Sammeln von SAP HANA-Überwachungsprotokollen in Microsoft Sentinel

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In diesem Artikel wird erläutert, wie Sie Überwachungsprotokolle aus Ihrer SAP HANA-Datenbank sammeln.

Inhalte in diesem Artikel sind für Ihre Sicherheits-, Infrastruktur- und SAP BASIS-Teams vorgesehen.

Wichtig

Die Unterstützung für Microsoft Sentinel SAP HANA befindet sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen

SAP HANA-Protokolle werden über Syslog gesendet. Stellen Sie sicher, dass Ihr Azure Monitor Agent für die Erfassung von Syslog-Dateien konfiguriert ist. Weitere Informationen finden Sie unter Erfassen von Syslog- und CEF-Nachrichten für Microsoft Sentinel mit dem Azure Monitor-Agent.

Erfassen von SAP HANA-Überwachungsprotokollen

  1. Stellen Sie sicher, dass der SAP HANA-Überwachungsprotokollpfad für die Verwendung von Syslog konfiguriert ist, wie auf der Launchpad-Website des SAP-Support im SAP-Hinweis 0002624117 beschrieben. Weitere Informationen finden Sie unter

  2. Überprüfen Sie die Syslog-Dateien Ihres Betriebssystems auf relevante HANA-Datenbankereignisse.

  3. Melden Sie sich bei Ihrem HANA-Datenbankbetriebssystem als Benutzer mit sudo-Berechtigungen an.

  4. Installieren Sie einen Agent auf Ihrem Computer, und vergewissern Sie sich, dass Ihr Computer verbunden ist. Weitere Informationen finden Sie unter Installieren und Verwalten von Azure Monitor Agent.

  5. Konfigurieren Sie den Agent zum Sammeln von Syslog-Daten. Weitere Informationen finden Sie unter Sammeln von Syslog-Ereignissen mit dem Azure Monitor-Agent.

    Tipp

    Da sich die Einrichtungen, in denen HANA-Datenbankereignisse gespeichert werden, zwischen verschiedenen Distributionen ändern können, empfiehlt es sich, alle Einrichtungen hinzuzufügen. Überprüfen Sie sie anhand Ihrer Syslog-Protokolle, und entfernen Sie dann alle nicht relevanten.

Überprüfen Ihrer Konfiguration

Führen Sie die folgenden Schritte sowohl in Microsoft Sentinel als auch in Ihrer SAP HANA-Datenbank aus, um zu überprüfen, ob Ihr System wie erwartet konfiguriert ist.

Microsoft Sentinel

Überprüfen Sie auf der Seite Protokolle von Microsoft Sentinel, ob HANA-Datenbankereignisse jetzt in den erfassten Protokollen angezeigt werden. Führen Sie beispielsweise die folgende Abfrage aus:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

Überprüfen Sie in Ihrer SAP HANA-Datenbank Ihre konfigurierten Überwachungsrichtlinien. Weitere Informationen zu den erforderlichen SQL-Anweisungen finden Sie im SAP-Hinweis 3016478.

Hinzufügen von Analyseregeln für SAP HANA in Microsoft Sentinel

Verwenden Sie die folgenden integrierten Analyseregeln, damit Microsoft Sentinel Benachrichtigungen zu verwandten SAP HANA-Aktivitäten auslöst:

  • SAP – (VORSCHAU) HANA DB – Zuweisen von Administratorautorisierungen
  • SAP – (VORSCHAU) HANA DB – Änderungen an Überwachungsprotokollrichtlinien
  • SAP – (VORSCHAU) HANA DB – Deaktivierung des Überwachungsprotokolls
  • SAP – (VORSCHAU) HANA DB – Benutzeradministratoraktionen

Weitere Informationen finden Sie unter Microsoft Sentinel-Lösung für SAP-Anwendungen: Referenz zu Sicherheitsinhalten.

Zugehöriger Inhalt

Erfahren Sie mehr über Microsoft Sentinel-Lösung für SAP-Anwendungen: