Erkennung von Angriffen auf SAP Systeme durch Analyse des SAP Security-Audit-Logs

Das SAP Security-Audit-Log ist ein wesentlicher Bestandteil zur Überwachung der Sicherheit eines SAP Systems. Denn es bietet Monitoring und Kontrollfunktionen, um zu prüfen welche sicherheitskritischen Aktivitäten in der Vergangenheit auf dem System vorgefallen sind.

 

Das Audit-Log wird in der SAP Hilfe wie folgt beschrieben:

Das Security-Audit-Log ist ein Werkzeug für Auditoren, die sich die Ereignisse im SAP-System detailliert ansehen müssen. Wenn Sie das Security-Audit-Log aktivieren, zeichnen Sie die Aktionen auf, die Sie für die Verfolgung als relevant einstufen. Sie können dann in Form eines Audit-Analysereports auf diese Informationen zugreifen und sie auswerten.

Oberstes Ziel des Audit-Log ist die Aufzeichnung von:

  • sicherheitsbezogenen Änderungen an der SAP-Systemumgebung (z. B. Änderungen an Benutzerstammsätzen)
  • Informationen, die mehr Transparenz bieten (z. B. erfolgreiche und erfolglose Anmeldeversuche)
  • Informationen, die der Nachvollziehbarkeit einer Reihe von Ereignissen dienen (z. B. erfolgreiche oder erfolglose Transaktionsstarts)

Ist das Audit-Log aktiviert, bietet es eine Kontrolle der protokollierten Ereignisse und somit einen guten Einblick in die Sicherheitslage des Systems.

 

So kann rückblickend festgestellt werden, wann welcher User, welche Berechtigungen oder Profil angelegt wurden.

Auch lässt sich feststellen wer Änderungen an der Audit-Log Konfiguration durchgeführt hat. Im Falle einer Aufarbeitung eines möglicherweise sicherheitsrelevanten Vorfalls sind dies wichtige Informationen.

Doch eine Analyse des Audit-Logs ermöglich es ebenso verdächtige Aktivitäten und Spuren von Angriffen zu erkennen. So wird detailliert protokolliert wann und von wo sich Standard-User wie SAP* eingeloggt haben. Ebenso lassen sich Passwort-Rate Angriffe anhandgescheiterter Logins erkennen.

Auch die RFC-Schnitstelle wird gründlich überwacht. Da diese oftmals ein El-Dorado für Angreifer ist, sollte man auf diese Log-Einträge besonders gründlich schauen.

Insbesondere gilt es heraus zu arbeiten ob kritische RFC-Funktionen aufgerufen wurden oder dies versucht wurde.

Beispielsweise könnte ein (gescheiterter) Aufruf der Funktion RFC_READ_TABLE für den (versuchten) Abfluss von sensiblen Daten stehen. Doch auch nach Funktionen, die (unfreiwillig) die Ausführung von Systembefehlen oder Datenbankabfragen erlauben ist zu suchen.

Auch erfolgreiche oder fehlgeschlagene RFC-Logins geben Aufschluss über mögliche Passwort-Rate-Angriffe.

Sicher sollte eine Anmeldung eines Standardbenutzers wie EARLYWATCH von einem Benutzer-Terminal aus den Argwohn eines Auditors erwecken.

Genauso wie eine Häufung von fehlgeschlagenen Transaktionsaufrufen eines Benutzers, insbesondere wenn es sich hierbei um kritische Transaktionen mit Möglichkeiten zur Rechteausweitung handelt.

 

Mit einer wie zuvor beschriebenen Analyse des Audit-Logs kann man somit beurteilen, ob das System in der Vergangenheit potentiellen Angriffen ausgesetzt war. Weiterhin hat man so auf einen Blick eine Übersicht über alle sicherheitsrelevanten Vorkommnisse auf dem System und kann Turnusmäßig den Status kontrollieren.

 

Aufgrund der vielen Einträge in dem Security-Audit-Log ist eine Automatisierung der Auswertung absolut empfehlenswert. Der Werth Auditor unterstützt Sie hierbei vollständig und hilft Ihnen damit direkt bei der Überwachung Ihres SAP Systems.
Prüfen Sie regelmäßig Ihr Audit-Log und bei Verdachtsfällen kontrollieren Sie das Audit-Log für den relevanten Zeitraum auf die hier beschriebenen kritischen Einträge.