splunk und SAP Security Audit Log

In vielen Unternehmen gibt es die Anforderung der Revision oder aus einem Audit, den SAP Security Audit log dauerhaft zu bearbeiten, um Sicherheits-Bedrohungen rechtzeitig zu erkennen.

In der Welt der SAP-Security gibt es von SAP als Hersteller nur ein Tool: Das SAP Enterprise Threat Detection, basierend auf HANA. SAP-Systeme enthalten meistens die wertvollsten Daten, auch wenn es aus Sicht des Netzwerkes und der Datacenter nur etwa ein Drittel der Ressourcen belegt.  Allerdings liegen die Projektsummen für SAP ETD schnell im Millionen-Bereich.

In der Welt der IT außerhalb der ERP-Systeme wie Server, Desktop, Intranet und externen Web Anwendungen, der klassischen nicht-SAP-IT werden schon länger Security Information Event Management-Systeme (SIEM) eingesetzt. Die Marktführer sind splunk, IBM QRadar und HP Arcsite.

Hier gibt es bereits einen großen Fundus and Projekten und Lösungen, allerdings so gut wie keine Erfahrung mit weitreichenden SAP-Anbindungen .

Warum also nicht das beste beider Welten zusammen bringen zu einem Einsteiger-Preis in die SIEM-Welt?

Splunk kann als SIEM-Tool Informationen über Nutzeraktivitäten, Maschinenverhalten und Sicherheitsgefährdungen korrelieren, auswerten und visualisieren. Dadurch können Angriffe auf die IT schnell erkannt und Gegenmaßnahmen ergriffen werden – auch in Verbindung mit SAP.

Splunk ist eine populäre SIEM-Lösung (Security Information and Event Management) mit der beliebige Datenquellen auf bestimmte Muster oder das Zusammentreffen von mehreren Mustern untersucht werden können. Durch Indizierung von Datenströmen von Geräten wie Firewalls, Server, Zugriffssysteme und Malwarescannern und der Korrelation von Ereignissen können Sicherheitsereignisse erkannt und gemeldet werden. Sicherheitsteams können damit interne und externe Angriffe schnell erkennen und reagieren und somit das Threat Management erleichtern und Risiken reduzieren. Die kleinste Version hat erst einmal keine mitgelieferten Erkennungsregeln an Board. Splunk Enterprise Security ist eine Premium Variante, die speziell für den Einsatz als Security SIEM vorkonfiguriert ist. Durch den günstigen Einstiegspreis (die kleinste Version ist kostenfrei) wird es oft als Einstiegs-SIEM von Unternehmen in die engere Wahl gezogen.

Vorteile der splunk-Lösung:

  • einfache Installation
  • SAP Solution Manager als zentrale Schnittstelle für alle SAP Systeme
  • Schnelle Indizierung.
  • Fertiges Dashboard.
  • Interaktive Anbindung an Projekt-Systeme wie JIRA
  • Implementiert in wenigen Tagen

Log(2) bietet ein splunk Productity Pack an, das im Projektrahmen bei Kunden eingesetzt werden kann. Dies enthält ein vorgefertigtes ABAP-Modul für die Bereitstellung der Daten, die typischerweise von einem SAP Solution Manager gesammelt werden.

Die Schnittstellen aus dem SAP-System:

  • Security Audit Log
  • RFC Business Transaction Log ST03
  • HTTP Business Transaction Log ST03
  • SMGW Gateway
  • ICM ICF Log
  • Developer Trace

Diese Daten werden dann an splunk repliziert und dort in einem Dashboard visualisiert. Die Daten können auch an ein Workflow-System (z.B. SAP) oder auch an ein Projekt-System wie JIRA verarbeitet übergeben werden
Splunk indiziert die Daten, aus denen sich IT-Infrastruktur zusammensetzen. Es können Daten von Websites, Anwendungen, Servern, Datenbanken, Betriebssystemen und mehr bezogen werden. Das maximale Indexierungsvolumen geht bis in die Bereiche von Petabyte.
Mit den Daten können dann alle Standard-Funktionen von splunk benutzt werden

Das Komplettpaket splunk & SAP Productivity Pack beinhaltet neben der notwendigen Solution-Manager Schnittstelle eine einjährige splunk-Enterprise-Lizenz. Hiermit kann eine durchschnittliche Menge von SAP-Systemen analysiert werden.

Alle Angebote sind unverbindlich und freibleibend vorbehaltlich eines schriftlichen Angebots der log(2) oHG

    Mit der Nutzung dieses Formulars erklären Sie Sich mit der Speicherung und Verarbeitung Ihrer Daten durch diese Website einverstanden.