Cenoti für Splunk – SAP mit Splunk verbinden SIEM-Blick auf SAP-Daten im Kontext operativer Sicherheit

Von Markus Thiel

Eine der wichtigsten Anforderung für eine organisationsübergreifende und risiko-orientierte Anomalie- & Angriffserkennung ist die Korrelation von Informationen aus möglichst allen relevanten Datenquellen innerhalb der Organisation. Da die Anbindung von Daten aus SAP-Systemlandschaften einige Herausforderungen aufwirft, wird dies häufig organisatorisch und/oder technisch abgegrenzt behandelt. Bezogen auf das Ziel des „Umfassenden Lagebilds“ ein No-Go.

Anbieter zum Thema

Unternehmen sollten in der Lage sein, Daten aus SAP in einem SIEM-Tool bzw. -Service zu integrieren, um die Primary Assets des Unternehmens bestmöglich abzusichern.
Unternehmen sollten in der Lage sein, Daten aus SAP in einem SIEM-Tool bzw. -Service zu integrieren, um die Primary Assets des Unternehmens bestmöglich abzusichern.
(Bild: pinkeyes - stock.adobe.com)

Ein Grund dafür ist, dass die durch SAP-Systeme verarbeiteten Daten, die Primary Assets der Organisation (businessrelevante Prozesse und Aktivitäten im Kontext der ISO/IEC 27001, umgangssprachlich „Kronjuwelen“) direkt unterstützen und die Erfüllung der individuellen Ziele der Organisation damit in direkter Abhängigkeit stehen. Aus dieser Perspektive betrachtet gilt es, die Daten aus der SAP-Systemlandschaft mit denen weiterer Datenquellen zu korrelieren. Ziel muss es daher sein, SAP-Systeme bei der Anbindung von Datenquellen an ein SIEM-Tool bzw. -Service nicht außen vor zu lassen, sondern risiko-orientiert und mit angemessener Priorität aktiv zu verfolgen. SAP stellt zwar entsprechende Tools & Optionen für die Erhebung dieser Informationen bereit. Allerdings bieten diese nicht die Funktionen und Leistungsmerkmale in Bezug auf die Korrelation mit additiven Datenquellen/Datentypen, die z. B. moderne SIEM-Tools bieten. Umgekehrt weisen SIEM-Tools in deren Standard-Lieferumfang keine bis wenige Schnittstellen zu SAP auf.

Mögliche Risiken von Individualentwicklungen

Um dem Ziel der ganzheitlichen Betrachtung näher zu kommen, ergreifen viele System- und Serviceverantwortliche individuelle, organisationsspezifische Maßnahmen. Diese bestehen oft aus manuellen oder nur teilweise automatisierten Schritten, gepaart mit daraus resultierenden Risiken, z. B. Fehler bei Kopiervorgängen und Medienbrüchen bzw. daraus resultierender Fehl- oder Falschinformation. Dieser indifferente Zustand stellt keine akzeptable Basis für eine qualitativ hochwertige Detektion auf Basis hochwertiger, stets reproduzierbarer Basisinformationen bereit. Vielmehr werden die möglichen Risiken der Generierung von False-Positiv und – viel gefährlicher – False-Negatives signifikant erhöht. Alternativ nutzen Service- und Systemverantwortliche häufig auch die Möglichkeit, die unqualifizierten Rohdaten der zahlreichen Standard-Logfiles, die SAP-Systeme bereitstellen, als Datenquelle in SIEM-Tools und -Services zu integrieren. Da letztgenannte meist nach Datenmenge bzw. Events pro Zeiteinheit lizenziert werden, kann dies zu höheren Kosten führen. Ungeachtet dessen ist das SIEM-Tool-Engineering gefordert, entsprechende Use Cases, Dashboards usw. von Grund auf zu planen, umzusetzen und deren Qualität fortlaufend sicherzustellen.

Identify & Protect

EPI-USE bietet mit Cenoti ein Produkt mit Support an, das SAP-seitig Informationen auf Basis eines etablierten Datenmodells je nach Kategorie per Field Set Definition tagged (PII, PCI, HIPAA, …). Dieses Datenmodell kann individuell für jede Organisation bzw. für jedes angebundene System spezifisch angepasst werden. Auf diese Weise ist es einerseits möglich, die Informationen kritischer Businessprozesse mit den Ergebnissen individueller Risk Assessements, nachgelagerter Managementprozesse (ISMS) und bereits ergriffener Maßnahmen (z. B. Patchmanagement, Datenklassifizierung, Incident Response Management) individuell und zielgerichtet zu erfassen. Andererseits erlaubt dieses Vorgehen, neben der zuvor beschriebenen Individualisierung, die Menge an Daten aktiv zu managen, die an ein SIEM-System übertragen werden (Stichwort Kostenreduzierung). Cenoti liefert dazu produktseitig ein JSON-Interface für den transportverschlüsselten Export der Daten (optional auch pseudonymisiert oder anonymisiert), z. B. an den HTTP Event Collector von Splunk.

Detect

Nach Abschluss der Installation/Konfiguration der Cenoti for Splunk App können die SAP-seitig erfassten, gesammelten und getaggten Informationen in Splunk mit den Möglichkeiten und Leistungsmerkmalen eines modernen SIEM-Systems analysiert und weiterverarbeitet werden. Dafür stellt die App produktseitig Searches und Dashboards als Basis bzw. für mögliche Anpassungen oder Erweiterungen bereit. Zusätzlich werden, bezogen auf die Detektion, Standard Use Cases geliefert, die isoliert auf die Datenquelle SAP angewendet werden können. Diese beinhalten beispielsweise die Detektion anomalen Benutzerverhaltens, wie z. B. die Anzahl fehlerhafter Anmeldungen bzw. ermöglicht diese die zeitnahe Reaktion auf den Abfluss möglicherweise sensibler Daten.

Weitere Anwendungsfälle mit Cenoti als (singuläre) Datenquelle ist die Detektion angewendeter toxischer Berechtigungen, der Zugriff auf als PCI-relevant kategorisierte (getaggte) Daten, Informationen zum IDoc-Status, zu Transaction-Code-Errors sowie den CCMS Monitor Tree Elements. Bezogen auf das in der Einleitung genannte, „umfassende Lagebild“, liefern die Daten aus Cenoti durch Korrelation mit den Informationen weiterer (ggf. am bestehenden SIEM-Tool bereits angeschlossener) Datenquellen, Feeds und Enrichments (z. B. Asset-Informationen, PCAP, Threat Intel, Informationen aktiver/passiver Discovery-Tools, Logs, …) die eigentlichen Mehrwerte. Sie ermöglichen ein übergreifendes Use Cases auf der Basis möglichst valider und qualitativ hochwertiger Daten aus multiplen Datenquellen. Generell ist zu erwähnen, dass die durch Cenoti bereitgestellten Daten grundsätzlich auch kompatibel für die Verarbeitung in der Splunk ES (Enterprise Security) App sind, deren Installation aber nicht Systemvoraussetzung ist. Beim Use Case Design, der Konfiguration von Correlation searches, Defintion individueller Risk scores sowie der Beschreibung/Verlinkung entsprechender Maßnahmen (Playbooks, Runbooks) in Splunk ES kann auf existierende Vorgehensweisen und Prozessen zurückgegriffen werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Respond & Recover

Die bisher beschriebenen Maßnahmen (z. B. Taggen in SAP, Enrichment, Risk score) unterstützen die Organisation dabei, vorliegende Incidents auf Basis der beispielsweise im Incident Management Plan fixierten Inhalte, zu klassifizieren sowie Maßnahmen direkt abzuleiten und zuzuweisen. Bei der möglicherweise notwendigen forensischen Untersuchung im Incident Response Prozess kann der Analyst im Security Operation Center direkt auf weitere produktseitig bereitgestellte Features (z. B. eine User Activity Summary) zurückgreifen, ohne die zugrundeliegenden Informationen aus verschiedenen Quellen ggf. manuell extrahieren zu müssen. Werden im „Lessons learned“ eines Incidents im Kontext SAP, mögliche Optimierungspotentiale in der Eventerzeugung und Vorqualifizierung in Cenoti oder der Verarbeitung in Splunk lokalisiert, bieten beiden Werkzeugen dahingehend flexible Anpassungsmöglichkeiten.

Fazit

Die Kombination aus Cenoti und Splunk bietet eine erprobte Option, Daten aus SAP in einem SIEM-Tool bzw. -Service zu integrieren, das Ziel „Umfassendes Lagebild“ in Bezug auf Informationssicherheit zu erreichen und so die Organisation bei der Erfüllung der Informationssicherheitsziele durch Absicherung der Primary Assets („Kronjuwelen“) bestmöglich zu unterstützen.

(ID:48317545)