Práctica recomendada 7.4: implemente la creación de registros e informes cuando accedan usuarios y cuando se produzcan cambios en la autorización o eventos relacionados con esta

Los eventos de acceso y autorización de usuarios en sus sistemas SAP deben registrarse, analizarse y auditarse con regularidad. Consolide y correlacione los eventos de seguridad de sus aplicaciones y base de datos de SAP con otros componentes de su arquitectura. De esta forma, podrá permitir el seguimiento de extremo a extremo en caso de un problema de seguridad crítico o una vulneración. Automatice el análisis de eventos en un sistema central de Security Information and Event Management (SIEM, información de seguridad y administración de eventos). Así podrá permitir que su equipo de operaciones comprenda si ocurre alguna actividad inesperada o sospechosa fuera de los límites de los controles normales del sistema. Luego su equipo podrá aportar soluciones según sea necesario.

Sugerencia 7.4.1: registre eventos de AWS Identity and Access Management (IAM)

Considere mantener un registro histórico de los eventos de IAM en AWS. Esto se puede utilizar en la detección o auditoría de cambios de usuario y autorización dentro de las cuentas de AWS. Determine su período de retención de registros y los tipos de eventos por registrar en función de las políticas de seguridad requeridas por sus organizaciones.

Permita que su equipo de operaciones responda preguntas de auditoría relacionadas con la infraestructura de su sistema SAP:

¿Quién creó la nueva consola de AWS o el nuevo usuario de la CLI y cuándo se hizo?
¿Quién modificó el rol de IAM de AWS y cuándo se hizo?
¿Cuándo fue la última vez que el usuario de AWS inició sesión con éxito?
¿Hay una cantidad sospechosa de intentos de inicio de sesión fallidos en la cuenta de AWS?

Para obtener más información, considere consultar los siguientes recursos:

Documentación de AWS: Prácticas recomendadas de IAM: monitorice la actividad en su cuenta de AWS
Documentación de AWS: Registro de llamadas a la API de AWS STS y de IAM con AWS CloudTrail
AWS Well-Architected Framework [seguridad]: Detección
Blog de seguridad de AWS: Visualizing Amazon GuardDuty findings (Visualización de hallazgos de Amazon GuardDuty)

Sugerencia 7.4.2: registre los cambios de usuario y de autorización en su sistema operativo

Considere mantener un registro histórico de los eventos relacionados con los usuarios y la autorización del sistema operativo, de modo que se puedan utilizar en la detección o la auditoría. Determine su período de retención de registros y los tipos de eventos por registrar en función de las políticas de seguridad requeridas por sus organizaciones.

Permita que su equipo de operaciones responda preguntas de auditoría relacionadas con el sistema operativo de su sistema SAP:

¿Quién creó la nueva cuenta del sistema operativo del superusuario y cuándo se hizo?
¿Quién modificó los permisos de la cuenta del sistema operativo y cuándo se hizo?
¿Cuándo fue la última vez que el usuario del sistema operativo inició sesión con éxito?
¿Hay una cantidad sospechosa de intentos de inicio de sesión fallidos en la cuenta del sistema operativo?
¿Cuándo fue la última vez que el usuario de su sistema operativo utilizó permisos elevados?

Para obtener más información sobre la auditoría en el sistema operativo, considere consultar los siguientes recursos:

Sistema operativo	Guía
SUSE Linux Enterprise Server	Setting Up the Linux Audit Framework \| Security Guide (Configuración del marco de auditoría de Linux \| Guía de seguridad)
Red Hat Enterprise Linux	Capítulo 14. Auditing the system Red Hat Enterprise Linux 8 \| Security Guide (Auditoría del sistema Red Hat Enterprise Linux 8 \| Guía de seguridad)
Microsoft Windows	Recomendaciones de la directiva de auditoría
Oracle Enterprise Linux	Oracle Linux 8 Enhancing System Security - Auditing and Monitoring (Oracle Linux 8 Mejora de la seguridad del sistema: auditoría y supervisión)

Sugerencia 7.4.3: registre los eventos de autorización y de usuarios de la base de datos y de la aplicación SAP

Considere mantener un registro histórico de los eventos de autorización y de usuarios de SAP, de modo que puedan utilizarse en detección o auditoría. Considere tanto la pila de aplicaciones (por ejemplo, autorizaciones de ABAP) como su base de datos (por ejemplo, SAP HANA). Determine su período de retención de registros y los tipos de eventos por registrar en función de las políticas de seguridad requeridas por sus organizaciones.

Permita que su equipo de operaciones responda preguntas de auditoría sobre la aplicación y la base de datos de SAP en el caso de que se produzcan eventos como los que se detallan a continuación:

¿Quién creó la nueva cuenta de SAP o de la base de datos y cuándo se hizo?
¿Quién modificó los permisos de la cuenta de SAP o de la base de datos y cuándo se hizo?
¿Cuándo fue la última vez que el usuario de SAP o de la base de datos inició sesión con éxito?
¿Hay una cantidad sospechosa de intentos de inicio de sesión fallidos en la cuenta?
¿Qué códigos de transacción confidenciales o herramientas utilizó la cuenta por última vez?

Para obtener más información, considere consultar los siguientes recursos:

Documentación de SAP: SAP Access Control and Governance | User Access (Control de acceso y gobernanza de SAP | Acceso de usuario)
Documentación de SAP: SAP NetWeaver ABAP: The Security Audit Log (SAP NetWeaver ABAP: el registro de auditoría de seguridad)
Documentación de SAP: SAP NetWeaver JAVA: The Security Audit Log (SAP NetWeaver JAVA: el registro de auditoría de seguridad)
Documentación de SAP: SAP HANA: Auditing Activity in SAP HANA (SAP HANA: actividad de auditoría en SAP HANA)

Sugerencia 7.4.4: consolide los eventos de usuarios y de autorización en un sistema de SIEM para su análisis

Considere enviar todos los eventos relacionados con los usuarios y con la autorización que ocurren en los componentes de la carga de trabajo de SAP a una herramienta de SIEM central para permitir la correlación y el análisis. Utilice herramientas como SAP Enterprise Threat Detection o complementos de terceros, o envíe directamente sus registros de auditoría de SAP desde sus servidores de aplicaciones y bases de datos a una herramienta de análisis y procesamiento de datos.

Establezca comportamientos de referencia para su carga de trabajo y supervise las anomalías para mejorar la detección de incidentes de seguridad.

Considere utilizar las soluciones de SIEM de AWS Marketplace para supervisar su carga de trabajo en tiempo real, identificar problemas de seguridad y acelerar el análisis y la corrección de la causa raíz.

Para obtener más información, considere los siguientes recursos:

AWS Marketplace: Soluciones de SIEM
Documentación de AWS: AWS Security Hub
Documentación de SAP: SAP Enterprise Threat Detection
Well-Architected Framework [seguridad]: Respuesta ante incidentes
Documentación de AWS: AWS Security Incident Response Guide (Respuesta ante incidentes de seguridad de AWS: documento técnico)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Práctica recomendada 7.3: comprenda el enfoque de administración de identidad de su organización y cómo se aplica a SAP

8. Proteja sus datos de SAP en reposo y en tránsito