SecurityBridge CEO’su Christoph Nagy tarafından
SAP’ye yönelik saldırıları tespit etmek için SAP’deki güvenlik günlüklerini değerlendirmeniz gerekir.
Pek çok kuruluş son birkaç yılını çevreyi korumakla geçirmiş olsa da, iş açısından kritik sistemler artık güvenlik operasyonlarının önceliği haline geliyor. Bu makalede, bir Hizmet Reklam Protokolü (“SAP”) SIEM’in nasıl görünebileceğine ve istenen sonuçlara ulaşmak için hangi verilerin ve süreçlerin gerekli olduğuna bakacağız.
Birçok okuyucu, Security Information Event Management’ın kısaltması olan SIEM’e zaten aşinadır. En iyi bilinen satıcı çözümleri Splunk, IBM QRadar ve MS Sentinel’dir, ancak başka birçok sağlayıcı da vardır. SIEM’ler, çeşitli kaynaklardan güvenlik günlüklerini okur ve şüpheli etkinlikler veya kötü niyetli kullanıcı davranışı hakkında sonuçlar çıkarmak için verilerin akıllı bir şekilde toplanmasını kullanır.
SAP Uygulamalarından hangi verilerin toplanması gerekiyor?
Süreç akışına derinlemesine dalmadan önce, hangi SAP günlüklerinin okunması gerektiğine bakmalıyız. SAP, iş sürecinde şeffaflık oluşturmak için gerekli olan birçok protokol ve günlük üretir.
Bu kolay değildir, özellikle SAP için çoğu SIEM bağdaştırıcısı, yeni günlük kaynaklarını dahil etmek için ya hep ya hiç yaklaşımı benimsediğinden. Örneğin, SAP sistem günlüğünü alırsak, SAP Security Monitoring için yalnızca %5 gerekli olsa da tüm girişlerin aktarılması gerekir.
Korelasyon için gerekli girişlerin seçici olarak aktarılması, kullanılan SIEM ürünü için lisanslama maliyetleri üzerinde de olumlu bir yan etkiye sahip olacaktır, çünkü bunlar genellikle “günlük günlük hacmine” göre ödenmektedir. Soruna dönelim: Hangi SAP günlükleri güvenlikle ilgilidir? Bunlar yalnızca en alakalı günlüklerdir:
- SAP Güvenlik Denetim Günlüğü
- SAP Sistem günlüğü
- SAP HANA denetim günlüğü
- SAP Ağ Geçidi günlüğü
- SAP Java denetim günlüğü
- SAP Profili parametresi
SAP için Tehdit İzleme sürecinde daha fazla sonuca varmak için kullanıcı yöneticisini aktarmalı ve belgeleri seçerek değiştirmelisiniz.
SAP SIEM’in kuş bakışı görünümü
Kurumsal çapta saldırı tespiti için amacımız mümkün olduğu kadar çok bilgiyi birleştirmektir. Daha sonra sürekli olarak aranan saldırı modellerini tanımlamanın tek yolu budur.
SIEM’de, SAP günlüklerini diğer kaynaklardan alınan güvenlik günlükleriyle birleştirecektir:
- Sunucu ve Masaüstü İşletim Sistemi
- Güvenlik duvarı / VPN
- Fiziksel altyapı (örn. erişim kontrol sistemleri)
- IPS ve IDS
- Kimlik yönetimi
- Sistem Sağlığı, Performans İzleme Bilgileri
- Ağ ve aksesuarlar
- Anti-Virüs
- veritabanları
Güvenilir uyarılar oluşturmak için SIEM sürecinde aşağıdaki adımları uygulamanız gerekir. İlk olarak, verileri derhal okumalısınız. Bu aynı zamanda farklı kaynak biçimlerinin normalleştirilmesini de içerir. Olay günlükleri (örn. CEF), donanım veya işletim sistemi günlüklerini uygulama günlüklerinden daha iyi işleyebildiğinden, geleneksel olarak SAP günlüklerinin eşlenmesi müşteriler için zaten ilk zorluktur.
Birçok SIEM, verileri doğrudan işe alım sürecinde kategorilere ayırmayı dener. Müşteri bu kategorileri tanımlama aşamasında tanımlar ve daha sonra işleme sırasında değerli bir araç haline gelebilir.
Devre dışı bırakılmayan ve/veya manipüle edilmeyen günlükler de dahil olmak üzere izleme çözümünün bütünlüğünü sağlamak için doğrulamalar yapılmalıdır. Özellikle SAP ile, içeriden biri zaten uygulama yığınında bulunan günlükleri değiştirebilir veya güvenlikle ilgili bilgilerin çıktısını engelleyen bir anahtarı çevirebilir.
Verilerin bütünlüğü sağlandıktan sonra, korelasyon başlayabilir. Bu alan kapsamlıdır ve müşteri dağıtım senaryosuna bağlı olarak çok spesifik olabilir. Kural olarak, aktörler belirlenir ve sonra atfedilir. Aktörler, örneğin Windows kullanıcıları veya bir SAP hesabı olabilir. Atıf, niteliklerin ve özelliklerin atanmasından sorumlu süreçtir. Tehdit aktörü hakkındaki bilgiler, kullanılan işletim sistemi, SAP oturum açma sürümü, coğrafi konum ve IP-Aralığı gibi çeşitli özniteliklerle geliştirilecektir.
Tüm bu bilgilerle artık alarm oluşturabilirsiniz. Örneğin, genellikle ABD ofisinde Windows dizüstü bilgisayarla çalışan bir kullanıcı artık Asya’dan oturum açarsa ve bir Linux sistemi kullanırsa, bu bir alarma yol açabilir. Elbette SAP içeriden saldırıları tespit etmek için bilgilerin spesifik ve ayrıntılı olması gerekir.
Kötü amaçlı SAP etkinliklerinin saptanması ve bunların “normal” yönetici etkinliklerinden ayırt edilmesi, neyin normal, hangi etkinliğin anormallik teşkil ettiğini tanımlamayı gerektirir. Bunun için derinlemesine SAP güvenliği bilgisi gereklidir. Kritik, uzaktan etkinleştirilen işlev modüllerinin yanı sıra hassas içeriğe sahip veritabanı tabloları da bilinmelidir.
yazar hakkında
Christoph Nagy, SAP endüstrisinde 20 yıllık çalışma deneyimine sahiptir. Bu bilgiyi, dünyanın önde gelen markalarının çoğuna hizmet veren ve şu anda ABD’de faaliyet gösteren küresel bir SAP güvenlik sağlayıcısı olan SecurityBridge’de kurucu üye ve CEO olarak kullandı. Onun çabaları sayesinde, SecurityBridge Platform for SAP stratejik bir güvenlik çözümü olarak ün kazandı. SAP güvenlik ayarlarının otomatik analizi ve siber saldırıların gerçek zamanlı tespiti için. SecurityBridge’den önce Nagy, Adidas ve Audi’de SAP teknoloji danışmanı olarak becerilerini uyguladı. Christoph’a çevrimiçi olarak [email protected] adresinden ulaşılabilir.