SAP SECURITY AUDIT LOG

Aufgabenbeschreibung

Für die Wirtschaftsprüfer und Compliance soll das Security Audit Log aktiviert werden. Das Security Audit Log ist nicht nur technischer Natur, sondern wertet Schutzverletzungen, Fehlanmeldungen und aus. Hier könnten auch Missbrauche, Hacking oder grobe Fehler im System erkannt werden. Im Standard ist das Log nicht aktiviert und muss konfiguriert werden.

Hintergrund und Ziel

  • Existiert ein Protokollierungskonzept für die SAP Protokollierung, das u. a. festlegt, welche Aktivitäten des SAP Systems und der Benutzer zu protokollieren sind?
  • Ist der Zugriff auf die administrativen Funktionen und die Protokolldaten des SAP Systems eingeschränkt?
  • Werden die ( z. B. im Systemlog) protokollierten Systemereignisse des SAP Systems regelmäßig ausgewertet?
  • Ist die Verwendung von Traces im SAP System eingeschränkt?
  • Ist im Rahmen des Protokoll- und Audit-Konzeptes festgelegt, für welche Tabellen eine Änderungsverfolgung aktiviert werden soll?
  • Ist der Zugriff auf die verwendeten Monitoring-Werkzeuge der SAP Systeme auf die berechtigten Administratoren eingeschränkt?
  • Wird das SAP Security Audit Log eingesetzt?
    Quelle: BSI

Verwendete Transaktionen

  • RZ10 – Profilparameter anpassen
  • SM19 – Security Audit aktivieren
  • SM21 – Log auslesen
  • SM18 – Auditdateien löschen
  • SM20  / SM20N – Security Log auswerten

Mögliche Parameter

Minimum müssen im Systemprofil (RZ10) folgende Parameter aktiviert werden

  • rsau/enable 1, Log aktivieren
  • DIR_AUDIT (war mal  rsau/local/file), hier wird die Auditdatei hingeschrieben

Optional lässt sich das eweitern

  • rsau/selection_slots 20, Anzahl der Filter für die Auswertung
  • rsau/max_diskspace/per_day – Dateigrößenbeschränkung pro Tag
  • rsau/max_diskspace/per_file – Dateigrößenbeschränkung pro File

Umsetzung

Wir aktivieren die Minimumparameter im Profil:

Nach dem Neustart muss ein Profil, anhand der vorgegebenen Filter, aktiviert werden. Erst dann wird die Datei geschrieben. Das Profil aktivieren wir in der SM19.

Direkt im Anschluss wird eine Datei angelegt und kann angeschaut werden.

Parallel dazu sollte man auf dem Server gucken, ob die Datei am richtigen Ort liegt und gelesen werden kann.

Einige Einstellungen lassen sich auch dynamisch nachziehen.

In der SM19 lasse sich , zur Kontrolle, die vergebenen Parameter kontrollieren.

In der SM20 lesen wir die neue Datei ein und sehen, je nach Filter, die Verletzungen. Das Log sollte in die tägliche Routine mit eingebunden werden.

Beste Grüße,
Mario

Wichtige Links:

BSI Richtlinie: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04270.html