通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

所需 ABAP 授权

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文列出了确保 Microsoft Sentinel 的 SAP 数据连接器使用的 SAP 用户帐户能够正确检索 SAP 系统中的日志并运行攻击中断响应操作所需的 ABAP 授权。

所需的授权在此处按其用途列出。 只需为要引入 Microsoft Sentinel 的日志类型和要应用的攻击中断响应操作列出的授权。

提示

若要创建具有所有所需授权的角色,请从 /MSFTSEN/SENTINEL_RESPONDER 文件加载角色授权。

或者,若要仅启用日志检索,而不执行攻击中断响应操作,请在 SAP 系统上部署 SAP NPLK900271 CR,以创建 /MSFTSEN/SENTINEL_CONNECTOR 角色,或从 /MSFTSEN/SENTINEL_CONNECTOR 文件加载角色授权。

如果需要,可以移除用户角色和 ABAP 系统上安装的任何可选 CR

ABAP 应用程序日志

授权对象 字段
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT 显示

ABAP 更改文档日志

授权对象 字段
S_TABU_NAM TABLE CDHDR
S_TABU_NAM TABLE CDPOS

ABAP CR 日志

授权对象 字段
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABLE E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT 显示

ABAP DB 表数据日志

授权对象 字段
S_TABU_NAM TABLE DBTABLOG
S_TABU_NAM TABLE SACF_ALERT
S_TABU_NAM TABLE SOUD
S_TABU_NAM TABLE USR41
S_TABU_NAM TABLE TMSQAFILTER

ABAP 作业日志

授权对象 字段
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP

ABAP 安全审核日志

授权对象 字段
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD(基础审核显示授权)
S_SAL SAL_ACTVT SHOW_LOG(评估基于文件的日志)
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT 显示
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT Lock
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XAL

ABAP 后台打印日志

授权对象 字段
S_TABU_NAM TABLE TSP01
S_ADMI_FCD S_ADMI_FCD SPOS(使用事务 SP01 [所有系统])

ABAP 工作流日志

授权对象 字段
S_TABU_NAM TABLE SWWLOGHIST
S_TABU_NAM TABLE SWWWIHEAD

所有日志

授权对象 字段
S_RFC RFC_TYPE 函数模块
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT 执行
S_TCODE TCD SM51
S_TABU_NAM ACTVT 显示
S_TABU_NAM TABLE T000

攻击中断响应操作

授权对象 字段
S_RFC RFC_TYPE 函数模块
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
与其名称相反,此函数不会删除用户,而是会结束活动的用户会话。
S_USER_GRP CLASS *
建议将 S_USER_GRP CLASS 替换为组织中表示对话用户的相关类。
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

配置历史记录

授权对象 字段
S_TABU_NAM TABLE PAHI

可选日志(如果实现了 Microsoft Sentinel 解决方案 CR)

授权对象 字段
S_RFC RFC_NAME /MSFTSEN/*

SNC 数据

授权对象 字段
S_TABU_NAM TABLE SNCSYSACL
S_TABU_NAM TABLE USRACL

用户数据

授权对象 字段
S_TABU_NAM TABLE ADCP
S_TABU_NAM TABLE ADR6
S_TABU_NAM TABLE AGR_1251
S_TABU_NAM TABLE AGR_AGRS
S_TABU_NAM TABLE AGR_DEFINE
S_TABU_NAM TABLE AGR_FLAGS
S_TABU_NAM TABLE AGR_PROF
S_TABU_NAM TABLE AGR_TCODES
S_TABU_NAM TABLE AGR_USERS
S_TABU_NAM TABLE DEVACCESS
S_TABU_NAM TABLE USER_ADDR
S_TABU_NAM TABLE USGRP_USER
S_TABU_NAM TABLE USR01
S_TABU_NAM TABLE USR02
S_TABU_NAM TABLE USR05
S_TABU_NAM TABLE USR21
S_TABU_NAM TABLE USRSTAMP
S_TABU_NAM TABLE UST04

相关内容

有关详细信息,请参阅为 Microsoft Sentinel 解决方案配置 SAP 系统