SECURITY AUDIT LOG (SAL) – czy to potrzebne?

Tak…, tak… Jeśli jesteś użytkownikiem systemu SAP i masz, powiedzmy, bliżej nieokreślone zamiary… wtedy można zadać takie pytanie.

Żarty na bok. Funkcja, o której mowa jest, podkreślmy, ważna. Oprócz tego – użyteczna.
W sytuacjach krytycznych może nam uratować skórę, doprowadzając różnorakie „śledztwa” do szczęśliwego finału.

Bezpieczeństwo

Kto na tym skorzysta? Pracodawcy, pracownicy… nie, nie Ty użytkowniku z pierwszego akapitu.
Ty chciałbyś, aby SAL był wyłączony.

SAL zapewni bezpieczeństwo systemu tylko wtedy, jeśli będzie poprawnie skonfigurowany (SM19/RSAU_CONFIG) ORAZ doglądany (SM20/RSAU_READ_LOG), a także, gdy dostęp do niego będzie ściśle ograniczony i kontrolowany. Zarówno dział Basis jak i użytkownicy kluczowi ds. bezpieczeństwa (audytorzy) mają przy konfiguracji co nieco do powiedzenia.

Poniższa tabelka pokazuje w uproszczeniu, kto za co odpowiada.

sla_blog_sast

Często zdarza się, że tematy audytu bezpieczeństwa kierowane są do zespołu Basis, który nie zawsze odpowie na wszystkie pytania i rozkłada ręce, gdyż log systemowy ujawnia zdarzenia dotyczące bazy danych, połączeń terminalowych, itp. Dzięki SAL natomiast, jesteśmy w stanie odtworzyć ciąg zdarzeń z punktu widzenia bezpieczeństwa, których log systemowy nie pokaże, ponieważ SAL uzupełnia log systemowy.

Monitoring

Jak już wspomnieliśmy logi bezpieczeństwa należy doglądać. Inaczej mówiąc – wykonywać regularną analizę. Jedną z metod jest otrzymywanie powiadomień w czasie rzeczywistym o incydentach bezpieczeństwa wykorzystując CCMS (Computing Center Management System). Inną metodą jest cykliczny przegląd raportów bezpieczeństwa generowanych w transakcji SM20/RSAU_READ_LOG. Nie ma co ukrywać: jest to żmudny i monotonny proces, ale jego krytyczność przechyla szalę, aby go wykonywać.

Podsumowanie

W dwóch słowach, czego na przykład możemy nie zauważyć nie posiadając uruchomionego SAL? Wypływu dóbr. Czy to materialnych, czy też informacji. Manipulacji. Działań szkodliwych. Co tu więcej pisać? Nic, tylko wdrażać SAL.

 

Użyteczne noty

539404 – FAQ: Answers to questions about the Security Audit Log

1497445 – SAL | Logging of IP address instead of terminal name

2191612 – FAQ | Use of Security Audit Log as of SAP NetWeaver 7.50

2546993 – Analysis and Recommended Settings of the Security Audit Log (SM19 / SM20)

 

autor: Bartosz /Sast Polska Team/

————————————————————————————————-

OSTATNI WPIS

PRZECZYTAJ RÓWNIEŻ