Mit dem Security Audit Log k\u00f6nnen Benutzer mit erweiterten Berechtigungen \u00fcberwacht werden. Dies ist vor allem f\u00fcr die Einhaltung interner Sicherheitsstandards sowie externer gesetzlicher Anforderungen sinnvoll. Das SAP-Standardtool erm\u00f6glicht, sicherheitsrelevante Aktivit\u00e4ten zu \u00fcberblicken und eine optimale Protokollierung zu gew\u00e4hrleisten<\/p>\n\n\n\n
Das SAP Security<\/a> Audit Log dient als Werkzeug zur detaillierten Ansicht von vorrangig sicherheitskritischen Ereignissen in SAP-Systemen. Es richtet sich zur kontinuierlichen Beobachtung an Personen, die in Unternehmen mit Sicherheitsaufgaben betraut sind und Ereignisse im SAP-System detailliert einsehen m\u00fcssen, wie z.B. Auditoren.<\/p>\n\n\n\n Durch die Aktivierung des Security-Audit-Log k\u00f6nnen derzeit ca. 150 Ereignisse anhand der CVSS-Risikoklassifizierung Hoch (9), Mittel (5) und Niedrig (2) klassifiziert und verschiedenen Audit-Klassen, z.B. Benutzerstamm\u00e4nderungen, zugeordnet werden. Doch f\u00fcr welche dieser Ereignisse ist eine Aktivierung und Aufzeichnung im Security Audit Log sinnvoll?<\/p>\n\n\n\n Grunds\u00e4tzlich sind folgende Aspekte zu ber\u00fccksichtigen:<\/p>\n\n\n\n F\u00fcr eine sichere Basisprotokollierung empfehlen wir, die Filterkategorien wie folgt zu konfigurieren:<\/p>\n\n\n\n 1. Filter: Aktivieren Sie alle Ereignisse f\u00fcr Superuser ‚SAP *‘ in allen Mandanten ‚*‘ und z.B. SAP-Support-Benutzer.<\/strong><\/p>\n\n\n\n Dies beinhaltet den integrierten Benutzer ‚SAP*‘ und weitere Benutzerkontonamen, die mit ‚SAP‘ beginnen, z.B. ‚SAPSUPPORT\u2018. Um Log-Eintr\u00e4ge f\u00fcr den Benutzer ‚SAP*‘ zu erzeugen, tragen Sie im Benutzerfilter der Benutzer ‚SAP#*‘ ein.<\/p>\n\n\n\n 2. Filter: Aktivieren Sie s\u00e4mtliche Ereignisse mit Kategorisierung \u201enur kritisch\u201c in s\u00e4mtlichen Clients ‚*‘ sowie f\u00fcr s\u00e4mtliche Benutzer ‚*‘.<\/strong><\/p>\n\n\n\n Deaktivieren Sie die Nachrichten der Klasse 32 „Benutzerstammsatz\u00e4nderung“, denn diese stehen \u00fcber die \u00c4nderungsbelege f\u00fcr Benutzer \u00fcber die Transaktion SUIM zur Verf\u00fcgung. Stattdessen k\u00f6nnen Ereignisse der Bereiche AU (AUO, AUP, AUQ AUZ) sowie BU (BU5, BU6, BU7, BU9, BUA, BUB, BUC, BUH) mit mittlerer Gewichtung sinnvoll hinzugef\u00fcgt werden. 4. Filter: Aktivieren Sie alle Ereignisse f\u00fcr die Dialogaktivit\u00e4ten ‚Login‘ und ‚Transaktion‘ f\u00fcr den Benutzer ‚DDIC‘.<\/strong><\/p>\n\n\n\n \u201eDieser Benutzer besitzt\u201c sollte nicht im Dialogmodus verwendet werden, sondern nur f\u00fcr bestimmte administrative Aktivit\u00e4ten zur Pflege des Data Dictionary, wie z.B. das Importieren von Transportpaketen oder das Importieren von Transporten.<\/p>\n\n\n\n F\u00fcr projektspezifische Zwecke k\u00f6nnen Sie zus\u00e4tzliche Filter definieren, z.B. zur Absicherung von RFC Callback Funktionsaufrufen aus Fremdsystemen mit niedrigem Schutzniveau. Dazu werden in verschiedenen Phasen erlaubte und nicht erlaubte Funktionsaufrufe ermittelt und die Ergebnisse in generierten Whitelists zur Verf\u00fcgung gestellt.<\/p>\n\n\n\n 5. Filter: Aktivieren Sie die Ereignisse DUI<\/strong> (Informationsgewinnung durch RFC Callback-Aufrufe), DUK <\/strong>(w\u00e4hrend der Simulationsphase zur Ermittlung der Whitelists aufgerufene Funktionsbausteine aus RFC Callback) und DUJ<\/strong> (Ermittlung abgelehnter Funktionsbausteine aus RFC Callback).<\/p>\n\n\n\n 6.-10. Filter:<\/strong> Freie Filter, z.B. f\u00fcr weitere projektspezifische Zwecke.<\/strong><\/p>\n\n\n\n Die Aktivierung des Security Audit Log und die sinnvolle Ausstattung mit nachvollziehbaren Filtern bilden die Grundlage f\u00fcr ein mit vertretbarem Aufwand durchf\u00fchrbares Security Monitoring. Aus diesem Grund ist die Aktivierung und Konfiguration des Security Audit Log Bestandteil unserer durchgef\u00fchrten Sicherheitsanalyse.<\/p>\n\n\n\n Dar\u00fcber hinaus erm\u00f6glichen wir mit der Patlhlock Suite eine kontinuierliche \u00dcberwachung <\/strong><\/a>von SAP-Sicherheits-, Audit- und \u00c4nderungsprotokollen. Damit gew\u00e4hrleisten wir eine vollst\u00e4ndige Transparenz \u00fcber sich \u00e4ndernde Benutzerberechtigungen und vereinfachen die Durchsetzung des Need-to-know-Prinzips f\u00fcr alle SAP-User. Ebenso unterst\u00fctzen wir unsere Kunden bei der Ermittlung von Parametern und geben Verbesserungsempfehlungen auch in komplexen und hybriden Systemlandschaften.<\/p>\n\n\n\n Sie wollen mehr zum Thema erfahren? Dann nehmen Sie gerne Kontakt mit uns<\/strong><\/a> auf.<\/p>\n\n\n\n <\/p>\n\n\n\n Axel Giese (SAP Security Consultant, Pathlock Deutschland)<\/strong><\/p>\n\n\n\n <\/p>\n\n\n\n \n
Einrichten und Konfigurieren von Filterkategorien<\/strong><\/h2>\n\n\n\n
3. Filter: Alle Ereignisse f\u00fcr weitere Support- und Notfallbenutzer aktivieren, z.B. ‚NOTFALL*‘ oder ‚FF*‘ (FireFighter) in allen Mandanten ‚*‘.<\/strong><\/p>\n\n\n\nSecurity Monitoring: umfassend, vollautomatisch und in Echtzeit<\/strong><\/h2>\n\n\n\n