SAP Enterprise Threat Detection（SAP ETD）允许早期检测SAP环境中的关键事件，大数据处理平台，并使IT安全分析师能够采取适当措施阻止网络攻击或欺诈事件。安全关键事件是根据与已知攻击模式进行实时比较的日志文件的评估来确定的。但是如果攻击在日志文件中没有留下任何痕迹，会发生什么呢？

作者：DENIS BORMOTOV，VIRTUAL FORGE

简介

SAP ETD提供了对大量日志进行分析和事件关联的能力。由于能够处理不同的日志，SAP ETD为安全分析师提供了一个有效的工具，使他们能够实时获取有关正在进行的活动或异常的安全相关信息，并将其与过去发生的事件进行比较。

一个平均的SAP系统可以有大量的日志和几千个以上的日志每秒生成的事件数。在持续的攻击中，这个数字会增加。SAP ETD利用基础HANA数据库并通过将事件数据与已知攻击模式进行比较，帮助处理和处理大量数据。

仅依靠日志，SAP ETD仍然可以错过重要的安全事件，1元云购，大数据都学什么，因为它们在日志中没有留下任何痕迹。这是Virtual Forge SystemProfiler可以加强和补充SAP ETD的地方。

SystemProfiler帮助管理员利用最先进的技术验证整个SAP环境中每天发生的数千个配置设置和更改的状态。

在安全缺陷出现之前消除它们使SystemProfiler方法更主动、更有效。从关键安全事件的角度来看，SystemProfiler利用了事先保护SAP系统的优势。意识到预期的缺陷类型可以开发系统安全和配置强化的主动方法。

SystemProfiler与SAP ETD的集成让安全分析师从这两种方法中受益，并带来全面的安全生命周期：从检测漏洞到缓解活动，直至维持有效的安全状态。

在我将要描述的集成场景中，SAP ETD检测到的可疑和恶意活动得到SystemProfiler发现的补充。此外，SystemProfiler根据新发现的漏洞进行配置，通过持续的配置验证过程保护系统来响应威胁。

不留痕迹的事件

两种解决方案组合识别的攻击者活动的一个示例是带有恶意电子邮件的鱼叉式钓鱼攻击附件。攻击很简单：发送者假装是同事或朋友。一个合理的理由说服受害者点击并打开文件。这样，就会执行一个简短的VBA脚本，并暴露SAP系统中已知但未修补的漏洞。在更复杂的场景中，这甚至可能导致直接在数据库级别创建具有广泛权限的用户。

此攻击在SAP日志中没有留下任何痕迹，因为在使用F4搜索的事务SU01中看不到创建的用户。但是在SystemProfiler检查期间，这种隐藏用户被检测到并报告给sapetd。用户更改日志中实际没有条目，因此标准ETD模式为该类型场景生成的警报表明这可能是一个严重的安全事件。

当ETD检测到可疑活动并发出警报时，云服务器价位，安全分析师可以利用SAP ETD数据库中的两个数据存储库开始调查警报：日志文件事件和SystemProfiler生成的配置扫描结果。以下YouTube视频演示了如何利用SAP ETD和SystemProfiler检测攻击。

如何使用SystemProfiler配置SAP ETD

此配置需要通过SystemProfiler SIEM接口和SAP SDS项目进行平面文件集成，以便导入CEF文件。让我们从CEF接口开始。

SAP HANA SDS提供了使用CEF文件将第三方产品集成到SAP ETD中的功能。这是通过使用CEF解析器项目实现的。CEF parser项目概述如下：Jürgen Frank的博客文章"在SAP Enterprise Threat Detection中以CEF格式摄取日志"。

项目可以自动解析标准CEF头。标头信息包含时间戳、供应商和产品名称、产品版本、事件ID、事件文本和严重性。CEF文件扩展名包含与事件和系统事件发起人相关的所有信息。

对于项目配置，CCX和CCR文件必须部署在安装了SDS插件的SAP HANA studio中，或部署在HANA驾驶舱中SAP HANA智能数据流管理和监控组的流项目磁贴中。

确保如果您在CCL文件中实现任何更改来编译项目。如果您希望调整CEF文件解析，以便将包含重要数据的CEF扩展名分配给ETD字段，则这是必要的。

标准CEF解析器项目行为在处理后删除文件。这对于避免SAP ETD中的重复结果是必要的。确保您对传输文件夹设置了正确的操作系统权限，以便进行处理。

SystemProfiler SIEM配置

SystemProfiler能够以CEF文件的格式将结果提供给其他系统。称为SIEM配置的功能需要配置测试用例。SystemProfiler为一些测试用例提供了现成的配置，可以进一步扩展。

SystemProfiler体系结构包括一个作为服务器的中央系统和作为卫星系统的目标系统。所有配置都在中央系统中执行。该系统将是在目标和中央系统本身中检测到的所有结果的系统报告者。所有与SystemProfiler报告的已识别威胁信息相关的信息都将写入CEF文件。

配置需要设置后台调度程序运行，并设置逻辑文件名和路径以及物理文件名和路径分配。