ベストプラクティス 7.4 – ユーザーアクセスと認可の変更およびイベントについてロギングとレポートを実装する
SAP システムのユーザーアクセスと認可イベントをログに記録し、分析し、定期的に監査する必要があります。SAP アプリケーションおよびデータベースのセキュリティイベントをアーキテクチャの他のコンポーネントと統合し、照合します。これにより、重大なセキュリティ問題や違反が発生した場合に、エンドツーエンドな追跡が可能です。中央のセキュリティ情報およびイベント管理 (SIEM) システムでイベントの分析を自動化します。これにより、オペレーションチームは、予定外または疑わしいアクティビティが通常のシステムコントロールの外部で発生したかどうか理解できます。その後、必要に応じて修正することができます。
提案 7.4.1 – AWS Identity and Access Management (IAM) イベントをログに記録する
AWS IAM イベントの履歴ログの保持を検討します。これは AWS アカウント内のユーザーや認可の変更を検出または監査するのに使用できます。ログの保持期間とログに記録するイベントのタイプを、組織によって必要とされるセキュリティポリシーに基づいて決定します。
オペレーションチームが SAP システムのインフラストラクチャレベルで監査の質問に答えられるようにします。
-
新しい AWS コンソール/CLI ユーザーは、いつ、誰によって作成されましたか?
-
AWS IAM ロールは、いつ、誰によって変更されましたか?
-
AWS ユーザーが最後に正常にサインインしたのはいつですか?
-
AWS アカウントへのサインインの試みに失敗した疑わしい回数はありますか?
詳細については、以下を参照してください。
-
AWS ドキュメント: IAM ベストプラクティス: AWS アカウントのアクティビティを監視する
-
AWS ドキュメント: AWS CloudTrail による IAM および AWS STS の API コールのログ記録
-
AWS Well-Architected Framework [セキュリティ]: 検出
-
AWS セキュリティブログ: Visualizing Amazon GuardDuty findings (Amazon GuardDuty の調査結果を視覚化する)
提案 7.4.2 – オペレーティングシステムでのユーザーおよび認可の変更をログに記録する
検出または監査に使用できるように、オペレーティングシステム (OS) のユーザーおよび認可イベントの履歴ログを保持することを検討します。ログの保持期間とログに記録するイベントのタイプを、組織によって必要とされるセキュリティポリシーに基づいて決定します。
オペレーションチームが SAP システムのオペレーティングシステムレベルで次のような監査の質問に答えられるようにします。
-
新しいスーパーユーザー OS アカウントは、いつ、誰によって作成されましたか?
-
OS アカウントの許可は、いつ、誰によって変更されましたか?
-
OS ユーザーが最後に正常にサインインしたのはいつですか?
-
OS アカウントへのサインインの試みに失敗した疑わしい回数はありますか?
-
OS ユーザーが昇格された許可を最後に使用したのはいつですか?
オペレーティングシステムの監査の詳細については、以下を考慮してください。
| オペレーティングシステム | Guidance |
|---|---|
| SUSE Linux Enterprise Server (SLES) |
Linux 監査フレームワークのセットアップ | セキュリティガイド |
| Red Hat Enterprise Linux |
第 13 章システム Red Hat Enterprise Linux 8 の監査 | セキュリティガイド |
| Microsoft Windows |
Windows 監査ポリシーレコメンデーション |
| Oracle Enterprise Linux |
Oracle Linux 8 システムセキュリティの強化 - 監査とモニタリング |
提案 7.4.3 – SAP アプリケーションとデータベースのユーザーおよび認可イベントをログに記録する
検出または監査に使用できるように、SAP のユーザーおよび認可イベントの履歴ログを保持することを検討します。アプリケーションスタック (ABAP 認可など) とデータベース (SAP HANA など) の両方を考慮します。ログの保持期間とログに記録するイベントのタイプを、組織によって必要とされるセキュリティポリシーに基づいて決定します。
オペレーションチームがイベントの SAP アプリケーションおよびデータベースレベルで次のような監査の質問に答えられるようにします。
-
新しい SAP またはデータベースアカウントは、いつ、誰によって作成されましたか?
-
SAP またはデータベースアカウントの許可は、いつ、誰によって変更されましたか?
-
SAP またはデータベースユーザーが最後に正常にサインインしたのはいつですか?
-
アカウントへのサインインの試みに失敗した疑わしい回数はありますか?
-
アカウントが最後に使用した機密トランザクションコードまたはツールは何ですか?
詳細については、以下を参照してください。
-
SAP ドキュメント: SAP Access Control and Governance | User Access (SAP アクセスコントロールとガバナンス | ユーザーアクセス)
-
SAP ドキュメント: SAP NetWeaver ABAP: The Security Audit Log (SAP NetWeaver ABAP: セキュリティ監査ログ)
-
SAP ドキュメント: SAP NetWeaver JAVA: The Security Audit Log (SAP NetWeaver JAVA: セキュリティ監査ログ)
-
SAP ドキュメント: SAP HANA: Auditing Activity in SAP HANA (SAP HANA: SAP HANA でのアクティビティの監査)
提案 7.4.4 – 分析のために、ユーザーおよび認可イベントをセキュリティ情報およびイベント管理 (SIEM) システムで統合する
ユーザーおよび認可イベントのすべてを SAP ワークロードコンポーネントから中央の SIEM ツールに送信して、照合と分析を可能にすることを検討します。SAP Enterprise Threat Detection、サードパーティーのアドオンなどのツールを使用するか、SAP 監査ログをアプリケーションおよびデータベースサーバーから取り込みおよび分析ツールに直接送信します。
ワークロードのベースライン動作を確立し、異常がないかモニタリングして、セキュリティインシデントの検出を高めます。
検討
AWS Marketplace SIEM ソリューション
詳細については、以下のリソースを考慮してください。
-
AWS Marketplace: SIEM ソリューション
-
AWS ドキュメント: AWS Security Hub
-
SAP ドキュメント: SAP Enterprise Threat Detection
-
Well-Architected Framework [セキュリティ]: セキュリティインシデント対応
-
AWS ドキュメント: AWS セキュリティインシデント対応 - テクニカルホワイトペーパー
