Bagikan melalui

Mengumpulkan log audit SAP Hana di Microsoft Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Artikel ini menjelaskan cara mengumpulkan log audit dari database SAP Hana Anda.

Konten dalam artikel ini ditujukan untuk tim keamanan, infrastruktur, dan SAP BASIS Anda.

Penting

Dukungan SAP HANA Microsoft Sentinel saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Catatan

Artikel ini hanya relevan untuk agen konektor data, dan tidak relevan untuk solusi tanpa agen SAP (pratinjau terbatas).

Prasyarat

Log SAP Hana dikirim melalui Syslog. Pastikan Agen Azure Monitor Anda dikonfigurasi untuk mengumpulkan file Syslog. Untuk informasi selengkapnya, lihat Menyerap pesan syslog dan CEF ke Microsoft Sentinel dengan Agen Azure Monitor.

Mengumpulkan jejak audit SAP Hana

  1. Pastikan bahwa jejak log audit SAP HANA dikonfigurasi untuk menggunakan Syslog seperti yang dijelaskan dalam Catatan SAP 0002624117, yang dapat diakses dari Situs dukungan Launchpad SAP. Untuk informasi selengkapnya, lihat:

  2. Periksa file Syslog sistem operasi Anda untuk setiap kejadian database HANA yang relevan.

  3. Masuk ke sistem operasi database HANA Anda sebagai pengguna dengan hak istimewa sudo.

  4. Instal agen di komputer Anda dan konfirmasikan bahwa komputer Anda tersambung. Untuk informasi selengkapnya, lihat Menginstal dan mengelola Agen Azure Monitor.

  5. Konfigurasikan agen Anda untuk mengumpulkan data Syslog. Untuk informasi selengkapnya, lihat Mengumpulkan peristiwa Syslog dengan Agen Azure Monitor.

    Tip

    Karena fasilitas tempat peristiwa database HANA disimpan dapat berubah di antara distribusi yang berbeda, kami sarankan Anda menambahkan semua fasilitas. Periksa terhadap log Syslog Anda, lalu hapus yang tidak relevan.

Memverifikasi konfigurasi Anda

Gunakan langkah-langkah berikut di Microsoft Sentinel dan database SAP Hana Anda untuk memverifikasi bahwa sistem Anda dikonfigurasi seperti yang diharapkan.

Microsoft Sentinel

Di halaman Log Microsoft Sentinel, periksa untuk mengonfirmasi bahwa peristiwa database HANA sekarang ditampilkan dalam log yang diserap. Misalnya, jalankan kueri berikut:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

Lihat informasi selengkapnya tentang item berikut yang digunakan dalam contoh sebelumnya, dalam dokumentasi Kusto:

Untuk informasi selengkapnya tentang KQL, lihat gambaran umum Bahasa Kueri Kusto (KQL).

Sumber daya lainnya:

SAP HANA

Di database SAP Hana Anda, periksa kebijakan audit yang dikonfigurasi. Untuk informasi selengkapnya tentang pernyataan SQL yang diperlukan, lihat Catatan SAP 3016478.

Menambahkan aturan analitik untuk SAP Hana di Microsoft Azure Sentinel

Gunakan aturan analitik bawaan berikut agar Microsoft Sentinel mulai memicu pemberitahuan tentang aktivitas SAP Hana terkait:

  • SAP - (PARTINJAU) HANA DB - Tetapkan Otorisasi Admin
  • SAP - (PRATINJAU) HANA DB - Perubahan Policy Jejak Audit
  • SAP - (PRATINJAU) HANA DB - Penonaktifan Jejak Audit
  • SAP - (PRATINJAU) HANA DB -tindakan Admin Pengguna

Untuk informasi selengkapnya, lihat Solusi Microsoft Azure Sentinel untuk aplikasi SAP: referensi konten keamanan.

Konten terkait

Pelajari selengkapnya tentang solusi Microsoft Azure Sentinel untuk aplikasi SAP: