Сбор журналов аудита SAP HANA в Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Статья описывает сбор журналов аудита из базы данных SAP HANA.

Содержимое этой статьи предназначено для групп безопасности, инфраструктуры и SAP BASIS .

Внимание

В настоящее время поддержка Microsoft Sentinel SAP HANA доступна в ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Примечание.

Эта статья относится только к агенту соединителя данных и не относится к решению SAP без агента (ограниченная предварительная версия).

Необходимые компоненты

Журналы SAP HANA отправляются по системным журналам. Убедитесь, что агент Azure Monitor настроен для сбора файлов системного журнала. Дополнительные сведения см. в разделе "Прием сообщений системного журнала и CEF" в Microsoft Sentinel с помощью агента Azure Monitor.

Получение журналов аудита SAP HANA

1. Настройте журнал аудита SAP HANA для использования Syslog, как описано в примечании SAP 0002624117 (см. сайт поддержки SAP Launchpad). Дополнительные сведения см. в разделе:

   • Журнал аудита SAP HANA — рекомендации
   • Рекомендации по аудиту
   • Действия, проверенные политикой аудита по умолчанию

2. Проверьте файлы системного журнала операционной системы на наличие соответствующих событий базы данных HANA.

3. Войдите в операционную систему базы данных HANA в качестве пользователя с привилегиями sudo.

4. Установите агент на компьютере и убедитесь, что компьютер подключен. Дополнительные сведения см. в статье "Установка агента Azure Monitor и управление ими".

5. Настройте агент для сбора данных системного журнала. Дополнительные сведения см. в статье Сбор событий системного журнала с помощью агента Azure Monitor.

   Совет

   Так как объекты, в которых сохраняются события базы данных HANA, могут изменяться между различными дистрибутивами, рекомендуется добавить все объекты. Проверьте их в журналах системного журнала, а затем удалите все, что не относится.

Проверка конфигурации

Выполните следующие действия как в Microsoft Sentinel, так и в базе данных SAP HANA, чтобы убедиться, что система настроена должным образом.

Microsoft Sentinel

На странице журналов Microsoft Sentinel проверьте, отображаются ли события базы данных HANA в журналах приема. Например, выполните следующий запрос:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации Kusto:

• Оператор let
• Оператор datatable
• Оператор where
• Оператор проекта
• оператор union
• функция column_ifexists()

Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).

Другие ресурсы:

• Краткий справочник по KQL
• язык запросов Kusto учебные ресурсы

SAP HANA

В базе данных SAP HANA проверьте настроенные политики аудита. Дополнительные сведения о необходимых инструкциях SQL см. в 3016478 заметки SAP.

Добавление правил аналитики для SAP HANA в Microsoft Sentinel

Используйте следующие встроенные правила аналитики для запуска оповещений Microsoft Sentinel для связанного действия SAP HANA:

• SAP — HANA DB (предварительная версия) — назначение авторизаций администратора
• SAP — HANA DB (предварительная версия) — изменения политики журнала аудита
• SAP — HANA DB (предварительная версия) — отключение журнала аудита
• SAP — HANA DB (предварительная версия) — действия администратора пользователей

Дополнительные сведения см . в решении Microsoft Sentinel для приложений SAP: справочник по содержимому безопасности.

Связанный контент

Дополнительные сведения о решении Microsoft Sentinel для приложений SAP:

• Развертывание решения Microsoft Sentinel для приложений SAP
• Развертывание решения Microsoft Sentinel для SAP BTP