Compartilhar via


Coletar logs de auditoria do SAP HANA no Microsoft Sentinel

Este artigo explica como coletar logs de auditoria do banco de dados SAP HANA.

O conteúdo deste artigo é destinado às suas equipes de segurança, infraestrutura e SAP BASIS.

Importante

No momento, o suporte para SAP HANA do Microsoft Sentinel encontra-se em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Observação

Este artigo é relevante apenas para o agente do conector de dados e não é relevante para a solução do SAP sem agente (versão prévia limitada).

Pré-requisitos

Os logs do SAP HANA são enviados pelo Syslog. Verifique se o Agente do Azure Monitor está configurado para coletar arquivos do Syslog. Para obter mais informações, confira Ingerir mensagens do syslog e do CEF para o Microsoft Sentinel com o agente do Azure Monitor.

Coletar logs de auditoria do SAP HANA

  1. Verifique se a trilha do log de auditoria do SAP HANA está configurada para usar o Syslog, conforme descrito em Nota SAP 0002624117, que pode ser acessada no site do Launchpad de suporte do SAP. Para obter mais informações, consulte:

  2. Verifique se há eventos de banco de dados HANA relevantes nos arquivos Syslog do sistema operacional.

  3. Entre no sistema operacional do banco de dados HANA como um usuário com privilégios sudo.

  4. Instale um agente em seu computador e confirme se o computador está conectado. Para obter mais informações, confira Instalar e gerenciar o Agente do Azure Monitor.

  5. Configurar seu agente para coletar dados do Syslog. Para obter mais informações, confira Coletar eventos do Syslog com o Agente do Azure Monitor.

    Dica

    Como as instalações nas quais os eventos de banco de dados do HANA são salvos podem mudar de acordo com a distribuição, recomendamos que você adicione todas as instalações. Verifique-os em seus logs do Syslog e remova qualquer um que não seja relevante.

Verifique sua configuração

Use as etapas a seguir no Microsoft Sentinel e no banco de dados SAP HANA para verificar se o sistema está configurado conforme o esperado.

Microsoft Sentinel

Na página do Microsoft Sentinel Logs verifique para confirmar se os eventos de banco de dados do HANA aparecem nos logs ingeridos. Por exemplo, execute a seguinte consulta:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

No banco de dados do SAP HANA, verifique as políticas de auditoria configuradas. Para obter mais informações sobre as instruções SQL necessárias, consulte Nota SAP 3016478.

Adicione regras de análise para SAP HANA no Microsoft Sentinel

Use as seguintes regras de análise internas para que o Microsoft Sentinel comece a disparar alertas sobre a atividade relacionada do SAP HANA:

  • SAP – (VERSÃO PRÉVIA) BD HANA – Atribuir autorizações de administrador
  • SAP – (VERSÃO PRÉVIA) – BD HANA – Alterações na política de trilha de auditoria
  • SAP – (VERSÃO PRÉVIA) BD HANA – Desativação da trilha de auditoria
  • SAP – (VERSÃO PRÉVIA) BD HANA – Ações de administrador de usuários

Para obter mais informações, confira Solução do Microsoft Sentinel para aplicativos SAP: referência de conteúdo de segurança.

Saiba mais sobre os aplicativos da Solução do Microsoft Sentinel para SAP: