SAP Security Audit Log – Empfehlungen für ein optimales Monitoring

SAP Security Audit Log – Empfehlungen für ein optimales MonitoringMit dem Security Audit Log lassen sich Benutzer mit weitreichenden Berechtigungen überwachen. Das ist vor allem sinnvoll, um internen Sicherheitsstandards sowie externen rechtlichen Anforderungen gerecht zu werden. Das SAP-Standardwerkzeug ermöglicht einen Überblick über sicherheitskritische Aktivitäten sowie eine bestmögliche Protokollierung.

Sichere Protokollierung dank SAP Security Audit Log

Das SAP Security Audit Log dient als Werkzeug zur detaillierten Ansicht vorrangig sicherheitskritischer Ereignisse in SAP-Systemen. Es richtet sich für die laufende Beobachtung an Personen, die in Unternehmen mit Sicherheitsaufgaben betraut sind und sich Ereignisse im SAP-System detailliert ansehen müssen, wie z.B. Auditoren.
Durch die Aktivierung des Security Audit Log lassen sich aktuell ca. 150 Ereignisse in Anlehnung an die CVSS-Risikoklassifizierung Hoch (9), Mittel (5) und Niedrig (2) einstufen und verschiedenen Auditklassen, z.B. Benutzerstammänderungen, zuordnen. Doch für welche dieser Ereignisse sind eine Aktivierung und Aufzeichnung im Security Audit Log sinnvoll?

Grundsätzlich sollten folgende Aspekte berücksichtigt werden:

  • Aufzeichnung von sicherheitsbezogenen Änderungen an der SAP-Systemumgebung (z. B. Änderungen an Benutzerstammsätzen).
  • Ermittlung von Informationen, die mehr Transparenz bieten (z. B. erfolgreiche und erfolglose Anmeldeversuche).
  • Ermittlung von Informationen, die der Nachvollziehbarkeit einer Reihe von Ereignissen dienen (z. B. erfolgreiche oder erfolglose Transaktionsstarts).

Filterkategorien einrichten und konfigurieren

Für eine sichere Grundprotokollierung schlagen wir vor, die Filterkategorien folgendermaßen zu konfigurieren:

1. Filter: Aktivieren Sie sämtliche Ereignisse für Superuser ‚SAP *‘ in allen Mandanten ‚*‘ sowie z.B. SAP Support Benutzer.
Dies umfasst den integrierten Benutzer ‚SAP *‘ sowie weitere Benutzerkontonamen, die mit ‚SAP‘ beginnen, z.B. ‚SAPSUPPORT‘. Um Protokolleinträge für den Benutzer ‚SAP *‘ zu erstellen ist der User ‚SAP # *‘ im Userfilter einzutragen.

2. Filter: Aktivieren Sie sämtliche Ereignisse mit Kategorisierung „nur kritisch“ in sämtlichen Clients ‚*‘ sowie für sämtliche Benutzer ‚*‘.
Meldungen der Klasse 32 „Benutzerstammsatzänderung“ können deaktiviert werden, da diese ebenfalls über Änderungsbelege für Benutzer via Transaktion SUIM erhältlich sind.
Anstelle dessen können Ereignisse der Gebiete AU (AUO, AUP, AUQ AUZ) sowie BU (BU5, BU6, BU7, BU9, BUA, BUB, BUC, BUH) mittlerer Gewichtung sinnvoll hinzugefügt werden.

3. Filter: Aktivieren Sie sämtliche Events für weitere Support- und Notfallbenutzer, z.B. ‚NOTFALL*‘ oder ‚FF*‘ (FireFighter) in sämtlichen Mandanten ‚*‘.

4. Filter: Aktivieren Sie sämtliche Ereignisse für die Dialogaktivitäten ‚Anmelden‘ und ‚Transaktion‘ für Benutzer ‚DDIC‘.
„Dieser Benutzer besitzt“ sollte nicht im Dialogmodus verwendet und nur für bestimmte administrative Aktivitäten zur Pflege des Data Dictionary, wie z.B. das Einspielen von Transport Packages oder das Importieren von Transporten, verwendet werden.

Für projektspezifische Zwecke lassen sich zusätzliche Filter, beispielsweise zur Absicherung von RFC Callback Funktionsaufrufen aus Fremdsystemen mit niedrigem Schutzlevel, definieren. Hierzu werden in verschiedenen Phasen erlaubte sowie nicht erlaubte Funktionsaufrufe ermittelt und die Ergebnisse in generierten White-Listen zur Verfügung gestellt.

5. Filter: Aktivieren Sie die Events DUI (Informationsgewinnung durch RFC Callback Aufrufe), DUK (Gerufene Funktionsbausteine aus RFC Callback während der Simulationsphase zur Ermittlung der Whitelisten) sowie DUJ (Ermittlung abgewiesener Funktionsbausteine durch RFC Callback).

6.-10. Filter: Frei, z.B. für weitere projektspezifische Zwecke.

Security Monitoring: umfangreich, vollautomatisch und in Echtzeit

Die Aktivierung des Security Audit Log sowie die sinnvolle Ausstattung mit nachvollziehbaren Filtern bilden die Grundlage für ein mit vertretbarem Aufwand durchzuführendes Security Monitoring.

Daher ist die Aktivierung und Konfiguration des Security Audit Log Bestandteil jeder von AKQUINET durchgeführten Sicherheitsanalyse. Mit Hilfe unserer SAST SUITE und dem Modul System Security Validation lassen sich Einstellungen und Empfehlungen zur Verbesserung auch für komplexe Systemumgebungen schnell ermitteln.

Sie wollen mehr zum Thema erfahren? Dann informieren Sie sich gerne auf unserer SAST SOLUTIONS Website oder melden sich bei uns: sast@akquinet.de

Axel Giese (SAST SOLUTIONS)
Axel Giese (SAP Security Consulting, SAST SOLUTIONS)

 

Das könnte Sie auch interessieren:

Dank Security Audit und RFC-Schnittstellenprüfung Schwachstellen in SAP-Systemen erkennen und schließen

SAP Security & Compliance: „Kunden brauchen Lösungsanbieter“