So richten Sie eine Richtlinie zur Automatisierung der Überprüfung von SAP-Sicherheitshinweisen ein

Von:

26. Juni 2020

In meinem letzten Beitrag „Automatisierung alltäglicher Aufgaben mit der Platform Kosten und setzt Ressourcen frei“ habe ich beschrieben, wie Sie mithilfe der Platform bei der Überprüfung Ihrer SAP-Systeme in den Phasen Installation, Audit und Wartung sofortige Einsparungen erzielen können. Eine der häufigsten Aufgaben eines SAP-Basis-Administrators besteht darin, sicherzustellen, dass in den SAP-Systemen keine SAP-Sicherheitshinweise fehlen, um zu gewährleisten, dass die Systeme keinen bekannten Sicherheitslücken ausgesetzt sind.

SAP veröffentlicht jeden zweiten Dienstag im Monat neue Notes. Daher muss Ihr Basis-Team das SAP-Sicherheits-Notes-Portal ständig im Auge behalten, um die neuen Notes herunterzuladen und mit den eigenen Systemen abzugleichen. Dies kann ein sehr zeitaufwändiger Prozess sein, insbesondere wenn Sie mehrere Systeme überprüfen müssen. Die meisten Fortune-1000-Unternehmen verfügen über weit mehr als 50 SAP-Systeme, sodass die manuelle Durchführung eines Notes-Audits Tage bis Wochen in Anspruch nehmen kann. Mit der Platform können Sie eine Richtlinie erstellen, um Ihre SAP-Systeme innerhalb weniger Minuten auf fehlende Notes zu überprüfen. Die Platform die OP-Notes-Datenbank von SAP, vergleicht die Notes mit den auf Ihrem System installierten Notes und erstellt einen Bericht, damit Sie sofort mit der Behebung beginnen können, wodurch Ihr Basis-Team entlastet wird. Mit anderen Worten: Es erspart Ihrem Team – und Ihrem Unternehmen – viele Stunden manueller Arbeit, die ohne die Platform für diese Aufgabe erforderlich wären.

Im Folgenden zeige ich Ihnen, wie Sie mithilfe derComplyFunktionen der Platform eine Richtlinie erstellen , um auf fehlende SAP-Sicherheitshinweise zu prüfen Platform demonstriere Platform , wie einfach es ist, diese Funktion in Betrieb zu nehmen.

  • Gehen Sie unterComplyzu „Richtlinien“, klicken Sie auf „Richtlinie hinzufügen“ und dann auf „Neu erstellen“
OSS 1
  • Geben Sie einen „Namen“ und eine „Beschreibung“ für Ihre neue Richtlinie ein. Wir nennen diese Richtlinie „Prüfung fehlender OSS-Notizen“.
OSS 2
  • Füge einenControl hinzu (Control sind so etwas wie „Sammelbehälter“ für gängige Module)
OSS 3
  • Klicken Sie auf Ihren neuenControl und dann auf „Module hinzufügen/entfernen“
OSS 4
  • Bei diesem Scan werden wir nach fehlenden Sicherheitshinweisen für ABAP, JAVA und BOBJ suchen. Filtern Sie daher nach „Fehlende prüfen“ und wählen Sie die entsprechenden Module aus.
OSS 5
  • Sehen Sie sich die rechts angezeigten Module an und klicken Sie auf „Module hinzufügen/entfernen“
OSS 6
  • Sie haben nun eine neue Richtlinie erstellt , um auf fehlende Sicherheitshinweise zu ABAP, BOBJ und JAVA zu prüfen! Klicken Sie auf „Speichern und Beenden“.
OSS 7

Erstellen wir nun ein Audit unter Verwendung der neuen Richtlinie, die wir erstellt haben. Gehen Sie zuComply, „Audits“ und klicken Sie auf „Compliance-Audit hinzufügen“.

OSS 8
  • Wählen Sie den Anlagentyp „SAP“ aus
  • Geben Sie einen Namen für das Audit „Fehlende OSS-Notizen“ an
  • Wählen Sie Ihre neue Richtlinie „Prüfung fehlender OSS-Notizen“ aus
  • Geben Sie Ihre entsprechenden ABAP-, JAVA- und BOBJ-Zielsysteme ein. Wählen Sie unter „Ziel nach“ die Option „Assets“ aus.
  • Wählen Sie unter „Ausführung“ die Option „Jetzt ausführen“. Wir empfehlen, den Vorgang monatlich durchzuführen, um stets auf dem neuesten Stand zu bleiben.
  • Klicken Sie auf „Speichern“
OSS 9
  • Die Überprüfung wird automatisch durchgeführt und dauert einige Minuten. Klicken Sie nach Abschluss der Überprüfung auf den Eintrag und wählen Sie „Bericht anzeigen“.
OSS 11
  • Wählen Sie „Sicherheitslücken nach Problem“ aus, um die verschiedenen Berichte für jedes System (BOBJ, ABAP und JAVA) anzuzeigen.
  • Beachten Sie in der folgenden Ansicht, dass im ABAP-System 144 Sicherheitshinweise fehlen, die nach Hinweiskennnummer, Beschreibung, CVE, CVSS-Wert und SAP-Priorität aufgelistet sind. „HotNews“-Hinweise haben die höchste Priorität.
  • Wählen Sie „Alle exportieren“, um die gesamte Liste anzuzeigen.
  • Nachfolgend finden Sie eine Auswahl der für das ABAP-System gefundenen fehlenden Notizen.
OSS 12

Anhand der obigen Screenshots können Sie sehen, wie einfach es ist, eine benutzerdefinierte Richtlinie zu erstellen und eine Prüfung auf fehlende OSS-Notizen durchzuführen. Die gesamte Zeit, die für die Erstellung der Richtlinie für fehlende Notizen und die Durchführung der Prüfung benötigt wurde, betrug etwa 5 Minuten. Sie könnten diese Prüfung in Ihrer gesamten SAP-Landschaft durchführen und so Monat für Monat mehrere Stunden einsparen. Stunden, die Sie für andere Projekte und nicht für manuelle Aufgaben nutzen können.

Platform der Benutzerfreundlichkeit und Flexibilität der Platform jeder Benutzer in kürzester Zeit loslegen und Richtlinien für eine Vielzahl von Wartungsaufgaben erstellen, wie in diesem Beispiel (Suche nach fehlenden Sicherheitshinweisen), vom Sperrstatus eines Clients bis hin zur Überprüfung der SAP-GUI-Anmeldeparameter und vieles mehr. In meinem vorherigen Beitrag finden Sie eine ausführliche Liste der Aufgaben, die Basis-Administratoren ausführen. Sie werden sehen, dass die Platform für eine Vielzahl von alltäglichen Betriebsaufgaben genutzt werden Platform , um Ihrem Unternehmen Zeit und Geld zu sparen. Erfahren Sie Platform mehr über die Platform .
 

Alle SAP-Sicherheitshinweise anzeigen

Stichwörter, , ,
Über den Autor

Scott Winter

Scott Winter ist ein versierter Produktmanagement-Experte mit umfassender Erfahrung in der Entwicklung von Produktstrategien und Innovationen. Mit dem Schwerpunkt auf der Ausrichtung der Produktentwicklung an Kundenbedürfnissen und Markttrends hat Scott erfolgreich funktionsübergreifende Teams geleitet, um wirkungsvolle Lösungen zu entwickeln. Seine Fachkenntnisse umfassen Produktlebenszyklusmanagement, strategische Planung und Markteinführungsstrategien, was ihn zu einem wichtigen Faktor für das Unternehmenswachstum und den Produkterfolg macht. Bekannt für seinen kundenorientierten Ansatz, versteht es Scott meisterhaft, komplexe Herausforderungen in Innovationschancen zu verwandeln.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen