LOGG FÖR SÄKERHETSREVISION (SAL) - behövs den?
- Säkerhet
Tak…, tak… Jeśli jesteś użytkownikiem systemu SAP i masz, powiedzmy, bliżej nieokreślone zamiary… wtedy można zadać takie pytanie.
Żarty na bok. Funkcja, o której mowa jest, podkreślmy, ważna. Oprócz tego – użyteczna.
W sytuacjach krytycznych może nam uratować skórę, doprowadzając różnorakie „śledztwa” do szczęśliwego finału.
Säkerhet
Kto na tym skorzysta? Pracodawcy, pracownicy… nie, nie Ty użytkowniku z pierwszego akapitu.
Ty chciałbyś, aby SAL był wyłączony.
SAL zapewni bezpieczeństwo systemu tylko wtedy, jeśli będzie poprawnie skonfigurowany (SM19/RSAU_CONFIG) ORAZ doglądany (SM20/RSAU_READ_LOG), a także, gdy dostęp do niego będzie ściśle ograniczony i kontrolowany. Zarówno dział Basis jak i użytkownicy kluczowi ds. bezpieczeństwa (audytorzy) mają przy konfiguracji co nieco do powiedzenia.
Poniższa tabelka pokazuje w uproszczeniu, kto za co odpowiada.
Często zdarza się, że tematy audytu bezpieczeństwa kierowane są do zespołu Basis, który nie zawsze odpowie na wszystkie pytania i rozkłada ręce, gdyż log systemowy ujawnia zdarzenia dotyczące bazy danych, połączeń terminalowych, itp. Dzięki SAL natomiast, jesteśmy w stanie odtworzyć ciąg zdarzeń z punktu widzenia bezpieczeństwa, których log systemowy nie pokaże, ponieważ SAL uzupełnia log systemowy.
Monitoring
Jak już wspomnieliśmy logi bezpieczeństwa należy doglądać. Inaczej mówiąc – wykonywać regularną analizę. Jedną z metod jest otrzymywanie powiadomień w czasie rzeczywistym o incydentach bezpieczeństwa wykorzystując CCMS (Computing Center Management System). Inną metodą jest cykliczny przegląd raportów bezpieczeństwa generowanych w transakcji SM20/RSAU_READ_LOG. Nie ma co ukrywać: jest to żmudny i monotonny proces, ale jego krytyczność przechyla szalę, aby go wykonywać.
Podsumowanie
W dwóch słowach, czego na przykład możemy nie zauważyć nie posiadając uruchomionego SAL? Wypływu dóbr. Czy to materialnych, czy też informacji. Manipulacji. Działań szkodliwych. Co tu więcej pisać? Nic, tylko wdrażać SAL.
Użyteczne noty
539404 – FAQ: Answers to questions about the Security Audit Log
1497445 – SAL | Logging of IP address instead of terminal name
2191612 – FAQ | Use of Security Audit Log as of SAP NetWeaver 7.50
2546993 – Analysis and Recommended Settings of the Security Audit Log (SM19 / SM20
Więcej z kategorii
- Säkerhet
Tomasz Jurgielewicz
Head of Security Department w Lukardi. Od 10 lat prowadzi zespół specjalistów SAP Security, dostarczając kompleksowe usługi i narzędzia do zabezpieczenia systemów SAP oraz optymalizacji licencji. Doświadczenie w obszarze: - identyfikacji konfliktów uprawnień i reorganizacji autoryzacji, - identyfikacja podatności SAP, - integracja rozwiązań SIEM z SAP, - optymalizacja licencji SAP.