SAP Security Audit Log – Empfehlungen für ein optimales Monitoring

Mit dem Security Audit Log können Benutzer mit erweiterten Berechtigungen überwacht werden. Dies ist vor allem für die Einhaltung interner Sicherheitsstandards sowie externer gesetzlicher Anforderungen sinnvoll. Das SAP-Standardtool ermöglicht, sicherheitsrelevante Aktivitäten zu überblicken und eine optimale Protokollierung zu gewährleisten

Sichere Protokollierung dank SAP Security Audit Log

Das SAP Security Audit Log dient als Werkzeug zur detaillierten Ansicht von vorrangig sicherheitskritischen Ereignissen in SAP-Systemen. Es richtet sich zur kontinuierlichen Beobachtung an Personen, die in Unternehmen mit Sicherheitsaufgaben betraut sind und Ereignisse im SAP-System detailliert einsehen müssen, wie z.B. Auditoren.

Durch die Aktivierung des Security-Audit-Log können derzeit ca. 150 Ereignisse anhand der CVSS-Risikoklassifizierung Hoch (9), Mittel (5) und Niedrig (2) klassifiziert und verschiedenen Audit-Klassen, z.B. Benutzerstammänderungen, zugeordnet werden. Doch für welche dieser Ereignisse ist eine Aktivierung und Aufzeichnung im Security Audit Log sinnvoll?

Grundsätzlich sind folgende Aspekte zu berücksichtigen:

• Aufzeichnung von sicherheitsrelevanten Änderungen in der SAP-Systemlandschaft (z.B. Änderungen an Benutzerstammsätzen)
• Ermittlung von Informationen zur Erhöhung der Transparenz (z.B. erfolgreiche und erfolglose Anmeldeversuche)
• Ermittlung von Informationen, die zur Nachvollziehbarkeit einer Reihe von Ereignissen dienen (z.B. erfolgreiche oder erfolglose Transaktionsstarts)

Einrichten und Konfigurieren von Filterkategorien

Für eine sichere Basisprotokollierung empfehlen wir, die Filterkategorien wie folgt zu konfigurieren:

1. Filter: Aktivieren Sie alle Ereignisse für Superuser ‚SAP *‘ in allen Mandanten ‚*‘ und z.B. SAP-Support-Benutzer.

Dies beinhaltet den integrierten Benutzer ‚SAP*‘ und weitere Benutzerkontonamen, die mit ‚SAP‘ beginnen, z.B. ‚SAPSUPPORT‘. Um Log-Einträge für den Benutzer ‚SAP*‘ zu erzeugen, tragen Sie im Benutzerfilter der Benutzer ‚SAP#*‘ ein.

2. Filter: Aktivieren Sie sämtliche Ereignisse mit Kategorisierung „nur kritisch“ in sämtlichen Clients ‚*‘ sowie für sämtliche Benutzer ‚*‘.

Deaktivieren Sie die Nachrichten der Klasse 32 „Benutzerstammsatzänderung“, denn diese stehen über die Änderungsbelege für Benutzer über die Transaktion SUIM zur Verfügung. Stattdessen können Ereignisse der Bereiche AU (AUO, AUP, AUQ AUZ) sowie BU (BU5, BU6, BU7, BU9, BUA, BUB, BUC, BUH) mit mittlerer Gewichtung sinnvoll hinzugefügt werden.

3. Filter: Alle Ereignisse für weitere Support- und Notfallbenutzer aktivieren, z.B. ‚NOTFALL*‘ oder ‚FF*‘ (FireFighter) in allen Mandanten ‚*‘.

4. Filter: Aktivieren Sie alle Ereignisse für die Dialogaktivitäten ‚Login‘ und ‚Transaktion‘ für den Benutzer ‚DDIC‘.

„Dieser Benutzer besitzt“ sollte nicht im Dialogmodus verwendet werden, sondern nur für bestimmte administrative Aktivitäten zur Pflege des Data Dictionary, wie z.B. das Importieren von Transportpaketen oder das Importieren von Transporten.

Für projektspezifische Zwecke können Sie zusätzliche Filter definieren, z.B. zur Absicherung von RFC Callback Funktionsaufrufen aus Fremdsystemen mit niedrigem Schutzniveau. Dazu werden in verschiedenen Phasen erlaubte und nicht erlaubte Funktionsaufrufe ermittelt und die Ergebnisse in generierten Whitelists zur Verfügung gestellt.

5. Filter: Aktivieren Sie die Ereignisse DUI (Informationsgewinnung durch RFC Callback-Aufrufe), DUK (während der Simulationsphase zur Ermittlung der Whitelists aufgerufene Funktionsbausteine aus RFC Callback) und DUJ (Ermittlung abgelehnter Funktionsbausteine aus RFC Callback).

6.-10. Filter: Freie Filter, z.B. für weitere projektspezifische Zwecke.

Security Monitoring: umfassend, vollautomatisch und in Echtzeit

Die Aktivierung des Security Audit Log und die sinnvolle Ausstattung mit nachvollziehbaren Filtern bilden die Grundlage für ein mit vertretbarem Aufwand durchführbares Security Monitoring. Aus diesem Grund ist die Aktivierung und Konfiguration des Security Audit Log Bestandteil unserer durchgeführten Sicherheitsanalyse.

Darüber hinaus ermöglichen wir mit der Patlhlock Suite eine kontinuierliche Überwachung von SAP-Sicherheits-, Audit- und Änderungsprotokollen. Damit gewährleisten wir eine vollständige Transparenz über sich ändernde Benutzerberechtigungen und vereinfachen die Durchsetzung des Need-to-know-Prinzips für alle SAP-User. Ebenso unterstützen wir unsere Kunden bei der Ermittlung von Parametern und geben Verbesserungsempfehlungen auch in komplexen und hybriden Systemlandschaften.

Sie wollen mehr zum Thema erfahren? Dann nehmen Sie gerne Kontakt mit uns auf.

Axel Giese (SAP Security Consultant, Pathlock Deutschland)