この記事では、SAP アプリケーション用のMicrosoft Sentinel ソリューションをインストールした後にワークスペースで使用できるさまざまな機能について説明します。 Microsoft Sentinelで参照し、関数コードを読み込むことで、その他の関数を検出します。
関数を次のように検索します。
- Azure portalの [全般] > [ログ] ページの [関数] タブで、[ワークスペース関数] の下に一覧表示されます。
- Defender ポータルの [調査 & 応答] > [高度なハンティング] ページの [関数] タブで、ワークスペース関数Sentinel一覧表示されます。
この記事のコンテンツは、 セキュリティ チームを対象としています。
基になるログやテーブルの代わりにクエリで関数を使用する
この記事に記載されている関数は、基になるログやテーブルではなく、可能な限り分析の対象として使用することを強くお勧めします。
これらの関数は、データのプリンシパル ユーザー インターフェイスとして機能することを目的としています。 これらは、すぐに使用できるすべての組み込みの分析ルールとブックの基礎を形成します。 関数を使用すると、ユーザーが作成したコンテンツを中断することなく、関数の下のデータ インフラストラクチャに変更を加えることができます。
BAPI_XMI_LOGON (プレビュー)
BAPI_XMI_LOGON機能は、SAP システムが XAL を使用して古いシステムである場合に関連し、SAP XAL 監査ログを収集するための認証を行います。
BAPI_XMI_LOGON関数は、SAP エージェントレス データ コネクタでのみサポートされます。 詳細については、「SAP アプリケーション用のMicrosoft Sentinel ソリューションをインストールする」を参照してください。
BAPI_SYSTEM_MTE_GETTIDBYNAME (プレビュー)
BAPI_SYSTEM_MTE_GETTIDBYNAME機能は、SAP システムが XAL を使用する古いシステムである場合に関連し、システム監視要素の ID を名前で取得します。
BAPI_SYSTEM_MTE_GETTIDBYNAME関数は、SAP エージェントレス データ コネクタでのみサポートされます。 詳細については、「SAP アプリケーション用のMicrosoft Sentinel ソリューションをインストールする」を参照してください。
BAPI_SYSTEM_MTE_GETTREE (プレビュー)
BAPI_SYSTEM_MTE_GETTREE機能は、SAP システムが XAL を使用して古いシステムである場合に関連し、システム監視要素の構造を取得します。
BAPI_SYSTEM_MTE_GETTREE関数は、SAP エージェントレス データ コネクタでのみサポートされます。 詳細については、「SAP アプリケーション用のMicrosoft Sentinel ソリューションをインストールする」を参照してください。
BAPI_SYSTEM_MTE_GETMLHIS (プレビュー)
BAPI_SYSTEM_MTE_GETMLHIS機能は、SAP システムが XAL を使用して古いシステムである場合に関連し、パフォーマンスと状態の履歴データをフェッチします。
BAPI_SYSTEM_MTE_GETMLHIS関数は、SAP エージェントレス データ コネクタでのみサポートされます。 詳細については、「SAP アプリケーション用のMicrosoft Sentinel ソリューションをインストールする」を参照してください。
BAPI_XMI_SET_AUDITLEVEL (プレビュー)
BAPI_XMI_SET_AUDITLEVEL機能は、SAP システムが XAL を使用して古いシステムである場合に関連し、XAL 監査ログ レベルを構成します。
BAPI_XMI_SET_AUDITLEVEL関数は、SAP エージェントレス データ コネクタでのみサポートされます。 詳細については、「SAP アプリケーション用のMicrosoft Sentinel ソリューションをインストールする」を参照してください。
BAPI_XMI_GET_LOGHISTORY (プレビュー)
BAPI_XMI_GET_LOGHISTORY機能は、SAP システムが XAL を使用する古いシステムであり、過去の XAL 監査ログ エントリを取得する場合に関連します。
BAPI_XMI_GET_LOGHISTORY関数は、SAP エージェントレス データ コネクタでのみサポートされます。 詳細については、「SAP アプリケーション用のMicrosoft Sentinel ソリューションをインストールする」を参照してください。
SAPUsersAssignments
SAPUsersAssignments 関数は、複数の SAP データ ソースからデータを収集し、現在割り当てられているロールやプロファイルなど、現在のユーザー マスター データのユーザー中心ビューを作成します。
この関数は、ロールとプロファイルへのユーザー割り当てを要約し、次のデータを返します。
| フィールド | 説明 | データ ソース/ノート |
|---|---|---|
| User | SAP ユーザー ID | SAL のみ |
| 電子メール | SMTP アドレス | USR21 (SMTP_ADDR) |
| UserType | ユーザーの種類 | USR02 (USTYP) |
| タイムゾーン | タイム ゾーン | USR02 (TZONE) |
| LockedStatus | ロックの状態 | USR02 (UFLAG) |
| LastSeenDate | 最終表示日 | USR02 (TRDAT) |
| LastSeenTime | 最後に表示された時刻 | USR02 (LTIME) |
| UserGroupAuth | ユーザー マスター メンテナンスのユーザー グループ | USR02 (CLASS) |
| プロファイル | プロファイルのセット (既定の最大セット サイズ = 50) | ["Profile 1", "Profile 2",...,"profile 50"] |
| DirectRoles | [直接割り当てられたロール] のセット (既定の最大セット サイズ = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| ChildRoles | 間接的に割り当てられたロールのセット (既定の最大セット サイズ = 50) | ["Role 1", "Role 2",...,"”"Role 50"] |
| クライアント | クライアント ID | |
| SystemID | システム ID | コネクタで定義されているとおり |
SAPUsersGetPrivileged
SAPUsersGetPrivileged 関数は、クライアントとシステム ID ごとの特権ユーザーの一覧を返します。
ユーザーは、次の説明のいずれかに一致すると特権があると見なされます。
- [ SAP - Privileged Users]\(特権ユーザー \) ウォッチリストに表示されます
- SAP - 機密プロファイルウォッチリストに一覧表示されているプロファイルに割り当てられます
- SAP - 機密ロールウォッチリストに一覧表示されているロールに追加されます
パラメーター:
| 名前 | 省略可能/必須 | 既定値 | 説明 |
|---|---|---|---|
| TimeAgo | 省略可能 | 7 日間 | 関数が、 TimeAgo 値で定義された時刻から、 now() 値によって定義された時間まで、ユーザー マスター データをシークすることを決定します。 |
SAPUsersGetPrivileged 関数は、次のデータを返します。
| フィールド | 説明 |
|---|---|
| User | SAP ユーザー ID |
| クライアント | クライアント ID |
| SystemID | システム ID |
SAPUsersAuthorizations
SAPUsersAuthorizations 関数は、複数のテーブルのデータをまとめ、割り当てられている現在のロールと承認のユーザー中心のビューを生成します。 アクティブなロールと承認の割り当てを持つユーザーのみが返されます。
パラメーター:
| 名前 | 省略可能/必須 | 既定値 | 説明 |
|---|---|---|---|
| TimeAgo | 省略可能 | 7 日間 | 関数が、 TimeAgo 値で定義された時刻から、 now() 値によって定義された時間まで、ユーザー マスター データをシークすることを決定します。 |
SAPUsersAuthorizations 関数は、次のデータを返します。
| フィールド | 説明 | Notes |
|---|---|---|
| User | SAP ユーザー ID | |
| 役割 | ロールのセット (既定の最大セット サイズ = 50) | ["Role 1", "Role 2",...,"Role 50"] |
| AuthorizationsDetails | 承認のセット (既定の最大セット サイズ = 100) |
{{AuthorizationsDetails1},{AuthorizationsDetails2}, ..., {AuthorizationsDetails100}} |
| クライアント | クライアント ID | |
| SystemID | システム ID |
SAPConnectorHealth
SAPConnectorHealth 関数には、エージェントの状態と、基になる SAP システムの接続が反映されます。 ハートビート ログ SAP_HeartBeat_CL とその他の正常性インジケーターに基づいて、次のデータが返されます。
| フィールド | 説明 |
|---|---|
| エージェント | エージェントの構成のエージェント ID (自動的に生成) |
| SystemID | SAP システム ID |
| 状態 | 全体的な接続状態 |
| 詳細 | 接続の詳細 |
| ExtendedDetails | 接続の拡張の詳細 |
| LastSeen | 最新のアクティビティのタイムスタンプ |
| StatusCode | システムの状態を反映するコード |
SAPConnectorOverview
SAPConnectorOverview 関数は、システム ID ごとに各 SAP テーブルの行数を表示します。 システム ID ごとにデータ レコードの一覧が返され、生成された時間が返されます。
パラメーター:
| 名前 | 省略可能/必須 | 既定値 | 説明 |
|---|---|---|---|
| TimeAgo | 省略可能 | 7 日間 | 関数が、 TimeAgo 値で定義された時刻から、 now() 値によって定義された時間まで、ユーザー マスター データをシークすることを決定します。 |
SAPConnectorOverview 関数は、次のデータを返します。
| フィールド | 説明 |
|---|---|
| TimeGenerated | レコードの生成のタイムスタンプの datetime 値 |
| SystemID_s | SAP システム ID を表す文字列 |
毎日の傾向分析を実行するには、次の Kusto クエリを使用します。
SAPConnectorOverview(7d)
| summarize count() by bin(TimeGenerated, 1d), SystemID_s
SAPUsersEmail
SAPUsersEmail 関数を使用すると、SAP システムとクライアントごとに SAP ユーザーのメール アドレスをパフォーマンス指向で検索できます。通常は、それを Active Directory アカウントに関連付けるために使用されます。
SAPUsersEmail 関数は、SAP テーブル USR21 (ユーザー名/アドレス キーの割り当て) と ADR6 (電子メール アドレス) から抽出されたデータを使用して、電子メール アドレスを検索します。 メール アドレスが見つからない場合は、代わりにユーザー ID が返されます。
この動作により、多くの場合、メール アドレスに関連付けられていない DDIC などの SAP サービス アカウントが擬似 AD アカウントとしてログに記録されます。 これにより、一部の UEBA 機能も開かれ、インシデントやハンティング アクティビティの調査に役立ちます。
SAPUsersEmail 関数は、次のデータを返します。
| フィールド | 説明 |
|---|---|
| Clientid | SAP クライアント ID |
| SystemID | SAP システム ID |
| User | SAP ユーザー ID |
| 電子メール | SAP ユーザーのメール アドレス |
SAPSystems
SAPSystems 関数は、SAP - システムウォッチリストを使用して行われたシステムごとの構成を一元的に表示するために使用されます。
パラメーター:
| 名前 | 省略可能/必須 | 既定値 | 説明 |
|---|---|---|---|
| SelectedSystems | 省略可能 | All Systems |
特定の SAP システムをフィルター処理するために使用されます |
| SelectedSystemRoles | 省略可能 | All System Roles |
SAP - システムウォッチリストで定義されているように、参照する SAP システム のロールを決定します |
SAPSystems 関数は、次のデータを返します。
| フィールド | 説明 | データ ソース/ノート |
|---|---|---|
| SearchKey | 検索キー | SAP システム ID のインデックス付きフィールド |
| SystemRole | SAP システムのロール | 運用、UAT |
| SystemUsage | SAP システムの主な使用法 | ERP、CRM |
| SystemID | SAP システム ID |
SAPAuditLogConfiguration
SAPAuditLogConfiguration 関数は、sap 監査ログ アラートのローカル構成を、Microsoft Sentinelに対して有効になっている Log Analytics ワークスペースに返します。 この構成は、SAP 監査ログ関連のアラートに使用されます。
SAPAuditLogConfiguration 関数は、SAP Dynamic Audit Log Monitor Configuration および SAP- Systems ウォッチリストのデータを結合して、システムロールごとの作業でシステムごとの構成を提供します。
パラメーター:
| 名前 | 省略可能/必須 | 既定値 | 説明 |
|---|---|---|---|
| SelectedSystems | 省略可能 | All Systems |
参照する特定の SAP システムをフィルター処理するために使用されます。 |
| SelectedSystemRoles | 省略可能 | All System Roles |
参照する SAP システムのロールを決定します ( SAP - システム ウォッチリストで定義されています)。 |
| SelectedSeverities | 省略可能 | [High, Medium] |
重大度の観点から調べるイベントを決定するために使用されます。 SAP 監査ログ メッセージ ID ごとの重大度とシステム ロールは、 SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストで定義されます。 |
| SelectedRuleTypes | 省略可能 | All RuleTypes |
異常の検出に関連するイベントを決定します。 SAP 監査ログ メッセージ ID ごとのルールの種類とシステム ロールは、 SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストで定義されます。 |
SAPAuditLogConfiguration 関数は、次のデータを返します。
| フィールド | 説明 | データ ソース/ノート |
|---|---|---|
| Categoryname | SAP 指定のイベント カテゴリ | SAP 動的監査ログ モニター構成 ウォッチリスト |
| DestinationEmail | 割り当てられたチームのEmailアドレス | SAP 動的監査ログ モニター構成 ウォッチリスト |
| DetailedDescription | アラートに表示されるマークダウン形式のテキスト | SAP 動的監査ログ モニター構成 ウォッチリスト |
| MessageID | SAP 監査ログ メッセージ ID | SAP 動的監査ログ モニター構成 ウォッチリスト |
| MessageText | サンプル メッセージ テキスト | SAP 動的監査ログ モニター構成 ウォッチリスト |
| RolesTagsToExclude | ABAP ロール、プロファイル、またはフリー テキスト タグ | SAP 動的監査ログ モニター構成 ウォッチリスト |
| RuleType | 異常または確定的 | SAP 動的監査ログ モニター構成 ウォッチリスト |
| 戦術 | MITRE ATTA&CK 戦術 | SAP 動的監査ログ モニター構成 ウォッチリスト |
| TeamsChannelID | Teams チャネル | SAP 動的監査ログ モニター構成 ウォッチリスト |
| SystemID | SAP システム ID | SAP - Systems ウォッチリスト |
| SystemRole | SAP システムのロール | SAP - Systems ウォッチリスト |
| SystemUsage | SAP システムの主な使用法 | SAP - Systems ウォッチリスト |
| IsProd | 運用システム フラグ | SAP - Systems ウォッチリスト |
| 重要度 | 派生重大度 | システム使用量あたりの重大度 |
| しきい値 | 派生しきい値 | システム使用量あたりのイベント数 |
| BagOfDetails | 詳細の袋 | イベント定義の詳細を示すディクショナリ |
詳細については、「 使用可能なウォッチリスト」を参照してください。
SAPAuditLogAnomalies
SAPAuditLogAnomalies 関数は、Microsoft Sentinelの基になる Kusto データベースの組み込みの機械学習機能を使用して、SAP 監査ログで観察される異常なイベントを検出するのに役立ちます。
SAPAuditLogAnomalies 関数は、SAP - (試験的) 動的異常ベースの監査ログ モニター アラート分析ルール用に開発されました。 元の設計では、最近の異常を警告しますが、過去の異常を強調するのにも役立ちます。 詳細については、「 サンプルの使用」を参照してください。
SAPAuditLogAnomalies 関数は、次のレベルで、さまざまな入力パラメーターによって定義された履歴のスライスを学習します。
- User
- ネットワーク属性
- System
- 季節
- アクティビティ レベル
次 に、SAPAuditLogAnomalies 関数は、学習内容に応じて、過去の DetectingTime タイムスパン内で発生したイベントを判断し、SAP 監査ログ構成ウォッチリストから取得したしきい値とその他の構成可能な除外条件を適用します。
ユーザー アクティビティのスライディング ウィンドウが異常と見なされると、2 番目のクエリは、決定をサポートする証拠としてユーザー アクティビティ全体を返します。
パラメーター:
| 名前 | 省略可能/必須 | 既定値 | 説明 |
|---|---|---|---|
| LearningTime | 省略可能 | 14 日 | モデル学習に使用される期間を決定します。 |
| DetectingTime | 省略可能 | 1 時間 | 異常を検出するために確認する期間を決定します。 この関数を DetectingTime = 0h で呼び出すと、 LearningTime 時間全体の異常が強調表示されます。 |
| SelectedSystems | 省略可能 | All Systems |
参照する特定の SAP システムをフィルター処理するために使用されます。 |
| SelectedSystemRoles | 省略可能 | All System Roles |
SAP - システムウォッチリストで定義されているように、参照する SAP システム のロールを決定します |
| SelectedSeverities | 省略可能 | [High, Medium] |
重大度の観点から調べるイベントを決定するために使用されます。 SAP 監査ログ メッセージ ID ごとの重大度とシステム ロールは、 SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストで定義されます。 |
