حل Microsoft Sentinel لتطبيقات SAP - مرجع الوظائف
توضح هذه المقالة مجموعة مختارة من الوظائف المتوفرة في مساحة العمل بعد تثبيت حل Microsoft Sentinel لتطبيقات SAP. اكتشف المزيد من الوظائف عن طريق الاستعراض في Microsoft Sentinel وتحميل التعليمات البرمجية للدالة.
ابحث عن الدالات كما يلي:
- في مدخل Microsoft Azure، في صفحة السجلات العامة>، في علامة التبويب Functions، والمدرجة ضمن Workspace functions.
- في مدخل Defender، في صفحة التتبع المتقدم للتحقيق والاستجابة>، في علامة التبويب Functions، والمدرجة ضمن وظائف مساحة عمل Sentinel.
المحتوى الوارد في هذه المقالة مخصص لفرق الأمان الخاصة بك.
استخدام الدالات في الاستعلامات بدلا من السجلات أو الجداول الأساسية
نوصي بشدة باستخدام الدالات المدرجة في هذه المقالة كمواضيع لتحليلها كلما أمكن ذلك، بدلا من السجلات أو الجداول الأساسية.
تهدف هذه الدالات إلى أن تكون بمثابة واجهة المستخدم الرئيسية للبيانات. وهي تشكل الأساس لجميع قواعد التحليلات المضمنة والمصنفات المتوفرة لك خارج الصندوق. يسمح استخدام الدالات بإجراء تغييرات على البنية الأساسية للبيانات أسفل الوظائف، دون كسر المحتوى الذي أنشأه المستخدم.
تعيينات SAPUsers
تجمع الدالة SAPUsersAssignments البيانات من مصادر بيانات SAP متعددة وتنشئ طريقة عرض تركز على المستخدم للبيانات الرئيسية الحالية للمستخدم، بما في ذلك الأدوار وملفات التعريف المعينة حاليًا.
تلخص هذه الدالة تعيينات المستخدم للأدوار وملفات التعريف، وتعيد البيانات التالية:
| الحقل | الوصف | مصدر البيانات/الملاحظات |
|---|---|---|
| المستخدم | معرف مستخدم SAP | SAL فقط |
| البريد الإلكتروني | عنوان SMTP | USR21 (SMTP_ADDR) |
| UserType | نوع المستخدم | USR02 (USTYP) |
| المنطقة الزمنية | المنطقة الزمنية | USR02 (TZONE) |
| LockedStatus | حالة التأمين | USR02 (UFLAG) |
| LastSeenDate | تاريخ آخر مشاهدة | USR02 (TRDAT) |
| LastSeenTime | آخر مرة شوهدت فيها | USR02 (LTIME) |
| UserGroupAuth | مجموعة المستخدمين في الصيانة الرئيسية للمستخدم | USR02 (CLASS) |
| ملفات التعريف | مجموعة ملفات التعريف (الحد الأقصى الافتراضي لحجم المجموعة= 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | مجموعة الأدوار المعينة مباشرة (الحد الأقصى الافتراضي لحجم المجموعة =50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | مجموعة من الأدوار المعينة بشكل غير مباشر (الحد الأقصى الافتراضي لحجم المجموعة= 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| العميل | معرف العميل | |
| SystemID | مُعرف النظام | كما هو محدد في الموصل |
SAPUsersGetPrivileged
ترجع الدالة SAPUsersGetPrivileged قائمة بالمستخدمين المميزين لكل عميل ومعرف النظام.
يعتبر المستخدمون متميزين عندما يتطابقون مع أي من الأوصاف التالية:
- وهي مدرجة في قائمة مراقبة SAP - المستخدمون المتميزون
- يتم تعيينها إلى ملف تعريف مدرج في SAP - قائمة مراقبة ملفات التعريف الحساسة
- تتم إضافتها إلى دور مدرج في SAP - قائمة مراقبة الأدوار الحساسة
البارامترات:
| الاسم | اختياري/مطلوب | Default | الوصف |
|---|---|---|---|
| TimeAgo | اختياري | سبعة أيام | تحديد أن الدالة تبحث عن بيانات المستخدم الرئيسية من الوقت المحدد بواسطة TimeAgo القيمة حتى الوقت المحدد بواسطة now() القيمة. |
ترجع الدالة SAPUsersGetPrivileged البيانات التالية:
| الحقل | الوصف |
|---|---|
| المستخدم | معرف مستخدم SAP |
| العميل | معرف العميل |
| SystemID | مُعرف النظام |
SAPUsersAuthorizations
تجمع الدالة SAPUsersAuthorizations البيانات من عدة جداول لإنتاج عرض يركز على المستخدم للأدوار والتخويلات الحالية المعينة. يتم إرجاع المستخدمين الذين لديهم دور نشط وتعيينات التخويل فقط.
البارامترات:
| الاسم | اختياري/مطلوب | Default | الوصف |
|---|---|---|---|
| TimeAgo | اختياري | سبعة أيام | تحديد أن الدالة تبحث عن بيانات المستخدم الرئيسية من الوقت المحدد بواسطة TimeAgo القيمة حتى الوقت المحدد بواسطة now() القيمة. |
ترجع الدالة SAPUsersAuthorizations البيانات التالية:
| الحقل | الوصف | الملاحظات |
|---|---|---|
| المستخدم | معرف مستخدم SAP | |
| الأدوار | مجموعة الأدوار (الحد الأقصى الافتراضي لحجم المجموعة = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | مجموعة التخويلات (الحد الأقصى الافتراضي لحجم المجموعة = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| العميل | معرف العميل | |
| SystemID | مُعرف النظام |
SAPConnectorHealth
تعكس الدالة SAPConnectorHealth حالة اتصال العامل ونظام SAP الأساسي. استنادًا إلى SAP_HeartBeat_CL سجل رسالة كشف أخطاء الاتصال ومؤشرات الصحة الأخرى، فإنه يقوم بإرجاع البيانات التالية:
| الحقل | الوصف |
|---|---|
| المندوب | معرف العامل في تكوين العامل (تم إنشاؤه تلقائيا) |
| SystemID | معرف نظام SAP |
| الحالة | حالة الاتصال الإجمالية |
| التفاصيل | تفاصيل الاتصال |
| ExtendedDetails | تفاصيل موسعة للاتصال |
| LastSeen | الطابع الزمني لأحدث نشاط |
| StatusCode | التعليمات البرمجية التي تعكس حالة النظام |
SAPConnectorOverview
تعرض الدالة SAPConnectorOverview عدد الصفوف لكل جدول SAP لكل معرف نظام. يقوم بإرجاع قائمة بسجلات البيانات لكل معرف نظام، والوقت الذي تم إنشاؤه.
البارامترات:
| الاسم | اختياري/مطلوب | Default | الوصف |
|---|---|---|---|
| TimeAgo | اختياري | سبعة أيام | تحديد أن الدالة تبحث عن بيانات المستخدم الرئيسية من الوقت المحدد بواسطة TimeAgo القيمة حتى الوقت المحدد بواسطة now() القيمة. |
ترجع الدالة SAPConnectorOverview البيانات التالية:
| الحقل | الوصف |
|---|---|
| TimeGenerated | قيمة التاريخ والوقت للطوابع الزمنية لإنشاء السجل |
| SystemID_s | سلسلة تمثل معرف نظام SAP |
استخدم استعلام Kusto التالي لإجراء تحليل اتجاه يومي:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
تسمح الدالة SAPUsersEmail بالبحث الموجه نحو الأداء عن عنوان البريد الإلكتروني لمستخدم SAP لكل نظام وعميل SAP، وتستخدم عادة لإقرانه بحساب دليل نشط.
تستخدم الدالة SAPUsersEmail البيانات المستخرجة من جداول SAP USR21 (تعيين مفتاح اسم المستخدم/العنوان) وADR6 (عناوين البريد الإلكتروني) للبحث عن عنوان بريد إلكتروني. في حالة عدم العثور على عنوان بريد إلكتروني، يتم إرجاع معرف المستخدم بدلا من ذلك.
يضمن هذا السلوك تسجيل حسابات خدمة SAP مثل DDIC، والتي غالبا ما تكون غير مقترنة بعناوين بريد إلكتروني، كحسابات AD غير صحيحة. وهذا يفتح أيضا بعض ميزات UEBA، مما يساعد في التحقيق في الحوادث وأنشطة الصيد.
ترجع الدالة SAPUsersEmail البيانات التالية:
| الحقل | الوصف |
|---|---|
| ClientID | معرف عميل SAP |
| SystemID | معرف نظام SAP |
| المستخدم | معرف مستخدم SAP |
| البريد الإلكتروني | عنوان البريد الإلكتروني لمستخدم SAP |
SAPSystems
تستخدم الدالة SAPSystems لتقديم تكوين كل نظام مركزيا باستخدام قائمة مراقبة SAP - Systems.
البارامترات:
| الاسم | اختياري/مطلوب | Default | الوصف |
|---|---|---|---|
| SelectedSystems | اختياري | All Systems |
يستخدم لتصفية أنظمة SAP محددة |
| SelectedSystemRoles | اختياري | All System Roles |
تحديد أدوار أنظمة SAP التي سيتم النظر فيها، كما هو محدد في قائمة مراقبة SAP - الأنظمة |
ترجع الدالة SAPSystems البيانات التالية:
| الحقل | الوصف | مصدر البيانات/الملاحظات |
|---|---|---|
| SearchKey | مفتاح البحث | حقل مفهرس لمعرف نظام SAP |
| SystemRole | دور نظام SAP | الإنتاج، UAT |
| SystemUsage | الاستخدام الرئيسي لنظام SAP | ERP، CRM |
| SystemID | معرف نظام SAP |
SAPAuditLogConfiguration
ترجع الدالة SAPAuditLogConfiguration التكوين المحلي لتنبيهات سجل تدقيق SAP إلى مساحة عمل Log Analytics الممكنة ل Microsoft Sentinel. يستخدم هذا التكوين للتنبيهات المتعلقة بسجل تدقيق SAP.
تنضم الدالة SAPAuditLogConfiguration إلى البيانات في تكوين SAP Dynamic Audit Log Monitor وSAP - قوائم مراقبة الأنظمة لتوفير تكوين لكل نظام بجهد لكل دور نظام.
البارامترات:
| الاسم | اختياري/مطلوب | Default | الوصف |
|---|---|---|---|
| SelectedSystems | اختياري | All Systems |
يستخدم لتصفية أنظمة SAP معينة للنظر فيها. |
| SelectedSystemRoles | اختياري | All System Roles |
تحديد أدوار أنظمة SAP التي يجب النظر إليها (كما هو محدد في قائمة مراقبة SAP - الأنظمة ). |
| SelectedSeverities | اختياري | [High، Medium] |
يستخدم لتحديد الأحداث التي يجب النظر إليها من حيث شدتها. يتم تحديد الخطورة لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedRuleTypes | اختياري | All RuleTypes |
تحديد الأحداث ذات الصلة بالكشف عن الحالات الخارجة عن المألوف. يتم تعريف أنواع القواعد لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration . |
ترجع الدالة SAPAuditLogConfiguration البيانات التالية:
| الحقل | الوصف | مصدر البيانات/الملاحظات |
|---|---|---|
| CategoryName | فئة الحدث المحددة لـ SAP | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| DestinationEmail | عنوان البريد الإلكتروني للفريق المعين | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| DetailedDescription | نص منسق بعلامة markdown ليتم عرضه في التنبيهات | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| MessageId | معرف رسالة سجل تدقيق SAP | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| MessageText | نموذج نص رسالة | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| RolesTagsToExclude | دور ABAP أو ملف التعريف أو علامة نص حرة | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| RuleType | شاذة أو محددة | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| الخطط | تكتيك MITRE ATTA CK | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| TeamsChannelID | قناة Teams | قائمة مراقبة تكوين SAP Dynamic Audit Log Monitor |
| SystemID | معرف نظام SAP | SAP - قائمة مراقبة الأنظمة |
| SystemRole | دور نظام SAP | SAP - قائمة مراقبة الأنظمة |
| SystemUsage | الاستخدام الرئيسي لنظام SAP | SAP - قائمة مراقبة الأنظمة |
| IsProd | علامة نظام الإنتاج | SAP - قائمة مراقبة الأنظمة |
| الأهمية | الخطورة المشتقة | الخطورة لكل استخدام للنظام |
| الحد | الحد المشتق | عدد الأحداث لكل استخدام للنظام |
| BagOfDetails | مجموعة التفاصيل | قاموس يوضح تفاصيل تعريف الحدث |
لمزيد من المعلومات، راجع قوائم المشاهدة المتوفرة.
SAPAuditLogAnomalies
تستخدم الدالة SAPAuditLogAnomalies قدرات التعلم الآلي المضمنة في قاعدة بيانات Kusto الأساسية لقاعدة بيانات Kusto للمساعدة في اكتشاف الأحداث الشاذة التي تمت ملاحظتها في سجل تدقيق SAP.
تم تطوير وظيفة SAPAuditLogAnomalies لقاعدة تحليلات تنبيهات تنبيهات سجل التدقيق المستندة إلى SAP - (تجريبي) Dynamic Anomaly. في حين أن تصميمه الأصلي هو التنبيه بشأن الحالات الشاذة الأخيرة، فإنه يمكن أن يساعد أيضا على تسليط الضوء على الحالات الشاذة التاريخية. لمزيد من المعلومات، راجع استخدامات العينة.
تتعلم الدالة SAPAuditLogAnomalies شريحة المحفوظات المحددة بواسطة معلمات الإدخال المختلفة، على المستويات التالية:
- المستخدم
- سمات الشبكة
- النظام
- الموسمية
- مستويات النشاط
تعمل وظيفة SAPAuditLogAnomalies بعد ذلك على الحكم على الأحداث التي تحدث خلال الفترة الزمنية الأخيرة DetectingTime وفقا لما تعلمته، وتطبيق الحدود ومعايير الاستبعاد الأخرى القابلة للتكوين التي تم الحصول عليها من قائمة مراقبة تكوين سجل تدقيق SAP.
بمجرد اعتبار نافذة منزلقة لنشاط المستخدم شاذة، يقوم استعلام ثان بإرجاع نشاط المستخدم بأكمله كدليل يدعم القرار.
البارامترات:
| الاسم | اختياري/مطلوب | Default | الوصف |
|---|---|---|---|
| LearningTime | اختياري | 14 يومًا | تحديد الفترة الزمنية المستخدمة لتعلم النموذج. |
| DetectingTime | اختياري | ساعة واحدة | تحديد الفترة الزمنية التي يجب النظر فيها للكشف عن الحالات الشاذة. يؤدي استدعاء هذه الدالة مع DetectingTime = 0h إلى تمييز الحالات الشاذة عبر الفترة الزمنية بأكملها LearningTime . |
| SelectedSystems | اختياري | All Systems |
يستخدم لتصفية أنظمة SAP معينة للنظر فيها. |
| SelectedSystemRoles | اختياري | All System Roles |
تحديد أدوار أنظمة SAP التي سيتم النظر فيها، كما هو محدد في قائمة مراقبة SAP - الأنظمة |
| SelectedSeverities | اختياري | [High، Medium] |
يستخدم لتحديد الأحداث التي يجب النظر إليها من حيث شدتها. يتم تحديد الخطورة لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration . |
| SelectedPrefixMask | اختياري | 24 | يستخدم لتحديد مستوى قناع الشبكة الفرعية المستخدم للتعلم والكشف. |
| SelectedRuleTypes | اختياري | AnomaliesOnly |
تحديد الأحداث ذات الصلة للكشف عن الحالات الخارجة عن المألوف. يتم تعريف أنواع القواعد لكل معرف رسالة سجل تدقيق SAP ودور النظام في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration . |
ترجع الدالة SAPAuditLogAnomalies البيانات التالية:
| الحقل | الوصف |
|---|---|
| حقول متعددة من SAPAuditLog | الحقول الرئيسية من سجل تدقيق SAP |
| حقول متعددة من SAPAuditLogConfiguration | الحقول الرئيسية من Microsoft Sentinel لتكوين سجل تدقيق SAP |
| DiscoveredOn | الساعة المقربة التي لوحظ فيها الشذوذ |
| EventCount | عدد الأحداث التي تم حسابها لكل صف تم إرجاعه |
| AnomalCount | عدد الأحداث التي تمت ملاحظتها ضمن النافذة المنزلقة ذات الصلة |
| MinTime | وقت الحدث الأول الذي تمت ملاحظته |
| MaxTime | وقت آخر حدث تمت ملاحظته |
| الدرجة | درجات الشذوذ كما تم إنتاجها بواسطة نموذج الشذوذ |
التوصيات:
كما هو الحال مع أي حل للتعلم الآلي، تعمل وظيفة SAPAuditLogAnomalies بشكل أفضل مع مرور الوقت، ويمكن تعديلها حسب الحاجة مع مرور الوقت.
نوصي بتقييد حجم قاعدة البيانات المستفادة ليكون أقل من 100 مليون سجل باستخدام العديد من معلمات الإدخال المتوفرة.
تتضمن نماذج الاستخدامات ما يلي:
للبحث عن الحالات الشاذة للأحداث ذات الخطورة العالية التي حدثت خلال الساعة الماضية على أنظمة الإنتاج لأنواع الأحداث التي تم وضع علامة عليها على أنها AnomaliesOnly في قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration ، قم بتشغيل:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))للبحث عن جميع الحالات الشاذة في آخر 14 يوما في نظام BIP ، قم بتشغيل:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
لمزيد من المعلومات، راجع قواعد تحليلات SAP المضمنة لمراقبة سجل تدقيق SAP والكشف عن الشذوذ في سجل تدقيق SAP باستخدام حل Microsoft Sentinel ل SAP (مدونة).
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend هي وظيفة مساعدة مصممة لتقديم توصيات لتكوين قاعدة تحليلات لتنبيهات مراقب سجل التدقيق المبني على SAP - Dynamic Anomaly (معاينة).
لمزيد من المعلومات، راجع مراقبة سجل تدقيق SAP.
SAPUsersGetVIP
يستخدم حل Microsoft Sentinel لتطبيقات SAP مفهوم وضع علامات للمستخدم المركزي والاستثناءات الصريحة، المصممة لمساعدتك على خفض الإيجابيات الزائفة بأقل جهد ممكن.
استخدم الدالة SAPUsersGetVIP لاستبعاد المستخدمين من تشغيل التنبيهات عن طريق تحديد أدوار مستخدم SAP أو وظائف مستخدم SAP أو العلامات التي تمثل هؤلاء المستخدمين. لمزيدٍ من المعلومات، راجع التعامل مع الإيجابيات الزائفة في Microsoft Sentinel.
تستبعد العلامات المحددة كمدخل لدالة SAPUsersGetVIP جميع المستخدمين الذين لديهم علامة مدرجة في قائمة مشاهدة SAP_User_Config . يتم توسيع نفس الوظيفة للعمل مع أحرف البدل، مما يسمح لك بتعيين علامة واحدة لمجموعة من المستخدمين الذين لديهم نفس بناء جملة التسمية.
وضع علامة على المستخدمين في قائمة المشاهدة SAP_User_Config على النحو التالي:
أضف علامات متعددة إلى كل مستخدم في قائمة المشاهدة SAP_User_Config ، حسب الحاجة لتغطية سيناريوهات مختلفة. كل قاعدة تنبيه لها علاماتها ذات الصلة، إن وجدت، ويمكنك إضافة علامات مخصصة حسب الحاجة.
استخدم علامة نجمية (*) كحرف بدل لتضمين المستخدمين الذين لديهم قالب بناء جملة تسمية معين.
أضف وظيفة SAPUsersGetVIP في قواعد التحليلات لطلب قوائم المستخدمين الذين حددتهم لاستبعادهم من التنبيهات. في استدعاء الدالة، أضف صفيفا مع العلامات وأدوار SAP وملفات تعريف SAP التي تريد استبعادها.
على سبيل المثال، استخدم استعلام KQL التالي في قاعدة التحليلات لاستبعاد أي مستخدمين تم تكوينهم باستخدام علامة RunObsoleteProgOK في قائمة مشاهدة SAP_User_Config ، أو أي مستخدمين لديهم نموذج دور SAP_BASIS_ADMIN_ROLE أو نموذج ملف تعريف SAP_ADMIN_PROFILE .
عند نسخ نموذج استدعاء الدالة هذا، استبدل دور SAP_BASIS_ADMIN_ROLE وملف تعريف SAP_ADMIN_PROFILE بأدوار SAP أو ملفات التعريف الخاصة بك حسب الحاجة.
على سبيل المثال:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
تستخدم الدالة SAPUsersGetVIP بشكل شائع في تنبيهات مراقبة سجل التدقيق المحدد والشذوذ. قم بإقران علامة بمعرف رسالة سجل تدقيق SAP، أو قم بتوسيع قالب القاعدة إلى قاعدة مخصصة تطابق احتياجات مؤسستك.
تلميح
نوصي بالاتصال بمسؤول نظام SAP لفهم مستخدمي SAP والأدوار وملفات التعريف المراد تضمينها في قائمة مشاهدة SAP_User_Config .
البارامترات:
| الاسم | اختياري/مطلوب | Default | الوصف |
|---|---|---|---|
| SearchForTags | اختياري | dynamic('All Tags') |
عندما SearchForTags يساوي All Tags، يتم إرجاع جميع المستخدمين مع علاماتهم. وإلا، يتم إرجاع المستخدمين الذين يحملون العلامات أو أدوار SAP أو ملفات تعريف SAP المحددة في SearchForTags فقط.
TagsIntersect يعرض العلامات التي تم العثور عليها، ويحمل IntersectionSize عدد العلامات التي تم العثور عليها. |
| علامات تعريف التركيز الخاصة | اختياري | Do not return any in-focus users |
إرجاع كافة المستخدمين الذين يحملون العلامات المحددة في SpecialFocusTags، ووضع علامة على هؤلاء ب specialFocusTagged = true. |
ترجع الدالة SAPUsersGetVIP الإخراج التالي:
| المصدر | الحقل | الوصف | الملاحظات |
|---|---|---|---|
| قائمة مشاهدة SAP_User_Config | SearchKey |
مفتاح البحث | |
| قائمة مشاهدة SAP_User_Config | SAPUser |
مستخدم SAP | OSS، DDIC |
| قائمة مشاهدة SAP_User_Config | Tags |
سلسلة العلامات المعينة للمستخدم | RunObsoleteProgOK |
| قائمة مشاهدة SAP_User_Config | معرف عنصر Microsoft Entra للمستخدم | معرف كائن Microsoft Entra | |
| قائمة مشاهدة SAP_User_Config | معرف المستخدم | معرف مستخدم Azure Directory | |
| قائمة مشاهدة SAP_User_Config | معرف الأمان الداخلي للمستخدم | ||
| قائمة مشاهدة SAP_User_Config | اسم المستخدم الأساسي | ||
| قائمة مشاهدة SAP_User_Config | TagsList |
قائمة بالعلامات المعينة للمستخدم |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| المنطق | TagsIntersect | مجموعة من العلامات التي تطابقت SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| المنطق | SpecialFocusTagged | إشارة التركيز الخاصة |
True, False |
| المنطق | IntersectionSize | عدد العلامات المتقاطعة |
SAPUsersHeader
تم تصميم الدالة SAPUsersHeader لتوفير عرض عالي المستوى لمستخدم SAP. ويستخدم البيانات المستخرجة من كل من جداول البيانات الرئيسية لمستخدم SAP والنشاط الأخير في سجل تدقيق SAP لجمع البريد الإلكتروني وعناوين IP. ثم تقوم بإرجاع آخر عناوين بريد إلكتروني وIP معروفة جنباً إلى جنب مع عناوين البريد الإلكتروني وIP الأساسية.
البارامترات:
| الاسم | اختياري/مطلوب | Default | الوصف |
|---|---|---|---|
| SelectedSystems | اختياري | All Systems |
يستخدم لتصفية أنظمة SAP معينة للنظر في |
| SelectedSystemRoles | اختياري | All System Roles |
تحديد أدوار أنظمة SAP التي سيتم النظر فيها، كما هو محدد في قائمة مراقبة SAP - الأنظمة . |
| SelectedUsers | اختياري | All Users |
يمكن إدخال قوائم المستخدمين. |
| SelectedUser | اختياري | All Users |
يقبل مستخدما واحدا فقط. |
على سبيل المثال:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
تلميح
لاعتبارات الأداء، يتم النظر في بضعة أيام فقط من نشاط التدقيق. للحصول على محفوظات كاملة لنشاط المستخدم، قم بتشغيل استعلام KQL مخصص مقابل الدالة SAPAuditLog .
ترجع الدالة SAPUsersHeader الإخراج التالي:
| المصدر | الحقل | الوصف | الملاحظات |
|---|---|---|---|
| المستخدم | مستخدم SAP | ||
| جداول SAP ADR6 و USR21 | البريد الإلكتروني | مأخوذ من البيانات الرئيسية للمستخدم | OSS، DDIC |
| جدول SAP USR02 | UserType | سلسلة العلامات المعينة للمستخدم | RunObsoleteProgOK |
| جدول SAP USR02 | المنطقة الزمنية | معرف كائن Microsoft Entra | |
| جدول SAP USR02 | LockedStatus | معرف مستخدم Azure Directory | |
| سجل تدقيق SAP | LastSeen | طابع زمني | آخر حدث تدقيق تمت ملاحظته للمستخدم |
| سجل تدقيق SAP | LastSeenDaysAgo | الأيام التي مرت منذ LastSeen |
|
| سجل تدقيق SAP | PrimaryIP | عنوان IP الأكثر استخداماً |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| سجل تدقيق SAP | LastKnownIP | أحدث عنوان IP مستخدم | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| سجل تدقيق SAP | PrimaryEmail | عنوان البريد الإلكتروني الأكثر استخداما |
True, False |
| سجل تدقيق SAP | KnownIPs | قائمة عناوين IP المعروفة | تم الفرز حسب الأكثر تكرارا أولا |
| سجل تدقيق SAP | KnownEmails | قائمة عناوين البريد الإلكتروني المعروفة | تم الفرز حسب الأكثر تكرارا أولا |
| العميل | معرف عميل SAP | ||
| SystemID | معرف نظام SAP | ||
| SystemRole | دور نظام SAP | الإنتاج، UAT | |
| SystemUsage | الاستخدام الرئيسي لنظام SAP | ERP، CRM |
المحتوى ذو الصلة
لمزيد من المعلومات، راجع: