{"id":324,"date":"2023-07-05T22:42:01","date_gmt":"2023-07-05T19:42:01","guid":{"rendered":"https:\/\/techltx.com\/de\/?p=324"},"modified":"2023-07-09T23:35:26","modified_gmt":"2023-07-09T20:35:26","slug":"sap-security-audit-log-sm20-data-leak","status":"publish","type":"post","link":"https:\/\/techltx.com\/de\/sap\/sap-security-audit-log-sm20-data-leak\/2023\/07\/","title":{"rendered":"SAP Security Audit Log SM20 Datenleck-Erkennung"},"content":{"rendered":"\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:66.66%\">\n<p>Liebe Leserinnen und Leser,<\/p>\n<p>in der immer komplexer werdenden Welt der Informationstechnologie steigt der Bedarf an sicheren und l\u00fcckenlosen \u00dcberwachungsmechanismen. Eine wesentliche Rolle spielen dabei Sicherheitsprotokolle, die wichtige Systeminformationen aufzeichnen. Eines dieser Tools ist das SAP Security Audit Log, ein Audit-Protokoll, das speziell f\u00fcr die Erfassung sicherheitsrelevanter Systeminformationen in SAP AS ABAP Systemen entwickelt wurde. Es dokumentiert Ereignisse wie \u00c4nderungen an Benutzer-Hauptdatens\u00e4tzen oder fehlgeschlagene Anmeldeversuche und bietet somit eine hervorragende Grundlage f\u00fcr Sicherheitsanalysen und Compliance-Pr\u00fcfungen.<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:33.33%\">\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png\"><img loading=\"lazy\" decoding=\"async\" width=\"491\" height=\"155\" src=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png\" alt=\"SAP Security Patchday 2023-06 Juni\" class=\"wp-image-248\" srcset=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday.png 491w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/06\/sap-security-patchday-300x95.png 300w\" sizes=\"auto, (max-width: 491px) 100vw, 491px\" \/><\/a><\/figure>\n<\/div>\n<\/div>\n\n\n<p>Das SAP Security Audit Log, erreichbar \u00fcber die Transaktion SM20, erm\u00f6glicht es Auditoren, detaillierte Einblicke in Vorg\u00e4nge innerhalb des AS ABAP Systems zu erhalten. Aktiviert man dieses Protokoll, wird eine Aufzeichnung der spezifisch definierten Aktivit\u00e4ten erstellt. Zu den protokollierbaren Informationen geh\u00f6ren erfolgreiche und fehlgeschlagene Dialog- und RFC-Anmeldeversuche, RFC-Aufrufe zu Funktionsmodulen, \u00c4nderungen an Benutzer-Hauptdatens\u00e4tzen, erfolgreiche und fehlgeschlagene Transaktionsstarts und \u00c4nderungen an der Audit-Konfiguration. SM20 hilft zur Sicherheits\u00fcberwachung und kann dazu verwendet werden, potenzielle Sicherheitsverst\u00f6\u00dfe zu erkennen, die auf ein Datenleck hindeuten k\u00f6nnten. Allerdings ist es wichtig zu betonen, dass SM20 kein spezifisches Tool zur Erkennung von Datenlecks, wie z.B. SAP ETD Enterprise Threat Detection ist.<\/p>\n<p>Hier eine \u00dcbersicht:<\/p>\n<ul>\n<li>Erfolgreiche und fehlgeschlagene Dialog-Anmeldeversuche<\/li>\n<li>Erfolgreiche und fehlgeschlagene RFC-Anmeldeversuche<\/li>\n<li>RFC-Aufrufe zu Funktionsmodulen<\/li>\n<li>\u00c4nderungen an Benutzer-Hauptdatens\u00e4tzen<\/li>\n<li>Erfolgreiche und fehlgeschlagene Transaktionsstarts<\/li>\n<li>\u00c4nderungen an der Audit-Konfiguration<\/li>\n<\/ul>\n\n\n<div class=\"wp-block-columns alignwide is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:32%\">\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"837\" height=\"947\" src=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM20-Security-Audit-Log-evaluate.jpg\" alt=\"SM20 Evaluate Security Audit Log\" class=\"wp-image-326\" srcset=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM20-Security-Audit-Log-evaluate.jpg 837w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM20-Security-Audit-Log-evaluate-265x300.jpg 265w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM20-Security-Audit-Log-evaluate-768x869.jpg 768w\" sizes=\"auto, (max-width: 837px) 100vw, 837px\" \/><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:68%\">\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM20-Security-Audit-data-leak-download.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM20-Security-Audit-data-leak-download-1024x399.jpg\" alt=\"Auswertung SM20 Security Audit Log Data leak \" class=\"wp-image-327\" width=\"768\" height=\"299\" srcset=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM20-Security-Audit-data-leak-download-1024x399.jpg 1024w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM20-Security-Audit-data-leak-download-300x117.jpg 300w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM20-Security-Audit-data-leak-download-768x299.jpg 768w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM20-Security-Audit-data-leak-download-1536x599.jpg 1536w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM20-Security-Audit-data-leak-download.jpg 1790w\" sizes=\"auto, (max-width: 768px) 100vw, 768px\" \/><\/a><\/figure>\n<\/div>\n<\/div>\n\n\n<p>Die Audit-Dateien werden auf den jeweiligen Anwendungsservern gespeichert. Standorte und maximale Gr\u00f6\u00dfe der Dateien legt man durch Profilparameter fest. Derzeit unterst\u00fctzt das Security Audit Log keine automatische Archivierung der Protokolldateien. Eine manuelle Archivierung ist jedoch jederzeit m\u00f6glich.&nbsp;Dar\u00fcber hinaus kann man die Aktivit\u00e4ten, die protokolliert werden sollen, in Filtern \u00fcber die Transaktion SM19 festlegen. Die Logdateien lassen sich mit der Transaktion SM20 lesen und alte Logdateien k\u00f6nnen mit der Transaktion SM18 gel\u00f6scht werden.&nbsp;Der SAP NetWeaver Application Server f\u00fcr ABAP protokolliert zus\u00e4tzlich Aktivit\u00e4ten, kategorisiert nach Transaktion und Benutzer, in statistischen Aufzeichnungen. Diese Aufzeichnungen sind mit SAP Workload: Business Transaction Analysis (Transaktion STAD) zug\u00e4nglich.<\/p>\n<p><\/p>\n<p>Das SAP Security Audit Log (SM20) ist ein effektives Werkzeug zur Sicherheits\u00fcberwachung und Auditierung. Mit seiner F\u00e4higkeit, sicherheitsrelevante Aktivit\u00e4ten aufzuzeichnen und zur sp\u00e4teren Auswertung bereitzustellen, bietet es Unternehmen eine robuste L\u00f6sung zur Identifizierung und Vermeidung potenzieller Sicherheitsrisiken. Es leistet somit einen entscheidenden Beitrag zur Einhaltung der IT-Sicherheitsrichtlinien und Compliance-Anforderungen und st\u00e4rkt gleichzeitig das Vertrauen in die Sicherheitsinfrastruktur des Unternehmens. Es hat jedoch einige Grenzen, die es daran hindern, alle Anforderungen eines Security Information and Event Management (SIEM) Systems vollst\u00e4ndig zu erf\u00fcllen:<\/p>\n<p style=\"padding-left: 40px;\"><strong>1) Komplexit\u00e4t der Korrelationsregeln:<\/strong> SIEM-L\u00f6sungen sind daf\u00fcr bekannt, dass sie komplexe Korrelationsregeln \u00fcber verschiedene Systeme und Plattformen hinweg erstellen k\u00f6nnen, um Anomalien und Sicherheitsverletzungen zu erkennen. Das SAP Security Audit Log erm\u00f6glicht zwar die Aufzeichnung verschiedener sicherheitsrelevanter Ereignisse, es fehlen jedoch fortgeschrittene Korrelations- und Analysem\u00f6glichkeiten, die in SIEM-Systemen \u00fcblich sind.<\/p>\n<p style=\"padding-left: 40px;\"><strong>2) Real-Time Monitoring und Alarmierung:<\/strong> SIEM-Systeme haben oft die F\u00e4higkeit, Ereignisse in Echtzeit zu \u00fcberwachen und Benachrichtigungen zu senden, wenn bestimmte Bedingungen erf\u00fcllt sind. Das SAP Security Audit Log hingegen speichert zwar Ereignisse, bietet aber keine Echtzeit-\u00dcberwachung oder automatische Alarmierung.<\/p>\n<p style=\"padding-left: 40px;\"><strong>3) Automatische Reaktionen:<\/strong> Viele SIEM-Systeme k\u00f6nnen so konfiguriert werden, dass sie automatisch auf bestimmte Ereignisse reagieren, beispielsweise durch Blockieren einer IP-Adresse oder Isolieren eines Netzwerksegments. Das SAP Security Audit Log bietet solche automatischen Reaktionsm\u00f6glichkeiten nicht.<\/p>\n<p style=\"padding-left: 40px;\"><strong>4) Zentralisierte Sicht:<\/strong> SIEM-Systeme bieten eine zentralisierte Sicht auf alle Systeme und Anwendungen innerhalb einer Organisation. Das SAP Security Audit Log ist dagegen auf das SAP-System beschr\u00e4nkt und bietet keine umfassende Sicht auf alle anderen Systeme und Plattformen.<\/p>\n<p style=\"padding-left: 40px;\"><strong>5) Langzeit-Speicherung und Compliance-Berichterstattung:<\/strong> SIEM-L\u00f6sungen bieten in der Regel Funktionen zur langfristigen Speicherung von Ereignisdaten und zur Generierung von Compliance-Berichten. W\u00e4hrend das SAP Security Audit Log eine langfristige Datenspeicherung erm\u00f6glicht, unterst\u00fctzt es nicht die automatische Archivierung von Protokolldateien und bietet auch keine speziellen Funktionen zur Compliance-Berichterstattung.<\/p>\n<p><strong>Diese Grenzen bedeuten nicht, dass das SAP Security Audit Log unbrauchbar ist &#8211; es ist ein wertvolles Werkzeug f\u00fcr die Sicherheits\u00fcberwachung innerhalb von SAP-Systemen. Es sollte jedoch als Teil einer umfassenderen SIEM-Strategie betrachtet werden, die auch andere Tools und Plattformen umfasst. Hier verweisen wir auf das SAP eigene <a href=\"https:\/\/techltx.com\/sap\/sap-etd-enterprise-threat-detection\/\">SAP Enterprise Threat Detection (ETD)<\/a> SIEM tool.<\/strong><\/p>\n\n\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM19-Security-Audit-Log-display-current-configuration.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM19-Security-Audit-Log-display-current-configuration-1024x598.jpg\" alt=\"SAP Security Audit Log Configuration SM19\" class=\"wp-image-328\" width=\"768\" height=\"449\" srcset=\"https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM19-Security-Audit-Log-display-current-configuration-1024x598.jpg 1024w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM19-Security-Audit-Log-display-current-configuration-300x175.jpg 300w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM19-Security-Audit-Log-display-current-configuration-768x449.jpg 768w, https:\/\/techltx.com\/wp-content\/uploads\/2023\/07\/SAP-SM19-Security-Audit-Log-display-current-configuration.jpg 1190w\" sizes=\"auto, (max-width: 768px) 100vw, 768px\" \/><\/a><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>Das SAP Security Audit Log (Transaktion SM20) kann spezifische sicherheitsrelevante Aktivit\u00e4ten aufzeichnen und erm\u00f6glicht es detaillierte Einblicke in den NetWeaver Application Server ABAP zuerhalten. Dieser Artikel zeigt die Funktionsweise und Konfigurationsoptionen, damit data leaks anhand der Protokollierung erkannt werden k\u00f6nnen. Dar\u00fcberhinaus zeigt der Artikel Grenzen von SM20 auf und erkl\u00e4rt was man von einem SIEM tool wie SAP ETD Enterprise Threat Detection mehr erwarten kann.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_uag_custom_page_level_css":"","site-sidebar-layout":"right-sidebar","site-content-layout":"boxed-container","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[5],"tags":[39,40,7],"class_list":["post-324","post","type-post","status-publish","format-standard","hentry","category-sap","tag-securityauditlog","tag-sm20","tag-sap"],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false},"uagb_author_info":{"display_name":"BALTX","author_link":"https:\/\/techltx.com\/de\/author\/baltx-com\/"},"uagb_comment_info":0,"uagb_excerpt":"Das SAP Security Audit Log (Transaktion SM20) kann spezifische sicherheitsrelevante Aktivit\u00e4ten aufzeichnen und erm\u00f6glicht es detaillierte Einblicke in den NetWeaver Application Server ABAP zuerhalten. Dieser Artikel zeigt die Funktionsweise und Konfigurationsoptionen, damit data leaks anhand der Protokollierung erkannt werden k\u00f6nnen. Dar\u00fcberhinaus zeigt der Artikel Grenzen von SM20 auf und erkl\u00e4rt was man von einem SIEM&hellip;","_links":{"self":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/324","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/comments?post=324"}],"version-history":[{"count":10,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/324\/revisions"}],"predecessor-version":[{"id":425,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/posts\/324\/revisions\/425"}],"wp:attachment":[{"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/media?parent=324"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/categories?post=324"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/techltx.com\/de\/wp-json\/wp\/v2\/tags?post=324"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}