Bereitstellungsleitfaden für Microsoft Defender for Endpoint unter Linux für SAP
Gilt für:
- Microsoft Defender for Endpoint-Server
- Microsoft Defender für Server
Dieser Artikel enthält Bereitstellungsanleitungen für Microsoft Defender for Endpoint unter Linux für SAP. Dieser Artikel enthält empfohlene SAP OSS-Hinweise (Online Services System), die Systemanforderungen, Voraussetzungen, wichtige Konfigurationseinstellungen, empfohlene Antivirenausschlüsse und Anleitungen zum Planen von Antivirenscans.
Herkömmliche Sicherheitsschutzmaßnahmen, die häufig zum Schutz von SAP-Systemen verwendet werden, z. B. das Isolieren der Infrastruktur hinter Firewalls und das Einschränken interaktiver Betriebssystemanmeldungen, werden nicht mehr als ausreichend angesehen, um moderne komplexe Bedrohungen abzuwehren. Es ist wichtig, moderne Schutzmaßnahmen bereitzustellen, um Bedrohungen in Echtzeit zu erkennen und einzudämmen. SAP-Anwendungen erfordern im Gegensatz zu den meisten anderen Workloads eine grundlegende Bewertung und Überprüfung, bevor sie Microsoft Defender for Endpoint bereitstellen. Die Sicherheitsadministratoren des Unternehmens sollten sich vor der Bereitstellung von Defender für Endpunkt an das SAP Basis-Team wenden. Das SAP-Basisteam sollte mit einem grundlegenden Wissen über Defender für Endpunkt trainiert werden.
Empfohlene SAP OSS-Hinweise
- 2248916 : Welche Dateien und Verzeichnisse sollten von einer Antivirenüberprüfung für SAP BusinessObjects Business Intelligence Platform-Produkte unter Linux/Unix ausgeschlossen werden? – SAP ONE Support Launchpad
- 1984459: Welche Dateien und Verzeichnisse von einer Antivirenüberprüfung für SAP Data Services ausgeschlossen werden sollen – SAP ONE Support Launchpad
- 2808515: Installieren von Sicherheitssoftware auf SAP-Servern unter Linux – SAP ONE Support Launchpad
- 1730930 – Verwenden von Antivirensoftware in einem SAP HANA-Anwendung – SAP ONE Support Launchpad
- 1730997 – Nicht empfohlene Versionen von Antivirensoftware – SAP ONE Support Launchpad
SAP-Anwendungen unter Linux
- SAP unterstützt nur Suse, Redhat und Oracle Linux. Andere Distributionen werden für SAP S4- oder NetWeaver-Anwendungen nicht unterstützt.
- Suse 15.x, Redhat 8.x oder 9.x und Oracle Linux 8.x werden dringend empfohlen.
- Suse 12.x, Redhat 7.x und Oracle Linux 7.x werden technisch unterstützt, wurden aber nicht umfassend getestet.
- Suse 11.x, Redhat 6.x und Oracle Linux 6.x werden möglicherweise nicht unterstützt und wurden nicht getestet.
- Suse und Redhat bieten maßgeschneiderte Distributionen für SAP. Für diese "for SAP"-Versionen von Suse und Redhat sind möglicherweise verschiedene Pakete vorinstalliert und möglicherweise unterschiedliche Kernels.
- SAP unterstützt nur bestimmte Linux-Dateisysteme. Im Allgemeinen werden XFS und EXT3 verwendet. Das Asm-Dateisystem (Oracle Automatic Storage Management) wird manchmal für Oracle DBMS verwendet und kann von Defender für Endpunkt nicht gelesen werden.
- Einige SAP-Anwendungen verwenden "eigenständige Engines" wie TREX, Adobe Document Server, Content Server und LiveCache. Diese Engines erfordern bestimmte Konfigurationen und Dateiausschlüsse.
- SAP-Anwendungen verfügen häufig über Transport- und Schnittstellenverzeichnisse mit vielen Tausenden von kleinen Dateien. Wenn die Anzahl der Dateien größer als 100.000 ist, kann dies die Leistung beeinträchtigen. Es wird empfohlen, Dateien zu archivieren.
- Es wird dringend empfohlen, Defender für Endpunkt mehrere Wochen in nicht produktiven SAP-Landschaften bereitzustellen, bevor sie in der Produktion bereitgestellt werden. Das SAP-Basisteam sollte Tools wie
sysstat
,KSAR
undnmon
verwenden, um zu überprüfen, ob cpu- und andere Leistungsparameter betroffen sind.
Voraussetzungen für die Bereitstellung von Microsoft Defender for Endpoint unter Linux auf SAP-VMs
- Microsoft Defender for Endpoint Version>= 101.23082.0009 | Releaseversion: 30.123082.0009 oder höher muss bereitgestellt werden.
- Microsoft Defender for Endpoint unter Linux unterstützt alle Linux-Releases, die von SAP-Anwendungen verwendet werden.
- Microsoft Defender for Endpoint unter Linux erfordert eine Verbindung mit bestimmten Internetendpunkten von VMs, um Antivirendefinitionen zu aktualisieren.
- Microsoft Defender for Endpoint unter Linux erfordert einige Crontabeinträge (oder andere Aufgabenplanungseinträge), um Überprüfungen, Protokollrotation und Microsoft Defender for Endpoint Updates zu planen. Unternehmenssicherheitsteams verwalten diese Einträge normalerweise. Weitere Informationen finden Sie unter Planen eines Updates für Microsoft Defender for Endpoint unter Linux.
Die Standardkonfigurationsoption für die Bereitstellung als Azure-Erweiterung für Antivirus ist der passive Modus. Dies bedeutet, dass Microsoft Defender Antivirus, die Antiviren-/Antischadsoftwarekomponente von Microsoft Defender for Endpoint, keine E/A-Aufrufe abfängt. Es wird empfohlen, Microsoft Defender for Endpoint im passiven Modus für alle SAP-Anwendungen auszuführen und eine Überprüfung einmal täglich zu planen. In diesem Modus:
- Echtzeitschutz ist deaktiviert: Bedrohungen werden nicht durch Microsoft Defender Antivirus behoben.
- On-Demand-Überprüfung ist aktiviert: Verwenden Sie weiterhin die Scanfunktionen auf dem Endpunkt.
- Die automatische Bedrohungsbehebung ist deaktiviert: Es werden keine Dateien verschoben, und der Sicherheitsadministrator muss die erforderlichen Maßnahmen ergreifen.
- Security Intelligence-Updates sind aktiviert: Warnungen sind auf dem Mandanten des Sicherheitsadministrators verfügbar.
Online-Kernelpatchtools wie Ksplice oder ähnliches können zu unvorhersehbarer Betriebssystemstabilität führen, wenn Defender für Endpunkt ausgeführt wird. Es wird empfohlen, den Defender für Endpunkt-Daemon vor dem Online-Kernelpatching vorübergehend zu beenden. Nachdem der Kernel aktualisiert wurde, kann Defender für Endpunkt unter Linux sicher neu gestartet werden. Dies ist besonders wichtig für große SAP HANA-VMs mit großen Arbeitsspeicherkontexten.
Das Linux-Crontab wird in der Regel verwendet, um aufgaben Microsoft Defender for Endpoint AV-Überprüfung und Protokollrotation zu planen: Planen von Überprüfungen mit Microsoft Defender for Endpoint (Linux)
Die EDR-Funktionalität (Endpoint Detection and Response) ist immer aktiv, wenn Microsoft Defender for Endpoint unter Linux installiert ist. Es gibt keine einfache Möglichkeit, die EDR-Funktionalität über die Befehlszeile oder Konfiguration zu deaktivieren. Weitere Informationen zur Problembehandlung bei EDR finden Sie in den Abschnitten Nützliche Befehle und Nützliche Links.
Wichtige Konfigurationseinstellungen für Microsoft Defender for Endpoint unter SAP unter Linux
Es wird empfohlen, die Installation und Konfiguration von Defender für Endpunkt mit dem Befehl mdatp health
zu überprüfen.
Die wichtigsten Parameter, die für SAP-Anwendungen empfohlen werden, sind:
healthy = true
-
release_ring = Production
. Vorabversions- und Insiderringe sollten nicht mit SAP-Anwendungen verwendet werden. -
real_time_protection_enabled = false
. Der Echtzeitschutz ist im passiven Modus deaktiviert. Dies ist der Standardmodus und verhindert das Abfangen von E/A in Echtzeit. automatic_definition_update_enabled = true
-
definition_status = "up_to_date"
. Führen Sie ein manuelles Update aus, wenn ein neuer Wert identifiziert wird. -
edr_early_preview_enabled = "disabled"
. Wenn dies auf SAP-Systemen aktiviert ist, kann dies zu Systeminstabilität führen. -
conflicting_applications = [ ]
. Andere AV- oder Sicherheitssoftware, die auf einem virtuellen Computer wie Clam installiert ist. -
supplementary_events_subsystem = "ebpf"
. Fahren Sie nicht fort, wenn ebpf nicht angezeigt wird. Wenden Sie sich an das Sicherheitsadministratorteam.
Dieser Artikel enthält einige nützliche Hinweise zur Behandlung von Installationsproblemen für Microsoft Defender for Endpoint: Behandeln von Installationsproblemen für Microsoft Defender for Endpoint unter Linux
Empfohlene Microsoft Defender for Endpoint Antivirusausschlüsse für SAP unter Linux
Das Unternehmenssicherheitsteam muss eine vollständige Liste der Antivirenausschlüsse von den SAP-Administratoren (in der Regel das SAP-Basisteam) abrufen. Es wird empfohlen, zunächst Folgendes auszuschließen:
- DBMS-Datendateien, Protokolldateien und temporäre Dateien, einschließlich Datenträgern mit Sicherungsdateien
- Der gesamte Inhalt des SAPMNT-Verzeichnisses
- Der gesamte Inhalt des SAPLOC-Verzeichnisses
- Der gesamte Inhalt des TRANS-Verzeichnisses
- Der gesamte Inhalt von Verzeichnissen für eigenständige Engines wie TREX
- Hana : Ausschließen von "/hana/shared", "/hana/data" und "/hana/log" finden Sie unter Hinweis 1730930
- SQL Server – Konfigurieren von Antivirensoftware für die Verwendung mit SQL Server – SQL Server
- Oracle – Weitere Informationen finden Sie unter Konfigurieren von Virenschutz auf Oracle Database Server (Dokument-ID 782354.1).
- DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
- SAP ASE – Kontaktieren von SAP
- MaxDB – Sap kontaktieren
Oracle ASM-Systeme benötigen keine Ausschlüsse, da Microsoft Defender for Endpoint asm-Datenträger nicht lesen können.
Kunden mit Pacemaker-Clustern sollten auch diese Ausschlüsse konfigurieren:
mdatp exclusion folder add --path /usr/lib/pacemaker/ (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*
Kunden, die die Azure-Sicherheitsrichtlinie ausführen, können eine Überprüfung mithilfe der Freeware Clam AV-Lösung auslösen. Es wird empfohlen, die Clam-AV-Überprüfung zu deaktivieren, nachdem ein virtueller Computer mit Microsoft Defender for Endpoint mit den folgenden Befehlen geschützt wurde:
sudo azsecd config -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status
In den folgenden Artikeln wird beschrieben, wie Av-Ausschlüsse für Prozesse, Dateien und Ordner pro einzelnem virtuellen Computer konfiguriert werden:
- Einrichten von Ausschlüssen für Microsoft Defender Antivirusscans
- Häufige Fehler, die beim Festlegen von Ausschlüssen vermieden werden sollten
Planen einer täglichen AV-Überprüfung
Die empfohlene Konfiguration für SAP-Anwendungen deaktiviert das Echtzeitabfangen von E/A-Aufrufen für AV-Überprüfungen. Die empfohlene Einstellung ist der passive Modus, in dem real_time_protection_enabled = false.
Der folgende Link enthält Details zum Planen einer Überprüfung: Planen von Überprüfungen mit Microsoft Defender for Endpoint (Linux).
Große SAP-Systeme verfügen möglicherweise über mehr als 20 SAP-Anwendungsserver mit jeweils einer Verbindung mit der SAPMNT NFS-Freigabe. Zwanzig oder mehr Anwendungsserver, die denselben NFS-Server gleichzeitig überprüfen, überlasten wahrscheinlich den NFS-Server. Standardmäßig überprüft Defender für Endpunkt unter Linux keine NFS-Quellen.
Wenn sapMNT überprüft werden muss, sollte diese Überprüfung nur auf einem oder zwei virtuellen Computern konfiguriert werden.
Geplante Überprüfungen für SAP ECC, BW, CRM, SCM, Solution Manager und andere Komponenten sollten zu unterschiedlichen Zeiten gestaffelt werden, um zu vermeiden, dass alle SAP-Komponenten eine freigegebene NFS-Speicherquelle überladen, die von allen SAP-Komponenten gemeinsam genutzt wird.
Nützliche Befehle
Wenn während der manuellen Zypper-Installation unter Suse der Fehler "Nothing provides 'policycoreutils'" auftritt, finden Sie weitere Informationen unter: Behandeln von Installationsproblemen für Microsoft Defender for Endpoint unter Linux.
Es gibt mehrere Befehlszeilenbefehle, die den Betrieb von mdatp steuern können. Um den passiven Modus zu aktivieren, können Sie den folgenden Befehl verwenden:
mdatp config passive-mode --value enabled
Hinweis
Der passive Modus ist der Standardmodus bei der Installation von Defender für Endpunkt unter Linux.
Um den Echtzeitschutz zu deaktivieren, können Sie den folgenden Befehl verwenden:
mdatp config real-time-protection --value disabled
Dieser Befehl weist mdatp an, die neuesten Definitionen aus der Cloud abzurufen:
mdatp definitions update
Dieser Befehl testet, ob mdatp über das Netzwerk eine Verbindung mit den cloudbasierten Endpunkten herstellen kann:
mdatp connectivity test
Diese Befehle aktualisieren bei Bedarf die mdatp-Software:
yum update mdatp
zypper update mdatp
Da mdatp als Linux-Systemdienst ausgeführt wird, können Sie mdatp mithilfe des Dienstbefehls steuern, z. B.:
service mdatp status
Dieser Befehl erstellt eine Diagnosedatei, die in den Microsoft-Support hochgeladen werden kann:
sudo mdatp diagnostic create
Nützliche Links
Microsoft Endpoint Manager unterstützt Linux derzeit nicht.
Microsoft Tech Community: Bereitstellen von Microsoft Defender for Endpoint auf Linux-Servern
Behandeln von Problemen mit der Cloudkonnektivität für Microsoft Defender for Endpoint unter Linux
Behandeln von Leistungsproblemen für Microsoft Defender for Endpoint unter Linux