Aracılığıyla paylaş

Microsoft Sentinel'de SAP HANA denetim günlüklerini toplama

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede, SAP HANA veritabanınızdan denetim günlüklerini toplama açıklanmaktadır.

Bu makaledeki içerik güvenlik, altyapı ve SAP BASIS ekiplerinize yöneliktir.

Önemli

Microsoft Sentinel SAP HANA desteği şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Not

Bu makale yalnızca veri bağlayıcısı aracısı için geçerlidir ve SAP aracısız çözümü (sınırlı önizleme) ile ilgili değildir.

Önkoşullar

SAP HANA günlükleri Syslog üzerinden gönderilir. Azure İzleyici Aracınızın Syslog dosyalarını toplayacak şekilde yapılandırıldığından emin olun. Daha fazla bilgi için bkz . Azure İzleyici Aracısı ile syslog ve CEF iletilerini Microsoft Sentinel'e alma.

SAP HANA denetim günlüklerini toplama

  1. SAP Launchpad destek sitesinden erişilebilen SAP Note 0002624117'da açıklandığı gibi SAP HANA denetim günlüğü kaydının Syslog kullanacak şekilde yapılandırıldığından emin olun. Daha fazla bilgi için bkz.

  2. İlgili HANA veritabanı olayları için işletim sistemi Syslog dosyalarınızı denetleyin.

  3. HANA veritabanı işletim sisteminizde sudo ayrıcalıklarına sahip bir kullanıcı olarak oturum açın.

  4. Makinenize bir aracı yükleyin ve makinenizin bağlı olduğunu onaylayın. Daha fazla bilgi için bkz . Azure İzleyici Aracısını yükleme ve yönetme.

  5. Aracınızı Syslog verilerini toplayacak şekilde yapılandırın. Daha fazla bilgi için bkz . Azure İzleyici Aracısı ile Syslog olaylarını toplama.

    İpucu

    HANA veritabanı olaylarının kaydedildiği tesisler farklı dağıtımlar arasında değişebileceğinden, tüm tesisleri eklemenizi öneririz. Bunları Syslog günlüklerinizde denetleyin ve ilgili olmayanları kaldırın.

Yapılandırmanızı doğrulama

Sisteminizin beklendiği gibi yapılandırıldığını doğrulamak için hem Microsoft Sentinel'de hem de SAP HANA veritabanınızda aşağıdaki adımları kullanın.

Microsoft Sentinel

Microsoft Sentinel'in Günlükler sayfasında HANA veritabanı olaylarının artık alınan günlüklerde gösterildiğini doğrulayın. Örneğin, aşağıdaki sorguyu çalıştırın:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

Yukarıdaki örneklerde kullanılan aşağıdaki öğeler hakkında daha fazla bilgiyi Kusto belgelerinde bulabilirsiniz:

KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.

Diğer kaynaklar:

SAP HANA

SAP HANA veritabanınızda, yapılandırılan denetim ilkelerinizi denetleyin. Gerekli SQL deyimleri hakkında daha fazla bilgi için bkz . SAP Note 3016478.

Microsoft Sentinel'de SAP HANA için analiz kuralları ekleme

Microsoft Sentinel'in ilgili SAP HANA etkinliğinde uyarıları tetiklemeye başlaması için aşağıdaki yerleşik analiz kurallarını kullanın:

  • SAP - (ÖNİzLEME) HANA DB -Yönetici Yetkilendirmeleri Atama
  • SAP - (ÖNİzLEME) HANA DB -Denetim İzi İlkesi Değişiklikleri
  • SAP - (ÖNİzLEME) HANA DB -Denetim İzinin Devre Dışı Bırakılması
  • SAP - (ÖNİzLEME) HANA DB -Kullanıcı Yöneticisi eylemleri

Daha fazla bilgi için bkz . SAP uygulamaları için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu.

İlgili içerik

SAP uygulamaları için Microsoft Sentinel çözümü hakkında daha fazla bilgi edinin: