Questo strumento consente di effettuare una trace a livello applicativo delle attività di una o più utenze SAP.
Può essere inoltre utilizzato per collegare SAP ad un SIEM (Security Information and Event Management) terzo oppure la soluzione SAP Enterprise Threat Detection (ETD).
In genere questa funzionalità viene attivata per monitorare le attività degli utenti “super” i quali con autorizzazioni molto ampie potrebbero essere fonte di rischi. Il controllo per mitigare questo rischio potrebbe essere il Security Audit Log e l’adozione di una procedura di controllo dell’output dello strumento.
I principali obiettivi dell’audit log sono:
Nel dettaglio le informazioni registrabili sono:
È importate considerare gli aspetti legali di questo strumento. L’utilizzo non appropriato potrebbe essere in contrasto con la legge 300/1970 (Statuto dei lavoratori, in particolare art. 4) e con il Dlgs. 196/2003 Codice in materia di protezione dei dati personali o 679/2016 GDPR, per quest'ultimo leggi qui!
Il Security Audit Log (SAL) registra le attività svolte in un sistema ABAP. Queste informazioni sono registrate con cadenza giornaliera in un audit file sull’application server (AS). Al fine di archiviare le informazioni di interesse in questo file è necessario specificare quali siano i filtri da implementare.
Quando un evento avviene (esecuzione di una transazione) e quest’ultimo è uno dei filtri attivi, allora verrà registrato un’attività o messaggio sull’audit file o CCMS alert monitor.
L’architettura del Security Audit Log è mostrata nell’immagine seguente (da help SAP).
Affinché sia attivo ed utilizzabile il SAL deve essere opportunamente configurato, tramite i parametri del profilo di istanza SAP. I parametri da attivare sono riportati nella tabella seguente.
Parametro | Valore | Significato |
rsau/enable | 1 (Default 0) | Abilita il SAL |
rsau/max_diskspace/local | (Default 2000000) | Indica in bytes quanto può essere grande il file dell’audit |
rsau/selection_slots | (Default 2) | Indica quanti filtri è possibile specificare per effettuare il SAL |
rsau/local/file | audit_++++++++ (Default blank) | Specifica il nome dell’audit file devono essere presenti 8 simboli +, il sistema inserirà la data |
DIR_AUDIT | Directory di salvataggio dei file audit | |
rsau/user_selection | Verificare se questo parametro è supportato dalla release | Specifica come deve essere il criterio di selezione di un utente nel filtro, puntuale o con caratteri speciali ad esempio AMS* |
Il default di alcuni valori può cambiare dalla release, per quanto riguarda lo spazio su disco dell’audit file, se viene raggiunta la dimensione massima il log viene fermato. Mentre per il numero di slot (quanti utenti possono essere messi sotto trace) questo dipende dalla release (Note 107417 - SecAudit configuration with SM19 no. of filters (slots)).
L’attività di configurazione di questi parametri deve essere svolta dai sistemisti, infatti per rendere attive le modifiche è necessario effettuare il riavvio della macchina.
Tramite la transazione SM19 è possibile impostare i filtri a seconda dell’utenza. Successivamente tramite la transazione SM20 o SM20N si potrà leggere l’output e tramite la transazione SM18 cancellare i file (è possibile cancellare solo file più vecchi di tre giorni). L’iter procedurale è mostrato sotto.
Nell’immagine è riportata la transazione SM19. Di fondamentale importanza è la distinzione tra i tab evidenziati.
Esistono due possibili configurazioni:
Come riportato nel messaggio di warning la nuova transazione che sostituirà la SM19 è la RSAU_CONFIG
È possibile tramite la transazione SM19 vedi immagine seguente. Premendo sul pulsante evidenziato e creando ad esempio il profilo.
oppure con la nuova transazione RSAU_CONFIG:
Impostare il mandante di riferimento e l’utente da tracciare selezionando anche il filtro attivo e le attività da tracciare. L’utenza SAP non può contenere caratteri speciali ad esempio AMS* ma deve essere puntuale (Note 574914 - SecAudit: Generic user selection) verificare se la release supporta questa funzionalità. Al termine premere sul pulsante del salvataggio.
Al termine del salvataggio è necessario attivare l’audit (vedi icona fiammifero). Il messaggio nella barra mostra che sarà attivo al prossimo riavvio della macchina.
In maniera analoga nella nuova versione.
A seguito della configurazione dei parametri rsau* sarà sufficiente selezionare il tab denominato Configurazione Dinamica ed attivare il log tramite il pulsante evidenziato sotto.
A seguito il semaforo diventerà verde. Al messaggio di replica sulle istanze attive rispondere si
Premere poi sul pulsante modifica, i filtri diventeranno ora modificabili.
Sarà sufficiente impostare il mandante di riferimento e l’utente come fatto per la configurazione statica. Oppure nel formato nuovo:
Tramite la transazione SM20 è possibile visualizzare le operazioni che l’utente selezionato ha eseguito. Inserendo i valori di selezione e poi premendo su "Reread Audit Log"
Oppure tramite la nuova transazione RSAU_READ_LOG:
L’output sarà analogo a quello mostrato sotto nel caso del nuovo formato
Oppure il seguente in caso di installazione SAP più datata:
Tramite la transazione SM18 è possibile eliminare i file dell’audit. Non possono essere eliminati file con meno di tre giorni di vita. È possibile fare una simulazione prima di rendere operativa la cancellazione.
Con l’aggiornamento alla SAP BASIS 7.50 SP03 è stata rivista la gestione dei security audit log. Le transazioni SM19, SM20N e SM18 saranno sostituite dalle RSAU_CONFIG, RSAU_READ_LOG, RSAU_ADMIN.
Diverse sono le novità:
Di seguito viene mostrata una immagine della nuova transazione che permette la configurazione del security audit log
Attraverso la transazione RZ20 è possibile visualizzare le alert prodotte nel CCMS.
Approfondisci come migliorare la security SAP qui!
Inoltre, se devi collegare l'audit log ad un SIEM conviene utilizzare la seguente API nelle ultime release: RSAU_API_GET_LOG_DATA Oppure, se disponibile (SAP_BASIS 7.56), il servizio RSAU_LOG_API
Perché ti serve un SIEM? Guada qui il video!
Ma cosa serve attivare e configurare tra gli eventi del Security Audit Log? Guarda qui il video specifico!
Consulenza SAP Security? Contattaci!