| SelectedPrefixMask | 省略可能 | 24 | 学習と検出に使用されるサブネット マスク レベルを決定するために使用されます。 |
| SelectedRuleTypes | 省略可能 | AnomaliesOnly |
異常の検出に関連するイベントを決定します。 SAP 監査ログ メッセージ ID ごとのルールの種類とシステム ロールは、 SAP_Dynamic_Audit_Log_Monitor_Configuration ウォッチリストで定義されます。 |
SAPAuditLogAnomalies 関数は、次のデータを返します。
| フィールド | 説明 |
|---|---|
| SAPAuditLog の複数のフィールド | SAP 監査ログのキー フィールド |
| SAPAuditLogConfiguration の複数のフィールド | SAP 監査ログ構成のMicrosoft Sentinelのキー フィールド |
| DiscoveredOn | 異常が観察された丸められた時間 |
| EventCount | 返される行ごとにカウントされるイベントの数 |
| AnomalCount | 関連するスライディング ウィンドウ内で観察されるイベントの数 |
| MinTime | 最初に観測されたイベントの時刻 |
| MaxTime | 最後に観察されたイベントの時刻 |
| スコア | 異常モデルによって生成される異常スコア |
推奨事項:
他の機械学習ソリューションと同様に、 SAPAuditLogAnomalies 関数は時間と共にパフォーマンスが向上し、時間が経つにつれて必要に応じて調整できます。
使用可能な多くの入力パラメーターを使用して、学習したデータベースのサイズを 1 億レコード以下に制限することをお勧めします。
SAP_Dynamic_Audit_Log_Monitor_Configurationウォッチリストで AnomaliesOnly としてマークされているイベントの種類について、実稼働システムで過去 1 時間以内に発生した重大度の高いイベントの異常を検索するには、次を実行します。
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=1h, SelectedSystemRoles= dynamic(["Production"]), SelectedSeverities= dynamic(["High"]), SelectedRuleTypes= dynamic(["AnomaliesOnly"]))BIP システムで過去 14 日間のすべての異常を検索するには、次のコマンドを実行します。
SAPAuditLogAnomalies(LearningTime = 14d, DetectingTime=0h, SelectedSystems= dynamic(["BIP"]))
詳細については、「SAP ソリューション用のMicrosoft Sentinelを使用して SAP 監査ログを監視するための組み込みの SAP 分析ルール」および「SAP 監査ログの異常検出 (ブログ)」を参照してください。
SAPAuditLogConfigRecommend
SAPAuditLogConfigRecommend は、SAP - 動的異常ベースの監査ログ モニター アラート (PREVIEW) 分析ルールの構成に関する推奨事項を提供するように設計されたヘルパー関数です。
詳細については、「 SAP 監査ログの監視」を参照してください。
SAPUsersGetVIP
SAP アプリケーションのMicrosoft Sentinel ソリューションでは、最小限の労力で誤検知を減らすために設計された、中央のユーザー タグ付けと明示的な除外の概念を使用します。
SAPUsersGetVIP 関数を使用して、ユーザーを表す SAP ユーザー ロール、SAP ユーザー関数、またはタグを指定して、ユーザーをアラートのトリガーから除外します。 詳細については、「Microsoft Sentinelでの誤検知の処理」を参照してください。
SAPUsersGetVIP 関数の入力として指定されたタグは、SAP_User_Configウォッチリストに一覧表示されているタグを持つすべてのユーザーを除外します。 同じ機能がワイルドカードを使用するように拡張されているため、同じ名前付け構文を持つユーザーのグループに 1 つのタグを割り当てることができます。
SAP_User_Configウォッチリストのユーザーに次のようにタグを付けます。
さまざまなシナリオに対応するために必要に応じて、 SAP_User_Config ウォッチリスト内の各ユーザーに複数のタグを追加します。 各アラート ルールには、関連する独自のタグ (存在する場合) があり、必要に応じてカスタム タグを追加できます。
特定の名前付け構文テンプレートを持つユーザーを含める場合は、ワイルドカードとしてアスタリスク (*) を使用します。
分析ルールに SAPUsersGetVIP 関数を追加して、アラートから除外するように定義したユーザーの一覧を要求します。 関数呼び出しで、除外するタグ、SAP ロール、SAP プロファイルを含む配列を追加します。
たとえば、分析ルールで次の KQL クエリを使用して、SAP_User_Configウォッチリストで RunObsoleteProgOK タグで構成されたすべてのユーザー、またはサンプル SAP_BASIS_ADMIN_ROLE ロールまたはサンプル SAP_ADMIN_PROFILE プロファイルを持つユーザーを除外します。
このサンプル関数呼び出しをコピーするときは、 SAP_BASIS_ADMIN_ROLE ロールと SAP_ADMIN_PROFILE プロファイルを、必要に応じて独自の SAP ロールまたはプロファイルに置き換えます。
例:
// Execution of Obsolete/Insecure Program
let ObsoletePrograms = _GetWatchlist("SAP - Obsolete Programs");
// here you can exclude system users which are OK to run obsolete/ sensitive programs
// by adding those users in the SAP_User_Config watchlist with a tag of 'RunObsoleteProgOK'
// can also specify SAP roles or SAP profiles that group the users you would like to exclude
let excludeUsersTagsRolesProfiles= dynamic(["RunObsoleteProgOK","SAP_BASIS_ADMIN_ROLE", "SAP_ADMIN_PROFILE"]);
let excludedUsers= SAPUsersGetVIP(SearchForTags= excludeUsersTagsRolesProfiles)| summarize by User2Exclude=SAPUser;
// Query logic
SAPAuditLog
| where MessageID == 'AUW'
| where ABAPProgramName in (ObsoletePrograms) // The program is obsolete
| join kind=leftantisemi excludedUsers on $left.User == $right.User2Exclude
SAPUsersGetVIP 関数は、決定論的および異常な監査ログ モニター アラートでよく使用されます。 タグを SAP 監査ログ メッセージ ID に関連付けるか、ルール テンプレートを、organizationのニーズに合ったカスタム ルールに拡張します。
ヒント
SAP_User_Configウォッチリストに含める SAP ユーザー、ロール、プロファイルについては、SAP システム管理者に問い合わせて理解することをお勧めします。
パラメーター:
| 名前 | 省略可能/必須 | 既定値 | 説明 |
|---|---|---|---|
| SearchForTags | 省略可能 | dynamic('All Tags') |
SearchForTagsがAll Tagsと等しい場合、すべてのユーザーがタグと共に返されます。 それ以外の場合は、 SearchForTags で指定されたタグ、SAP ロール、または SAP プロファイルを持つユーザーのみが返されます。
TagsIntersect は見つかったタグを示し、 IntersectionSize は見つかったタグの数を保持します。 |
| SpecialFocusTags | 省略可能 | Do not return any in-focus users |
SpecialFocusTagsで指定されたタグを持つすべてのユーザーを返し、specialFocusTagged = trueでマークします。 |
SAPUsersGetVIP 関数は、次の出力を返します。
| ソース | フィールド | 説明 | Notes |
|---|---|---|---|
| SAP_User_Configウォッチリスト | SearchKey |
検索キー | |
| SAP_User_Configウォッチリスト | SAPUser |
SAP ユーザー | OSS、DDIC |
| SAP_User_Configウォッチリスト | Tags |
ユーザーに割り当てられたタグの文字列 | RunObsoleteProgOK |
| SAP_User_Configウォッチリスト | ユーザーのMicrosoft Entra オブジェクト ID | Microsoft Entra オブジェクト ID | |
| SAP_User_Configウォッチリスト | ユーザー識別子 | Azure ディレクトリ のユーザー識別子 | |
| SAP_User_Configウォッチリスト | ユーザーのオンプレミス SID | ||
| SAP_User_Configウォッチリスト | ユーザー プリンシパル名 | ||
| SAP_User_Configウォッチリスト | TagsList |
ユーザーに割り当てられたタグの一覧 |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| ロジック | TagsIntersect | 一致したタグのセット SearchForTags |
["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| ロジック | SpecialFocusTagged | 特別なフォーカス表示 |
True, False |
| ロジック | IntersectionSize | 交差するタグの数 |
SAPUsersHeader
SAPUsersHeader 関数は、SAP ユーザーの概要を表示するように設計されています。 これは、SAP ユーザー マスター データ テーブルと SAP 監査ログの最近のアクティビティの両方から抽出されたデータを使用して、電子メールと IP アドレスを収集します。 その後、プライマリ メールと IP アドレスと共に、最後の既知のメール アドレスと IP アドレスが返されます。
パラメーター:
| 名前 | 省略可能/必須 | 既定値 | 説明 |
|---|---|---|---|
| SelectedSystems | 省略可能 | All Systems |
特定の SAP システムをフィルター処理して確認するために使用されます |
| SelectedSystemRoles | 省略可能 | All System Roles |
SAP - システムウォッチリストで定義されているように、参照する SAP システム のロールを決定します。 |
| SelectedUsers | 省略可能 | All Users |
ユーザーのリストを入力できます。 |
| SelectedUser | 省略可能 | All Users |
1 人のユーザーのみを受け入れます。 |
例:
SelectedSystemRoles:dynamic = dynamic(["All System Roles"]) SelectedSystems:dynamic = dynamic(["All Systems"]) SelectedUsers:dynamic = dynamic(["All Users"]) SelectedUser:string = "All Users"
ヒント
パフォーマンスに関する考慮事項では、数日間の監査アクティビティのみが考慮されます。 ユーザー アクティビティの完全な履歴については、 SAPAuditLog 関数に対してカスタム KQL クエリを実行します。
SAPUsersHeader 関数は、次の出力を返します。
| ソース | フィールド | 説明 | Notes |
|---|---|---|---|
| User | SAP ユーザー | ||
| SAP テーブル ADR6 と USR21 | 電子メール | ユーザーのマスタデータから取得 | OSS、DDIC |
| SAP テーブル USR02 | UserType | ユーザーに割り当てられたタグの文字列 | RunObsoleteProgOK |
| SAP テーブル USR02 | タイムゾーン | Microsoft Entra オブジェクト ID | |
| SAP テーブル USR02 | LockedStatus | Azure ディレクトリ のユーザー識別子 | |
| SAP 監査ログ | LastSeen | タイムスタンプ | ユーザーに対して観察された最後の監査イベント |
| SAP 監査ログ | LastSeenDaysAgo | 以降に経過した日数 LastSeen |
|
| SAP 監査ログ | PrimaryIP | 最もよく使用される IP アドレス |
ChangeUserMasterDataOK;RunObsoleteProgOK |
| SAP 監査ログ | LastKnownIP | 最近使用した IP アドレス | ["ChangeUserMasterDataOK","RunObsoleteProgOK"] |
| SAP 監査ログ | PrimaryEmail | 最も頻繁に使用されるメール アドレス |
True, False |
| SAP 監査ログ | KnownIP | 既知の IP アドレスの一覧 | 最初に最も頻繁に並べ替えられる |
| SAP 監査ログ | KnownEmails | 既知のメール アドレスの一覧 | 最初に最も頻繁に並べ替えられる |
| クライアント | SAP クライアント ID | ||
| SystemID | SAP システム ID | ||
| SystemRole | SAP システムのロール | 運用、UAT | |
| SystemUsage | SAP システムの主な使用法 | ERP、CRM |
TH_SERVER_LIST (プレビュー)
TH_SERVER_LIST機能は、SAP システムが XAL を使用する古いシステムである場合に関連し、アクティブな SAP アプリケーション サーバーが一覧表示されます。
TH_SERVER_LIST関数は、SAP エージェントレス データ コネクタ (プレビュー) でのみサポートされます。 詳細については、「SAP アプリケーション用のMicrosoft Sentinel ソリューションをインストールする」を参照してください。
関連コンテンツ
詳細については、以下を参照してください: