大家好，

SAP Enterprise Threat Detection于5年前发布。在3年以上的售前经验和200次客户演示之后，我想与您分享一些其他信息。

SAP Enterprise Threat Detection（ETD）和Security information and Event Management（SIEM）。区别是什么？它们如何协同工作？

我将尝试给出答案……

简介：

很多公司已经有了一个正在运行的SIEM产品，或者只是在评估中选择一个。

7年前，SAP IT（运行我们自己的SAP系统）正在寻找一种基于SAP日志文件信息发现SAP应用程序级可疑活动的解决方案。这次检查的结果是在这个领域开发一个产品，因为现有的产品不具备SAP应用层所需的功能。为什么？

SAP ETD的一般方法不同。sapetd是根据不同SAP应用程序在几个SAP日志文件中写入的信息，数据分析平台，从SAP应用程序级别收集数据。下图显示了SAP ETD自动支持的不同日志文件（HANA、ABAP和Java）。

SAP应用程序中的操作可以在SAP日志文件中监控。诸如调试、关键事务调用、授权更改、将数据从事务下载到文件之类的事件在基础结构级别上是不可能看到的。此外，在基础设施层面上，员工的职位等元信息也不可用。

结果：SIEM产品和SAP ETD都在监控日志文件信息，大数据和云计算，但重点不同。经典的SIEM产品侧重于基础设施层面，通常只能部分监控SAP应用程序层面，甚至根本无法监控SAP世界。

因此，我们需要回答的最重要的问题是：

您是想单独使用监控工具还是将应用程序和基础设施层面连接在一起？要回答这个问题，您有以下选项：

1）使用ETD就像一个有重点场景的警报信号

https://blogs.sap.com/2019/05/06/sap-alarm-system-avoid-data-breaks-with-sap-enterprise-threat-detection/

在这样的环境下运行SAP ETD，不需要在领先的SIEM产品中集成SAP ETD警报。在这样的环境中，SAP管理员可以维护ETD并确保检测到数据泄露。重点是只保护存储在SAP应用程序中的最重要的数据。

这种对可疑活动的监视应该是对每个客户的基本保护，这些客户拥有存储在SAP系统中的重要数据。

2）只在基础设施和网络级别监视IT环境。

只有在您的公司没有这样做的情况下，才应该这样做在SAP应用程序中拥有重要数据。在这种情况下，您不需要监视SAP中的活动。请记住，在对存储在SAP应用程序中的数据的攻击中，95%以上的攻击来自内部来源。这些攻击通常直接在应用程序级别执行，如果您只关注IT环境，则无法检测到这些攻击。

3）在没有SAP ETD的情况下，在领先的SIEM产品中直接集成SAP日志文件信息。

一些SIEM工具可以从技术上集成SAP日志文件，如SAP安全审核日志或其他SAP日志文件。这有用吗？

让我们看看SAP ETD的功能，其他SIEM系统不提供：

a）SAP根据我们从客户那里得到的信息不断更新安全模式，合作伙伴和安全机构

https://blogs.sap.com/2019/07/03/new-and-updated-attack-detection-patterns-with-sap-enterprise-threat-detection-2.0-and-sap-security-notes/

这有助于我们的客户不断直接从SAP获得最新的保护。如果可能的话，我们甚至会在宣布最新的SAP漏洞时直接为您提供这些漏洞的模式。这是一种在生产系统无法停机时保护您的环境的方法。这是一种虚拟的补丁。

b）通常黑客试图掩盖这些痕迹。他删除不同日志文件中的条目以确保不会被检测到。sapetd确实有一种独特的技术来实时复制日志文件信息。这意味着sapetd会根据日志文件信息记录并保存攻击者的活动，甚至攻击者也会从原始数据中删除这些信息。在同一过程中，数据被化名，以保证德国工作委员会的要求。

c）在当前版本的SAP ETD 2.0中，已经支持第一个云（多租户版本（STE））。SAP ETD集成了SAP云平台（SCP）。意思：对SCP的攻击将在SAP ETD中进行监控。

您可以看到SAP ETD的优势是巨大的。这些功能为保护您的SAP环境提供了独特的价值。

请注意，SAP日志文件（如业务事务日志）每天可以轻松生成超过1 TB的数据。这可能会对您的SIEM产品的性能和许可证需求产生影响。

结果：这就是为什么在SIEM工具中直接集成SAP日志文件可能不是正确的选择。

4）在领先的SIEM产品中集成SAP ETD

这是许多客户用来结合两个世界中最好的方法。针对SAP应用程序的SAP ETD和针对基础架构和网络级别的SIEM工具。这种方法主要用于已经考虑到SIEM产品的大中型公司。

在这种环境下，我们有两种不同的方法来集成到领先的SIEM产品中。您可以使用JSON标准API或通过LEEF格式进行集成。

我们与多家SIEM供应商（IBM QRadar、HP ArcSight等）合作，以确保顺利集成。SAP安全社区提供了集成示例，如：

IBM QRadar:

https://blogs.sap.com/2018/04/28/sap-enterprise-threat-detection-integrated-in-ibm-qradar/

HP ArcSight:

https://blogs.sap.com/2016/05/18/sap-enterprise-threat-detection-integrated-into-hewlett-packard-enterprise-arcsight/

可使用其他SIEM工具集成使用相同的技术。