SAP Cybersecurity - SAP Enterprise Threat Detection cosa è?

Posted by Massimo Manara on Nov 25, 2020 12:00:00 AM

Cosa puoi fare quando si parla di Cyber Security in ambito SAP?

SAP ETD DASHBOARD

 

Esiste uno strumento che SAP ha sviluppato chiamato SAP Enterprise Threat Detection che può essere utilizzato.

Che cosa è SAP Enterprise Threat Detection?

Si tratta di un aggregatore, analizzatore di dati provenienti dai sistemi SAP e non SAP che permette di identificare tramite dei pattern delle azioni o attività ritenute critiche.

 

Una volta individuati questi pattern o comportamenti sospetti, possono essere generate delle alert su cui effettuare le verifiche.

 

Ma quindi sostituisce un SIEM già presente in azienda?

Questa è una domanda molto interessante e la risposta e sicuramente no. Si tratta di un prodotto complementare ad un eventuale SIEM già presente in azienda.

 

Guarda il video qui sotto sul perché è così importante averne uno!

 

 

Dicevamo, non sostituisce un SIEM già presente in quanto ad oggi i SIEM sono molto più orientati al trattamento dei dati dei sistemi come router, firewall, database, sistemi operativi.

 

Non sono pronti per essere usati con dei dati prettamente SAP centrici. Chiaramente possono essere collegati, per i più famosi sul mercato esistono dei connettori già presenti. Tuttavia i dati che vengono letti da SAP sono davvero una minima parte.

 

Spesso è necessario scriversi dei connettori ad hoc per poter tracciare tutti i dati che un SIEM dovrebbe gestire avendo come target i sistemi SAP.

 

Ma quindi se ho già un sistema SIEM in azienda potrebbe comunque servirmi?

  • Si per correlare o collegare il SAP ETD al SIEM che già possiedi eventualmente arricchendolo con dei dati specifici di SAP o passando ad esso delle informazioni alert su cui lavorare
  • SAP ha lavorato assieme a Splunk (SAP splunk integration) per avere una integrazione nativa, ma anche altri SIEM possono essere collegati

 

E se non ho un SIEM mi può essere utile?

  • Anche in questo caso potrebbe essere utilizzato sia per i sistemi SAP sia per i non SAP, quindi sì

 

Per poterlo utilizzare serve una licenza, che deve essere acquistata. Il prodotto necessità inoltre di una macchina HANA, in quanto tutte le elaborazioni sfruttano le potenzialità di questo database.

 

Cosa puoi fare con SAP Enterprise Threat Detection?

Un esempio molto pratico. Una volta collegato a uno o più sistemi, ed attivati tutti i collettori dei log, tramite la funzionalità del Forensic Lab è possibile vedere tutti i dati presenti in ETD ed iniziare le analisi.

 

In alto a sinistra è possibile vedere infatti tutti gli eventi 23.411 generati nelle ultime 2 ore (è possibile impostare quando tempo tenere in considerazioni)

 

Forensic Labs

 

Tramite la definizione di percorsi "Path" è possibile iniziare a selezionare gli eventi di interesse. Nel caso sopra, ad esempio (parte sinistra) è stato filtrato dal totale eventi, solo quelli relativi al sistema S4H ed a seguito quelli relativi all'esecuzione del function module RFC_READ_TABLE.

 

Nel grafico sulla parte destra in alto è possibile vedere le utenze che hanno eseguito il function module selezionato (le utenze possono essere anonimizzate).

 

Fino a qui, quasi nulla di nuovo. Tuttavia è da segnalare che è possibile creare n path e relazionare i dati tra loro. Con l'obiettivo, ad esempio, di creare dei pattern.

 

Tramite la funzionalità di Creazione Pattern (Create Pattern) è possibile creare un "comportamento" che potrà poi essere associato ad un alert.

 

CREATE PATTERN

Una alert può essere creata definendo diversi criteri e mostrando i dati necessari a capire di cosa si tratta.

 

SAP_ETD_PATTERN_DETAIL

 

 

Una volta costruite le alert, queste possono essere analizzate dagli specialisti security per approfondire la problematica oppure effettuare un fine tuning delle regole.

 

Guarda qui un caso reale di utilizzo della function RFC_READ_TABLE:

 

 

Utile inoltre la funzionalità per visualizzare le minacce in maniera grafica. A colpo d'occhio, in base alla legenda, ai colori ed alle dimensioni è possibile capire se nel sistema sta accadendo qualcosa di rilevante.

 

Più semplice vederlo che descriverlo, guarda il breve video qui sotto.

 

 

 

 

Un prodotto che non solo permette quindi di "imparare", correlare, effettuare investigazioni. Ma contiene già molte librerie tra pattern e template pronti all'uso.

 

SAP_ETD_VALUE_LIST

 

 

Topics: sap enterprise threat detection, cyber security, siem, sap siem

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti