Splunk als übergreifendes SIEM Tool auch für SAP

Autor: Tobias Harmes | 15. März 2019

9

Splunk kann als SIEM-Tool Informationen über Nutzeraktivitäten, Maschinenverhalten und Sicherheitsgefährdungen korrelieren, auswerten und visualisieren. Dadurch können Angriffe auf die IT schnell erkannt und Gegenmaßnahmen ergriffen werden - auch in Verbindung mit SAP.

Splunk als SIEM-Tool

Splunk ist eine populäre SIEM-Lösung (Security Information and Event Management) mit der beliebige Datenquellen auf bestimmte Muster oder das Zusammentreffen von mehren Mustern untersucht werden können. Durch Indizierung von Datenströmen von Geräten wie Firewalls, Server, Zugriffssysteme und Malwarescannern und der Korrelation von Ereignissen können Sicherheitsereignisse erkannt und gemeldet werden. Sicherheitsteams können damit interne und externe Angriffe schnell erkennen und reagieren und somit das Threat Management erleichtern und Risiken reduzieren. Die kleinste Version hat erst einmal keine mitgelieferten Erkennungsregeln an Board. Splunk Enterprise Security ist eine Premium Variante, die speziell für den Einsatz als Security SIEM vorkonfiguriert ist. Durch den günstigen Einstiegspreis (die kleinste Version ist kostenfrei) wird es oft als Einstiegs-SIEM von Unternehmen in die engere Wahl gezogen.

 Splunk Enterprise Security Feature

  • Echtzeit-Monitoring: aktueller Sicherheitsstand des Unternehmens, individuelle Ansichten und Drilldowns.
  • Priorisieren und Handeln: sicherheitsspezifische Sicht auf Daten, um die Erkennungsmöglichkeiten zu vergrößern und die Reaktion bei Vorfällen zu optimieren.
  • Schnelle Untersuchungen: Ad-hoc-Suchen und statische, dynamische und visuelle Korrelationen
  • Mehrstufige Untersuchungen: Sicherheitsverletzungs- und Untersuchungsanalysen für die Nachverfolgung dynamischer Aktivitäten im Zusammenhang mit Bedrohungen.
  • verschiedene Verteilungsoptionen für Splunk Enterprise Security: verfügbar als Software, Cloud-Service, in einer öffentlichen oder privaten Cloud oder in einer Hybridumgebung aus lokaler Software und Cloud-Verteilung.

SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit

Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check und Audit.

Splunk und SAP

Splunk kann in erster Linie als übergreifendes SIEM-Werkzeug eingesetzt werden. Da es von Haus aus kein Regelset oder Dashboards für SAP mitliefert, muss eine Daten-Aggregation und ein entsprechendes Regelwerk selbst entwickelt oder von Drittanbietern eingekauft werden. Wer stattdessen ein SIEM speziell für SAP sucht inklusive fertigen Regelwerk kann daher zum Beispiel auf die Enterprise Thread Detection (ETD) Lösung von SAP zurückgreifen. Siehe auch hier. SAP selbst empfiehlt dann als Option, die von der Enterprise Threat Detection erkannten SAP Security Events an ein gegebenenfalls vorhandenes zentrales SIEM  weiterzureichen. Dort kann dann die zentrale Korrelation und Alarmierung erfolgen.

Wenn das SIEM allerdings eventuell bereits für Non-SAP eingesetzt wird, kann SAP auch direkt mit Splunk verbunden werden. Typischen Sicherheitsevents die dann überwacht werden:

  • Einsatz von Debugging-Berechtigungen um Berechtigungsprüfungen zu überspringen
  • Massendownload von Stammdaten
  • Öffnen eines produktiven Systems
  • Mehrfach-Anmeldungen von verschiedenen Arbeitsstationen
  • Mehrfache fehlerhafte Anmeldungen von einer Arbeitsstation
  • Zuweisung von kritischen Berechtigungen durch Nicht-Berechtigungs-Admin
  • Der Account eines als ausgetreten gekennzeichneten Mitarbeiters wird verwendet

Als Input-Geber fungiert primär das Security Audit Log (SM19/SM20), sekundär das Systemlog (SM21). Herausforderung ist neben dem Regelwerk auch, die Daten aus dem SAP zum SIEM zu bekommen. Splunk akzeptiert nur geordnete Textdateien – und die erzeugt das SAP Security Audit Log im Standard leider nur über einen Report (RSAU_SELECT_EVENTS) ohne großen Komfort. Hier gibt es einerseits fertige Erweiterungen von Herstellern oder (mehr oder weniger robuste) Selbstbau-Anleitungen im Internet.

SAP Connectoren für Splunk:

RZ10.de bietet über ein Partner-Produkt ebenfalls eine Lösung für SIEM mit SAP an.

Allgemeine Features und Funktionen

Indexierung
Splunk indiziert die Daten, aus denen sich IT-Infrastruktur zusammensetzen. Es können Daten von Websites, Anwendungen, Servern, Datenbanken, Betriebssystemen und mehr bezogen werden. Das maximale Indexierungsvolumen der Instanz hängt vom der Lizenz ab.

Suche
Die Suche ist die primäre Art und Weise, wie Benutzer durch ihre Daten navigieren. Suchaufträge können als Bericht gespeichert und damit das Dashboard-Panel aktiviert werden. Die Suche bietet einen Einblick in Daten wie z.B. Abrufen von Ereignissen aus einem Index, Berechnen von Kennzahlen und Identifizierung von Zukunftstrends.

Warnmeldungen
Warnmeldungen entstehen, wenn die Suchergebnisse für historische und Echtzeit-Suchen die konfigurierten Bedingungen erfüllen. Eine Reaktion kann das Senden einer Warnung an bestimmte E-Mail-Adressen oder das Ausführen eines benutzerdefinierten Skripts sein.

Dashboards
Dashboards enthalten Panels von Modulen wie Suchfelder, Felder, Diagramme, etc. Dashboard-Panels sind in der Regel mit gespeicherten Suchen oder Pivots verbunden. Sie zeigen die Ergebnisse abgeschlossener Suchen und Daten aus Echtzeit-Suchen, die im Hintergrund laufen.

Pivot Editor
Der Pivot Editor bezieht sich auf Tabellen, Diagramme oder Datenvisualisierungen, die sich mit dem Pivot Editor erstellen lassen. Mit dem Pivot Editor können Benutzer Attribute, die durch Datenmodellobjekte definiert sind, einer Tabelle, einem Diagramm oder einer Datenvisualisierung zuordnen, ohne dass die Suchanfragen in die Search Processing Language (SPL) geschrieben werden müssen. Pivots können als Berichte gespeichert und in Dashboards hinzugefügt werden.

Berichte
Splunk ermöglicht Suchanfragen und Pivots als Berichte zu speichern und Berichte dann als Dashboard-Panels zu Dashboards hinzuzufügen. Berichte werden ad hoc und regelmäßig ausgeführt. Erfüllen die Ergebnisse bestimmte Bedingungen, so können Berichte festgelegt werden, um Benachrichtigungen zu erzeugen.

Datenmodell
Datenmodelle kodieren spezialisiertes Domänenwissen über einen oder mehrere Sätze von indizierten Daten. Sie ermöglichen es Pivot Editor-Benutzern, Berichte und Dashboards zu erstellen, ohne die Suchanfragen zu entwerfen.

Free- und Enterprise-Versionen

Während die Free-Lizenz für Einzelbenutzer konzipiert ist, bietet die Splunk Enterprise-Lizenz zusätzliche Unterstützung wie mehrfache Nutzung, Benachrichtigungsfunktionen, rollenbasierte Sicherheit, Single Sign-On, geplante PDF-Übermittlung, Clustering, Premium-Apps und Unterstützung für unbegrenzte Datenvolumen.

Mehr zum Thema SAP SIEM / Enterprise Threat Detection (ETD)https://rz10.de/sap-grc/sap-enterprise-threat-detection/

RZ10.de Partnerprodukt Splunk als SIEM für SAP: https://rz10.de/angebot/splunk-als-siem-fuer-sap/

Splunk Testversionhttps://www.splunk.com/de_de/download.html

Splunk Enterprise Security: https://www.splunk.com/de_de/products/premium-solutions/splunk-enterprise-security.html

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.

Update 26.03.2019: Report RSAU_SELECT_EVENTS ergänzt.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice