Sdílet prostřednictvím

Pokyny k nasazení pro Microsoft Defender for Endpoint v Linuxu pro SAP

  • Článek

Platí pro:

Tento článek obsahuje pokyny k nasazení pro Microsoft Defender for Endpoint v Linuxu pro SAP. Tento článek obsahuje doporučené poznámky k systému SAP OSS (Online Services System), požadavky na systém, požadavky, důležitá nastavení konfigurace, doporučená vyloučení antivirového softwaru a pokyny k plánování antivirových kontrol.

Konvenční bezpečnostní obrana, která se běžně používá k ochraně systémů SAP, jako je izolace infrastruktury za branami firewall a omezení interaktivních přihlášení k operačním systémům, se už nepovažuje za dostatečnou ke zmírnění moderních sofistikovaných hrozeb. Nasazení moderní obrany k detekci a omezování hrozeb v reálném čase je nezbytné. Aplikace SAP na rozdíl od většiny ostatních úloh vyžadují před nasazením Microsoft Defender for Endpoint základní posouzení a ověření. Podnikoví správci zabezpečení by měli před nasazením Defenderu for Endpoint kontaktovat tým SAP Basis. Základní tým SAP by měl být vytrénovaný se základní úrovní znalostí o Defenderu for Endpoint.

Aplikace SAP v Linuxu

Důležité

Při nasazování Defenderu for Endpoint v Linuxu se důrazně doporučuje eBPF. Další informace najdete v dokumentaci k eBPF. Defender for Endpoint byl vylepšen tak, aby používal architekturu eBPF.

Podporované distribuce zahrnují všechny běžné distribuce Linuxu, ale ne Suse 12.x. Zákazníkům se Suse 12.x doporučuje upgradovat na Suse 15. Suse 12.x používá starý Audit.D senzor, který má omezení výkonu.

Další informace o distribucích podpory najdete v tématu Použití senzoru založeného na eBPF pro Microsoft Defender for Endpoint v Linuxu.

Tady je několik důležitých bodů o aplikacích SAP na linuxovém serveru:

  • SAP podporuje jenom Suse, Redhat a Oracle Linux. Jiné distribuce se nepodporují pro aplikace SAP S4 ani NetWeaver.
  • Důrazně doporučujeme Suse 15.x, Redhat 9.x a Oracle Linux 9.x. Podporované distribuce zahrnují všechny běžné distribuce Linuxu, ale ne Suse 12.x.
  • Suse 11.x, Redhat 6.x a Oracle Linux 6.x se nepodporují.
  • Redhat 7.x a 8.x a Oracle Linux 7.x a 8.x jsou technicky podporované, ale už se netestují v kombinaci se softwarem SAP.
  • Suse a Redhat nabízejí distribuce přizpůsobené pro SAP. Tyto verze Suse a Redhat pro SAP můžou mít předinstalované různé balíčky a možná i jiná jádra.
  • SAP podporuje pouze určité systémy souborů Linux. Obecně se používají XFS a EXT3. Systém souborů Oracle Automatic Storage Management (ASM) se někdy používá pro Oracle DBMS a defender for Endpoint ho nemůže číst.
  • Některé aplikace SAP používají samostatné moduly, například TREX, Adobe Document Server, Content Server a LiveCache. Tyto moduly vyžadují specifickou konfiguraci a vyloučení souborů.
  • Aplikace SAP často mají adresáře transportu a rozhraní s mnoha tisíci malých souborů. Pokud je počet souborů větší než 100 000, může to mít vliv na výkon. Doporučujeme soubory archivovat.
  • Před nasazením do produkčního prostředí důrazně doporučujeme nasadit Defender for Endpoint na několik týdnů do neproduktivních prostředí SAP. Tým SAP Basis by měl používat nástroje, jako sysstatjsou , KSARa nmon k ověření, jestli jsou ovlivněné procesory a další parametry výkonu. Je také možné nakonfigurovat obecná vyloučení pomocí parametru globálního oboru a potom postupně snížit počet vyloučených adresářů.

Požadavky pro nasazení Microsoft Defender for Endpoint v Linuxu na virtuálních počítačích SAP

Od prosince 2024 je možné defender for Endpoint v Linuxu bezpečně nakonfigurovat s povolenou ochranou v reálném čase.

Výchozí možností konfigurace nasazení jako rozšíření Azure pro antivirovou ochranu je pasivní režim. To znamená, že Microsoft Defender Antivirus, antimalwarová nebo antimalwarová komponenta Microsoft Defender for Endpoint, nezachytává volání vstupně-výstupních operací. Doporučujeme spustit Defender for Endpoint v systému s povolenou ochranou v reálném čase pro všechny aplikace SAP. Takto:

  • Ochrana v reálném čase je zapnutá: Microsoft Defender Antivirus zachytává vstupně-výstupní volání v reálném čase.
  • Je zapnutá kontrola na vyžádání: V koncovém bodu můžete použít možnosti kontroly.
  • Automatická náprava hrozeb je zapnutá: Soubory se přesunou a správce zabezpečení se upozorní.
  • Aktualizace bezpečnostních informací jsou zapnuté: Výstrahy jsou k dispozici na portálu Microsoft Defender.

Online nástroje pro opravy jádra, jako je Ksplice nebo podobné, můžou vést k nepředvídatelné stabilitě operačního systému, pokud je spuštěný Defender for Endpoint. Před provedením online oprav jádra doporučujeme dočasně zastavit démona Defenderu for Endpoint. Po aktualizaci jádra je možné defender for Endpoint v Linuxu bezpečně restartovat. Tato akce je obzvláště důležitá u velkých virtuálních počítačů SAP HANA s obrovskými kontexty paměti.

Pokud je Microsoft Defender Antivirus spuštěný s ochranou v reálném čase, už není nutné plánovat kontroly. Měli byste alespoň jednou spustit kontrolu a nastavit směrný plán. Pak se v případě potřeby linuxový crontab obvykle používá k plánování Microsoft Defender antivirových kontrol a úloh obměny protokolů. Další informace najdete v tématu Plánování kontrol pomocí Microsoft Defender for Endpoint (Linux).

Funkce detekce a odezvy koncových bodů (EDR) je aktivní při každé instalaci Microsoft Defender for Endpoint v Linuxu. Funkce EDR je možné zakázat prostřednictvím příkazového řádku nebo konfigurace pomocí globálních vyloučení. Další informace o řešení potíží s EDR najdete v částech Užitečné příkazy a užitečné odkazy (v tomto článku).

Důležitá nastavení konfigurace pro Microsoft Defender for Endpoint v SAP v Linuxu

Doporučujeme zkontrolovat instalaci a konfiguraci Defenderu for Endpoint pomocí příkazu mdatp health.

Klíčové parametry doporučené pro aplikace SAP jsou následující:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Informace o řešení potíží s instalací najdete v tématu Řešení potíží s instalací Microsoft Defender for Endpoint v Linuxu.

Váš podnikový bezpečnostní tým musí získat úplný seznam antivirových vyloučení od správců SAP (obvykle od týmu SAP Basis). Doporučujeme nejprve vyloučit:

  • Datové soubory DBMS, soubory protokolů a dočasné soubory, včetně disků obsahujících záložní soubory
  • Celý obsah adresáře SAPMNT
  • Celý obsah adresáře SAPLOC
  • Celý obsah adresáře TRANS
  • Hana – vyloučení /hana/shared, /hana/data a /hana/log – viz poznámka 1730930
  • SQL Server – Konfigurace antivirového softwaru pro práci s SQL Server
  • Oracle – Viz Jak nakonfigurovat antivirový program na databázovém serveru Oracle (ID 782354.1)
  • DB2 – Dokumentace IBM: Které adresáře DB2 vyloučit s antivirovým softwarem
  • SAP ASE – kontaktujte SAP
  • MaxDB – kontaktujte SAP
  • Adobe Document Server, adresáře archivu SAP, TREX, LiveCache, Content Server a další samostatné moduly musí být před nasazením defenderu for Endpoint v produkčním prostředí pečlivě testovány v neprodukčním prostředí.

Systémy Oracle ASM nepotřebují vyloučení, protože Microsoft Defender for Endpoint neumí číst disky ASM.

Zákazníci s clustery Pacemaker by také měli nakonfigurovat tato vyloučení:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Zákazníci, kteří používají zásady zabezpečení Azure, můžou aktivovat kontrolu pomocí řešení Freeware Clam AV. Poté, co je virtuální počítač chráněný pomocí Microsoft Defender for Endpoint pomocí následujících příkazů, doporučujeme zakázat kontrolu Clam AV:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

Následující články podrobně popisují, jak nakonfigurovat vyloučení antivirového softwaru pro procesy, soubory a složky na jednotlivých virtuálních počítačích:

Plánování denní antivirové kontroly (volitelné)

Doporučená konfigurace pro aplikace SAP umožňuje zachytávání vstupně-výstupních volání v reálném čase pro antivirovou kontrolu. Doporučené nastavení je pasivní režim, ve kterém real_time_protection_enabled = true.

Aplikace SAP spuštěné ve starších verzích Linuxu nebo na přetíženém hardwaru můžou zvážit použití real_time_protection_enabled = false. V takovém případě by měly být naplánovány antivirové kontroly.

Další informace najdete v tématu Plánování kontrol pomocí Microsoft Defender for Endpoint (Linux).

Velké systémy SAP mohou mít více než 20 aplikačních serverů SAP, z nichž každý má připojení ke sdílené složce SAPMNT NFS. Dvacet nebo více aplikačních serverů současně kontrolujících stejný server NFS pravděpodobně přetíží server NFS. Defender for Endpoint v Linuxu ve výchozím nastavení neskenuje zdroje NFS.

Pokud existuje požadavek na kontrolu SAPMNT, měla by se tato kontrola nakonfigurovat jenom na jednom nebo dvou virtuálních počítačích.

Naplánované kontroly pro SAP ECC, BW, CRM, SCM, Solution Manager a další komponenty by měly být rozložené v různých časech, aby všechny komponenty SAP nepřetěžovaly sdílený zdroj úložiště NFS sdílený všemi komponentami SAP.

Užitečné příkazy

Pokud během ruční instalace nástroje zypper na Suse dojde k chybě Nic neposkytuje nástroje policycoreutils, přečtěte si téma Řešení potíží s instalací pro Microsoft Defender for Endpoint v Linuxu.

Existuje několik příkazů příkazového řádku, které můžou řídit provoz mdatp. Pokud chcete povolit pasivní režim, můžete použít následující příkaz:


mdatp config passive-mode --value enabled

Poznámka

Pasivní režim je výchozím režimem při instalaci Defenderu for Endpoint v Linuxu.

Pokud chcete zapnout ochranu v reálném čase, můžete použít příkaz :


mdatp config real-time-protection --value enabled

Tento příkaz informuje mdatp, aby načetl nejnovější definice z cloudu:


mdatp definitions update

Tento příkaz otestuje, jestli se mdatp může připojit ke cloudovým koncovým bodům v síti:


mdatp connectivity test

V případě potřeby aktualizují software mdatp tyto příkazy:


yum update mdatp



zypper update mdatp

Vzhledem k tomu, že mdatp běží jako systémová služba linuxu, můžete mdatp řídit pomocí příkazu služby, například:


service mdatp status

Tento příkaz vytvoří diagnostický soubor, který je možné nahrát do podpory Microsoftu:


sudo mdatp diagnostic create