Bei der HANA Auditierung geht es um die Nutzung von Richtlinien, Aktivitäts- und Änderungsprotokollen sowie Vorlagen, um sicherzustellen, dass alle Zugriffe und Modifikationen in der SAP HANA Umgebung nachvollziehbar, überprüfbar und den Compliance-Anforderungen entsprechend dokumentiert werden.
SAP HANA Auditing ist ein wesentliches Werkzeug, um die Sicherheit und Compliance in einer SAP HANA Umgebung zu gewährleisten. Durch die sorgfältige Definition von Audit-Policies und die richtige Konfiguration der Audit-Trails können Unternehmen sicherstellen, dass alle relevanten Aktionen in der Datenbank nachvollziehbar und überprüfbar sind. Dies unterstützt nicht nur die Einhaltung von Sicherheitsstandards, sondern schützt auch vor Missbrauch und bietet eine solide Grundlage für Sicherheitsanalysen und -bewertungen.
Wir unterstützen Sie gerne in den folgenden Themen:
| Auditing Activity in SAP HANA | Auditing in SAP HANA ermöglicht es, ausgewählte Aktionen in der Datenbank zu überwachen und aufzuzeichnen. Dies kann für jede Datenbank unabhängig konfiguriert werden. Änderungen an der Audit-Konfiguration in einer Datenbank haben keine Auswirkungen auf andere Datenbanken im SAP HANA-System. Obwohl Auditing die Sicherheit der Datenbank nicht direkt erhöht, kann es bei sorgfältiger Gestaltung helfen, folgende Sicherheitsziele zu erreichen: – Aufdecken von Sicherheitslücken, wenn zu viele Berechtigungen an bestimmte Benutzer vergeben wurden. – Anzeigen von Versuchen, die Sicherheit zu durchbrechen. – Schutz des Systembesitzers vor Vorwürfen der Sicherheitsverletzung und des Datenmissbrauchs. – Ermöglichen des Systembesitzers, Sicherheitsstandards zu erfüllen. Typische Aktionen, die auditiert werden, umfassen Änderungen an Benutzerberechtigungen, das Erstellen oder Löschen von Datenbankobjekten, die Authentifizierung von Benutzern, Änderungen an der Systemkonfiguration sowie den Zugriff auf oder die Änderung von sensiblen Informationen. Es gibt jedoch auch Ereignisse, die nicht auditierbar sind, wie etwa Änderungen, die direkt an Systemkonfigurationsdateien über Betriebssystembefehle vorgenommen werden, wenn das System offline ist, oder das Ändern des Passworts des SYSTEM-Benutzers im Notfallmodus. |
| Audit Policies | Eine Audit-Policy definiert die zu auditierenden Aktionen sowie die Bedingungen, unter denen diese Aktionen relevant sind. Wenn eine Aktion eintritt, wird die Policy ausgelöst und ein Audit-Ereignis wird im Audit-Trail protokolliert. Audit-Policies sind datenbankspezifisch. Audit-Aktionen sind Aktionen, die durch eine SQL-Anweisung in der Datenbank ausgeführt werden. Zum Beispiel könnte eine Audit-Policy erstellt werden, die die Ausführung der SQL-Anweisungen CREATE USER und DROP USER auditiert, um die Benutzerbereitstellung im System zu verfolgen. Eine Audit-Policy kann eine beliebige Anzahl von Aktionen umfassen, jedoch können nicht alle Aktionen in derselben Policy kombiniert werden. Wichtige Parameter einer Audit-Policy sind unter anderem der Status der zu auditierenden Aktion (erfolgreich, erfolglos oder beides), das Zielobjekt (wie Tabellen, Sichten, Prozeduren), die zu auditierenden Benutzer sowie das Audit-Level (EMERGENCY, ALERT, CRITICAL, WARNING, INFO). |
| Audit Trails | Wenn eine Audit-Policy ausgelöst wird, wird ein Audit-Eintrag in einem oder mehreren Audit-Trails erstellt. Die unterstützten Audit-Trail-Ziele für Produktionssysteme umfassen interne Datenbanktabellen, das Logging-System des Linux-Betriebssystems (syslog) und CSV-Textdateien. Interne Datenbanktabellen ermöglichen eine schnelle Abfrage und Analyse der Audit-Informationen und bieten eine sichere und manipulationssichere Speicherung. Das syslog bietet eine hohe Flexibilität und Sicherheit, da es zahlreiche Speichermöglichkeiten bietet und die Audit-Trails auf andere Systeme ausgelagert werden können. CSV-Dateien werden für jeden Dienst erstellt, der SQL ausführt, und sind im Standard-Verzeichnis für Trace-Dateien gespeichert. Es ist auch möglich, mehrere Audit-Trail-Ziele für unterschiedliche Audit-Level zu konfigurieren. In Mandantendatenbanken kann der Systemadministrator die Audit-Trail-Ziele ändern, indem er die relevanten Systemparameter in der global.ini-Datei konfiguriert. |
| Best Practices und Empfehlungen für die Erstellung von HANA Audit Policies | Bei der Erstellung von Audit-Policies sollten folgende Prinzipien und Best Practices beachtet werden: – Definieren Sie Audit-Policies, die unnötige Ereignisse im Audit-Log so weit wie möglich vermeiden. – Protokollieren Sie alle Änderungen an der Sicherheitskonfiguration und an Benutzerberechtigungen. – Unerwartete Ereignisse geben oft die meisten Informationen preis. Definieren Sie Auditing für alle Aktionen und schließen Sie die erwarteten aus. – Erstellen Sie so wenige Audit-Policies wie möglich. Es ist in der Regel besser, eine komplexe Policy zu haben als mehrere einfache. – Verwenden Sie Audit-Aktionen, die andere Aktionen kombinieren, wo möglich. Beispielsweise auditieren Sie die Aktion GRANT ANY anstelle der Aktionen GRANT PRIVILEGE und GRANT STRUCTURED PRIVILEGE. Zu den empfohlenen Audit-Policies gehören unter anderem die Überwachung erfolgloser Verbindungsversuche, Änderungen an Berechtigungen, Benutzeradministration und Systemkonfiguration sowie Backup- und Wiederherstellungsaktivitäten. |
| Patterns of SAP Enterprise Threat Detection | Um den HANA Audit Trail für Muster der SAP Enterprise Threat Detection zu aktivieren, müssen Sie sich mit einem Benutzer anmelden, der die Systemberechtigungen AUDIT ADMIN besitzt. Mittels SAP ETD können Sie die Audit Logs der SAP HANA zentral speichern und mittels forensischer Methoden auswerten. Diese Protokolle werden an SAP Enterprise Threat Detection übertragen, wo sie als Ereignisse sichtbar sind und weiter analysiert werden können. Sie können die Protokollierung sogar noch erweitern, indem Sie die HANA Audit Trail Konfiguration erweitern. Erstellen Sie Ihre individuellen Szenarien und erfahren Sie, wie Sie den Zugriff auf kritische Assets, wie z.B. kritische Datenbanktabellen, überwachen können und dadurch gewarnt werden und rechtzeitig reagieren können, falls verdächtige Aktivitäten auf Ihre kritischen Assets durchgeführt werden. |
| SAP HANA-Auditprotokolle in Microsoft Sentinel sammeln | Über den Zwischenschritt der Umleitung der HANA Audit Trails in den Linux SYSLOG lassen sich die logs auch in die Microsoft Sentinel SIEM Lösung integrieren. |
| SAP HANA-Auditprotokolle in Splunk sammeln | Über den Zwischenschritt der Umleitung der HANA Audit Trails in den Linux SYSLOG mittels „PowerConnect for SAP Solutions“ lassen sich die logs auch in die Splunk SIEM Lösung integrieren. |
