AGLEA SAP Security Blog

Monitoraggio Log SAP a cosa serve e come fare?

Scritto da Massimo Manara | Mar 21, 2023 11:00:00 PM

Cosa significa raccogliere i log in SAP e come fare? 

Perché può essere utile farlo? Che processo viene seguito solitamente?

 

Perché serve raccogliere i dati?

Il monitoraggio è indispensabile per un'infrastruttura IT, perché consente all'azienda di raccogliere tutti i dati degli asset più critici e avere un quadro completo dell'orizzonte degli eventi, sia per quanto concerne aspetti di sicurezza, che di compliance.

 

Ma cosa significa raccogliere questi dati? Di fatto è un processo di raccolta dati in tempo reale, relativi ai sistemi, fisici o virtuali, dei processi ed apparecchiature presenti in azienda.

 

Quale processo viene seguito?

Il processo di gestione dei log segue questi passaggi fondamentali ovvero:

  • Log generati dai sistemi collegati
  • Ingestion, di fatto l'ingresso dei dati raccolti nel sistema di monitoraggio
  • Enrichment, arricchimento, appunto, dei dati. Infatti, può capitare che i dati grezzi generati dai sistemi non siano sufficientemente chiari e debbano essere correlati con ulteriori informazioni per risultare fruibili
  • View. Ovvero la rappresentazione grafica dei log generati al fine di effettuare le valutazioni del caso

 

Ma quale dati possono essere letti e gestiti in SAP?

Sono molte le fonti di dati relativi ai log in SAP, alcune sono le seguenti:

 

Rispetto ad altri strumenti dove i log sono concentrati in un unico punto, nel caso di SAP sono distribuiti in più ambiti. Ed anche i metodi per l'estrazione di questi log possono essere diversi.

 

Ma come gestirli e tenerli?

Alcuni dei classici dilemmi che emergono quando si parla di log sono:

  • per quanto tempo devo tenere questi log?
  • Quali di questi log serve tenere e quali no?
  • Cosa posso tracciare e cosa no (in ottica di compliance)
  • Quanto mi costerà lo storage on-premise o cloud di questi log

 

Il costo di alcune soluzioni presenti dipende dal traffico generato dai log, quindi dai volumi prodotti. Per questo motivo può essere importante selezionare bene quali eventi gestire.

 

Ma esistono soluzioni diverse che potenzialmente non hanno limiti o imposizioni di licenze basate sul traffico dei dati. Questo chiaramente non significa poter gestire i dati "all'infinito" o non applicare alcun criterio di selezione. 

 

Una di queste si chiama Scoodo Logos (Scoodo Log) della società Digital Defense. Dove Logos fa riferimento al significato filosofico del termine.

 

Cosa è Scoodo Log?

Scoodo Log permette di "dare voce ai log" ovvero si tratta di uno strumento che permette di raccogliere, organizzare e presentare i log in modo che i dati grezzi raccolti diventino "parlanti" per capire identificare dei patter o eventi critici degni di nota nei sistemi aziendali.

 

Infatti, attraverso questo strumento è possibile analizzare il log di queste sorgenti:

  • Microsoft Windows (es. File Audit, System Event, attività amministrative)
  • Sistemi Unix (es. File audit, process audit)
  • SysLog (TCP, UDP)
  • WMware (Login SSH e web management)
  • Rest API
  • Device di rete ed IoT
  • Sistemi proprietari
  • SAP (SAP Security Audit Log)

 

Ma come si presenta la soluzione per i sistemi SAP?

L'interfaccia presenta dei grafici che consentono di visualizzare i dati estratti dal sistema. In maniera massiva oppure tramite specifici filtri.

 

 

Ad esempio, identificare le comunicazioni non protette dalla crittografia dei dati in transito oppure i logon errati o ancora l'accesso a dati sensibili nel sistema (ad esempio dati personali o dati classificati o riservati nel sistema)

 

 

 

Sei interessato a saperne di più?