Condividi tramite

Raccogliere i log di controllo di SAP HANA in Microsoft Sentinel

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo illustra come raccogliere i log di controllo dal database SAP HANA.

Il contenuto di questo articolo è destinato ai team di sicurezza, infrastruttura e SAP BASIS .

Importante

Il supporto di SAP HANA di Microsoft Sentinel è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Nota

Questo articolo è rilevante solo per l'agente del connettore dati e non è rilevante per la soluzione SAP senza agente (anteprima limitata).

Prerequisiti

I log di SAP HANA vengono inviati tramite Syslog. Assicurarsi che l'agente di Monitoraggio di Azure sia configurato per raccogliere i file Syslog. Per altre informazioni, vedere Inserire messaggi syslog e CEF in Microsoft Sentinel con l'agente di Monitoraggio di Azure.

Raccogliere i log di audit di SAP HANA

  1. Assicurarsi che l'audit trail di SAP HANA sia configurato per l'uso di Syslog, come descritto in SAP Nota 0002624117, accessibile dal sito di supporto di SAP Launchpad. Per altre informazioni, vedi:

  2. Controllare i file Syslog del sistema operativo per eventuali eventi di database HANA pertinenti.

  3. Accedere al sistema operativo del database HANA come utente con privilegi sudo.

  4. Installare un agente nel computer e verificare che il computer sia connesso. Per altre informazioni, vedere Installare e gestire l'agente di Monitoraggio di Azure.

  5. Configurare l'agente per raccogliere dati Syslog. Per altre informazioni, vedere Raccogliere eventi Syslog con l'agente di Monitoraggio di Azure.

    Suggerimento

    Poiché le strutture in cui vengono salvati gli eventi del database HANA possono cambiare tra distribuzioni diverse, è consigliabile aggiungere tutte le strutture. Controllare i log di Syslog e quindi rimuovere eventuali elementi non pertinenti.

Verificare la configurazione

Seguire questa procedura sia in Microsoft Sentinel che nel database SAP HANA per verificare che il sistema sia configurato come previsto.

Microsoft Sentinel

Nella pagina Log di Microsoft Sentinel verificare che gli eventi del database HANA siano ora visualizzati nei log inseriti. Ad esempio, eseguire la query seguente:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

Nel database SAP HANA controllare i criteri di controllo configurati. Per altre informazioni sulle istruzioni SQL necessarie, vedere SAP Nota 3016478.

Aggiungere regole di analisi per SAP HANA in Microsoft Sentinel

Usare le regole di analisi predefinite seguenti per fare in modo che Microsoft Sentinel avvii gli avvisi sull'attività SAP HANA correlata:

  • SAP - (ANTEPRIMA) DATABASE HANA - Assegnare autorizzazioni di amministratore
  • SAP - (ANTEPRIMA) DATABASE HANA - Modifiche ai criteri audit trail
  • SAP - (ANTEPRIMA) DATABASE HANA - Disattivazione degli audit trail
  • SAP - (ANTEPRIMA) DATABASE HANA - Azioni di amministratore utente

Per altre informazioni, vedere La soluzione Microsoft Sentinel per le applicazioni SAP: informazioni di riferimento sul contenuto di sicurezza.

Contenuto correlato

Altre informazioni sulla soluzione Microsoft Sentinel per le applicazioni SAP: