SAP uygulamaları için Microsoft Sentinel çözümü - işlevler başvurusu
Bu makalede, SAP uygulamaları için Microsoft Sentinel çözümünü yükledikten sonra çalışma alanınızda kullanılabilen işlevler açıklanmaktadır. Microsoft Sentinel'e göz atarak ve işlev kodunu yükleyerek daha fazla işlev keşfedin.
İşlevleri aşağıdaki gibi bulun:
- Azure portalında, Genel Günlükler sayfasında, İşlevler sekmesinde ve Çalışma alanı işlevleri altında listelenmiştir.>
- Defender portalında, Araştırma ve yanıt > Gelişmiş tehdit avcılığı sayfasında, İşlevler sekmesinde ve Sentinel çalışma alanı işlevleri altında listelenir.
Bu makaledeki içerik güvenlik ekiplerinize yöneliktir.
Temel alınan günlükler veya tablolar yerine sorgularınızdaki işlevleri kullanma
Bu makalede listelenen işlevleri, temel alınan günlükler veya tablolar yerine mümkün olduğunda çözümlemelerinin konuları olarak kullanmanızı kesinlikle öneririz.
Bu işlevler, veriler için asıl kullanıcı arabirimi görevi görecek şekilde tasarlanmıştır. Bunlar, kullanıma hazır olarak kullanabileceğiniz tüm yerleşik analiz kurallarının ve çalışma kitaplarının temelini oluşturur. İşlevleri kullanmak, kullanıcı tarafından oluşturulan içeriği bozmadan işlevlerin altındaki veri altyapısında değişiklik yapılmasını sağlar.
SAPUsersAssignments
SAPUsersAssignments işlevi, birden çok SAP veri kaynağından veri toplar ve şu anda atanmış olan roller ve profiller de dahil olmak üzere geçerli kullanıcı ana verilerinin kullanıcı merkezli bir görünümünü oluşturur.
Bu işlev, rollere ve profillere kullanıcı atamalarını özetler ve aşağıdaki verileri döndürür:
| Alan | Açıklama | Veri Kaynağı/Notlar |
|---|---|---|
| User | SAP kullanıcı kimliği | Yalnızca SAL |
| E-posta | SMTP adresi | USR21 (SMTP_ADDR) |
| UserType | Kullanıcı türü | USR02 (USTYP) |
| Saat Dilimi | Time zone | USR02 (TZONE) |
| LockedStatus | Kilit durumu | USR02 (UFLAG) |
| LastSeenDate | Son görülme tarihi | USR02 (TRDAT) |
| LastSeenTime | Son görülme zamanı | USR02 (LTIME) |
| UserGroupAuth | Kullanıcı ana bakımındaki kullanıcı grubu | USR02 (SıNıF) |
| Profiller | Profil kümesi (varsayılan maksimum küme boyutu = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Doğrudan atanan roller kümesi (varsayılan maksimum küme boyutu = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Dolaylı olarak atanan roller kümesi (varsayılan maksimum küme boyutu = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| İstemci | Client ID | |
| SystemID | Sistem Kimliği | Bağlayıcıda tanımlandığı gibi |
SAPUsersGetPrivileged
SAPUsersGetPrivileged işlevi, istemci ve sistem kimliği başına ayrıcalıklı kullanıcıların listesini döndürür.
Kullanıcılar aşağıdaki açıklamalardan herhangi biriyle eşleştiğinde ayrıcalıklı olarak kabul edilir:
- Sap - Privileged Users izleme listesinde listelenirler
- SAP - Hassas Profiller izleme listesinde listelenen bir profile atanırlar
- SAP - Hassas Roller izleme listesinde listelenen bir role eklenirler
Parametreler:
| Veri Akışı Adı | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| TimeAgo | İsteğe bağlı | Yedi gün | İşlevin değer tarafından tanımlanan süreden değer tarafından TimeAgo tanımlanan zamana kadar kullanıcı ana verilerini aradığını now() belirler. |
SAPUsersGetPrivileged işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama |
|---|---|
| User | SAP kullanıcı kimliği |
| İstemci | Client ID |
| SystemID | Sistem Kimliği |
SAPUsersAuthorizations
SAPUsersAuthorizations işlevi, atanan geçerli rollerin ve yetkilendirmelerin kullanıcı merkezli bir görünümünü oluşturmak için çeşitli tablolardaki verileri bir araya getirir. Yalnızca etkin rol ve yetkilendirme atamalarına sahip kullanıcılar döndürülür.
Parametreler:
| Veri Akışı Adı | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| TimeAgo | İsteğe bağlı | Yedi gün | İşlevin değer tarafından tanımlanan süreden değer tarafından TimeAgo tanımlanan zamana kadar kullanıcı ana verilerini aradığını now() belirler. |
SAPUsersAuthorizations işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama | Notlar |
|---|---|---|
| User | SAP kullanıcı kimliği | |
| Roller | Rol kümesi (varsayılan en büyük küme boyutu = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Yetkilendirme kümesi (varsayılan maksimum küme boyutu = 100) | {{AuthorizationsDeatils1},{AuthorizationsDeatils2}, ..., {AuthorizationsDeatils100}} |
| İstemci | Client ID | |
| SystemID | Sistem Kimliği |
SAPConnectorHealth
SAPConnectorHealth işlevi, aracının ve temel sap sisteminin bağlantısının durumunu yansıtır. Sinyal günlüğü SAP_HeartBeat_CL ve diğer sistem durumu göstergelerine bağlı olarak aşağıdaki verileri döndürür:
| Alan | Açıklama |
|---|---|
| Temsilci | Aracı yapılandırmasındaki aracı kimliği (otomatik olarak oluşturulur) |
| SystemID | SAP sistem kimliği |
| Durum | Genel bağlantı durumu |
| Ayrıntılar | Bağlantı ayrıntıları |
| ExtendedDetails | Bağlantı genişletilmiş ayrıntıları |
| LastSeen | En son etkinliğin zaman damgası |
| StatusCode | Sistemin durumunu yansıtan kod |
SAPConnectorOverview
SAPConnectorOverview işlevi, sistem kimliği başına her SAP tablosunun satır sayısını gösterir. Sistem kimliği başına veri kayıtlarının bir listesini ve bunların oluşturulduğu zamanı döndürür.
Parametreler:
| Veri Akışı Adı | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| TimeAgo | İsteğe bağlı | Yedi gün | İşlevin değer tarafından tanımlanan süreden değer tarafından TimeAgo tanımlanan zamana kadar kullanıcı ana verilerini aradığını now() belirler. |
SAPConnectorOverview işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama |
|---|---|
| TimeGenerated | Kaydın neslinin zaman damgasının tarih saat değeri |
| SystemID_s | SAP sistem kimliğini temsil eden bir dize |
Günlük eğilim analizi gerçekleştirmek için aşağıdaki Kusto sorgusunu kullanın:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
SAPUsersEmail işlevi, SAP sistemi ve istemcisi başına bir SAP kullanıcısının e-posta adresinin performans odaklı aramasını sağlar ve normalde bunu bir Active Directory hesabıyla ilişkilendirmek için kullanılır.
SAPUsersEmail işlevi, e-posta adresi aramak için SAP tablolarından USR21 (Kullanıcı Adı/Adres Anahtarı Ataması) ve ADR6 (E-posta Adresleri) verilerinden ayıklanan verileri kullanır. E-posta adresi bulunamazsa, bunun yerine kullanıcı kimliği döndürülür.
Bu davranış, genellikle e-posta adresleriyle ilişkilendirilmeyen DDIC gibi SAP hizmet hesaplarının sahte AD hesapları olarak günlüğe kaydedilmesini sağlar. Bu, olayların ve avlanma etkinliklerinin araştırılmasında yardımcı olan bazı UEBA özelliklerini de açar.
SAPUsersEmail işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama |
|---|---|
| ClientID | SAP istemci kimliği |
| SystemID | SAP sistem kimliği |
| User | SAP kullanıcı kimliği |
| E-posta | SAP kullanıcısının e-posta adresi |
SAPSystems
SAPSystems işlevi, SAP - Systems izleme listesi kullanılarak yapılan sistem başına yapılandırmayı merkezi olarak sunmak için kullanılır.
Parametreler:
| Veri Akışı Adı | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| SelectedSystems | İsteğe bağlı | All Systems |
Belirli SAP sistemlerini filtrelemek için kullanılır |
| SelectedSystemRoles | İsteğe bağlı | All System Roles |
SAP - Systems izleme listesinde tanımlandığı gibi, bakılacak SAP Sistemlerinin rollerini belirler |
SAPSystems işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama | Veri Kaynağı/Notlar |
|---|---|---|
| Arama Tuşu | Arama tuşu | SAP sistem kimliği için dizine alınan alan |
| SystemRole | SAP sisteminin rolü | Üretim, UAT |
| SystemUsage | SAP sisteminin ana kullanımı | ERP, CRM |
| SystemID | SAP sistem kimliği |
SAPAuditLogConfiguration
SAPAuditLogConfiguration işlevi, SAP denetim günlüğü uyarılarının yerel yapılandırmasını Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanına döndürür. Bu yapılandırma SAP denetim günlüğüyle ilgili uyarılar için kullanılır.
SAPAuditLogConfiguration işlevi, sistem başına rol eforuyla sistem başına yapılandırma sağlamak için SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırması ve SAP - Sistemler izleme listelerindeki verileri birleştirir.
Parametreler:
| Veri Akışı Adı | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| SelectedSystems | İsteğe bağlı | All Systems |
Belirli SAP sistemlerini filtrelemek için kullanılır. |
| SelectedSystemRoles | İsteğe bağlı | All System Roles |
Bakılacak SAP Sistemlerinin rollerini belirler (SAP - Systems izleme listesinde tanımlandığı gibi). |
| Seçili Azimler | İsteğe bağlı | [High, Medium] |
Önem dereceleri açısından bakılacak olayları belirlemek için kullanılır. SAP denetim günlüğü ileti kimliği ve sistem rolü başına önem dereceleri SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesinde tanımlanır. |
| SelectedRuleTypes | İsteğe bağlı | All RuleTypes |
Anomalileri algılamak için hangi olayların uygun olduğunu belirler. SAP denetim günlüğü ileti kimliği ve sistem rolü başına kural türleri SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesinde tanımlanır. |
SAPAuditLogConfiguration işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama | Veri Kaynağı/Notlar |
|---|---|---|
| KategoriAdı | SAP verilen olay kategorisi | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| DestinationEmail | Atanan Ekibin e-posta adresi | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| DetailedDescription | Uyarılarda görüntülenecek markdown biçimli metin | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| İleti Kimliği | SAP denetim günlüğü ileti kimliği | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| İleti Metni | Örnek ileti metni | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| RolesTagsToExclude | ABAP Rolü, Profili veya serbest metin etiketi | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| RuleType | Anomali veya belirleyici | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| Taktikler | MITRE ATTA&CK taktiği | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| TeamsChannelID | Teams Kanalı | SAP Dinamik Denetim Günlüğü İzleyicisi Yapılandırma izleme listesi |
| SystemID | SAP sistem kimliği | SAP - Sistemler izleme listesi |
| SystemRole | SAP Sisteminin Rolü | SAP - Sistemler izleme listesi |
| SystemUsage | SAP sisteminin ana kullanımı | SAP - Sistemler izleme listesi |
| IsProd | Üretim sistemi bayrağı | SAP - Sistemler izleme listesi |
| Önem | Türetilmiş önem derecesi | Sistem kullanımı başına önem derecesi |
| Threshold | Türetilmiş eşik | Sistem kullanımı başına olay sayısı |
| BagOfDetails | Ayrıntılar Çantası | Olay tanımının ayrıntılarını içeren sözlük |
Daha fazla bilgi için bkz . Kullanılabilir izleme listeleri.
SAPAuditLogAnomalies
SAPAuditLogAnomalies işlevi, SAP denetim günlüğünde gözlemlenen anormal olayları algılamaya yardımcı olmak için Microsoft Sentinel'in temel kusto veritabanının yerleşik makine öğrenmesi özelliklerini kullanır.
SAPAuditLogAnomalies işlevi SAP - (Deneysel) Dinamik Anomali tabanlı Denetim Günlüğü İzleyicisi Uyarıları analiz kuralı için geliştirilmiştir. Özgün tasarımı son anomaliler hakkında uyarı vermek olsa da, geçmiş anomalileri vurgulama konusunda da yardımcı olabilir. Daha fazla bilgi için bkz . Örnek kullanımlar.
SAPAuditLogAnomalies işlevi, aşağıdaki düzeylerde farklı giriş parametreleri tarafından tanımlanan geçmişin dilimini öğrenir:
- User
- Ağ öznitelikleri
- Sistem
- Mevsimsellik
- Etkinlik düzeyleri
SAPAuditLogAnomalies işlevi daha sonra son DetectingTime zaman aralığı içinde gerçekleşen olayları öğrendiklerine göre değerlendirir, sap denetim günlüğü yapılandırma izleme listesinden alınan eşikler ve diğer yapılandırılabilir dışlama ölçütlerini uygular.
Kullanıcı etkinliğinin kayan penceresi anormal olarak kabul edildikten sonra ikinci bir sorgu, kararı destekleyen kanıt olarak tüm kullanıcı etkinliğini döndürür.
Parametreler:
| Veri Akışı Adı | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| LearningTime | İsteğe bağlı | 14 gün | Model öğrenmesi için kullanılan zaman aralığını belirler. |
| DetectingTime | İsteğe bağlı | Bir saat | Anomalileri algılamak için bakılacak zaman aralığını belirler. Bu işlevin DetectingTime = 0h çağrılması, zaman aralığının tamamında LearningTime anomalileri vurgular. |
| SelectedSystems | İsteğe bağlı | All Systems |
Belirli SAP sistemlerini filtrelemek için kullanılır. |
| SelectedSystemRoles | İsteğe bağlı | All System Roles |
SAP - Systems izleme listesinde tanımlandığı gibi, bakılacak SAP Sistemlerinin rollerini belirler |
| Seçili Azimler | İsteğe bağlı | [High, Medium] |
Önem dereceleri açısından bakılacak olayları belirlemek için kullanılır. SAP denetim günlüğü ileti kimliği ve sistem rolü başına önem dereceleri SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesinde tanımlanır. |
| SelectedPrefixMask | İsteğe bağlı | 24 | Öğrenme ve algılama için kullanılan alt ağ maskesi düzeyini belirlemek için kullanılır. |
| SelectedRuleTypes | İsteğe bağlı | AnomaliesOnly |
Anomalileri algılamak için hangi olayların uygun olduğunu belirler. SAP denetim günlüğü ileti kimliği ve sistem rolü başına kural türleri SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesinde tanımlanır. |
SAPAuditLogAnomalies işlevi aşağıdaki verileri döndürür:
| Alan | Açıklama |
|---|---|
| SAPAuditLog'dan birden çok alan | SAP Denetim günlüğündeki anahtar alanlar |
| SAPAuditLogConfiguration'dan birden çok alan | SAP denetim günlüğü yapılandırması için Microsoft Sentinel'den önemli alanlar |
| DiscoveredOn | Anomalinin gözlemlendiği yuvarlanmış saat |
| EventCount | Döndürülen satır başına sayılan olay sayısı |
| AnomalCount | İlgili kayan pencerede gözlemlenen olay sayısı |
| MinTime | gözlemlenen ilk olayın zamanı |
| MaxTime | Gözlemlenen son olayın zamanı |
| Puan | anomali, anomali modeli tarafından üretilen şekilde puanlar |
Öneriler:
Tüm makine öğrenmesi çözümlerinde olduğu gibi SAPAuditLogAnomalies işlevi de zamanla daha iyi performans gösterir ve zaman geçtikçe gerektiği gibi ayarlanabilir.
Birçok kullanılabilir giriş parametresini kullanarak öğrenilen veritabanının boyutunu 100 milyon kaydın altında olacak şekilde kısıtlamanızı öneririz.
SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesinde AnomalilerOnly olarak işaretlenmiş olay türleri için üretim sistemlerinde son bir saat içinde gerçekleşen yüksek önem derecesine sahip olaylara yönelik anomalileri aramak için şunu çalıştırın:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))BIP sisteminde son 14 gün içindeki tüm anomalileri aramak için şunu çalıştırın:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Daha fazla bilgi için bkz. SAP için Microsoft Sentinel çözümünü (blog) kullanarak SAP denetim günlüğünü izlemek için yerleşik SAP analiz kuralları ve SAP denetim günlüğünde anomali algılama.
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend, SAP - Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME) analiz kuralının yapılandırması için öneriler sunmak üzere tasarlanmış bir yardımcı işlevdir.
Daha fazla bilgi için bkz . SAP denetim günlüğünü izleme.
SAPUsersGetVIP
SAP uygulamaları için Microsoft Sentinel çözümü, hatalı pozitif sonuçları en az çabayla azaltmanıza yardımcı olmak için tasarlanmış merkezi kullanıcı etiketlemesi ve açık dışlamalar kavramını kullanır.
SAP kullanıcı rollerini, SAP kullanıcı işlevlerini veya bu kullanıcıları temsil eden etiketleri belirterek kullanıcıları uyarıları tetiklemekten dışlamak için SAPUsersGetVIP işlevini kullanın. Daha fazla bilgi için bkz . Microsoft Sentinel'de hatalı pozitif sonuçları işleme.
SAPUsersGetVIP işlevi için giriş olarak belirtilen etiketler, SAP_User_Config izleme listesinde listelenen bir etikete sahip tüm kullanıcıları dışlar. Aynı işlevsellik joker karakterlerle çalışacak şekilde genişletilir ve aynı adlandırma söz dizimine sahip bir kullanıcı grubuna tek bir etiket atamanıza olanak sağlar.
SAP_User_Config izleme listesindeki kullanıcıları aşağıdaki gibi etiketleyin:
Çeşitli senaryoları ele almak için SAP_User_Config izleme listesindeki her kullanıcıya birden çok etiket ekleyin. Her uyarı kuralının varsa kendi ilgili etiketleri vardır ve gerektiğinde özel etiketler ekleyebilirsiniz.
Belirli bir adlandırma söz dizimi şablonuna sahip kullanıcıları eklemek için joker karakter olarak yıldız işareti (*) kullanın.
Tanımladığınız kullanıcı listelerinin uyarılardan hariç tutulmasını istemek için analiz kurallarınıza SAPUsersGetVIP işlevini ekleyin. İşlev çağrısında, hariç tutmak istediğiniz etiketleri, SAP rollerini ve SAP profillerini içeren bir dizi ekleyin.
Örneğin, analiz kuralınızda aşağıdaki KQL sorgusunu kullanarak SAP_User_Config izleme listesindeki RunObsoleteProgOK etiketiyle yapılandırılmış kullanıcıları veya örnek SAP_BASIS_ADMIN_ROLE rolüne veya örnek SAP_ADMIN_PROFILE profiline sahip kullanıcıları hariç tutun.
Bu örnek işlev çağrısını kopyalarken, SAP_BASIS_ADMIN_ROLE rolü ve SAP_ADMIN_PROFILE profilini gerektiği gibi kendi SAP rollerinizle veya profillerinizle değiştirin.
Örneğin:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
SAPUsersGetVIP işlevi genellikle Deterministic ve Anormal Denetim Günlüğü İzleyicisi uyarılarında kullanılır. Etiketi SAP denetim günlüğü ileti kimliğiyle ilişkilendirin veya kural şablonunu kuruluşunuzun gereksinimlerine uyan özel bir kurala genişletin.
İpucu
hangi SAP kullanıcılarını, rollerini ve profillerini SAP_User_Config izleme listenize dahil etmek için SAP sistem yöneticinize başvurmanızı öneririz.
Parametreler:
| Veri Akışı Adı | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| SearchForTags | İsteğe bağlı | dynamic('All Tags') |
eşit All TagsolduğundaSearchForTags, tüm kullanıcılar etiketleriyle birlikte döndürülür. Aksi takdirde yalnızca içinde belirtilen SearchForTags etiketleri, SAP rollerini veya SAP profillerini taşıyan kullanıcılar döndürülür. TagsIntersect bulunan etiketleri gösterir ve IntersectionSize bulunan etiket sayısını tutar. |
| SpecialFocusTags | İsteğe bağlı | Do not return any in-focus users |
içinde SpecialFocusTagsbelirtilen etiketleri taşıyan ve ile işaretlenen specialFocusTagged = truetüm kullanıcıları döndürür. |
SAPUsersGetVIP işlevi aşağıdaki çıkışı döndürür:
| Kaynak | Alan | Açıklama | Notlar |
|---|---|---|---|
| SAP_User_Config izleme listesi | SearchKey |
Arama tuşu | |
| SAP_User_Config izleme listesi | SAPUser |
SAP kullanıcısı | OSS, DDIC |
| SAP_User_Config izleme listesi | Tags |
Kullanıcıya atanan etiket dizesi | RunObsoleteProgOK |
| SAP_User_Config izleme listesi | Kullanıcının Microsoft Entra nesne kimliği | Microsoft Entra nesne kimliği | |
| SAP_User_Config izleme listesi | Kullanıcı tanımlayıcısı | Azure Directory kullanıcı tanımlayıcısı | |
| SAP_User_Config izleme listesi | Kullanıcı şirket içi SID | ||
| SAP_User_Config izleme listesi | Kullanıcı asıl adı | ||
| SAP_User_Config izleme listesi | TagsList |
Kullanıcıya atanan etiketlerin listesi | ChangeUserMasterDataOK;RunObsoleteProgOK |
| Mantık | TagsIntersect | Eşleşen bir etiket kümesi SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Mantık | SpecialFocusTagged | Özel odak göstergesi | True, False |
| Mantık | Kesişim Boyutu | Kesişen etiketlerin sayısı |
SAPUsersHeader
SAPUsersHeader işlevi, SAP kullanıcısının üst düzey bir görünümünü sağlamak için tasarlanmıştır. E-posta ve IP adreslerini toplamak için hem SAP kullanıcı yöneticisi veri tablolarından hem de SAP denetim günlüğündeki son etkinliklerden ayıklanan verileri kullanır. Ardından bilinen son e-posta ve IP adreslerinin yanı sıra birincil e-posta ve IP adreslerini döndürür.
Parametreler:
| Veri Akışı Adı | İsteğe Bağlı/Gerekli | Varsayılan | Açıklama |
|---|---|---|---|
| SelectedSystems | İsteğe bağlı | All Systems |
Bakmak için belirli SAP sistemlerini filtrelemek için kullanılır |
| SelectedSystemRoles | İsteğe bağlı | All System Roles |
SAP - Systems izleme listesinde tanımlandığı gibi, bakılacak SAP Sistemlerinin rollerini belirler. |
| SelectedUsers | İsteğe bağlı | All Users |
Kullanıcı listelerini giriş yapabilir. |
| SelectedUser | İsteğe bağlı | All Users |
Yalnızca tek bir kullanıcıyı kabul eder. |
Örneğin:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
İpucu
Performansla ilgili dikkat edilmesi gerekenler için yalnızca birkaç günlük denetim etkinliği dikkate alınır. Kullanıcı etkinliğinin tam geçmişi için SAPAuditLog işlevine karşı özel bir KQL sorgusu çalıştırın.
SAPUsersHeader işlevi aşağıdaki çıkışı döndürür:
| Kaynak | Alan | Açıklama | Notlar |
|---|---|---|---|
| User | SAP kullanıcısı | ||
| SAP tabloları ADR6 ve USR21 | E-posta | Kullanıcının ana verilerinden alınır | OSS, DDIC |
| SAP tablosu USR02 | UserType | Kullanıcıya atanan etiket dizesi | RunObsoleteProgOK |
| SAP tablosu USR02 | Saat Dilimi | Microsoft Entra nesne kimliği | |
| SAP tablosu USR02 | LockedStatus | Azure Directory kullanıcı tanımlayıcısı | |
| SAP denetim günlüğü | LastSeen | Zaman damgası | Kullanıcı için gözlemlenen son denetim olayı |
| SAP denetim günlüğü | LastSeenDaysAgo | O günden bu yana geçen günler LastSeen |
|
| SAP denetim günlüğü | PrimaryIP | En sık kullanılan IP adresi | ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP denetim günlüğü | LastKnownIP | En son kullanılan IP adresi | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP denetim günlüğü | PrimaryEmail | En sık kullanılan e-posta adresi | True, False |
| SAP denetim günlüğü | Bilinen AD'ler | Bilinen IP adreslerinin listesi | Önce en sık sıralanana göre sıralanmış |
| SAP denetim günlüğü | Bilinen E-postalar | Bilinen e-posta adreslerinin listesi | Önce en sık sıralanana göre sıralanmış |
| İstemci | SAP istemci kimliği | ||
| SystemID | SAP sistem kimliği | ||
| SystemRole | SAP sisteminin rolü | Üretim, UAT | |
| SystemUsage | SAP sisteminin ana kullanımı | ERP, CRM |
İlgili içerik
Daha fazla bilgi için bkz.