Lukardi

Czym jest system SIEM? Jak może wspomóc funkcjonowanie systemu SAP?

Udostępnij

Dziś firmy rozwijają się szybciej, niż kiedykolwiek, dzięki IT. Serwery, sieci, systemy operacyjne, bazy danych, itd. Choć to możliwe, trudno jest wyobrazić sobie przedsiębiorstwo bez wparcia urządzeń i oprogramowania. I jak dawniej zabezpieczano fizycznie dokumenty papierowe przed zniszczeniami, wścibskimi oczyma, tak i dziś wykonujemy kopie zapasowe oraz wprowadzamy metody dostępu i autentykacji do danych cyfrowych. Takich miejsc z danymi jest wiele, są rozproszone, różne od siebie, dostęp do nich przebiega w różnoraki sposób.

Jak SIEM ma się do tego, co powyżej?

Bardzo.

Czym jest SIEM i czy warto go mieć?

SIEM – Security Information and Event Management, obszar IT, dotyczący bezpieczeństwa komputerowego. Systemy SIEM umożliwiają analizę, alarmowanie, raportowanie w czasie rzeczywistym zdarzeń na podstawie dostarczonych doń danych. Bardzo często nie ma już to znaczenia, czy to będą dane w postaci dziennika systemu operacyjnego, dziennika audytu bezpieczeństwa, dane z czujników, słowem: forma i treść.

Czy zatem warto mieć system klasy SIEM? Odpowiedź nasuwa się sama. Scentralizowane miejsce bezpieczeństwa infrastruktury sprzętowej, sieciowej, systemowej i korelowanie zdarzeń od nich pochodzących zaoszczędza czas, zasoby, pieniądze. Systemy SIEM mogą nie być tanie i wdrożenie również może nie być trywialne, lecz korzyści płynące z dobrze funkcjonujących systemów tej klasy zaskakują zwrotem kosztów, które należałoby ponieść przy tradycyjnym, rozproszonym zarządzaniu strukturami informatycznymi.

Jak się mają systemy SAP do systemów SIEM?

Nasuwa się pytanie – jak wypełnić lukę wiedzy i danych, które miałyby trafić z warstwy aplikacyjnej SAP? Jak już nadmieniono, log systemu operacyjnego, bazy danych, routera, itp. w dość prosty sposób można przekierować do SIEM, gdyż jest on już do tego przystosowany. Ale co z SAP?

Istnieją już narzędzia (dodatki) do systemów SAP. Nowe powstaną lub powstają. Takim, które istnieje, jest rozwijane, a jego twórcy zbierają cenne doświadczenie od lat, jest SAST Security Radar (SSR). SSR centralizuje zdarzenia powstające w systemie SAP na dwóch płaszczyznach:

    • Kumuluje dane z różnych źródeł w obrębie systemu SAP, czy będzie on złożony z jednej, czy wielu instancji; może działać jako centralny magazyn dla wielu instancji w ramach wielu systemów SAP.

    • Dodatkowo zbierane są dane, których chcemy (predefiniowane) oraz uprzednio filtrowane, co oznacza, że to, co trafia w ostateczności do SIEM, jest już stosunkowo czyste i obróbka danych w SIEM jest łatwiejsza, co sprzyja konfiguracji samego SIEM.

    Integracja SAP z SIEM

    Sama integracja SSR z SIEM jest łatwa i nie zabiera wiele czasu (nawet mniej niż dzień!). Jest to kwestia otwarcia ruchu sieciowego i użyciu dostępnych natywnych narzędzi oprogramowania, na którym rezyduje system SAP. Co przykładowo można monitorować przy użyciu SSR? Tego dowiesz się w kolejnej części.

    Zachęcamy też do śledzenia naszych kolejnych wpisów, które pojawią się na naszym blogu już niebawem.

    Bartosz Klockowski