AGLEA SAP Security Blog

SAP Internal Audit, le transazioni da avere!

Scritto da Massimo Manara | Jul 7, 2020 10:00:00 PM

 

Quali controlli è possibile fare in SAP? Sei un auditors? Ecco una lista delle transazioni da avere!

 

Business ed ICT

L'attività di auditing su SAP può essere suddivisa in due macro ambiti:

  • auditing sui processi di business
  • auditing sui processi IT (Information Technology)

 

In questo post parliamo di questo ultimo caso.

 

Esistono infatti una serie di controlli IT da porre in essere nel sistema noti anche come IT general controls (ITGC).

 

Quali sono le transazioni che un IT internal audit deve avere?

Esistono molti ambiti di controllo, nonostante sia coinvolto un solo processo, quello basis.

 

Risulta quindi utile identificare i vari ambiti di riferimento.

  • Configurazione del sistema
    • Profili istanza SAP
    • Gestione del mandante SAP (SAP Clients)
    • Gestione della comunicazione SAP (es. RFC) check RFC
    • Gestione degli aggiornamenti del sistema
    • Utenze speciali SAP
  • Gestione dei log
  • Sviluppo e configurazione
    • Lista degli oggetti custom
    • Elenco delle transazioni bloccate
  • Analisi di separazione delle responsabilità nell'IT
  • Gestione dei cambiamenti al sistema Change Management
    • Gestione del sistema dei trasporti SAP SAP Transport Management System - STMS)
  • Analisi degli aspetti legati alla gestione dei dati personali

 

E tu che abilitazioni SAP chiedi quando devi fare un audit? Vediamo assieme quali sono le transazioni minime per iniziare ad affrontare un audit sul processo SAP basis.

 

Configurazione del sistema

Una delle transazioni principali in questo caso è la RSPFPAR. Questa transazione permette di vedere la configurazione dei profili d'istanza SAP.

 

 

Nonostante la parola possa trarre in inganno, non si fa riferimento ai "profili autorizzativi" ma piuttosto a tutto una serie di configurazioni che SAP mette a disposizione e che legge durante l'avvio della macchina.

 

Un caso di esempio? La complessità delle password. Queste parametrizzazioni sono definite in un file di testo (profili istanza SAP) ed attivate durante l'avvio di SAP.

 

 

Alcuni di questi profili possono essere dinamici, ovvero è possibile cambiarli "a caldo" senza il riavvio della macchina, altri sono statici, quindi serve un riavvio della macchina SAP.

 

Nella colonna "User Value" se presente un valore significa che è stato esplicitamente configurata quella determinata opzione. Altrimenti il sistema considera il valore di default impostato da SAP.

 

Tramite la transazione RZ11 è possibile vedere la documentazione estesa di questi profili d'istanza (oppure attraverso il sito dell'help SAP) mentre tramite la transazione RZ10 è possibile modificare le valorizzazioni. Queste due ultime transazioni possono non essere necessarie per le finalità di audit.

 

Mentre potrebbe essere utile la transazione TU02 che permette di vedere le modifiche apportate alla configurazione dei profili d'istanza SAP.

 

 

Ma cosa vedere in questo caso?

  • La gestione della complessità delle password, ovvero i profili che iniziano con login*
  • L'attivazione dei log (SAP Table Trace) profili rec*
  • L'attivazione del SAP Security Audit Log (profili rsau*)
  • Come SAP si deve comportare quando sono invocate delle chiamate esterne verso SAP
    • profili ucon* (il tool Unified Connectivity)
    • profili rfc* (per controllo oggetto S_RFC o SAP call back RFC)
  • Se è inibita la possibilità di disattivare oggetti autorizzativi in produzione auth/object_disabling_active

 

Controllo delle utenze speciali SAP e del mandante

In questo caso le transazioni di riferimento sono le seguenti:

  • RSURS003 - Check standard user passwords
  • RSAUDIT_SYSTEM_ENV - Client and System Settings o anche SE16T000 per poter vedere direttamente la tabella dei mandanti SAP: T000

 

Qui un approfondimento sul controllo delle utenze speciali SAP (SAP*, DDIC, TMSADM) e sul controllo del mandante (client) SAP.

 

Verifica dello stato delle transazioni SAP

Tramite la transazione RSAUDITC_BCE è possibile verificare le transazioni bloccate a livello di sistema.

 

 

Hai fatto bloccare tutte le transazioni custom che non vengono utilizzate? A seguito puoi pensare di farle rimuoverle dai ruoli e successivamente rimuoverle dal sistema.

 

Gestione dei log

Attraverso la transazione SCU3, se attivo il profilo d'istanza del table trace, è possibile vedere le modifiche effettuate direttamente in produzione.

 

Attenzione, la tabella deve essere sotto log? Come possibile verificarlo?

 

Tramite la transazione RDDPRCHK_AUDIT è possibile verificare se su una certa tabella non è attivo il log. Questa informazione è anche recuperabile dalla transazione SE13 (tuttavia quest'ultima fa riferimento ad attività da sviluppatore)

 

Puoi inoltre limitare temporalmente la visibilità dei log, utilizzando il report RFTBPROT_BCE, segui la nota OSS 2593308 - RFTBPROT_BCE | Evaluation for table change logs

 

 

Quali sono gli oggetti custom definiti a sistema?

Attraverso la transazione CUSTMON1 è possibile vedere quali sono.

 

 

Perché è importante conoscerli?

 

Negli sviluppi custom spesso si nascondono le maggiori problematiche di sicurezza.

Gestione delle modifiche di sistema

SAP utilizza il meccanismo dei trasporti TMS (Transport Management System) per spostare una certa modifica dal sistema di sviluppo a quello di produzione.

 

Attraverso questa transazione RSAUDITM_BCE_IMPO è possibile vedere chi ha importato le CR nell'ambiente target.

 

Attenzione l'owner della richiesta di trasporto (change Request) può essere diverso da chi ha fatto l'import nel sistema di arrivo.

 

Tramite la funzionalità di Import History -> Show more è possibile vedere l'owner della CR e l'utente SAP che ha fatto l'import di quella change request.

 

 

Scarica qui sotto l'elenco completo delle transazioni da auditor IT in formato EXCEL.