Czym jest system SIEM? Jak może wspomóc funkcjonowanie systemu SAP?
- SAP
Dziś firmy rozwijają się szybciej, niż kiedykolwiek, dzięki IT. Serwery, sieci, systemy operacyjne, bazy danych, itd. Choć to możliwe, trudno jest wyobrazić sobie przedsiębiorstwo bez wparcia urządzeń i oprogramowania. I jak dawniej zabezpieczano fizycznie dokumenty papierowe przed zniszczeniami, wścibskimi oczyma, tak i dziś wykonujemy kopie zapasowe oraz wprowadzamy metody dostępu i autentykacji do danych cyfrowych. Takich miejsc z danymi jest wiele, są rozproszone, różne od siebie, dostęp do nich przebiega w różnoraki sposób.
Jak SIEM ma się do tego, co powyżej?
Bardzo.
Czym jest SIEM i czy warto go mieć?
SIEM – Security Information and Event Management, obszar IT, dotyczący bezpieczeństwa komputerowego. Systemy SIEM umożliwiają analizę, alarmowanie, raportowanie w czasie rzeczywistym zdarzeń na podstawie dostarczonych doń danych. Bardzo często nie ma już to znaczenia, czy to będą dane w postaci dziennika systemu operacyjnego, dziennika audytu bezpieczeństwa, dane z czujników, słowem: forma i treść.
Czy zatem warto mieć system klasy SIEM? Odpowiedź nasuwa się sama. Scentralizowane miejsce bezpieczeństwa infrastruktury sprzętowej, sieciowej, systemowej i korelowanie zdarzeń od nich pochodzących zaoszczędza czas, zasoby, pieniądze. Systemy SIEM mogą nie być tanie i wdrożenie również może nie być trywialne, lecz korzyści płynące z dobrze funkcjonujących systemów tej klasy zaskakują zwrotem kosztów, które należałoby ponieść przy tradycyjnym, rozproszonym zarządzaniu strukturami informatycznymi.
Jak się mają systemy SAP do systemów SIEM?
Nasuwa się pytanie – jak wypełnić lukę wiedzy i danych, które miałyby trafić z warstwy aplikacyjnej SAP? Jak już nadmieniono, log systemu operacyjnego, bazy danych, routera, itp. w dość prosty sposób można przekierować do SIEM, gdyż jest on już do tego przystosowany. Ale co z SAP?
Istnieją już narzędzia (dodatki) do systemów SAP. Nowe powstaną lub powstają. Takim, które istnieje, jest rozwijane, a jego twórcy zbierają cenne doświadczenie od lat, jest SAST Security Radar (SSR). SSR centralizuje zdarzenia powstające w systemie SAP na dwóch płaszczyznach:
-
- Kumuluje dane z różnych źródeł w obrębie systemu SAP, czy będzie on złożony z jednej, czy wielu instancji; może działać jako centralny magazyn dla wielu instancji w ramach wielu systemów SAP.
- Dodatkowo zbierane są dane, których chcemy (predefiniowane) oraz uprzednio filtrowane, co oznacza, że to, co trafia w ostateczności do SIEM, jest już stosunkowo czyste i obróbka danych w SIEM jest łatwiejsza, co sprzyja konfiguracji samego SIEM.
Sama integracja SSR z SIEM jest łatwa i nie zabiera wiele czasu (nawet mniej niż dzień!). Jest to kwestia otwarcia ruchu sieciowego i użyciu dostępnych natywnych narzędzi oprogramowania, na którym rezyduje system SAP. Co przykładowo można monitorować przy użyciu SSR? Tego dowiesz się w kolejnej części.
Zachęcamy też do śledzenia naszych kolejnych wpisów, które pojawią się na naszym blogu już niebawem.