Microsoft Sentinel에서 SAP HANA 감사 로그 수집

이 문서에서는 SAP HANA 데이터베이스에서 감사 로그를 수집하는 방법을 설명합니다.

필수 조건

SAP HANA 로그는 Syslog를 통해 전송됩니다. Azure Monitor 에이전트가 Syslog 파일을 수집하도록 구성되어 있는지 확인합니다. 자세한 내용은 다음을 참조하세요.

자세한 내용은 Azure Monitor 에이전트를 사용하여 Syslog 및 CEF 메시지를 Microsoft Sentinel에 수집을 참조하세요.

SAP HANA 감사 로그 수집

1. SAP 실행 패드 지원 사이트에서 액세스할 수 있는 SAP Note 0002624117에 설명된 대로 SAP HANA 감사 로그 내역이 Syslog를 사용하도록 구성되어 있는지 확인합니다. 자세한 내용은 다음을 참조하세요.

   • SAP HANA 감사 내역-모범 사례
   • 감사에 대 한 권장 사항
   • SAP HANA 플랫폼을 위한 SAP HANA 보안 가이드

2. 운영 체제 Syslog 파일에서 관련 HANA 데이터베이스 이벤트를 확인합니다.

3. sudo 권한이 있는 .사용자로 HANA 데이터베이스 운영 체제에 로그인합니다.

4. 사용자의 컴퓨터에 에이전트를 설치하고 사용자의 컴퓨터가 연결되어 있는지 확인합니다. 자세한 내용은 Azure Monitor 에이전트 설치 및 관리를 참조하세요.

5. Syslog 데이터를 수집하도록 에이전트를 구성합니다. 자세한 내용은 Azure Monitor 에이전트를 사용하여 Syslog 이벤트 수집을 참조하세요.

   팁

   HANA 데이터베이스 이벤트가 저장되는 기능은 배포판마다 다를 수 있으므로 모든 기능을 추가하는 것이 좋습니다. Syslog 로그와 비교한 후 관련 없는 내용은 제거합니다.

구성 확인

Microsoft Sentinel과 SAP HANA 데이터베이스에서 다음 단계에서 시스템이 예상대로 구성되었는지 확인합니다.

Microsoft Sentinel

Microsoft Sentinel의 로그 페이지에서 HANA 데이터베이스 이벤트가 이제 수집된 로그에 표시되는지 확인합니다. 예를 들어, 다음 쿼리를 실행합니다.

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

SAP HANA 데이터베이스에서 구성된 감사 정책을 확인합니다. 필요한 SQL 문에 대한 자세한 내용은 SAP Note 3016478을 참조하세요.

Microsoft Sentinel에서 SAP HANA에 대한 분석 규칙 추가

다음의 기본 제공 분석 규칙을 사용하면 Microsoft Sentinel이 관련 SAP HANA 작업에 대한 경고를 트리거하기 시작합니다.

• SAP - (미리 보기) HANA DB - 관리자 권한 할당
• SAP - (미리 보기) HANA DB - 감사 내역 정책 변경
• SAP - (미리 보기) HANA DB - 감사 내역 비활성화
• SAP - (미리 보기) HANA DB - 사용자 관리 작업

자세한 내용은 SAP® 애플리케이션용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조를 참조하세요.

관련 콘텐츠

SAP BTP용 Microsoft Sentinel 솔루션에 대해 자세히 알아봅니다.

• SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포
• SAP BTP용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조

SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 대해 자세히 알아봅니다.

• SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포
• SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포를 위한 필수 조건
• SAP CR(변경 요청) 배포 및 권한 부여 구성
• 콘텐츠 허브에서 솔루션 콘텐츠 배포
• SAP 데이터 커넥터 에이전트를 호스트하는 컨테이너 배포 및 구성
• SNC로 SAP 데이터 커넥터 배포
• SAP 시스템 상태 모니터링
• SAP 감사 사용 및 구성

문제 해결:

• SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포 문제 해결
• HANA 감사 로그가 SYSLOG에 생성되지 않음 | SAP Note
• HANA에 대한 syslog 감사를 대체 위치로 리디렉션하는 방법 | SAP Note

참조 파일:

• SAP® 애플리케이션용 Microsoft Sentinel 솔루션 데이터 참조
• SAP® 애플리케이션용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조
• Kickstart 스크립트 참조
• 업데이트 스크립트 참조
• Systemconfig.ini 파일 참조

자세한 내용은 Microsoft Sentinel 솔루션을 참조하세요.