2020-08-16 21:51发布
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)亲爱的Firends,我们有对话... 显示全部
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
亲爱的Firends,我们有对话框用户ID [DDIC&SAP *]和两个服务用户ID,分别是SAP_ALL和SAP_NEW。 审计部门要求每月进行审查。
请让我知道以下信息:-
1。 只能为特定ID激活SM20安全日志。 如果是,请告诉我们如何?
2。 还是STAD日志足以满足需要?
3。 如果有其他最佳做法,请分享。
谢谢
Raj
正如沃伦(Warren)所述,应该锁定SAP通用ID,并且不要使用它们,尤其是SAP *; 实施后,该帐户永远不要真正使用。 在某些情况下,您需要使用DDIC,但应遵循您的消防员程序。
对于非对话用户,也应遵循最小特权原则; 不需要,并且最重要的是,不需要向他们提供SAP中的每个角色/配置文件。
在回应您的审核要求方面,
1。 您需要清理用户/角色分配,这是并且应该是您的首要任务。
2。 清理角色和配置文件分配后,如果您想监视特定的提升帐户,则可以使用多个来源来评估用户活动,而不仅仅是执行程序或执行tcode(即查看STAD数据)。 这些日志中的每一个都有不同的用途,包括查看AUT10 tcode(表日志和更改文档文档),用于事务/程序历史记录的STAD日志,用于事务和客户端维护活动的安全审核日志(SM20)以及系统日志(SM21)。 用于系统活动(例如调试)。
归根结底,"补救措施"不是要进行监视活动,因为监视活动不应将风险降低到可接受的水平。 您的选择是进行补救,方法是固定角色/配置文件分配,然后通过对重要事件进行监视来减轻残留风险。
PS:是,可以为目标用户启用SM20。 您通过SM19进行配置。 有大量的注释和SAP文章,向您展示如何配置SAP安全审核日志(SAL-SM20)报告。
最多设置5个标签!
正如沃伦(Warren)所述,应该锁定SAP通用ID,并且不要使用它们,尤其是SAP *; 实施后,该帐户永远不要真正使用。 在某些情况下,您需要使用DDIC,但应遵循您的消防员程序。
对于非对话用户,也应遵循最小特权原则; 不需要,并且最重要的是,不需要向他们提供SAP中的每个角色/配置文件。
在回应您的审核要求方面,
1。 您需要清理用户/角色分配,这是并且应该是您的首要任务。
2。 清理角色和配置文件分配后,如果您想监视特定的提升帐户,则可以使用多个来源来评估用户活动,而不仅仅是执行程序或执行tcode(即查看STAD数据)。 这些日志中的每一个都有不同的用途,包括查看AUT10 tcode(表日志和更改文档文档),用于事务/程序历史记录的STAD日志,用于事务和客户端维护活动的安全审核日志(SM20)以及系统日志(SM21)。 用于系统活动(例如调试)。
归根结底,"补救措施"不是要进行监视活动,因为监视活动不应将风险降低到可接受的水平。 您的选择是进行补救,方法是固定角色/配置文件分配,然后通过对重要事件进行监视来减轻残留风险。
PS:是,可以为目标用户启用SM20。 您通过SM19进行配置。 有大量的注释和SAP文章,向您展示如何配置SAP安全审核日志(SAL-SM20)报告。
一周热门 更多>