이 문서에서는 SAP 애플리케이션용 Microsoft Sentinel 솔루션을 설치한 후 작업 영역에서 사용할 수 있는 함수의 선택에 대해 설명합니다. Microsoft Sentinel 검색하고 함수 코드를 로드하여 더 많은 함수를 검색합니다.
다음과 같이 함수를 찾습니다.
- Azure Portal 일반 > 로그 페이지의 함수 탭에서 작업 영역 함수 아래에 나열됩니다.
- Defender 포털의 조사 & 응답 > 고급 헌팅 페이지의 함수 탭에 Sentinel 작업 영역 함수 아래에 나열됩니다.
이 문서의 콘텐츠는 보안 팀을 위한 것입니다.
기본 로그 또는 테이블 대신 쿼리에서 함수 사용
이 문서에 나열된 함수를 기본 로그 또는 테이블 대신 가능한 한 분석의 주체로 사용하는 것이 좋습니다.
이러한 함수는 데이터에 대한 주 사용자 인터페이스 역할을 하기 위한 것입니다. 기본적으로 사용할 수 있는 모든 기본 제공 분석 규칙 및 통합 문서의 기초를 형성합니다. 함수를 사용하면 사용자가 만든 콘텐츠를 중단하지 않고 함수 아래의 데이터 인프라를 변경할 수 있습니다.
BAPI_XMI_LOGON(미리 보기)
BAPI_XMI_LOGON 함수는 SAP 시스템이 XAL을 사용하는 이전 시스템인 경우 관련되며 SAP XAL 감사 로그를 수집하도록 인증합니다.
BAPI_XMI_LOGON 함수는 SAP 에이전트 없는 데이터 커넥터에 대해서만 지원됩니다. 자세한 내용은 SAP 애플리케이션용 Microsoft Sentinel 솔루션 설치를 참조하세요.
BAPI_SYSTEM_MTE_GETTIDBYNAME(미리 보기)
BAPI_SYSTEM_MTE_GETTIDBYNAME 함수는 SAP 시스템이 XAL을 사용하는 이전 시스템인 경우 관련되며 이름으로 시스템 모니터링 요소의 ID를 검색합니다.
BAPI_SYSTEM_MTE_GETTIDBYNAME 함수는 SAP 에이전트 없는 데이터 커넥터에 대해서만 지원됩니다. 자세한 내용은 SAP 애플리케이션용 Microsoft Sentinel 솔루션 설치를 참조하세요.
BAPI_SYSTEM_MTE_GETTREE(미리 보기)
BAPI_SYSTEM_MTE_GETTREE 함수는 SAP 시스템이 XAL을 사용하는 이전 시스템인 경우 관련되며 시스템 모니터링 요소의 구조를 검색합니다.
BAPI_SYSTEM_MTE_GETTREE 함수는 SAP 에이전트 없는 데이터 커넥터에 대해서만 지원됩니다. 자세한 내용은 SAP 애플리케이션용 Microsoft Sentinel 솔루션 설치를 참조하세요.
BAPI_SYSTEM_MTE_GETMLHIS(미리 보기)
BAPI_SYSTEM_MTE_GETMLHIS 함수는 SAP 시스템이 XAL을 사용하는 이전 시스템인 경우 관련이 있으며 기록 성능 및 상태 데이터를 가져옵니다.
BAPI_SYSTEM_MTE_GETMLHIS 함수는 SAP 에이전트 없는 데이터 커넥터에 대해서만 지원됩니다. 자세한 내용은 SAP 애플리케이션용 Microsoft Sentinel 솔루션 설치를 참조하세요.
BAPI_XMI_SET_AUDITLEVEL(미리 보기)
BAPI_XMI_SET_AUDITLEVEL 함수는 SAP 시스템이 XAL을 사용하는 이전 시스템인 경우 관련이 있으며 XAL 감사 로깅 수준을 구성합니다.
BAPI_XMI_SET_AUDITLEVEL 함수는 SAP 에이전트 없는 데이터 커넥터에 대해서만 지원됩니다. 자세한 내용은 SAP 애플리케이션용 Microsoft Sentinel 솔루션 설치를 참조하세요.
BAPI_XMI_GET_LOGHISTORY(미리 보기)
BAPI_XMI_GET_LOGHISTORY 함수는 SAP 시스템이 XAL을 사용하는 이전 시스템인 경우 관련이 있으며 과거 XAL 감사 로그 항목을 검색합니다.
BAPI_XMI_GET_LOGHISTORY 함수는 SAP 에이전트 없는 데이터 커넥터에 대해서만 지원됩니다. 자세한 내용은 SAP 애플리케이션용 Microsoft Sentinel 솔루션 설치를 참조하세요.
SAPUsersAssignments
SAPUsersAssignments 함수는 여러 SAP 데이터 원본에서 데이터를 수집하고 현재 할당된 역할 및 프로필을 포함하여 현재 사용자 master 데이터에 대한 사용자 중심 보기를 만듭니다.
이 함수는 역할 및 프로필에 대한 사용자 할당을 요약하고 다음 데이터를 반환합니다.
| 필드 | 설명 | 데이터 원본/참고 사항 |
|---|---|---|
| 사용자 | SAP 사용자 ID | SAL 전용 |
| 전자 메일 | SMTP 주소 | USR21(SMTP_ADDR) |
| UserType | 사용자 유형 | USR02(USTYP) |
| 시간대 | 표준 시간대 | USR02(TZONE) |
| LockedStatus | 잠금 상태 | USR02(UFLAG) |
| LastSeenDate | 마지막으로 본 날짜 | USR02(TRDAT) |
| LastSeenTime | 마지막으로 본 시간 | USR02(LTIME) |
| UserGroupAuth | 사용자 master 유지 관리의 사용자 그룹 | USR02(클래스) |
| 프로필 | 프로필 집합(기본 최대 집합 크기 = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | 직접 할당된 역할 집합(기본 최대 집합 크기 = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | 간접 할당 역할 집합(기본 최대 집합 크기 = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| 클라이언트 | 클라이언트 ID | |
| SystemID | 시스템 ID | 커넥터에 정의된 대로 |
SAPUsersGetPrivileged
SAPUsersGetPrivileged 함수는 클라이언트 및 시스템 ID당 권한 있는 사용자 목록을 반환합니다.
사용자는 다음 설명과 일치할 때 권한 있는 것으로 간주됩니다.
- SAP - 권한 있는 사용자 관심 목록에 나열됩니다.
- SAP - 중요한 프로필 관심 목록에 나열된 프로필에 할당됩니다.
- SAP - 중요한 역할 관심 목록에 나열된 역할에 추가됩니다.
매개 변수:
| 이름 | 선택 사항/필수 | 기본값 | 설명 |
|---|---|---|---|
| TimeAgo | 옵션 | 7일 | 함수가 값으로 정의된 시간부터 값으로 TimeAgo 정의된 now() 시간까지 사용자 master 데이터를 검색하는지 확인합니다. |
SAPUsersGetPrivileged 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 |
|---|---|
| 사용자 | SAP 사용자 ID |
| 클라이언트 | 클라이언트 ID |
| SystemID | 시스템 ID |
SAPUsersAuthorizations
SAPUsersAuthorizations 함수는 여러 테이블의 데이터를 결합하여 할당된 현재 역할 및 권한 부여에 대한 사용자 중심 보기를 생성합니다. 활성 역할 및 권한 부여 할당이 있는 사용자만 반환됩니다.
매개 변수:
| 이름 | 선택 사항/필수 | 기본값 | 설명 |
|---|---|---|---|
| TimeAgo | 옵션 | 7일 | 함수가 값으로 정의된 시간부터 값으로 TimeAgo 정의된 now() 시간까지 사용자 master 데이터를 검색하는지 확인합니다. |
SAPUsersAuthorizations 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 | 참고 |
|---|---|---|
| 사용자 | SAP 사용자 ID | |
| 역할 | 역할 집합(기본 최대 집합 크기 = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | 권한 부여 집합(기본 최대 집합 크기 = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| 클라이언트 | 클라이언트 ID | |
| SystemID | 시스템 ID |
SAPConnectorHealth
SAPConnectorHealth 함수는 에이전트의 상태 기본 SAP 시스템의 연결을 반영합니다. 하트비트 로그 SAP_HeartBeat_CL 및 기타 상태 표시기를 기반으로 다음 데이터를 반환합니다.
| 필드 | 설명 |
|---|---|
| 에이전트 | 에이전트 구성의 에이전트 ID(자동으로 생성됨) |
| SystemID | SAP 시스템 ID |
| 상태 | 전체 연결 상태 |
| 세부 정보 | 연결 세부 정보 |
| ExtendedDetails | 연결 확장 세부 정보 |
| LastSeen | 최신 작업의 타임스탬프 |
| StatusCode | 시스템의 상태 반영하는 코드 |
SAPConnectorOverview
SAPConnectorOverview 함수는 시스템 ID당 각 SAP 테이블의 행 수를 표시합니다. 시스템 ID당 데이터 레코드 목록과 생성된 시간을 반환합니다.
매개 변수:
| 이름 | 선택 사항/필수 | 기본값 | 설명 |
|---|---|---|---|
| TimeAgo | 옵션 | 7일 | 함수가 값으로 정의된 시간부터 값으로 TimeAgo 정의된 now() 시간까지 사용자 master 데이터를 검색하는지 확인합니다. |
SAPConnectorOverview 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 |
|---|---|
| TimeGenerated | 레코드 생성 타임스탬프의 datetime 값 |
| SystemID_s | SAP 시스템 ID를 나타내는 문자열 |
다음 Kusto 쿼리를 사용하여 일일 추세 분석을 수행합니다.
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
SAPUsersEmail 함수를 사용하면 일반적으로 ACTIVE Directory 계정과 연결하는 데 사용되는 SAP 시스템 및 클라이언트당 SAP 사용자의 이메일 주소를 성능 지향 조회할 수 있습니다.
SAPUsersEmail 함수는 SAP 테이블 USR21(사용자 이름/주소 키 할당) 및 ADR6(전자 메일 주소)에서 추출된 데이터를 사용하여 전자 메일 주소를 찾습니다. 이메일 주소를 찾을 수 없는 경우 사용자 ID가 대신 반환됩니다.
이 동작을 통해 전자 메일 주소와 연결되지 않는 DDIC와 같은 SAP 서비스 계정이 의사 AD 계정으로 기록됩니다. 또한 인시던트 조사 및 헌팅 활동에 도움이 되는 일부 UEBA 기능이 열립니다.
SAPUsersEmail 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 |
|---|---|
| Clientid | SAP 클라이언트 ID |
| SystemID | SAP 시스템 ID |
| 사용자 | SAP 사용자 ID |
| 전자 메일 | SAP 사용자의 이메일 주소 |
SAPSystems
SAPSystems 함수는 SAP - 시스템 관심 목록을 사용하여 만든 시스템별 구성을 중앙에서 표시하는 데 사용됩니다.
매개 변수:
| 이름 | 선택 사항/필수 | 기본값 | 설명 |
|---|---|---|---|
| SelectedSystems | 옵션 | All Systems |
특정 SAP 시스템을 필터링하는 데 사용됨 |
| SelectedSystemRoles | 옵션 | All System Roles |
SAP - 시스템 관심 목록에 정의된 대로 살펴볼 SAP 시스템의 역할을 결정합니다. |
SAPSystems 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 | 데이터 원본/참고 사항 |
|---|---|---|
| SearchKey | 검색 키 | SAP 시스템 ID에 대한 인덱싱된 필드 |
| SystemRole | SAP 시스템의 역할 | 프로덕션, UAT |
| SystemUsage | SAP 시스템의 주요 사용 | ERP, CRM |
| SystemID | SAP 시스템 ID |
SAPAuditLogConfiguration
SAPAuditLogConfiguration 함수는 SAP 감사 로그 경고의 로컬 구성을 Microsoft Sentinel 사용하도록 설정된 Log Analytics 작업 영역으로 반환합니다. 이 구성은 SAP 감사 로그 관련 경고에 사용됩니다.
SAPAuditLogConfiguration 함수는 SAP 동적 감사 로그 모니터 구성 및 SAP - 시스템 관심 목록의 데이터를 조인하여 시스템별 역할 작업에서 시스템별 구성을 제공합니다.
매개 변수:
| 이름 | 선택 사항/필수 | 기본값 | 설명 |
|---|---|---|---|
| SelectedSystems | 옵션 | All Systems |
살펴볼 특정 SAP 시스템을 필터링하는 데 사용됩니다. |
| SelectedSystemRoles | 옵션 | All System Roles |
살펴볼 SAP 시스템의 역할을 결정합니다( SAP - 시스템 관심 목록에 정의됨). |
| SelectedSeverities | 옵션 | [High, Medium] |
심각도 측면에서 살펴볼 이벤트를 결정하는 데 사용됩니다. SAP 감사 로그 메시지 ID 및 시스템 역할당 심각도는 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록에 정의되어 있습니다. |
| SelectedRuleTypes | 옵션 | All RuleTypes |
변칙 검색과 관련된 이벤트를 결정합니다. SAP 감사 로그 메시지 ID 및 시스템 역할당 규칙 유형은 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록에 정의되어 있습니다. |
SAPAuditLogConfiguration 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 | 데이터 원본/참고 사항 |
|---|---|---|
| 범주 | SAP 지정된 이벤트 범주 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| DestinationEmail | 할당된 팀의 Email 주소 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| DetailedDescription | 경고에 표시할 markdown 서식이 지정된 텍스트 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| MessageID | SAP 감사 로그 메시지 ID | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| MessageText | 샘플 메시지 텍스트 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| RolesTagsToExclude | ABAP 역할, 프로필 또는 자유 텍스트 태그 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| RuleType | 변칙 또는 결정적 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| 전술 | MITRE ATTA&CK 전술 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| TeamsChannelID | Teams 채널 | SAP 동적 감사 로그 모니터 구성 관심 목록 |
| SystemID | SAP 시스템 ID | SAP - 시스템 관심 목록 |
| SystemRole | SAP 시스템의 역할 | SAP - 시스템 관심 목록 |
| SystemUsage | SAP 시스템의 주요 사용 | SAP - 시스템 관심 목록 |
| IsProd | 프로덕션 시스템 플래그 | SAP - 시스템 관심 목록 |
| 심각도 | 파생 심각도 | 시스템 사용량당 심각도 |
| 임계값 | 파생 임계값 | 시스템 사용량당 이벤트 수 |
| BagOfDetails | 세부 정보 모음 | 이벤트 정의를 자세히 설명하는 사전 |
자세한 내용은 사용 가능한 관심 목록을 참조하세요.
SAPAuditLogAnomalies
SAPAuditLogAnomalies 함수는 Microsoft Sentinel 기본 Kusto 데이터베이스의 기본 제공 기계 학습 기능을 사용하여 SAP 감사 로그에서 관찰되는 비정상적인 이벤트를 검색합니다.
SAPAuditLogAnomalies 함수는 SAP - (실험적) 동적 변칙 기반 감사 로그 모니터 경고 분석 규칙에 대해 개발되었습니다. 원래 디자인은 최근의 변칙을 경고하는 것이지만 기록적 변칙을 강조 표시하는 데도 도움이 될 수 있습니다. 자세한 내용은 샘플 사용을 참조하세요.
SAPAuditLogAnomalies 함수는 다음 수준에서 다양한 입력 매개 변수로 정의된 기록 조각을 알아봅니다.
- 사용자
- 네트워크 특성
- 시스템
- 계절
- 활동 수준
그런 다음 SAPAuditLogAnomalies 함수는 배운 내용에 따라 마지막 DetectingTime 시간 범위 내에서 발생하는 이벤트를 판단하여 SAP 감사 로그 구성 관심 목록에서 얻은 임계값 및 기타 구성 가능한 제외 조건을 적용합니다.
사용자 활동의 슬라이딩 윈도우가 비정상으로 간주되면 두 번째 쿼리는 전체 사용자 활동을 결정을 뒷받침하는 증거로 반환합니다.
매개 변수:
| 이름 | 선택 사항/필수 | 기본값 | 설명 |
|---|---|---|---|
| LearningTime | 옵션 | 14일 | 모델 학습에 사용되는 시간 범위를 결정합니다. |
| DetectingTime | 옵션 | 1시간 | 변칙 검색을 위해 살펴볼 시간 범위를 결정합니다. 이 함수를 사용하여 DetectingTime = 0h 호출하면 전체 LearningTime 시간 범위의 변칙이 강조 표시됩니다. |
| SelectedSystems | 옵션 | All Systems |
살펴볼 특정 SAP 시스템을 필터링하는 데 사용됩니다. |
| SelectedSystemRoles | 옵션 | All System Roles |
SAP - 시스템 관심 목록에 정의된 대로 살펴볼 SAP 시스템의 역할을 결정합니다. |
| SelectedSeverities | 옵션 | [High, Medium] |
심각도 측면에서 살펴볼 이벤트를 결정하는 데 사용됩니다. SAP 감사 로그 메시지 ID 및 시스템 역할당 심각도는 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록에 정의되어 있습니다. |
| SelectedPrefixMask | 옵션 | 24 | 학습 및 검색에 사용되는 서브넷 마스크 수준을 확인하는 데 사용됩니다. |
| SelectedRuleTypes | 옵션 | AnomaliesOnly |
변칙 검색과 관련된 이벤트를 결정합니다. SAP 감사 로그 메시지 ID 및 시스템 역할당 규칙 유형은 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록에 정의되어 있습니다. |
SAPAuditLogAnomalies 함수는 다음 데이터를 반환합니다.
| 필드 | 설명 |
|---|---|
| SAPAuditLog의 여러 필드 | SAP 감사 로그의 키 필드 |
| SAPAuditLogConfiguration의 여러 필드 | SAP 감사 로그 구성에 대한 Microsoft Sentinel 키 필드 |
| DiscoveredOn | 변칙이 관찰된 반올림된 시간 |
| EventCount | 반환된 행당 계산된 이벤트 수 |
| AnomalCount | 관련 슬라이딩 윈도우 내에서 관찰되는 이벤트 수 |
| MinTime | 첫 번째 이벤트가 관찰된 시간 |
| MaxTime | 관찰된 마지막 이벤트의 시간 |
| 점수 | 변칙 모델에서 생성된 변칙 점수 |
권장 사항:
모든 기계 학습 솔루션과 마찬가지로 SAPAuditLogAnomalies 함수는 시간에 따라 더 나은 성능을 발휘하며 시간이 지남에 따라 필요에 따라 조정할 수 있습니다.
사용 가능한 많은 입력 매개 변수를 사용하여 학습된 데이터베이스의 크기를 1억 개 미만의 레코드로 제한하는 것이 좋습니다.
SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록에서AnomaliesOnly로 표시된 이벤트 유형에 대해 프로덕션 시스템에서 지난 1시간 이내에 발생한 심각도가 높은 이벤트에 대한 변칙을 검색하려면 다음을 실행합니다.
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))BIP 시스템에서 지난 14일 동안의 모든 변칙을 검색하려면 다음을 실행합니다.
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
자세한 내용은 SAP 솔루션용 Microsoft Sentinel 사용하여 SAP 감사 로그 및 SAP 감사 로그의 변칙 검색을 모니터링하기 위한 기본 제공 SAP 분석 규칙(블로그)을 참조하세요.
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend는 SAP - 동적 변칙 기반 감사 로그 모니터 경고(미리 보기) 분석 규칙의 구성에 대한 권장 사항을 제공하도록 설계된 도우미 함수입니다.
자세한 내용은 SAP 감사 로그 모니터링을 참조하세요.
SAPUsersGetVIP
SAP 애플리케이션용 Microsoft Sentinel 솔루션은 최소한의 노력으로 가양성 을 낮추는 데 도움이 되도록 설계된 중앙 사용자 태그 지정 및 명시적 제외 개념을 사용합니다.
SAPUsersGetVIP 함수를 사용하여 SAP 사용자 역할, SAP 사용자 함수 또는 해당 사용자를 나타내는 태그를 지정하여 경고 트리거에서 사용자를 제외합니다. 자세한 내용은 Microsoft Sentinel 가양성 처리를 참조하세요.
SAPUsersGetVIP 함수에 대한 입력으로 지정된 태그는 SAP_User_Config 관심 목록에 나열된 태그가 있는 모든 사용자를 제외합니다. 동일한 기능이 와일드카드로 작동하도록 확장되어 동일한 명명 구문을 가진 사용자 그룹에 단일 태그를 할당할 수 있습니다.
다음과 같이 SAP_User_Config 관심 목록의 사용자에 태그를 지정합니다.
다양한 시나리오를 다루기 위해 필요에 따라 SAP_User_Config 관심 목록의 각 사용자에게 여러 태그를 추가합니다. 각 경고 규칙에는 고유한 관련 태그(있는 경우)가 있으며 필요에 따라 사용자 지정 태그를 추가할 수 있습니다.
별표(*)를 와일드카드로 사용하여 특정 명명 구문 템플릿이 있는 사용자를 포함합니다.
분석 규칙에 SAPUsersGetVIP 함수를 추가하여 경고에서 제외하도록 정의한 사용자 목록을 요청합니다. 함수 호출에서 제외하려는 태그, SAP 역할 및 SAP 프로필이 있는 배열을 추가합니다.
예를 들어 분석 규칙에서 다음 KQL 쿼리를 사용하여 SAP_User_Config 관심 목록에서 RunObsoleteProgOK 태그로 구성된 사용자 또는 샘플 SAP_BASIS_ADMIN_ROLE 역할 또는 샘플 SAP_ADMIN_PROFILE 프로필을 가진 사용자를 제외합니다.
이 샘플 함수 호출을 복사할 때 필요에 따라 SAP_BASIS_ADMIN_ROLE 역할 및 SAP_ADMIN_PROFILE 프로필을 사용자 고유의 SAP 역할 또는 프로필로 대체합니다.
예시:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
SAPUsersGetVIP 함수는 일반적으로 결정적 및 비정상적인 감사 로그 모니터 경고에 사용됩니다. 태그를 SAP 감사 로그 메시지 ID와 연결하거나 규칙 템플릿을 organization 요구 사항과 일치하는 사용자 지정 규칙으로 확장합니다.
팁
SAP 시스템 관리자에게 문의하여 SAP_User_Config 관심 목록에 포함할 SAP 사용자, 역할 및 프로필을 이해하는 것이 좋습니다.
매개 변수:
| 이름 | 선택 사항/필수 | 기본값 | 설명 |
|---|---|---|---|
| SearchForTags | 옵션 | dynamic('All Tags') |
가 이All Tags면 SearchForTags 모든 사용자가 태그와 함께 반환됩니다. 그렇지 않으면 지정된 태그, SAP 역할 또는 SAP 프로필 SearchForTags 이 포함된 사용자만 반환됩니다.
TagsIntersect 는 찾은 태그를 표시하고 IntersectionSize 찾은 태그 수를 보유합니다. |
| SpecialFocusTags | 옵션 | Do not return any in-focus users |
에 SpecialFocusTags지정된 태그가 있는 모든 사용자를 반환하고 로 표시했습니다 specialFocusTagged = true. |
SAPUsersGetVIP 함수는 다음 출력을 반환합니다.
| 원본 | 필드 | 설명 | 참고 |
|---|---|---|---|
| SAP_User_Config 관심 목록 | SearchKey |
검색 키 | |
| SAP_User_Config 관심 목록 | SAPUser |
SAP 사용자 | OSS, DDIC |
| SAP_User_Config 관심 목록 | Tags |
사용자에게 할당된 태그 문자열 | RunObsoleteProgOK |
| SAP_User_Config 관심 목록 | 사용자의 Microsoft Entra 개체 ID | Microsoft Entra 개체 ID | |
| SAP_User_Config 관심 목록 | 사용자 식별자 | 디렉터리 사용자 식별자 Azure | |
| SAP_User_Config 관심 목록 | 사용자 온-프레미스 SID | ||
| SAP_User_Config 관심 목록 | 사용자 계정 이름 | ||
| SAP_User_Config 관심 목록 | TagsList |
사용자에게 할당된 태그 목록 |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| 논리 | TagsIntersect | 일치하는 태그 집합 SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| 논리 | SpecialFocusTagged | 특수 포커스 표시 |
True, False |
| 논리 | IntersectionSize | 교차된 태그 수 |
SAPUsersHeader
SAPUsersHeader 함수는 SAP 사용자의 개략적인 보기를 제공하도록 설계되었습니다. SAP 사용자 master 데이터 테이블과 SAP 감사 로그의 최근 활동 모두에서 추출된 데이터를 사용하여 이메일 및 IP 주소를 수집합니다. 그런 다음, 기본 전자 메일 및 IP 주소와 함께 마지막으로 알려진 이메일 및 IP 주소를 반환합니다.
매개 변수:
| 이름 | 선택 사항/필수 | 기본값 | 설명 |
|---|---|---|---|
| SelectedSystems | 옵션 | All Systems |
특정 SAP 시스템을 필터링하여 살펴보는 데 사용됨 |
| SelectedSystemRoles | 옵션 | All System Roles |
SAP - 시스템 관심 목록에 정의된 대로 살펴볼 SAP 시스템의 역할을 결정합니다. |
| SelectedUsers | 옵션 | All Users |
사용자 목록을 입력할 수 있습니다. |
| SelectedUser | 옵션 | All Users |
단일 사용자만 허용합니다. |
예시:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
팁
성능 고려 사항의 경우 며칠의 감사 작업만 고려됩니다. 사용자 활동의 전체 기록을 보려면 SAPAuditLog 함수에 대해 사용자 지정 KQL 쿼리를 실행합니다.
SAPUsersHeader 함수는 다음 출력을 반환합니다.
| 원본 | 필드 | 설명 | 참고 |
|---|---|---|---|
| 사용자 | SAP 사용자 | ||
| SAP 테이블 ADR6 및 USR21 | 전자 메일 | 사용자의 master 데이터에서 가져온 데이터 | OSS, DDIC |
| SAP 테이블 USR02 | UserType | 사용자에게 할당된 태그 문자열 | RunObsoleteProgOK |
| SAP 테이블 USR02 | 시간대 | Microsoft Entra 개체 ID | |
| SAP 테이블 USR02 | LockedStatus | 디렉터리 사용자 식별자 Azure | |
| SAP 감사 로그 | LastSeen | 타임스탬프 | 사용자에 대해 관찰된 마지막 감사 이벤트 |
| SAP 감사 로그 | LastSeenDaysAgo | 이후 경과된 일 수 LastSeen |
|
| SAP 감사 로그 | PrimaryIP | 가장 자주 사용되는 IP 주소 |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP 감사 로그 | LastKnownIP | 가장 최근에 사용한 IP 주소 | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP 감사 로그 | PrimaryEmail | 가장 자주 사용되는 전자 메일 주소 |
True, False |
| SAP 감사 로그 | 알려진 IP | 알려진 IP 주소 목록 | 가장 자주 먼저 정렬 |
| SAP 감사 로그 | KnownEmails | 알려진 전자 메일 주소 목록 | 가장 자주 먼저 정렬 |
| 클라이언트 | SAP 클라이언트 ID | ||
| SystemID | SAP 시스템 ID | ||
| SystemRole | SAP 시스템의 역할 | 프로덕션, UAT | |
| SystemUsage | SAP 시스템의 주요 사용 | ERP, CRM |
TH_SERVER_LIST(미리 보기)
TH_SERVER_LIST 함수는 SAP 시스템이 XAL을 사용하는 이전 시스템인 경우 관련되며 활성 SAP 애플리케이션 서버를 나열합니다.
TH_SERVER_LIST 함수는 SAP 에이전트 없는 데이터 커넥터(미리 보기)에서만 지원됩니다. 자세한 내용은 SAP 애플리케이션용 Microsoft Sentinel 솔루션 설치를 참조하세요.
관련 콘텐츠
자세한 내용은 다음 항목을 참조하세요.