共用方式為

必要的 ABAP 授權

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文列出確保 Sentinel 的 SAP 數據連接器 Microsoft所使用的 SAP 使用者帳戶能夠正確地從 SAP 系統擷取記錄,並 執行攻擊中斷回應動作所需的 ABAP 授權。

此處會依目的列出必要授權。 您只需要針對要引進 Microsoft Sentinel 的記錄類型和要套用的攻擊中斷回應動作所列出的授權。

提示

若要建立具有所有必要授權的角色,請從 /MSFTSEN/SENTINEL_RESPONDER 檔案載入角色授權。

或者,若要僅啟用記錄擷取,而不啟用攻擊中斷回應動作,請在 SAP 系統上部署SAP NPLK900271 CR 以建立 /MSFTSEN/SENTINEL_CONNECTOR 角色,或從 /MSFTSEN/SENTINEL_CONNECTOR 檔案載入角色授權。

如有需要,您可以 移除在 ABAP 系統上安裝的使用者角色和任何選擇性 CR。

ABAP 應用程式記錄

授權物件 欄位
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT 顯示器

ABAP 變更文件記錄檔

授權物件 欄位
S_TABU_NAM TABLE CDHDR
S_TABU_NAM TABLE CDPOS

ABAP CR 記錄

授權物件 欄位
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABLE E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT 顯示器

ABAP DB 數據表數據記錄

授權物件 欄位
S_TABU_NAM TABLE DBTABLOG
S_TABU_NAM TABLE SACF_ALERT
S_TABU_NAM TABLE SOUD
S_TABU_NAM TABLE USR41
S_TABU_NAM TABLE TMSQAFILTER

ABAP 作業記錄

授權物件 欄位
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP

ABAP 安全性稽核記錄

授權物件 欄位
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (基礎稽核顯示驗證)
S_SAL SAL_ACTVT SHOW_LOG (評估檔案型記錄檔)
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT 顯示器
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT 鎖定
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XAL

ABAP 多任務緩衝處理記錄

授權物件 欄位
S_TABU_NAM TABLE TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (使用交易 SP01 (所有系統))

ABAP 工作流程記錄

授權物件 欄位
S_TABU_NAM TABLE SWWLOGHIST
S_TABU_NAM TABLE SWWWIHEAD

所有記錄

授權物件 欄位
S_RFC RFC_TYPE 函式模組
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT 執行
S_TCODE TCD SM51
S_TABU_NAM ACTVT 顯示器
S_TABU_NAM TABLE T000

攻擊中斷回應動作

授權物件 欄位
S_RFC RFC_TYPE 函式模組
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
與它的名稱相反,此函式不會刪除使用者,而是結束作用中使用者工作階段。
S_USER_GRP CLASS *
我們建議將 S_USER_GRP CLASS 取代為組織中代表對話方塊使用者的相關類別。
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

設定歷程記錄

授權物件 欄位
S_TABU_NAM TABLE PAHI

如果實作 Microsoft Sentinel 解決方案 CR,則為選擇性記錄

授權物件 欄位
S_RFC RFC_NAME /MSFTSEN/*

SNC 數據

授權物件 欄位
S_TABU_NAM TABLE SNCSYSACL
S_TABU_NAM TABLE USRACL

使用者資料

授權物件 欄位
S_TABU_NAM TABLE ADCP
S_TABU_NAM TABLE ADR6
S_TABU_NAM TABLE AGR_1251
S_TABU_NAM TABLE AGR_AGRS
S_TABU_NAM TABLE AGR_DEFINE
S_TABU_NAM TABLE AGR_FLAGS
S_TABU_NAM TABLE AGR_PROF
S_TABU_NAM TABLE AGR_TCODES
S_TABU_NAM TABLE AGR_USERS
S_TABU_NAM TABLE DEVACCESS
S_TABU_NAM TABLE USER_ADDR
S_TABU_NAM TABLE USGRP_USER
S_TABU_NAM TABLE USR01
S_TABU_NAM TABLE USR02
S_TABU_NAM TABLE USR05
S_TABU_NAM TABLE USR21
S_TABU_NAM TABLE USRSTAMP
S_TABU_NAM TABLE UST04

相關內容

如需詳細資訊,請參閱 為Microsoft Sentinel 解決方案設定 SAP 系統。