SAP环境中的安全威胁：

特别是在SAP环境中，员工的压力通常非常大。必须首先实现最多样化的业务需求。业务部门的愿望通常是多方面的。

另一方面，我们知道SAP系统是黑客、经济间谍和内部人士的主要目标。公司的王冠明珠通常位于SAP系统中。面临的挑战是检测和防止对这些数据的攻击。但这需要特殊的技术。对许多客户来说，使用内部资源似乎过于昂贵，因为其他地方急需人力。

需要处理安全信息和事件管理（SIEM）系统的具体要求。已知的攻击模式由SAP不断补充，必须在系统中映射。对于监视产品，通常需要时间来调查生成的警报。警报是攻击还是假阳性？成功检测到攻击后会发生什么情况？客户应该如何反应？客户必须采取什么措施来抵御攻击？

以下是我们需要找到答案的问题！

如何克服安全威胁？

将SAP日志文件直接集成到经典的SIEM系统中不是解决方案。如果您要针对SAP环境中的安全威胁制定一个实用且可持续的解决方案，那么SAP应用程序需要考虑太多的细节。明显的活动通常只能在不同日志文件中条目的关联中看到。典型的攻击模式由SAP直接提供。每2个月，SAP都会根据客户和合作伙伴的经验提供新的模式。你也从SIEM供应商那里得到这样的内容吗？下一个挑战是根据尚未安装的安全修补程序检测对SAP系统的攻击。此外，没有人会查看不同安全相关日志文件中提供的大量数据。对于更大的公司，每天的数据量可能超过3 TB。还有谁愿意每天为经典的SIEM系统提供3 TB的容量，大数据的发展，而仅仅出于法规遵从性的原因却得不到所需的保护呢？

经典的SIEM解决方案在这方面无能为力……

因此，大型企业中的许多客户在SAP应用程序级别使用SAP Enterprise Threat Detection来监视SAP环境，并将SAP ETD的警报集成到现有的经典SIEM解决方案中，以便在IT基础架构级别进一步处理和关联事件。这可以通过使用sapetd支持的警报发布API轻松完成。来自SIEM解决方案的警报也可以转发到SAP ETD。例如，已在基础设施级别检测到IP地址等可疑实体，并了解该IP地址的其他危害，此IP可在SAP ETD的应用程序级别上进行进一步研究。

当涉及到如何开始实施SAP安全信息和事件监视解决方案时，强烈建议遵循循序渐进的方法。开始监控您的SAP应用程序，并通过实施最关键的用例来保护最关键的数据。根据您的风险分析增强用例。

无论哪种方式，您都有一个针对SAP应用程序的警报系统，企业信息化应用，具有典型的攻击检测模式，新云，由SAP直接提供。重点：保护存储在SAP系统中最重要的数据！

IT基础设施托管服务和可疑活动监控：

基于这些要求，许多公司需要支持来运行SAP安全信息和事件监控解决方案。这可以通过托管服务方法提供。这些服务可以包含软件（SAP Enterprise Threat Detection）、在安全数据中心托管解决方案以及用于日常操作的附加服务。

a）托管安全服务

"托管安全服务"帮助客户管理IT环境中的可疑活动。SAP系统位于何处并在何处运行并不重要。支持内部部署或托管方案。SAP安全专家评估警报和调查。可以定制特殊的报警系统场景，以最小化项目成本并最大限度地提高最重要数据的安全级别。在与客户的研讨会上，大数据100，一位经验丰富的安全顾问与客户一起定义了公司最重要的数据是什么，以及这些数据在未来如何得到保护。

内部和外部攻击者在获取访问权限时留下痕迹，可以在实际攻击开始前被检测到。这就是为什么24*7或8*5（小时*天）方法并不总是必要的。如果一个有经验的安全专家在周一和周五工作一个小时来检测和评估SAP系统中的异常情况就足够了。SAP客户已经建立了这些设置。客户可以根据自己的需求，基于服务级别协议（SLA）定义服务量。客户可以轻松全面地报告可疑活动。只有在攻击未遂或成功的情况下，托管服务团队才会提醒客户，并评估进一步的反应。

b）托管

许多客户在托管区域寻求支持。对于SAP企业威胁检测，托管解决方案也是可能的。首先安装SAP HANA平台、SAP HANA流分析和SAP ETD。包括基于预期日志容量的大小调整。根据SAP和托管合作伙伴提供的服务，该应用程序可以在不同的数据中心运行。客户可以选择不同的证书和ISO标准。即使是托管sapetd也是可能的。在这种情况下，每日返利，SAP系统可以在本地运行，数据中心将只安装SAP Enterprise Threat Detection。