Samla in SAP HANA-granskningsloggar i Microsoft Sentinel
Den här artikeln beskriver hur du samlar in granskningsloggar från din SAP HANA-databas.
Innehållet i den här artikeln är avsett för dina säkerhets-, infrastruktur- och SAP BASIS-team .
Viktigt!
Microsoft Sentinel SAP HANA-stöd finns för närvarande i FÖRHANDSVERSION. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Förutsättningar
SAP HANA-loggar skickas via Syslog. Kontrollera att Azure Monitor-agenten har konfigurerats för att samla in Syslog-filer. Mer information finns i Mata in syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten.
Samla in SAP HANA-granskningsloggar
Kontrollera att SAP HANA-spårningsloggen är konfigurerad för att använda Syslog, enligt beskrivningen i SAP Note 0002624117, som är tillgänglig från SAP Launchpad-supportwebbplatsen. Mer information finns i:
Kontrollera om det finns relevanta HANA-databashändelser i operativsystemets Syslog-filer.
Logga in på operativsystemet för HANA-databasen som en användare med sudo-behörighet.
Installera en agent på datorn och bekräfta att datorn är ansluten. Mer information finns i Installera och hantera Azure Monitor-agenten.
Konfigurera din agent för att samla in Syslog-data. Mer information finns i Samla in Syslog-händelser med Azure Monitor Agent.
Dricks
Eftersom de anläggningar där HANA-databashändelser sparas kan ändras mellan olika distributioner rekommenderar vi att du lägger till alla faciliteter. Kontrollera dem mot dina Syslog-loggar och ta sedan bort alla som inte är relevanta.
Verifiera konfigurationen
Använd följande steg i både Microsoft Sentinel och DIN SAP HANA-databas för att kontrollera att systemet är konfigurerat som förväntat.
Microsoft Sentinel
På sidan Loggar i Microsoft Sentinel kontrollerar du att HANA-databashändelser nu visas i de inmatade loggarna. Kör till exempel följande fråga:
//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];
let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')
SAP HANA
Kontrollera dina konfigurerade granskningsprinciper i SAP HANA-databasen. Mer information om nödvändiga SQL-instruktioner finns i SAP Note 3016478.
Lägga till analysregler för SAP HANA i Microsoft Sentinel
Använd följande inbyggda analysregler för att låta Microsoft Sentinel börja utlösa aviseringar om relaterad SAP HANA-aktivitet:
- SAP – (FÖRHANDSVERSION) HANA DB – Tilldela administratörsauktoriseringar
- SAP – (FÖRHANDSVERSION) HANA DB – Principändringar för spårningsspårning
- SAP – (FÖRHANDSVERSION) HANA DB -Inaktivering av spårningslogg
- SAP – (FÖRHANDSVERSION) HANA DB – Användaradministratörsåtgärder
Mer information finns i Microsoft Sentinel-lösning för SAP-program: referens för säkerhetsinnehåll.
Relaterat innehåll
Läs mer om Microsoft Sentinel-lösningen för SAP-program: