Ta konfiguracja jest używana w przypadku alertów związanych z dziennikami inspekcji sap.

Funkcja SAPAuditLogConfiguration łączy dane z listy kontrolnej monitora dzienników inspekcji SAP i SAP — Systems, aby zapewnić konfigurację dla poszczególnych systemów w ramach nakładu pracy nad rolą systemu.

Parametry:

Nazwisko Opcjonalne/wymagane Domyślny opis
SelectedSystems Opcjonalnie All Systems Służy do filtrowania określonych systemów SAP do przyjrzenia się.
SelectedSystemRoles Opcjonalnie All System Roles Określa role systemów SAP, które mają być przeglądane (zgodnie z definicją na liście kontrolnej SAP — Systems ).
SelectedSeverities Opcjonalnie [High, Medium] Służy do określania zdarzeń, które mają być sprawdzane pod względem ich ważności. Ważność dla identyfikatora komunikatu dziennika inspekcji sap i roli systemu są definiowane na SAP_Dynamic_Audit_Log_Monitor_Configuration liście obserwowanych.
SelectedRuleTypes Opcjonalnie All RuleTypes Określa, które zdarzenia są istotne do wykrywania anomalii. Typy reguł dla identyfikatora komunikatu dziennika inspekcji SAP i roli systemu są zdefiniowane na liście obserwowanych SAP_Dynamic_Audit_Log_Monitor_Configuration .

Funkcja SAPAuditLogConfiguration zwraca następujące dane:

Pole opis Źródło danych/notatki
CategoryName Kategoria zdarzeń dla systemu SAP Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP
DestinationEmail Adres e-mail przypisanego zespołu Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP
Szczegółowy opis Tekst sformatowany w języku znaczników markdown, który ma być wyświetlany w alertach Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP
Identyfikator komunikatu Identyfikator komunikatu dziennika inspekcji SAP Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP
Tekst komunikatu Przykładowy tekst wiadomości Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP
RolesTagsToExclude rola ABAP, profil lub dowolny tag tekstowy Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP
RuleType Anomalia lub deterministyczna Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP
Taktyka Taktyka MITRE ATTA&CK Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP
TeamsChannelID Kanał usługi Teams Lista obserwowana konfiguracji dynamicznego monitora dzienników inspekcji SAP
Identyfikator systemowy Identyfikator systemu SAP SAP — lista obserwowana systemów
SystemRole Rola systemu SAP SAP — lista obserwowana systemów
SystemUsage Główne użycie systemu SAP SAP — lista obserwowana systemów
IsProd Flaga systemu produkcyjnego SAP — lista obserwowana systemów
Ważność Ważność pochodna Ważność na użycie systemu
Threshold Próg pochodny Liczba zdarzeń na użycie systemu
BagOfDetails Torba ze szczegółami Słownik opisujący definicję zdarzenia

Aby uzyskać więcej informacji, zobacz Dostępne listy do obejrzenia.

SAPAuditLogAnomalies

Funkcja SAPAuditLogAnomalies używa wbudowanych funkcji uczenia maszynowego bazy danych Kusto usługi Microsoft Sentinel w celu wykrywania nietypowych zdarzeń zaobserwowanych w dzienniku inspekcji sap.

Funkcja SAPAuditLogAnomalies została opracowana dla reguły analizy alertów alertów monitora dzienników inspekcji opartych na anomalii sap - (eksperymentalne). Chociaż jego oryginalnym projektem jest zgłaszanie alertów dotyczących ostatnich anomalii, może również pomóc wyróżnić anomalie historyczne. Aby uzyskać więcej informacji, zobacz Przykładowe zastosowania.

Funkcja SAPAuditLogAnomalies uczy się wycinka historii zdefiniowanej przez różne parametry wejściowe na następujących poziomach:

  • User
  • Atrybuty sieci
  • System
  • Sezonowość
  • Poziomy aktywności

Funkcja SAPAuditLogAnomalies następnie ocenia zdarzenia występujące w ciągu ostatniego DetectingTime przedziału czasu zgodnie z tym, co się dowiedziało, stosując progi i inne konfigurowalne kryteria wykluczania uzyskane z listy kontrolnej konfiguracji dziennika inspekcji SAP.

Gdy okno przewijania aktywności użytkownika zostanie uznane za nietypowe, drugie zapytanie zwraca całą aktywność użytkownika jako dowód potwierdzający decyzję.

Parametry:

Nazwisko Opcjonalne/wymagane Domyślny opis
LearningTime Opcjonalnie 14 dni Określa przedział czasu używany do uczenia modelu.
DetectingTime Opcjonalnie Jedna godzina Określa przedział czasu, który ma być sprawdzany pod kątem wykrywania anomalii. Wywołanie tej funkcji z wyróżnionymi DetectingTime = 0h anomaliami przez cały LearningTime przedział czasu.
SelectedSystems Opcjonalnie All Systems Służy do filtrowania określonych systemów SAP do przyjrzenia się.
SelectedSystemRoles Opcjonalnie All System Roles Określa role systemów SAP, które mają być przeglądane zgodnie z definicją na liście kontrolnej SAP — Systems
SelectedSeverities Opcjonalnie [High, Medium] Służy do określania zdarzeń, które mają być sprawdzane pod względem ich ważności. Ważność dla identyfikatora komunikatu dziennika inspekcji sap i roli systemu są definiowane na SAP_Dynamic_Audit_Log_Monitor_Configuration liście obserwowanych.
SelectedPrefixMask Opcjonalnie 24 Służy do określania poziomu maski podsieci używanego do uczenia się i wykrywania.
SelectedRuleTypes Opcjonalnie AnomaliesOnly Określa, jakie zdarzenia są istotne do wykrywania anomalii. Typy reguł dla identyfikatora komunikatu dziennika inspekcji SAP i roli systemu są zdefiniowane na liście obserwowanych SAP_Dynamic_Audit_Log_Monitor_Configuration .

Funkcja SAPAuditLogAnomalies zwraca następujące dane:

Pole opis
Wiele pól z programu SAPAuditLog Pola klucza z dziennika inspekcji SAP
Wiele pól z polecenia SAPAuditLogConfiguration Pola kluczy z usługi Microsoft Sentinel dla konfiguracji dziennika inspekcji SAP
Odnaleziono Zaokrąglona godzina, w której zaobserwowano anomalię
EventCount Liczba zdarzeń zliczanych na wiersz zwracany
AnomalCount Liczba zdarzeń zaobserwowanych w odpowiednim oknie przesuwnym
MinTime Czas pierwszego zaobserwowanego zdarzenia
MaxTime Czas ostatniego zaobserwowanego zdarzenia
Wynik wyniki anomalii generowane przez model anomalii

Rekomendacje:

Podobnie jak w przypadku dowolnego rozwiązania do uczenia maszynowego, funkcja SAPAuditLogAnomalies działa lepiej z czasem i może być dostosowywana zgodnie z potrzebami w miarę upływu czasu.

Zalecamy ograniczenie rozmiaru poznanej bazy danych do 100 milionów rekordów przy użyciu wielu dostępnych parametrów wejściowych.

Przykładowe zastosowania obejmują:

  • Aby wyszukać anomalie dotyczące zdarzeń o wysokiej ważności, które wystąpiły w ciągu ostatniej godziny w systemach produkcyjnych dla typów zdarzeń oznaczonych jako AnomaliesOnly na liście obserwowanych SAP_Dynamic_Audit_Log_Monitor_Configuration , uruchom polecenie:

    SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), 
    SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))
    
  • Aby wyszukać wszystkie anomalie w ciągu ostatnich 14 dni w systemie BIP , uruchom polecenie:

    SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
    

Aby uzyskać więcej informacji, zobacz Wbudowane reguły analizy sap do monitorowania dziennika inspekcji SAP i wykrywania anomalii w dzienniku inspekcji SAP przy użyciu rozwiązania Microsoft Sentinel dla rozwiązania SAP (blog).

SAPAuditLogConfigRecommend

SAPAuditLogConfigRecommend to funkcja pomocnika przeznaczona do oferowania rekomendacji dotyczących konfiguracji reguły analizy alertów monitora dzienników inspekcji (WERSJA ZAPOZNAWCZA) systemu SAP - Dynamic Anomaly Based Audit Log Monitor.

Aby uzyskać więcej informacji, zobacz Monitorowanie dziennika inspekcji SAP.

SAPUsersGetVIP

Rozwiązanie Microsoft Sentinel dla aplikacji SAP korzysta z koncepcji znakowania użytkowników centralnych i jawnych wykluczeń, które ułatwiają obniżenie wyników fałszywie dodatnich przy minimalnym nakładzie pracy.

Użyj funkcji SAPUsersGetVIP, aby wykluczyć użytkowników z wyzwalania alertów przez określenie ról użytkowników sap, funkcji użytkownika sap lub tagów reprezentujących tych użytkowników. Aby uzyskać więcej informacji, zobacz Obsługa wyników fałszywie dodatnich w usłudze Microsoft Sentinel.

Tagi określone jako dane wejściowe dla funkcji SAPUsersGetVIP wykluczają wszystkich użytkowników z tagiem wymienionym na liście SAP_User_Config watchlist. Ta sama funkcja została rozszerzona w celu pracy z symbolami wieloznacznymi, umożliwiając przypisanie pojedynczego tagu do grupy użytkowników z tą samą składnią nazewnictwa.

  1. Taguj użytkowników na liście SAP_User_Config watchlist w następujący sposób:

    • Dodaj wiele tagów do każdego użytkownika na liście obserwowanych SAP_User_Config , zgodnie z potrzebami, aby uwzględnić różne scenariusze. Każda reguła alertu ma własne odpowiednie tagi, jeśli istnieją, i w razie potrzeby można dodać tagi niestandardowe.

    • Użyj gwiazdki (*) jako symbolu wieloznakowego, aby uwzględnić użytkowników z określonym szablonem składni nazewnictwa.

  2. Dodaj funkcję SAPUsersGetVIP w regułach analizy, aby zażądać listy użytkowników zdefiniowanych do wykluczenia z alertów. W wywołaniu funkcji dodaj tablicę z tagami, rolami SAP i profilami SAP, które chcesz wykluczyć.

Na przykład użyj następującego zapytania KQL w regule analizy, aby wykluczyć wszystkich użytkowników skonfigurowanych za pomocą tagu RunObsoleteProgOK na liście do obejrzenia SAP_User_Config lub wszystkich użytkowników z przykładową rolą SAP_BASIS_ADMIN_ROLE lub przykładowym profilem SAP_ADMIN_PROFILE.

Podczas kopiowania tego przykładowego wywołania funkcji zastąp SAP_BASIS_ADMIN_ROLE rolę i profil SAP_ADMIN_PROFILE własnymi rolami lub profilami SAP zgodnie z potrzebami.

Na przykład:

// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude

Funkcja SAPUsersGetVIP jest często używana w alertach deterministycznego i nietypowego monitora dziennika inspekcji. Skojarz tag z identyfikatorem komunikatu dziennika inspekcji SAP lub rozszerz szablon reguły na niestandardową regułę zgodną z potrzebami organizacji.

Napiwek

Zalecamy skontaktowanie się z administratorem systemu SAP, aby zrozumieć, którzy użytkownicy, role i profile sap mają być uwzględniani na liście do obejrzenia SAP_User_Config .

Parametry:

Nazwisko Opcjonalne/wymagane Domyślny opis
SearchForTags Opcjonalnie dynamic('All Tags') Gdy SearchForTags równa All Tagssię , wszyscy użytkownicy są zwracani wraz z tagami.

W przeciwnym razie zwracane są tylko użytkownicy z tagami, rolami SAP lub profilami SAP określonymi w elem SearchForTags . TagsIntersect wyświetla znalezione tagi i IntersectionSize zawiera liczbę znalezionych tagów.
SpecialFocusTags Opcjonalnie Do not return any in-focus users Zwraca wszystkich użytkowników z tagami określonymi w obiekcie SpecialFocusTagsi oznaczonymi elementami specialFocusTagged = true.

Funkcja SAPUsersGetVIP zwraca następujące dane wyjściowe:

Źródło Pole opis Uwagi
Lista do obejrzenia SAP_User_Config SearchKey Klucz wyszukiwania
Lista do obejrzenia SAP_User_Config SAPUser Użytkownik SAP System operacyjny, DDIC
Lista do obejrzenia SAP_User_Config Tags Ciąg tagów przypisanych do użytkownika RunObsoleteProgOK
Lista do obejrzenia SAP_User_Config Identyfikator obiektu Microsoft Entra użytkownika Identyfikator obiektu Entra firmy Microsoft
Lista do obejrzenia SAP_User_Config Identyfikator użytkownika Identyfikator użytkownika usługi Azure Directory
Lista do obejrzenia SAP_User_Config Lokalny identyfikator SID użytkownika
Lista do obejrzenia SAP_User_Config Główna nazwa użytkownika
Lista do obejrzenia SAP_User_Config TagsList Lista tagów przypisanych do użytkownika ChangeUserMasterDataOK;RunObsoleteProgOK
Logika TagsIntersect Zestaw tagów pasujących SearchForTags ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Logika SpecialFocusTagged Specjalne wskazanie fokusu True, False
Logika Rozmiar skrzyżowania Liczba intersected tagów

SAPUsersHeader

Funkcja SAPUsersHeader została zaprojektowana w celu zapewnienia wysokiego poziomu widoku użytkownika SAP. Używa on danych wyodrębnionych zarówno z tabel danych głównych użytkownika sap, jak i ostatnich działań w dzienniku inspekcji SAP w celu zbierania wiadomości e-mail i adresów IP. Następnie zwraca ostatni znany adres e-mail i adresy IP wraz z podstawowymi adresami e-mail i IP.

Parametry:

Nazwisko Opcjonalne/wymagane Domyślny opis
SelectedSystems Opcjonalnie All Systems Służy do filtrowania określonych systemów SAP w celu przyjrzenia się
SelectedSystemRoles Opcjonalnie All System Roles Określa role systemów SAP, które mają być przeglądane zgodnie z definicją na liście kontrolnej SAP - Systems .
Wybraniuużytkownicy Opcjonalnie All Users Może wprowadzać listy użytkowników.
SelectedUser Opcjonalnie All Users Akceptuje tylko jednego użytkownika.

Na przykład:

SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"

Napiwek

W przypadku zagadnień dotyczących wydajności należy wziąć pod uwagę tylko kilka dni działania inspekcji. Aby uzyskać pełną historię aktywności użytkownika, uruchom niestandardowe zapytanie KQL względem funkcji SAPAuditLog .

Funkcja SAPUsersHeader zwraca następujące dane wyjściowe:

Źródło Pole opis Uwagi
User Użytkownik SAP
Tabele SAP ADR6 i USR21 Email Pobrane z danych głównych użytkownika System operacyjny, DDIC
TABELA SAP USR02 UserType Ciąg tagów przypisanych do użytkownika RunObsoleteProgOK
TABELA SAP USR02 Strefa czasowa Identyfikator obiektu Entra firmy Microsoft
TABELA SAP USR02 LockedStatus Identyfikator użytkownika usługi Azure Directory
Dziennik inspekcji SAP LastSeen Znacznik czasu Ostatnie zdarzenie inspekcji zaobserwowane dla użytkownika
Dziennik inspekcji SAP LastSeenDaysAgo Liczba dni minęła od LastSeen
Dziennik inspekcji SAP Podstawowy elementIP Najczęściej używany adres IP ChangeUserMasterDataOK;RunObsoleteProgOK
Dziennik inspekcji SAP LastKnownIP Ostatnio używany adres IP ["ChangeUserMasterDataOK","RunObsoleteProgOK"]
Dziennik inspekcji SAP PrimaryEmail Najczęściej używany adres e-mail True, False
Dziennik inspekcji SAP Znane adresy IP Lista znanych adresów IP Posortowane według najczęściej spotykanych pierwszych
Dziennik inspekcji SAP Znane wiadomości e-mail Lista znanych adresów e-mail Posortowane według najczęściej spotykanych pierwszych
Klient Identyfikator klienta SAP
Identyfikator systemowy Identyfikator systemu SAP
SystemRole Rola systemu SAP Produkcja, UAT
SystemUsage Główne użycie systemu SAP ERP, CRM

Aby uzyskać więcej informacji, zobacz: