Требуемые разрешения ABAP

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье перечислены авторизации ABAP, необходимые для обеспечения правильности получения журналов из систем SAP и выполнения действий реагирования на нарушения атак, используемых соединителем данных SAP в Microsoft Sentinel.

Необходимые авторизации перечислены здесь по их назначению. Вам потребуются только авторизации, перечисленные для типов журналов, которые вы хотите перенести в Microsoft Sentinel и действия реагирования на нарушения атаки, которые вы хотите применить.

Совет

Чтобы создать роль со всеми необходимыми разрешениями, загрузите авторизацию роли из файла /MSFTSEN/SENTINEL_RESPONDER .

Кроме того, чтобы включить только извлечение журналов без действий реагирования на атаки, разверните SAP NPLK900271 CR в системе SAP для создания роли /MSFTSEN/SENTINEL_CONNECTOR или загрузки авторизации ролей из файла /MSFTSEN/SENTINEL_CONNECTOR.

При необходимости можно удалить роль пользователя и любой дополнительный cr, установленный в системе ABAP.

Журнал приложений ABAP

Объект авторизации	Поле	значение
S_RFC	RFC_NAME	BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC	RFC_NAME	BAPI_XMI_LOGOFF
S_RFC	RFC_NAME	BAPI_XMI_LOGON
S_RFC	RFC_NAME	BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM	TABLE	BALHDR
S_XMI_PROD	EXTCOMPANY	Microsoft
S_XMI_PROD	EXTPRODUCT	Рабочая область
S_XMI_PROD	INTERFACE	XBP
S_APPL_LOG	ALG_OBJECT	*
S_APPL_LOG	ALG_SUBOBJ	*
S_APPL_LOG	ACTVT	Отображать

Журнал изменений документов ABAP

Объект авторизации	Поле	значение
S_TABU_NAM	TABLE	CDHDR
S_TABU_NAM	TABLE	CDPOS

Журнал CR ABAP

Объект авторизации	Поле	значение
S_RFC	RFC_NAME	CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM	TABLE	E070
S_TRANSPRT	TTYPE	*
S_TRANSPRT	ACTVT	Отображать

Журнал данных таблицы базы данных ABAP

Объект авторизации	Поле	значение
S_TABU_NAM	TABLE	DBTABLOG
S_TABU_NAM	TABLE	SACF_ALERT
S_TABU_NAM	TABLE	SOUD
S_TABU_NAM	TABLE	USR41
S_TABU_NAM	TABLE	TMSQAFILTER

Журнал заданий ABAP

Объект авторизации	Поле	значение
S_RFC	RFC_NAME	BAPI_XBP_JOB_JOBLOG_READ
S_RFC	RFC_NAME	BAPI_XMI_LOGOFF
S_RFC	RFC_NAME	BAPI_XMI_LOGON
S_RFC	RFC_NAME	BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM	TABLE	TBTCO
S_XMI_PROD	EXTCOMPANY	Microsoft
S_XMI_PROD	EXTPRODUCT	Рабочая область
S_XMI_PROD	INTERFACE	XBP

Журнал аудита безопасности ABAP

Объект авторизации	Поле	значение
S_RFC	RFC_NAME	BAPI_USER_GET_DETAIL
S_RFC	RFC_NAME	BAPI_XMI_LOGOFF
S_RFC	RFC_NAME	BAPI_XMI_LOGON
S_RFC	RFC_NAME	BAPI_XMI_SET_AUDITLEVEL
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETMLHIS
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETTREE
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC	RFC_NAME	BAPI_SYSTEM_MS_GETLIST
S_RFC	RFC_NAME	BAPI_SYSTEM_MON_GETLIST
S_RFC	RFC_NAME	BAPI_SYSTEM_MON_GETTREE
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC	RFC_NAME	BAPI_SYSTEM_MT_GETALERTDATA
S_RFC	RFC_NAME	BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD	S_ADMI_FCD	AUDD (проверка подлинности на основе аудита).
S_SAL	SAL_ACTVT	SHOW_LOG (оценка журнала на основе файлов).
S_USER_GRP	КЛАССИЧЕСКАЯ…	SUPER
S_USER_GRP	ACTVT	Отображать
S_USER_GRP	КЛАССИЧЕСКАЯ…	SUPER
S_USER_GRP	ACTVT	Заблокировать
S_XMI_PROD	EXTCOMPANY	Microsoft
S_XMI_PROD	EXTPRODUCT	Рабочая область
S_XMI_PROD	INTERFACE	XAL

Журналы spool ABAP

Объект авторизации	Поле	значение
S_TABU_NAM	TABLE	TSP01
S_ADMI_FCD	S_ADMI_FCD	SPOS (использование транзакций с пакетом обновления 01 (SP01), все системы)

Журнал рабочих процессов ABAP

Объект авторизации	Поле	значение
S_TABU_NAM	TABLE	SWWLOGHIST
S_TABU_NAM	TABLE	SWWWIHEAD

Все журналы

Объект авторизации	Поле	значение
S_RFC	RFC_TYPE	Модуль функции
S_RFC	RFC_NAME	/OSP/SYSTEM_TIMEZONE
S_RFC	RFC_NAME	DDIF_FIELDINFO_GET
S_RFC	RFC_NAME	RFCPING
S_RFC	RFC_NAME	RFC_GET_FUNCTION_INTERFACE
S_RFC	RFC_NAME	RFC_READ_TABLE
S_RFC	RFC_NAME	RFC_SYSTEM_INFO
S_RFC	RFC_NAME	SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC	RFC_NAME	TH_SERVER_LIST
S_RFC	ACTVT	Выполнить
S_TCODE	TCD	SM51
S_TABU_NAM	ACTVT	Отображать
S_TABU_NAM	TABLE	T000

Действия реагирования на нарушения атаки

Объект авторизации	Поле	значение
S_RFC	RFC_TYPE	Модуль функции
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER В отличие от его имени, эта функция не удаляет пользователей, но заканчивает активный сеанс пользователя.
S_USER_GRP	КЛАССИЧЕСКАЯ…	* Рекомендуется заменить класс S_USER_GRP соответствующими классами в организации, представляющими пользователей диалоговых окон.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

Журнал конфигурации

Объект авторизации	Поле	значение
S_TABU_NAM	TABLE	PAHI

Необязательные журналы, если реализовано решение Microsoft Sentinel

Объект авторизации	Поле	значение
S_RFC	RFC_NAME	/MSFTSEN/*

Данные SNC

Объект авторизации	Поле	значение
S_TABU_NAM	TABLE	SNCSYSACL
S_TABU_NAM	TABLE	USRACL

Пользовательские данные

Объект авторизации	Поле	значение
S_TABU_NAM	TABLE	ADCP
S_TABU_NAM	TABLE	ADR6
S_TABU_NAM	TABLE	AGR_1251
S_TABU_NAM	TABLE	AGR_AGRS
S_TABU_NAM	TABLE	AGR_DEFINE
S_TABU_NAM	TABLE	AGR_FLAGS
S_TABU_NAM	TABLE	AGR_PROF
S_TABU_NAM	TABLE	AGR_TCODES
S_TABU_NAM	TABLE	AGR_USERS
S_TABU_NAM	TABLE	DEVACCESS
S_TABU_NAM	TABLE	USER_ADDR
S_TABU_NAM	TABLE	USGRP_USER
S_TABU_NAM	TABLE	USR01
S_TABU_NAM	TABLE	USR02
S_TABU_NAM	TABLE	USR05
S_TABU_NAM	TABLE	USR21
S_TABU_NAM	TABLE	USRSTAMP
S_TABU_NAM	TABLE	UST04

Связанный контент

Дополнительные сведения см. в статье "Настройка системы SAP для решения Microsoft Sentinel".