在 Microsoft Sentinel 中收集 SAP HANA 审核日志

本文介绍如何从 SAP HANA 数据库收集审核日志。

重要

Microsoft Sentinel SAP HANA 支持目前以预览版形式提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

SAP HANA 日志是通过 Syslog 发送的。 确保 Azure Monitor 代理配置为收集 Syslog 文件。 有关详细信息,请参阅:

有关详细信息,请参阅使用 Azure Monitor 代理将 syslog 和 CEF 消息引入 Microsoft Sentinel

收集 SAP HANA 审核日志

  1. 请确保将 SAP HANA 审核日志跟踪配置为使用 Syslog,如 SAP 说明 0002624117 中所述,可从 SAP 启动板支持站点访问。 有关详细信息,请参阅:

  2. 查看操作系统 Syslog 文件,了解任何相关的 HANA 数据库事件。

  3. 以具有 sudo 权限的用户身份登录 HANA 数据库操作系统。

  4. 在计算机上安装代理并确认计算机已连接。 有关详细信息,请参阅安装和管理 Azure Monitor 代理

  5. 配置代理以收集 Syslog 数据。 有关详细信息,请参阅使用 Azure Monitor 代理收集 Syslog 事件

    提示

    由于保存 HANA 数据库事件的设施可以在不同的分发版之间更改,因此建议添加所有设施。 根据 Syslog 日志检查它们,然后移除任何不相关的内容。

验证配置

在 Microsoft Sentinel 和你的 SAP HANA 数据库中使用以下步骤验证系统的配置是否符合预期。

Microsoft Sentinel

在 Microsoft Sentinel 的“日志”页中,确认 HANA 数据库事件现在是否显示在引入的日志中。 例如,运行下列查询:

//generated function structure for custom log Syslog
// generated on 2024-05-07
let D_Syslog = datatable(TimeGenerated:datetime
,EventTime:datetime
,Facility:string
,HostName:string
,SeverityLevel:string
,ProcessID:int
,HostIP:string
,ProcessName:string
,Type:string
)['1000-01-01T00:00:00Z', '1000-01-01T00:00:00Z', 'initialString', 'initialString', 'initialString', 'initialString',1,'initialString', 'initialString', 'initialString'];

let T_Syslog = (Syslog | project
TimeGenerated = column_ifexists('TimeGenerated', '1000-01-01T00:00:00Z')
,EventTime = column_ifexists('EventTime', '1000-01-01T00:00:00Z')
,Facility = column_ifexists('Facility', 'initialString')
,HostName = column_ifexists('HostName', 'initialString')
,SeverityLevel = column_ifexists('SeverityLevel', 'initialString')
,ProcessID = column_ifexists('ProcessID', 1)
,HostIP = column_ifexists('HostIP', 'initialString')
,ProcessName = column_ifexists('ProcessName', 'initialString')
,Type = column_ifexists('Type', 'initialString')
);
T_Syslog | union isfuzzy= true (D_Syslog | where TimeGenerated != '1000-01-01T00:00:00Z')

SAP HANA

在你的 SAP HANA 数据库中,检查已配置的审核策略。 有关所需 SQL 语句的详细信息,请参阅 SAP 说明 3016478

在 Microsoft Sentinel 中为 SAP HANA 添加分析规则

使用以下内置分析规则促使 Microsoft Sentinel 开始触发相关 SAP HANA 活动的警报:

  • SAP -(预览版)HANA DB - 分配管理员授权
  • SAP -(预览版)HANA DB - 审核线索策略更改
  • SAP -(预览版)HANA DB - 停用审核线索
  • SAP -(预览版)HANA DB - 用户管理员操作

有关详细信息,请参阅适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:安全内容参考

详细了解适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:

疑难解答:

参考文件:

要了解详情,请参阅 Microsoft Sentinel 解决方案