Tutto su gestione e pianificazione della produzione

SAP Security Audit Log, a che cosa serve e come usarlo

Scritto da DNC | 05 gennaio 2023

All'interno dei sistemi SAP, il Security Audit Log permette di attuare procedure di monitoraggio per garantire la conformità sia alle politiche di sicurezza interna, che per quanto riguarda i requisiti legali esterni. Non solo, lo svolgimento costantemente di audit di security sui propri sistemi consente di minimizzare potenziali furti di dati e ridurre eventuali non conformità che potrebbero mettere a serio rischio l'intero sistema SAP. In questo contesto è fondamentale conoscere SAP Security Audit Log, sapere a cosa serve e come usarlo nel modo migliore.

 

Cos’è SAP Security Audit Log 

SAP Security Audit Log è lo strumento ideale per avere una vista dettagliata degli eventiparticolarmente critici a livello di sicurezza che possono accadere all'interno dei sistemi SAP. Generalmente, questa soluzione viene progettata e adattata sulla base delle esigenze aziendali e poggia le proprie basi su un sistema di classificazione del rischio denominato CVSS. Si tratta di un framework che consente di svolgere una valutazione delle vulnerabilità con un approccio standardizzato, utile per comprendere fin da subito la reale portata delle attività e le potenziali conseguenze derivanti da esse.


Quali eventi rivedere con un SAP Security Audit
 

Una valutazione più approfondita di alcuni operazioni può essere richiesta per esempio in caso di: 

  • - modifiche alle credenziali utente che ne abilitino un accesso più ampio al sistema; 
  • - tentativi ripetuti (e falliti), di log-in; 
  • - transazioni complesse che attivino una serie di eventi da ricostruire.   


Come funziona Security Audit Log

SAP Security Audit Log è lo strumento ideale per avere una vista dettagliata degli eventi particolarmente critici a livello di sicurezza che possono accadere all'interno dei sistemi SAP. Generalmente, questa soluzione viene progettata e adattata sulla base delle esigenze aziendali e poggia le proprie basi su un sistema di classificazione del rischio denominato CVSS. Si tratta di un framework che consente di svolgere una valutazione delle vulnerabilità con un approccio standardizzato, utile per comprendere fin da subito la reale portata delle attività e le potenziali conseguenze derivanti da esse.

Nel dettaglio, per quanto concerne il meccanismo di funzionamento del Security Audit Log nei sistemi SAP, esistono alcune tipologie di eventi che possono portare all'attivazione e registrazione dei dati. Ad esempio, il registro di log della sicurezza dovrebbe conservare lo storico di tutte le modifiche relative all'anagrafica, tentativi di accesso riusciti e falliti, l'avvio e il fallimento di transazioni e molto altro ancora. Attenzione: se non configurato correttamente, il Security Audit Log può contenere anche informazioni personali che potrebbero essere in contrasto a regolamenti di protezione dati vigenti. É importante, perciò, porre la massima attenzione su quali dati vengono registrati a livello di log e anche quale sia la loro gestione.

Ulteriore peculiarità del SAP Security Audit Log è quella relativa al sistema di archiviazione non basata su database benché ve ne sia la possibilità, bensì i file di log vengono salvati sul file system. Il risultato è quello di andare ad occupare una parte dello spazio di archiviazione nel sistema SAP senza, però, mai impattare significativamente le performance del sistema.


SAP Security Audit Log: come usarlo

SAP Security Audit Log registra informazioni su base quotidiana. La tipologia di quest'ultime viene selezionata attraverso filtri che sono memorizzati in blocchi di controllo. Ad esempio, ogni volta che avviene un evento che corrisponde a un filtro attivo, l'audit log genera un messaggio che viene scritto all'interno del file di audit. Al tempo stesso, il sistema genera un ulteriore avviso viene inoltrato al monitor CCMS, oltre a fornire un'analisi dettagliata di ciò che è accaduto nel relativo Security Audit Log.

Inoltre, il sistema SAP non elimina né sovrascrive i file di audit. Bensì i file vengono conservati fino a quando non sono eliminati manualmente. Considerata l'elevata mole di dati che possono essere archiviati, è necessario attuare procedure costanti di archiviazione dei log, con la conseguente eliminazione dei file originali dal server applicativo.

A livello di l'abilitazione del sistema di auditing in ambiente SAP, quest'ultimo richiede i privilegi di sistema AUDIT ADMIN o INFILE ADMIN. Una volta attivata la funzione di audit, è possibile verificarne il reale funzionamento analizzando che il parametro global_auditing_state nel file global.ini riporti il valore "true".

Lo step successivo è quello di configurare le policy di utenti, tabelle, viste e procedure. Il suggerimento è quello di monitorare, tramite Audit Log, tutte le azioni che vengono svolte da utenti con elevati privilegi, inclusi SYSTEM user e le azioni che possono impattre su oggetti sensibili a livello di database. Una volta create le policy, quest'ultime dovranno essere costantemente aggiornate e personalizzate sulla base delle reali esigenze aziendali di monitoraggio del sistema SAP. Elemento chiave è l'assegnazione a ogni policy di un determinato livello di sicurezza. Ciò consentirà di abilitare potenziali trigger a livello di comunicazione, escalation e risoluzione degli eventi di audit.

In conclusione, il SAP Security Audit Log è indispensabile in tutte quelle organizzazioni che desiderano massimizzare il controllo e il monitoraggio continuo di ciò che accade a livello di sistema. Oltre a supportare il processo di auditing, l'organizzazione può ottenere benefici nel lungo termine, rendendo Security Audit Log un principale alleato nel monitoraggio continuo e nell'ottimizzazione delle politiche di sicurezza aziendali.