Vad är ett SIEM-system? Hur kan det stödja SAP-systemets funktion?

Idag växer företagen snabbare än någonsin tack vare IT. Servrar, nätverk, operativsystem, databaser osv. Även om detta är möjligt är det svårt att föreställa sig ett företag utan stöd av hård- och mjukvara. Och precis som pappersdokument tidigare skyddades fysiskt från förstörelse och nyfikna ögon, säkerhetskopierar vi idag och inför metoder för åtkomst och autentisering av digitala data. Det finns många sådana platser med data, de är utspridda, de skiljer sig från varandra och man kommer åt dem på olika sätt.

Hur förhåller sig SIEM till ovanstående?

Mycket.

Vad är SIEM och är det värt att ha?

SIEM - Säkerhetsinformation och händelsehantering, IT-område som rör datasäkerhet. SIEM-system gör det möjligt att i realtid analysera, varna och rapportera om händelser på grundval av data som de får. Ofta spelar det inte längre någon roll om det är data i form av en operativsystemslogg, säkerhetsgranskningslogg, sensordata, kort sagt: form och innehåll.

Så är det värt att ha ett SIEM-system? Svaret är uppenbart. En centraliserad säkerhetsplats för hårdvara, nätverk och systeminfrastruktur och korrelerande händelser från dessa sparar tid, resurser och pengar. SIEM-system kanske inte är billiga och implementeringen kanske inte heller är trivial, men fördelarna med välfungerande system av den här klassen överraskar med avkastningen på de kostnader som skulle behöva uppstå med traditionell, distribuerad hantering av IT-strukturer.

Hur står sig SAP-system i jämförelse med SIEM-system?

Detta väcker frågan - hur kan man överbrygga klyftan mellan kunskap och data som kommer från SAP:s applikationslager? Som redan nämnts kan loggen från operativsystemet, databasen, routern etc. ganska enkelt omdirigeras till SIEM, eftersom den redan är utformad för detta. Men hur är det med SAP?

Det finns redan verktyg (add-ons) för SAP-system. Nya kommer att utvecklas eller håller på att utvecklas. Ett som finns, är under utveckling och vars utvecklare har samlat värdefull erfarenhet i flera år är SAST säkerhetsradar (SSR)). SSR centraliserar händelser som uppstår i SAP-systemet på två nivåer:

• Den samlar data från olika källor inom ett SAP-system, oavsett om det består av en eller flera instanser; den kan fungera som central lagring för flera instanser inom flera SAP-system.

• Dessutom är de data vi vill ha insamlade (fördefinierade) och förfiltrerade, vilket innebär att det som i slutändan går in i SIEM redan är relativt rent och att databehandlingen i SIEM är enklare, vilket gynnar konfigurationen av själva SIEM.

själv integrationen av SSR i SIEM är enkel och tar inte mycket tid i anspråk (till och med mindre än en dag!). Det handlar om att öppna upp nätverkstrafiken och använda de tillgängliga inbyggda programvaruverktygen som SAP-systemet ligger på. Vad kan till exempel övervakas med hjälp av SSR? Det kommer du att få reda på i nästa avsnitt.

Vi uppmanar dig också att hålla utkik efter våra nästa inlägg, som kommer att publiceras på vår blogg inom kort.