모범 사례 7.4 - 사용자 액세스 및 권한 부여 변경 및 이벤트에 대한 로깅 및 보고 구현

SAP 시스템에서 사용자 액세스 및 권한 부여 이벤트는 정기적으로 기록, 분석 및 감사해야 합니다. SAP 애플리케이션 및 데이터베이스의 보안 이벤트를 아키텍처의 다른 구성 요소와 통합하고 상호 연결합니다. 그러면 심각한 보안 문제 또는 위반이 발생한 경우 엔드투엔드 추적이 가능합니다. 중앙 보안 정보 및 이벤트 관리(SIEM) 시스템에서 이벤트 분석을 자동화합니다. 이를 통해 운영 팀은 정상적인 시스템 제어 범위를 벗어나는 예상치 못한 활동 또는 의심스러운 활동이 발생하는지 파악할 수 있습니다. 그런 다음 필요에 따라 수정할 수 있습니다.

제안 사항 7.4.1 – AWS Identity and Access Management(IAM) 이벤트를 로그

AWS IAM 이벤트의 로그를 유지하는 것을 고려합니다. 이 로그는 AWS 계정 내의 사용자 및 권한 부여 변경 사항을 탐지 또는 감사하는 데 사용할 수 있습니다. 조직에 필요한 보안 정책에 따라 로그 보존 기간 및 로그할 이벤트 유형을 결정합니다.

운영 팀이 SAP 시스템의 인프라 수준에서 감사 질문에 답변할 수 있도록 지원합니다.

새 AWS 콘솔/CLI 사용자를 누가 언제 생성했습니까?
AWS IAM 역할을 누가 언제 수정했습니까?
AWS 사용자가 마지막으로 로그인한 시간은 언제입니까?
AWS 계정에 대한 의심스러운 로그인 시도 실패가 있었습니까?

자세한 내용은 다음을 참조하세요.

AWS 설명서: IAM 모범 사례: AWS 계정에서 활동 모니터링
AWS 설명서: AWS CloudTrail을 사용하여 IAM 및 AWS STS API 호출 로깅
AWS Well-Architected Framework [보안]: 탐지
AWS 보안 블로그 Amazon GuardDuty 조사 결과 시각화

제안 사항 7.4.2 – 운영 체제의 사용자 및 권한 부여 변경 사항을 로그

탐지 또는 감사에 사용할 수 있도록 운영 체제(OS) 사용자 및 권한 부여 이벤트의 로그를 유지하는 것을 고려합니다. 조직에 필요한 보안 정책에 따라 로그 보존 기간 및 로그할 이벤트 유형을 결정합니다.

운영 팀이 SAP 시스템의 운영 체제 수준에서 다음과 같은 감사 질문에 답변할 수 있도록 지원합니다.

새 슈퍼 사용자 OS 계정을 누가 언제 생성했습니까?
OS 계정 권한을 누가 언제 수정했습니까?
OS 사용자가 마지막으로 로그인한 시간은 언제입니까?
OS 계정에 대한 의심스러운 로그인 시도 실패가 있었습니까?
OS 사용자가 승격된 권한을 마지막으로 사용한 시기는 언제입니까?

운영 체제 수준 감사에 대한 자세한 내용은 다음을 참조하세요.

운영 체제	Guidance
SUSE Linux Enterprise Server	Setting Up the Linux Audit Framework \| Security Guide(Linux Audit Framework 설정 \| 보안 가이드)
Red Hat Enterprise Linux	Chapter 13. Auditing the system Red Hat Enterprise Linux 8 \| Security Guide(13장. Red Hat Enterprise Linux 8 시스템 감사 \| 보안 가이드)
Microsoft Windows	Windows 감사 정책 권장 사항
Oracle Enterprise Linux	Oracle Linux 8 Enhancing System Security - Auditing and Monitoring(시스템 보안을 개선하는 Oracle Linux 8 - 감사 및 모니터링)

제안 사항 7.4.3 – SAP 애플리케이션, 데이터베이스 사용자 및 권한 부여 이벤트를 로그

탐지 또는 감사에 사용할 수 있도록 SAP 사용자 및 권한 부여 이벤트의 로그를 유지하는 것을 고려합니다. 애플리케이션 스택(예: ABAP 권한 부여)과 데이터베이스(예: SAP HANA)를 모두 고려합니다. 조직에 필요한 보안 정책에 따라 로그 보존 기간 및 로그할 이벤트 유형을 결정합니다.

운영 팀이 SAP 애플리케이션 및 데이터베이스 수준에서 다음과 같은 이벤트에 대한 감사 질문에 답변할 수 있도록 지원합니다.

새 SAP 또는 데이터베이스 계정을 누가 언제 생성했습니까?
SAP 또는 데이터베이스 계정 권한을 누가 언제 수정했습니까?
SAP 또는 데이터베이스 사용자가 마지막으로 로그인한 시간은 언제입니까?
계정에 대한 의심스러운 로그인 시도 실패가 있었습니까?
계정이 마지막으로 사용한 민감한 트랜잭션 코드 또는 도구는 무엇입니까?

자세한 내용은 다음을 참조하세요.

SAP 설명서: SAP Access Control and Governance | User Access(SAP 액세스 제어 및 거버넌스 | 사용자 액세스)
SAP 설명서: SAP NetWeaver ABAP: The Security Audit Log(SAP NetWeaver ABAP: 보안 감사 로그)
SAP 설명서: SAP NetWeaver JAVA: The Security Audit Log(SAP NetWeaver JAVA: 보안 감사 로그)
SAP 설명서: SAP HANA: Auditing Activity in SAP HANA(SAP HANA: SAP HANA의 감사 활동)

제안 사항 7.4.4 – 분석을 위해 보안 정보 및 이벤트 관리(SIEM) 시스템에서 사용자 및 권한 부여 이벤트를 통합

상관 관계 및 분석이 가능하도록 SAP 워크로드 구성 요소 전체에서 모든 사용자 및 권한 부여 이벤트를 중앙 SIEM 도구로 보내는 것을 고려합니다. SAP Enterprise Threat Detection, 서드 파티 추가 기능 같은 도구를 사용하거나 SAP 감사 로그를 애플리케이션 및 데이터베이스 서버에서 수집 및 분석 도구로 직접 보냅니다.

워크로드의 기준 동작을 설정하고 이상 동작을 모니터링하여 보안 사고 탐지를 개선합니다.

실시간으로 워크로드를 모니터링하고, 보안 문제를 식별하고, 근본 원인 분석 및 수정을 신속하게 처리할 수 있도록 AWS Marketplace SIEM 솔루션 을 고려합니다.

자세한 내용은 다음 리소스를 참조하세요.

AWS Marketplace: SIEM 솔루션
AWS 설명서: AWS Security Hub
SAP 설명서: SAP Enterprise Threat Detection
Well-Architected Framework [보안]: Security Incident Response(보안 사고 대응)
AWS 설명서: AWS Security Incident Response(AWS 보안 사고 대응) - 기술 백서

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

모범 사례 7.3 - 조직의 자격 증명 관리 접근 방식 및 SAP에 대한 적용 이해

8 - 저장 및 전송 중 SAP 데이터 보호