Partilhar via


Coletar logs de auditoria do SAP HANA no Microsoft Sentinel

Este artigo explica como coletar logs de auditoria do banco de dados do SAP HANA.

O conteúdo deste artigo destina-se às suas equipes de segurança, infraestrutura e SAP BASIS.

Importante

O suporte ao Microsoft Sentinel SAP HANA está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Nota

Este artigo é relevante apenas para o agente do conector de dados e não é relevante para a solução sem agente SAP (visualização limitada).

Pré-requisitos

Os logs do SAP HANA são enviados pelo Syslog. Verifique se o Agente do Monitor do Azure está configurado para coletar arquivos Syslog. Para obter mais informações, consulte Ingerir mensagens syslog e CEF para o Microsoft Sentinel com o Azure Monitor Agent.

Coletar logs de auditoria do SAP HANA

  1. Verifique se a trilha de log de auditoria do SAP HANA está configurada para usar o Syslog, conforme descrito na Nota 0002624117 do SAP, que pode ser acessada no site de suporte do SAP Launchpad. Para obter mais informações, consulte:

  2. Verifique os arquivos Syslog do sistema operacional para quaisquer eventos relevantes do banco de dados HANA.

  3. Entre no seu sistema operacional de banco de dados HANA como um usuário com privilégios sudo.

  4. Instale um agente em sua máquina e confirme se ela está conectada. Para obter mais informações, consulte Instalar e gerenciar o Azure Monitor Agent.

  5. Configure seu agente para coletar dados do Syslog. Para obter mais informações, consulte Coletar eventos Syslog com o Azure Monitor Agent.

    Gorjeta

    Como os recursos onde os eventos do banco de dados HANA são salvos podem mudar entre diferentes distribuições, recomendamos que você adicione todos os recursos. Verifique-os em relação aos seus logs do Syslog e, em seguida, remova os que não são relevantes.

Verificar a configuração

Use as etapas a seguir no Microsoft Sentinel e no banco de dados SAP HANA para verificar se o sistema está configurado conforme o esperado.

Microsoft Sentinel

Na página Logs do Microsoft Sentinel, verifique se os eventos do banco de dados HANA agora são mostrados nos logs ingeridos. Por exemplo, execute a seguinte consulta:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

No banco de dados SAP HANA, verifique as políticas de auditoria configuradas. Para obter mais informações sobre as instruções SQL necessárias, consulte SAP Note 3016478.

Adicionar regras de análise para SAP HANA no Microsoft Sentinel

Use as seguintes regras de análise internas para que o Microsoft Sentinel comece a disparar alertas sobre a atividade relacionada ao SAP HANA:

  • SAP - (PREVIEW) HANA DB -Atribuir autorizações de administrador
  • SAP - (PREVIEW) HANA DB -Alterações na política da trilha de auditoria
  • SAP - (PREVIEW) HANA DB -Desativação da trilha de auditoria
  • SAP - (PREVIEW) HANA DB -User Admin actions

Para obter mais informações, consulte Solução Microsoft Sentinel para aplicativos SAP: referência de conteúdo de segurança.

Saiba mais sobre a solução Microsoft Sentinel para aplicativos SAP: