Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve uma seleção de funções que estão disponíveis na sua área de trabalho depois de instalar uma solução Microsoft Sentinel para aplicações SAP. Descubra mais funções ao navegar no Microsoft Sentinel e ao carregar o código da função.
Localize as funções da seguinte forma:
- Na portal do Azure, na página Registos Gerais>, no separador Funções e listado em Funções da Área de Trabalho.
- No portal do Defender, na página Investigação & resposta > Investigação avançada, no separador Funções, e listado em Sentinel funções da área de trabalho.
Os conteúdos neste artigo destinam-se às suas equipas de segurança .
Utilizar funções nas consultas em vez de registos ou tabelas subjacentes
Recomendamos vivamente que utilize as funções listadas neste artigo como os assuntos da respetiva análise sempre que possível, em vez dos registos ou tabelas subjacentes.
Estas funções destinam-se a servir como a interface de utilizador principal para os dados. Formam a base para todas as regras e livros de análise incorporados disponíveis para si. A utilização de funções permite que sejam efetuadas alterações à infraestrutura de dados por baixo das funções, sem interromper o conteúdo criado pelo utilizador.
BAPI_XMI_LOGON (Pré-visualização)
A função BAPI_XMI_LOGON é relevante quando o sistema SAP é um sistema mais antigo com XAL e é autenticada para recolher registos de auditoria do SAP XAL.
A função BAPI_XMI_LOGON é suportada apenas para o conector de dados sem agente SAP. Para obter mais informações, veja Instalar uma solução de Microsoft Sentinel para aplicações SAP.
BAPI_SYSTEM_MTE_GETTIDBYNAME (Pré-visualização)
A função BAPI_SYSTEM_MTE_GETTIDBYNAME é relevante quando o sistema SAP é um sistema mais antigo com XAL e obtém o ID de um elemento de monitorização do sistema por nome.
A função BAPI_SYSTEM_MTE_GETTIDBYNAME é suportada apenas para o conector de dados sem agente SAP. Para obter mais informações, veja Instalar uma solução de Microsoft Sentinel para aplicações SAP.
BAPI_SYSTEM_MTE_GETTREE (Pré-visualização)
A função BAPI_SYSTEM_MTE_GETTREE é relevante quando o sistema SAP é um sistema mais antigo com XAL e obtém a estrutura dos elementos de monitorização do sistema.
A função BAPI_SYSTEM_MTE_GETTREE é suportada apenas para o conector de dados sem agente SAP. Para obter mais informações, veja Instalar uma solução de Microsoft Sentinel para aplicações SAP.
BAPI_SYSTEM_MTE_GETMLHIS (Pré-visualização)
A função BAPI_SYSTEM_MTE_GETMLHIS é relevante quando o seu sistema SAP é um sistema mais antigo com XAL e obtém dados históricos de desempenho e estado.
A função BAPI_SYSTEM_MTE_GETMLHIS é suportada apenas para o conector de dados sem agente SAP. Para obter mais informações, veja Instalar uma solução de Microsoft Sentinel para aplicações SAP.
BAPI_XMI_SET_AUDITLEVEL (Pré-visualização)
A função BAPI_XMI_SET_AUDITLEVEL é relevante quando o sistema SAP é um sistema mais antigo com XAL e configura o nível de registo de auditoria XAL.
A função BAPI_XMI_SET_AUDITLEVEL é suportada apenas para o conector de dados sem agente SAP. Para obter mais informações, veja Instalar uma solução de Microsoft Sentinel para aplicações SAP.
BAPI_XMI_GET_LOGHISTORY (Pré-visualização)
A função BAPI_XMI_GET_LOGHISTORY é relevante quando o sistema SAP é um sistema mais antigo com XAL e obtém entradas de registo de auditoria XAL anteriores.
A função BAPI_XMI_GET_LOGHISTORY é suportada apenas para o conector de dados sem agente SAP. Para obter mais informações, veja Instalar uma solução de Microsoft Sentinel para aplicações SAP.
SAPUsersAssignments
A função SAPUsersAssignments recolhe dados de várias origens de dados SAP e cria uma vista centrada no utilizador dos dados principais do utilizador atual, incluindo as funções e perfis atualmente atribuídos.
Esta função resume as atribuições de utilizadores a funções e perfis e devolve os seguintes dados:
| Campo | Descrição | Origem/Notas de Dados |
|---|---|---|
| Utilizador | ID de utilizador sap | APENAS SAL |
| Endereço SMTP | USR21 (SMTP_ADDR) | |
| UserType | Tipo de utilizador | USR02 (USTYP) |
| Fuso horário | Fuso horário | USR02 (TZONE) |
| LockedStatus | Estado do bloqueio | USR02 (UFLAG) |
| LastSeenDate | Data da última visualização | USR02 (TRDAT) |
| LastSeenTime | Hora da última visualização | USR02 (LTIME) |
| UserGroupAuth | Grupo de utilizadores na manutenção do modelo global de utilizadores | USR02 (CLASSE) |
| Perfis | Conjunto de perfis (tamanho máximo predefinido = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | Conjunto de funções atribuídas diretamente (tamanho máximo predefinido = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | Conjunto de funções atribuídas indiretamente (tamanho máximo predefinido = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| Cliente | ID de Cliente | |
| SystemID | ID do Sistema | Conforme definido no conector |
SAPUsersGetPrivileged
A função SAPUsersGetPrivileged devolve uma lista de utilizadores com privilégios por cliente e ID de sistema.
Os utilizadores são considerados privilegiados quando correspondem a qualquer uma das seguintes descrições:
- Estão listados na lista de observação SAP – Utilizadores Com Privilégios
- São atribuídos a um perfil listado na lista de observação SAP – Perfis Confidenciais
- São adicionados a uma função listada na lista de observação SAP – Funções Confidenciais
Parâmetros:
| Name | Opcional/Obrigatório | Predefinição | Descrição |
|---|---|---|---|
| TimeAgo | Opcional | Sete dias | Determina que a função procura dados principais do utilizador a partir do tempo definido pelo TimeAgo valor até à hora definida pelo now() valor. |
A função SAPUsersGetPrivileged devolve os seguintes dados:
| Campo | Descrição |
|---|---|
| Utilizador | ID de utilizador sap |
| Cliente | ID de Cliente |
| SystemID | ID do Sistema |
SAPUsersAuthorizations
A função SAPUsersAuthorizations reúne dados de várias tabelas para produzir uma vista centrada no utilizador das funções e autorizações atuais atribuídas. Apenas os utilizadores com atribuições de função ativa e autorização são devolvidos.
Parâmetros:
| Name | Opcional/Obrigatório | Predefinição | Descrição |
|---|---|---|---|
| TimeAgo | Opcional | Sete dias | Determina que a função procura dados principais do utilizador a partir do tempo definido pelo TimeAgo valor até à hora definida pelo now() valor. |
A função SAPUsersAuthorizations devolve os seguintes dados:
| Campo | Descrição | Notas |
|---|---|---|
| Utilizador | ID de utilizador sap | |
| Funções | Conjunto de funções (tamanho máximo predefinido = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | Conjunto de autorizações (tamanho máximo predefinido = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| Cliente | ID de Cliente | |
| SystemID | ID do Sistema |
SAPConnectorHealth
A função SAPConnectorHealth reflete o estado da conectividade do agente e do sistema SAP subjacente. Com base no registo de heartbeat SAP_HeartBeat_CL e noutros indicadores de estado de funcionamento, devolve os seguintes dados:
| Campo | Descrição |
|---|---|
| Agente | ID do Agente na configuração do agente (gerado automaticamente) |
| SystemID | ID do sistema SAP |
| Estado | Estado de conectividade geral |
| Detalhes | Detalhes de conectividade |
| ExtendedDetails | Detalhes expandidos da conectividade |
| LastSeen | Carimbo de data/hora da atividade mais recente |
| StatusCode | Código que reflete o estado do sistema |
SAPConnectorOverview
A função SAPConnectorOverview mostra as contagens de linhas de cada tabela SAP por ID do Sistema. Devolve uma lista de registos de dados por ID de sistema e o tempo gerado.
Parâmetros:
| Name | Opcional/Obrigatório | Predefinição | Descrição |
|---|---|---|---|
| TimeAgo | Opcional | Sete dias | Determina que a função procura dados principais do utilizador a partir do tempo definido pelo TimeAgo valor até à hora definida pelo now() valor. |
A função SAPConnectorOverview devolve os seguintes dados:
| Campo | Descrição |
|---|---|
| TimeGenerated | Um valor datetime do carimbo de data/hora da geração do registo |
| SystemID_s | Uma cadeia que representa o ID do sistema SAP |
Utilize a seguinte consulta Kusto para efetuar uma análise de tendências diária:
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
A função SAPUsersEmail permite uma pesquisa orientada para o desempenho do endereço de e-mail de um utilizador SAP por sistema SAP e cliente, normalmente utilizado para associá-lo a uma conta do Active Directory.
A função SAPUsersEmail utiliza dados extraídos das tabelas SAP USR21 (Atribuição de Nome de Utilizador/Chave de Endereço) e ADR6 (Endereços de Correio Eletrónico) para procurar um endereço de e-mail. Caso não seja encontrado nenhum endereço de e-mail, é devolvido o ID de utilizador.
Este comportamento garante que as contas de serviço SAP, como a DDIC, que muitas vezes não estão associadas a endereços de e-mail, são registadas como contas pseudo-AD. Isto também abre algumas funcionalidades da UEBA, ajudando na investigação de incidentes e atividades de caça.
A função SAPUsersEmail devolve os seguintes dados:
| Campo | Descrição |
|---|---|
| ClientID | O ID de cliente SAP |
| SystemID | O ID do sistema SAP |
| Utilizador | O ID de utilizador sap |
| O endereço de e-mail do utilizador SAP |
SAPSystems
A função SAPSystems é utilizada para apresentar centralmente a configuração por sistema feita com a lista de observação SAP – Sistemas .
Parâmetros:
| Name | Opcional/Obrigatório | Predefinição | Descrição |
|---|---|---|---|
| SelectedSystems | Opcional | All Systems |
Utilizado para filtrar sistemas SAP específicos |
| SelectedSystemRoles | Opcional | All System Roles |
Determina as funções dos Sistemas SAP a serem analisados, conforme definido na lista de observação SAP – Sistemas |
A função SAPSystems devolve os seguintes dados:
| Campo | Descrição | Origem/Notas de Dados |
|---|---|---|
| SearchKey | Tecla de pesquisa | Campo indexado para o ID do sistema SAP |
| SystemRole | A função do sistema SAP | Produção, UAT |
| SystemUsage | A utilização principal do sistema SAP | ERP, CRM |
| SystemID | O ID do sistema SAP |
SAPAuditLogConfiguration
A função SAPAuditLogConfiguration devolve a configuração local dos alertas do registo de auditoria do SAP à área de trabalho do Log Analytics ativada para Microsoft Sentinel. Esta configuração é utilizada para alertas relacionados com registos de auditoria sap.
A função SAPAuditLogConfiguration associa os dados na Configuração do Sap Dynamic Audit Log Monitor e nas listas de observação SAP – Sistemas para fornecer uma configuração por sistema num esforço por função do sistema.
Parâmetros:
| Name | Opcional/Obrigatório | Predefinição | Descrição |
|---|---|---|---|
| SelectedSystems | Opcional | All Systems |
Utilizado para filtrar sistemas SAP específicos para analisar. |
| SelectedSystemRoles | Opcional | All System Roles |
Determina as funções dos Sistemas SAP a serem analisados (conforme definido na lista de observação SAP – Sistemas ). |
| SelectedSeverities | Opcional | [High, Medium] |
Utilizado para determinar eventos a serem analisados em termos das respetivas gravidades. As gravidades por ID da mensagem de registo de auditoria do SAP e a função de sistema são definidas na SAP_Dynamic_Audit_Log_Monitor_Configuration lista de observação. |
| SelectedRuleTypes | Opcional | All RuleTypes |
Determina em que eventos são relevantes para detetar as anomalias. Os tipos de regras por ID de mensagem de registo de auditoria sap e função de sistema são definidos na lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration . |
A função SAPAuditLogConfiguration devolve os seguintes dados:
| Campo | Descrição | Origem/Notas de Dados |
|---|---|---|
| CategoryName | Categoria de eventos fornecida pelo SAP | Lista de observação da Configuração do Monitor de Registos de Auditoria Dinâmico do SAP |
| DestinationEmail | Email endereço da Equipa Atribuída | Lista de observação da Configuração do Monitor de Registos de Auditoria Dinâmico do SAP |
| Descrição Detalhada | Um texto formatado de markdown a ser apresentado nos alertas | Lista de observação da Configuração do Monitor de Registos de Auditoria Dinâmico do SAP |
| ID da Mensagem | O ID da mensagem de registo de auditoria do SAP | Lista de observação da Configuração do Monitor de Registos de Auditoria Dinâmico do SAP |
| Texto da Mensagem | Texto de uma mensagem de exemplo | Lista de observação da Configuração do Monitor de Registos de Auditoria Dinâmico do SAP |
| RolesTagsToExclude | uma função ABAP, perfil ou etiqueta de texto livre | Lista de observação da Configuração do Monitor de Registos de Auditoria Dinâmico do SAP |
| RuleType | Anomalia ou determinista | Lista de observação da Configuração do Monitor de Registos de Auditoria Dinâmico do SAP |
| Táticas | A tática MITRE ATTA&CK | Lista de observação da Configuração do Monitor de Registos de Auditoria Dinâmico do SAP |
| TeamsChannelID | Canal do Teams | Lista de observação da Configuração do Monitor de Registos de Auditoria Dinâmico do SAP |
| SystemID | O ID do sistema SAP | SAP – Lista de observação de sistemas |
| SystemRole | Função do Sistema SAP | SAP – Lista de observação de sistemas |
| SystemUsage | A utilização principal do sistema SAP | SAP – Lista de observação de sistemas |
| IsProd | Sinalizador do sistema de produção | SAP – Lista de observação de sistemas |
| Gravidade | A gravidade derivada | Gravidade por utilização do sistema |
| Limiar | O limiar derivado | Contagem de eventos por utilização do sistema |
| BagOfDetails | Saco de Detalhes | Um dicionário a detalhar a definição do evento |
Para obter mais informações, veja Listas de observação disponíveis.
SAPAuditLogAnomalies
A função SAPAuditLogAnomalies utiliza Microsoft Sentinel capacidades de machine learning incorporadas subjacentes da base de dados Kusto para ajudar a detetar eventos anómalos observados no registo de auditoria do SAP.
A função SAPAuditLogAnomalies foi desenvolvida para a regra de análise de Alertas do Monitor de Registos de Auditoria sap - (Experimental) baseada em Anomalias Dinâmicas . Embora o seu design original seja alertar sobre anomalias recentes, também pode ajudar a destacar anomalias históricas. Para obter mais informações, veja Utilizações de exemplo.
A função SAPAuditLogAnomalies aprende o setor do histórico definido pelos diferentes parâmetros de entrada, nos seguintes níveis:
- Utilizador
- Atributos de rede
- Sistema
- Sazonalidade
- Níveis de atividade
A função SAPAuditLogAnomalies avalia os eventos que ocorrem no último DetectingTime período de tempo de acordo com o que aprendeu, aplicando limiares e outros critérios de exclusão configuráveis obtidos a partir da lista de monitorização da configuração do registo de auditoria sap.
Depois de uma janela deslizante da atividade do utilizador ser considerada anómalo, uma segunda consulta devolve toda a atividade do utilizador como prova que suporta a decisão.
Parâmetros:
| Name | Opcional/Obrigatório | Predefinição | Descrição |
|---|---|---|---|
| LearningTime | Opcional | 14 days | Determina o período de tempo utilizado para a aprendizagem de modelos. |
| DetectingTime | Opcional | Uma hora | Determina o período de tempo a analisar para detetar anomalias. Chamar esta função com DetectingTime = 0h realça anomalias ao longo de todo LearningTime o período de tempo. |
| SelectedSystems | Opcional | All Systems |
Utilizado para filtrar sistemas SAP específicos para analisar. |
| SelectedSystemRoles | Opcional | All System Roles |
Determina as funções dos Sistemas SAP a serem analisados, conforme definido na lista de observação SAP – Sistemas |
| SelectedSeverities | Opcional | [High, Medium] |
Utilizado para determinar eventos a serem analisados em termos das respetivas gravidades. As gravidades por ID da mensagem de registo de auditoria do SAP e a função de sistema são definidas na SAP_Dynamic_Audit_Log_Monitor_Configuration lista de observação. |
| SelectedPrefixMask | Opcional | 24 | Utilizado para determinar o nível de máscara de sub-rede utilizado para aprendizagem e deteção. |
| SelectedRuleTypes | Opcional | AnomaliesOnly |
Determina em que eventos são relevantes para detetar as anomalias. Os tipos de regras por ID de mensagem de registo de auditoria sap e função de sistema são definidos na lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration . |
A função SAPAuditLogAnomalies devolve os seguintes dados:
| Campo | Descrição |
|---|---|
| Vários campos do SAPAuditLog | Campos de chave do registo de Auditoria do SAP |
| Vários campos de SAPAuditLogConfiguration | Campos chave do Microsoft Sentinel para a configuração do registo de auditoria do SAP |
| DetetadoOn | A hora arredondada em que a anomalia foi observada em |
| EventCount | Número de eventos contados por linha devolvida |
| AnomalCount | Número de eventos observados numa janela deslizante relevante |
| MinTime | Hora do primeiro evento observado |
| MaxTime | Hora do último evento observado |
| Classificação | as pontuações de anomalias produzidas pelo modelo de anomalias |
Recomendações:
Tal como acontece com qualquer solução de machine learning, a função SAPAuditLogAnomalies tem um melhor desempenho com o tempo e pode ser ajustada conforme necessário à medida que o tempo passa.
Recomendamos que restrinja o tamanho da base de dados aprendida para ser inferior a 100 milhões de registos com os muitos parâmetros de entrada disponíveis.
As utilizações de exemplo incluem:
Para procurar anomalias para eventos de gravidade elevada que ocorreram na última hora em sistemas de produção para tipos de eventos marcados como AnomaliasOnly na lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration , execute:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))Para procurar todas as anomalias nos últimos 14 dias no sistema BIP , execute:
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
Para obter mais informações, veja Regras de análise SAP incorporadas para monitorizar o registo de auditoria sap e a Deteção de anomalias no registo de auditoria do SAP com a solução Microsoft Sentinel para SAP (blogue).
SAPAuditLogConfigRecommend
O SAPAuditLogConfigRecommend é uma função auxiliar concebida para oferecer recomendações para a configuração da regra de análise de Alertas do Monitor de Registos de Auditoria (PRÉ-VISUALIZAÇÃO) baseada em Anomalias Dinâmicas .
Para obter mais informações, veja Monitorizar o registo de auditoria do SAP.
SAPUsersGetVIP
A solução Microsoft Sentinel para aplicações SAP utiliza um conceito de identificação de utilizadores centrais e exclusões explícitas, concebido para o ajudar a reduzir os falsos positivos com um esforço mínimo.
Utilize a função SAPUsersGetVIP para excluir os utilizadores de acionar alertas ao especificar funções de utilizador SAP, funções de utilizador SAP ou etiquetas que representem esses utilizadores. Para obter mais informações, veja Lidar com falsos positivos no Microsoft Sentinel.
As etiquetas especificadas como entrada para a função SAPUsersGetVIP excluem todos os utilizadores com uma etiqueta listada na lista de observação SAP_User_Config . A mesma funcionalidade é expandida para funcionar com carateres universais, permitindo-lhe atribuir uma única etiqueta a um grupo de utilizadores com a mesma sintaxe de nomenclatura.
Identifique os utilizadores na lista de observação SAP_User_Config da seguinte forma:
Adicione várias etiquetas a cada utilizador na SAP_User_Config lista de observação, conforme necessário para abranger vários cenários. Cada regra de alerta tem as suas próprias etiquetas relevantes, se existirem, e pode adicionar etiquetas personalizadas conforme necessário.
Utilize um asterisco (*) como caráter universal para incluir utilizadores com um modelo de sintaxe de nomenclatura específico.
Adicione a função SAPUsersGetVIP nas regras de análise para pedir que as listas de utilizadores que definiu sejam excluídas dos alertas. Na chamada de função, adicione uma matriz com as etiquetas, funções SAP e perfis SAP que pretende excluir.
Por exemplo, utilize a seguinte consulta KQL na regra de análise para excluir todos os utilizadores configurados com a etiqueta RunObsoleteProgOK na lista de observação SAP_User_Config ou quaisquer utilizadores com a função de SAP_BASIS_ADMIN_ROLE de exemplo ou o perfil de SAP_ADMIN_PROFILE de exemplo.
Ao copiar esta chamada de função de exemplo, substitua SAP_BASIS_ADMIN_ROLE função e SAP_ADMIN_PROFILE perfil pelas suas próprias funções ou perfis SAP, conforme necessário.
Por exemplo:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
A função SAPUsersGetVIP é frequentemente utilizada em alertas deterministas e anómalos do Monitor de Registos de Auditoria . Associe uma etiqueta a um ID de mensagem de registo de auditoria sap ou expanda o modelo de regra para uma regra personalizada que corresponda às necessidades da sua organização.
Sugestão
Recomendamos que contacte o administrador do sistema SAP para compreender que utilizadores, funções e perfis SAP deve incluir na sua lista de observação SAP_User_Config .
Parâmetros:
| Name | Opcional/Obrigatório | Predefinição | Descrição |
|---|---|---|---|
| SearchForTags | Opcional | dynamic('All Tags') |
Quando SearchForTags é igual a All Tags, todos os utilizadores são devolvidos juntamente com as etiquetas. Caso contrário, só são devolvidos os utilizadores com as etiquetas, funções SAP ou perfis SAP especificados em SearchForTags .
TagsIntersect mostra as etiquetas encontradas e IntersectionSize contém o número de etiquetas que são encontradas. |
| SpecialFocusTags | Opcional | Do not return any in-focus users |
Devolve todos os utilizadores com as etiquetas especificadas em SpecialFocusTagse assinala-os com specialFocusTagged = true. |
A função SAPUsersGetVIP devolve o seguinte resultado:
| Source (Origem) | Campo | Descrição | Notas |
|---|---|---|---|
| A lista de observação SAP_User_Config | SearchKey |
Tecla de pesquisa | |
| A lista de observação SAP_User_Config | SAPUser |
O utilizador SAP | OSS, DDIC |
| A lista de observação SAP_User_Config | Tags |
Cadeia de etiquetas atribuídas ao utilizador | RunObsoleteProgOK |
| A lista de observação SAP_User_Config | ID de objeto Microsoft Entra do utilizador | Microsoft Entra ID de objeto | |
| A lista de observação SAP_User_Config | Identificador de utilizador | identificador de utilizador do Diretório Azure | |
| A lista de observação SAP_User_Config | SID no local do utilizador | ||
| A lista de observação SAP_User_Config | Nome principal de utilizador | ||
| A lista de observação SAP_User_Config | TagsList |
Uma lista de etiquetas atribuídas ao utilizador |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Lógica | TagsIntersect | Um conjunto de etiquetas correspondentes SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Lógica | SpecialFocusTagged | Indicação especial do foco |
True, False |
| Lógica | IntersectionSize | O número de etiquetas interseccionadas |
SAPUsersHeader
A função SAPUsersHeader foi concebida para fornecer uma vista de alto nível do utilizador sap. Utiliza dados extraídos das tabelas de dados principais do utilizador SAP e da atividade recente no registo de auditoria do SAP para recolher e-mails e endereços IP. Em seguida, devolve o último e-mail e endereços IP conhecidos, juntamente com o e-mail principal e os endereços IP.
Parâmetros:
| Name | Opcional/Obrigatório | Predefinição | Descrição |
|---|---|---|---|
| SelectedSystems | Opcional | All Systems |
Utilizado para filtrar sistemas SAP específicos para analisar |
| SelectedSystemRoles | Opcional | All System Roles |
Determina as funções dos Sistemas SAP a serem analisados, conforme definido na lista de observação SAP – Sistemas . |
| SelectedUsers | Opcional | All Users |
Pode introduzir listas de utilizadores. |
| SelectedUser | Opcional | All Users |
Aceita apenas um único utilizador. |
Por exemplo:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
Sugestão
Para considerações de desempenho, são considerados apenas alguns dias de atividade de auditoria. Para obter um histórico completo da atividade do utilizador, execute uma consulta KQL personalizada na função SAPAuditLog .
A função SAPUsersHeader devolve o seguinte resultado:
| Source (Origem) | Campo | Descrição | Notas |
|---|---|---|---|
| Utilizador | O utilizador SAP | ||
| Tabelas SAP ADR6 e USR21 | Retirado dos dados principais do utilizador | OSS, DDIC | |
| USR02 da tabela SAP | UserType | Cadeia de etiquetas atribuídas ao utilizador | RunObsoleteProgOK |
| USR02 da tabela SAP | Fuso horário | Microsoft Entra ID de objeto | |
| USR02 da tabela SAP | LockedStatus | identificador de utilizador do Diretório Azure | |
| Registo de auditoria sap | LastSeen | Um carimbo de data/hora | Último evento de auditoria observado para o utilizador |
| Registo de auditoria sap | LastSeenDaysAgo | Dias passados desde LastSeen |
|
| Registo de auditoria sap | PrimaryIP | Endereço IP utilizado mais frequentemente |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| Registo de auditoria sap | LastKnownIP | Endereço IP utilizado mais recentemente | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| Registo de auditoria sap | PrimaryEmail | Endereço de e-mail utilizado mais frequentemente |
True, False |
| Registo de auditoria sap | IPs Conhecidos | Lista de endereços IP conhecidos | Ordenado pela primeira vez mais frequente |
| Registo de auditoria sap | KnownEmails | Lista de endereços de e-mail conhecidos | Ordenado pela primeira vez mais frequente |
| Cliente | O ID de cliente SAP | ||
| SystemID | O ID do sistema SAP | ||
| SystemRole | A função do sistema SAP | Produção, UAT | |
| SystemUsage | A utilização principal do sistema SAP | ERP, CRM |
TH_SERVER_LIST (Pré-visualização)
A função TH_SERVER_LIST é relevante quando o sistema SAP é um sistema mais antigo com XAL e lista os servidores de aplicações SAP ativos.
A função TH_SERVER_LIST é suportada apenas com o conector de dados sem agente SAP (Pré-visualização). Para obter mais informações, veja Instalar uma solução de Microsoft Sentinel para aplicações SAP.
Conteúdos relacionados
Para mais informações, consulte: