zurück zur Übersicht

Monitoring SAP HANA

Abgeschlossener Raum: SAP® HANA muss transparent überwacht werden.Seit der Einführung von SAP®HANA vor einigen Jahren nimmt die Bedeutung in verschiedensten Betriebsprozessen immer weiter zu. Vor allem im Finanz- und Analytics-Sektor wächst die Nachfrage nach SAPs In-Memory-Datenbank überproportional schnell. Dieser Zuspruch lässt sich durch den Performancezuwachs erklären, den SAP® HANA im Vergleich zu klassischen Datenbanken wie DB2 bietet.

Der Performancegewinn wird durch den Verzicht auf Festplattenspeicher während der Datenmanipulation erreicht. Die Daten werden während des Prozessierens im Arbeitsspeicher vorgehalten und in periodischen Abständen auf den Festplattenspeicher zurückgeschrieben.

Neben den Vorteilen, die SAP® HANA bietet, verbergen sich auch Risiken in der Anwendung neuer Techniken. Die unternehmenskritischen Daten, die SAP® HANA Datenbanken vor allem im Finanz- und Analytics-Sektor enthält, sind auch für Hacker ein traumhaftes Ziel. Ein Beleg für diese Entwicklung ist die steigende Anzahl von System Patches, die von SAP® bereitgestellt werden. So sollen Schwachstellen geschlossen werden. Dies zeigt auch, dass SAP® immer mehr in den Fokus von Angreifern rückt.

Monitoring mit SAP® Bordmitteln

Durch das SAP-eigene Auditing ist es möglich, Useraktivitäten aufzuzeichnen, die Tätigkeiten am SAP® HANA System oder den Daten vornehmen. Im besonderen Fokus des Auditing sollten vor allem Rollen- und Berechtigungszuweisungen, Aktivitäten von SAP-Standardbenutzern und Änderungen an Systemeinstellungen und Daten überwacht werden.

Um ein umfangreiches Auditing innerhalb von SAP® HANA, aber auch von SAP® Systemen im Allgemeinen zu gewährleisten, muss eine Audit Policy erstellt werden, die definiert, welche Aktivitäten und Änderungen geloggt werden. Darauf aufbauend werden Audit-Actions definiert, die entsprechende Detection Use Cases abbilden, um Datenabflüsse oder nicht autorisierte Änderungen der Systemeinstellungen erkennen zu können. Beispiele für die am häufigsten überwachten System Properties und Actions sind in der nachfolgenden Tabelle aufgeführt.

 

Aktion Beschreibung
CREATE, ALTER, DROP AUDIT POLICY Anlegen, Ändern und Löschen einer Audit Policy
ALTER SYSTEM CLEAR AUDIT LOG Löschen von Log-Einträgen
global_auditing_state Aktivieren des Auditing

 

Audit Policy

Das Erarbeiten einer Audit Policy und die Konfiguration des Systems sind jedoch nur erste Schritte, um einen effektiven Schutz von SAP® HANA aufzubauen. Bisher werden alle Aktivitäten in das SAP® Audit Log geschrieben und müssen durch einen Administrator ausgewertet werden. Bei manueller Auswertung ist es jedoch nahezu unmöglich Angriffe zeitnah zu erkennen. Allein das anfallende Datenvolumen und die fehlende Korrelationsmöglichkeit mit anderen Ereignissen, wie z.B. VPN-Login-Events oder Malwarerbefall auf nicht-SAP® Systemen im selben Netz, schließen das quasi aus..

Monitoring mit agileSI™

An genau dieser Stelle setzt ein Produkt wie agileSI™ an und stellt dem Kunden eine ganzheitliche und automatisierte Lösung zur Verfügung, um Audit Logs auszuwerten und im Falle von Verstößen einen Alarm zu generieren. AgileSI liest das Audit Log aus, parst es und leitet es an die Correlation Engine eines bestehenden SIEM-Systems weiter.

Die Standard Content Packages beinhalten ein Set an vordefinierten Regeln, um Verstößen gegen die definierte SAP® HANA Audit Policy zu erkennen und entsprechend zu alarmieren. Beispiele für verschiedene Kategorien von Monitoring Use Cases sind in der folgenden Tabelle aufgelistet:

 

Kategorie Beschreibung
Full Monitoring Alle Aktivitäten eines definierten Users werden aufgezeichnet
Session Monitoring Alle Aktivitäten einer SAP® HANA Session werden aufgezeichnet
Data Monitoring Änderungen an Daten werden aufgezeichnet
Audit Monitoring Änderungen an Audit Policies werden aufgezeichnet
System Monitoring Änderungen an Systemeinstellungen werden aufgezeichnet
Authentication Monitoring Änderungen an Berechtigungen und Rollen werden aufgezeichnet
User Monitoring Definierte Aktivitäten von Usern werden aufgezeichnet

 

Durch das Monitoring des Audit Logs ist es möglich Use Cases abzudecken, bei denen nur spezielle Aktivitäten wie der Lese- und Schreibzugriff auf unternehmenskritische Datenbanktabellen aufgezeichnet wird oder allgemeinere wie dem loggen von sämtliche Aktivitäten eines oder mehrerer Administratoraccounts. Kunden die bereits agileSI im Einsatz haben können ihr aktuelles Content Package einfach durch die neuen Use Cases erweitern und die vorkonfigurierten Connectoren mit deren Hilfe das Audit Log ausgelesen und geparst wird sind extra auf einen hohes Logvolumen ausgelegt um eine schnelle und nahezu Echtzeitauswertung der Daten zu ermöglichen.

Compliance Check leicht gemacht

Eine Herausforderung mit der sich viele SAP® HANA Kunden konfrontiert sehen, ist der Compliance Check der Systemkonfiguration. Zu diesem Zweck gibt es Content Packages, die auf die Prüfung von Compliance-Anforderungen zugeschnitten sind. Ein Beispiel ist der Prüfleitfaden der DSAG (Deutschsprachige SAP® Anwendergruppe e.V.), der auch die Best-Practice-Empfehlung von SAP® darstellt.

Schreibe einen Kommentar