Was ist neu in SAP Enterprise Threat Detection 2.0?

Autor: Tobias Harmes | 25. September 2019

6 | #sap etd

SAP Enterprise Threat Detection (ETD) will Angriffe auf SAP Landschaften erkennen, bevor größere Schäden entstehen. Seit Juni 2019 ist SAP Enterprise Threat Detection in der Version 2.0 verfügbar. Welche Features nun geboten werden, erfahren Sie in diesem Beitrag.

Die Version 2.0 des SAP ETD bietet neue Funktionen, die besonders Verbesserungen im operativen und analytischen Bereich bringen. Zum einen soll der Betrieb günstiger sein, da weniger Systemressourcen und Aufwand für Bereitstellung und Wartung benötigt werden. Im analytischen Bereich gibt es Verbesserungen in der Überwachung und Identifikation von Cyber-Angriffen.

Wichtig: Enterprise Threat Detection 2.0 benötigt zwingend die SAP HANA Platform 2.0.

SAP Security Check - Analyse Ihrer aktuellen Systemsicherheit

Wir verschaffen Ihnen einen klaren Einblick in die aktuelle Sicherheitssituation Ihres SAP-Systems - mit unserem SAP Security Check!

Die wichtigsten Neuerungen

Integration des SAP Cloud Platform Audit Log

SAP ETD 2.0 bietet nun die Möglichkeit SAP Cloud Platform Audit Logs in der Neo- und Cloud Foundry-Umgebung Out-of-the-Box direkt einzubinden. Der SAP ETD Connector kann bei der Integration des SAP Cloud Platform-Kontos unterstützen. Die Analyse der Cloud-Platform-Audit-Protokolle kann anschließend anhand des Forensic Labs erfolgen:

Quelle: SAP

Ein weiterer Vorteil: Es sind keine Eigenentwicklungen für den SAP Cloud Platform Connector mehr nötig. Darüber hinaus unterstützt SAP ETD 2.0 das hybride Monitoring, um einen umfassenderen Überblick über On-Premise und SAP Cloud Platform-Anwendungen zu erhalten.

Wiederholung von Angriffserkennungsmustern

Neue Angriffserkennungs-Patterns können auf historische Daten angewendet werden. Dieses Feature ermöglicht es, Angriffserkennungsmuster nach einem Log-Ausfall – beispielsweise bedingt durch eine Wartungsaktivität – zu bearbeiten. So lassen sich Alert-Ausfälle vermeiden. Zudem können Regelveränderung anhand von echten Logdaten und eventuell auch bekannten Angriffen aus der Vergangenheit getestet und verbessert werden.

Neues Pseudonymisierungskonzept

SAP ETD 2.0 ermöglicht ein neues Konzept zur Benutzer-Pseudonymisierung. Das erhöht die Leistung bei der Log-Normalisierung und verbessert die Identifizierung desselben Benutzerkontos, obwohl es auf verschiedenen Systemen funktioniert.

Der Revolve User wird um eine Funktion erweitert, die Pseudonyme für ein bestimmtes Benutzerkonto zu empfangen. Wenn ein Benutzerkonto als verdächtig eingestuft wird, können die weiteren Aktivitäten dieses Kontos – zum Beispiel im Forensic Lab – untersucht werden.

Verwandte Indikatoren im Alert-Monitoring

Für ein Angriffserkennungsmuster ist es nun möglich, verwandte Indikatoren zu definieren, die in der Warndetailansicht angezeigt werden. Verwandte Indikatoren lassen sich definieren durch:

  • Zuordnung des gleichen Szenarios zu verwandten Angriffserkennungsmustern
  • Definition des relevanten Zeitrahmens, in dem die entsprechenden Indikatoren auftreten können

Verwandte Indikatoren können nun vom Monitoring-Agenten schnell aufgerufen werden und ermöglichen es dem Monitoring-Agenten, die Dringlichkeit einer Warnung auf weniger zeitaufwändige Weise zu bewerten.

Erweiterung der Integration von Warm Storage

Der Warm Storage Adapter auf Basis von SAP HANA Dynamic Tiering ermöglicht es, Protokolldaten über einen längeren Zeitraum auf einem kostengünstigeren Speicher außerhalb der HANA DB zu speichern.

Verbesserung des Log-Learning

In der Version 2.0 erweitert die Anwendung Log-Learning um eine verbesserte Benutzerfreundlichkeit. Außerdem gibt es noch einige neue Funktionen:

  • Änderung und Kopieren von Markups, falls sich das Protokollformat im Laufe der Zeit ändert. Durch das Ändern und Kopieren der Markups müssen die Log-Lernregeln nicht vollständig überarbeitet werden
  • Verbessertes Regeltesting, welches den Grund für das Fehlschlagen der Protokollnormalisierung angibt
  • Einschränkungen der Zeitstempelformate: nur Protokolle mit kompletten Zeitstempeln, die Datum, Uhrzeit und Zeitzone enthalten, werden akzeptiert

Product Information SAP ETD 2.0 (ausführliche Featureliste): https://blogs.sap.com/2019/06/13/sap-enterprise-threat-detection-2.0-is-now-available/

2770755 – Release Note SAP Enterprise Threat Detection 2.0: https://launchpad.support.sap.com/#/notes/2770755

SAP Enterprise Threat Detection: https://rz10.de/knowhow/sap-enterprise-threat-detection-etd/

SAP Enterprise Threat Detection: Alarmanlage für das SAP – Martin Müller (SAP): https://rz10.de/sap-berechtigungen/sap-enterprise-threat-detection-alarmanlage-fuer-das-sap/

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Berechtigungen und Security


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support