Liebe Leserinnen und Leser,
in der immer komplexer werdenden Welt der Informationstechnologie steigt der Bedarf an sicheren und lückenlosen Überwachungsmechanismen. Eine wesentliche Rolle spielen dabei Sicherheitsprotokolle, die wichtige Systeminformationen aufzeichnen. Eines dieser Tools ist das SAP Security Audit Log, ein Audit-Protokoll, das speziell für die Erfassung sicherheitsrelevanter Systeminformationen in SAP AS ABAP Systemen entwickelt wurde. Es dokumentiert Ereignisse wie Änderungen an Benutzer-Hauptdatensätzen oder fehlgeschlagene Anmeldeversuche und bietet somit eine hervorragende Grundlage für Sicherheitsanalysen und Compliance-Prüfungen.
Das SAP Security Audit Log, erreichbar über die Transaktion SM20, ermöglicht es Auditoren, detaillierte Einblicke in Vorgänge innerhalb des AS ABAP Systems zu erhalten. Aktiviert man dieses Protokoll, wird eine Aufzeichnung der spezifisch definierten Aktivitäten erstellt. Zu den protokollierbaren Informationen gehören erfolgreiche und fehlgeschlagene Dialog- und RFC-Anmeldeversuche, RFC-Aufrufe zu Funktionsmodulen, Änderungen an Benutzer-Hauptdatensätzen, erfolgreiche und fehlgeschlagene Transaktionsstarts und Änderungen an der Audit-Konfiguration. SM20 hilft zur Sicherheitsüberwachung und kann dazu verwendet werden, potenzielle Sicherheitsverstöße zu erkennen, die auf ein Datenleck hindeuten könnten. Allerdings ist es wichtig zu betonen, dass SM20 kein spezifisches Tool zur Erkennung von Datenlecks, wie z.B. SAP ETD Enterprise Threat Detection ist.
Hier eine Übersicht:
- Erfolgreiche und fehlgeschlagene Dialog-Anmeldeversuche
- Erfolgreiche und fehlgeschlagene RFC-Anmeldeversuche
- RFC-Aufrufe zu Funktionsmodulen
- Änderungen an Benutzer-Hauptdatensätzen
- Erfolgreiche und fehlgeschlagene Transaktionsstarts
- Änderungen an der Audit-Konfiguration
Die Audit-Dateien werden auf den jeweiligen Anwendungsservern gespeichert. Standorte und maximale Größe der Dateien legt man durch Profilparameter fest. Derzeit unterstützt das Security Audit Log keine automatische Archivierung der Protokolldateien. Eine manuelle Archivierung ist jedoch jederzeit möglich. Darüber hinaus kann man die Aktivitäten, die protokolliert werden sollen, in Filtern über die Transaktion SM19 festlegen. Die Logdateien lassen sich mit der Transaktion SM20 lesen und alte Logdateien können mit der Transaktion SM18 gelöscht werden. Der SAP NetWeaver Application Server für ABAP protokolliert zusätzlich Aktivitäten, kategorisiert nach Transaktion und Benutzer, in statistischen Aufzeichnungen. Diese Aufzeichnungen sind mit SAP Workload: Business Transaction Analysis (Transaktion STAD) zugänglich.
Das SAP Security Audit Log (SM20) ist ein effektives Werkzeug zur Sicherheitsüberwachung und Auditierung. Mit seiner Fähigkeit, sicherheitsrelevante Aktivitäten aufzuzeichnen und zur späteren Auswertung bereitzustellen, bietet es Unternehmen eine robuste Lösung zur Identifizierung und Vermeidung potenzieller Sicherheitsrisiken. Es leistet somit einen entscheidenden Beitrag zur Einhaltung der IT-Sicherheitsrichtlinien und Compliance-Anforderungen und stärkt gleichzeitig das Vertrauen in die Sicherheitsinfrastruktur des Unternehmens. Es hat jedoch einige Grenzen, die es daran hindern, alle Anforderungen eines Security Information and Event Management (SIEM) Systems vollständig zu erfüllen:
1) Komplexität der Korrelationsregeln: SIEM-Lösungen sind dafür bekannt, dass sie komplexe Korrelationsregeln über verschiedene Systeme und Plattformen hinweg erstellen können, um Anomalien und Sicherheitsverletzungen zu erkennen. Das SAP Security Audit Log ermöglicht zwar die Aufzeichnung verschiedener sicherheitsrelevanter Ereignisse, es fehlen jedoch fortgeschrittene Korrelations- und Analysemöglichkeiten, die in SIEM-Systemen üblich sind.
2) Real-Time Monitoring und Alarmierung: SIEM-Systeme haben oft die Fähigkeit, Ereignisse in Echtzeit zu überwachen und Benachrichtigungen zu senden, wenn bestimmte Bedingungen erfüllt sind. Das SAP Security Audit Log hingegen speichert zwar Ereignisse, bietet aber keine Echtzeit-Überwachung oder automatische Alarmierung.
3) Automatische Reaktionen: Viele SIEM-Systeme können so konfiguriert werden, dass sie automatisch auf bestimmte Ereignisse reagieren, beispielsweise durch Blockieren einer IP-Adresse oder Isolieren eines Netzwerksegments. Das SAP Security Audit Log bietet solche automatischen Reaktionsmöglichkeiten nicht.
4) Zentralisierte Sicht: SIEM-Systeme bieten eine zentralisierte Sicht auf alle Systeme und Anwendungen innerhalb einer Organisation. Das SAP Security Audit Log ist dagegen auf das SAP-System beschränkt und bietet keine umfassende Sicht auf alle anderen Systeme und Plattformen.
5) Langzeit-Speicherung und Compliance-Berichterstattung: SIEM-Lösungen bieten in der Regel Funktionen zur langfristigen Speicherung von Ereignisdaten und zur Generierung von Compliance-Berichten. Während das SAP Security Audit Log eine langfristige Datenspeicherung ermöglicht, unterstützt es nicht die automatische Archivierung von Protokolldateien und bietet auch keine speziellen Funktionen zur Compliance-Berichterstattung.
Diese Grenzen bedeuten nicht, dass das SAP Security Audit Log unbrauchbar ist – es ist ein wertvolles Werkzeug für die Sicherheitsüberwachung innerhalb von SAP-Systemen. Es sollte jedoch als Teil einer umfassenderen SIEM-Strategie betrachtet werden, die auch andere Tools und Plattformen umfasst. Hier verweisen wir auf das SAP eigene SAP Enterprise Threat Detection (ETD) SIEM tool.
