Freigeben über

Bereitstellungsleitfaden für Microsoft Defender for Endpoint unter Linux für SAP

  • Artikel

Gilt für:

Dieser Artikel enthält Bereitstellungsanleitungen für Microsoft Defender for Endpoint unter Linux für SAP. Dieser Artikel enthält empfohlene SAP OSS-Hinweise (Online Services System), die Systemanforderungen, Voraussetzungen, wichtige Konfigurationseinstellungen, empfohlene Antivirenausschlüsse und Anleitungen zum Planen von Antivirenscans.

Herkömmliche Sicherheitsschutzmaßnahmen, die häufig zum Schutz von SAP-Systemen verwendet werden, z. B. das Isolieren der Infrastruktur hinter Firewalls und das Einschränken interaktiver Betriebssystemanmeldungen, werden nicht mehr als ausreichend angesehen, um moderne komplexe Bedrohungen abzuwehren. Es ist wichtig, moderne Schutzmaßnahmen bereitzustellen, um Bedrohungen in Echtzeit zu erkennen und einzudämmen. SAP-Anwendungen erfordern im Gegensatz zu den meisten anderen Workloads eine grundlegende Bewertung und Überprüfung, bevor sie Microsoft Defender for Endpoint bereitstellen. Die Sicherheitsadministratoren des Unternehmens sollten sich vor der Bereitstellung von Defender für Endpunkt an das SAP Basis-Team wenden. Das SAP-Basisteam sollte mit einem grundlegenden Wissen über Defender für Endpunkt trainiert werden.

SAP-Anwendungen unter Linux

Wichtig

Wenn Sie Defender für Endpunkt unter Linux bereitstellen, wird eBPF dringend empfohlen. Weitere Informationen finden Sie in der eBPF-Dokumentation. Defender für Endpunkt wurde für die Verwendung des eBPF-Frameworks erweitert.

Die unterstützten Distributionen umfassen alle gängigen Linux-Distributionen, aber nicht Suse 12.x. Suse 12.x-Kunden wird empfohlen, ein Upgrade auf Suse 15 durchzuführen. Suse 12.x verwendet einen alten Audit.D basierten Sensor mit Leistungsbeschränkungen.

Weitere Informationen zu Supportverteilungen finden Sie unter Verwenden eines eBPF-basierten Sensors für Microsoft Defender for Endpoint unter Linux.

Hier sind einige wichtige Punkte zu SAP-Anwendungen unter Linux Server:

  • SAP unterstützt nur Suse, Redhat und Oracle Linux. Andere Distributionen werden für SAP S4- oder NetWeaver-Anwendungen nicht unterstützt.
  • Suse 15.x, Redhat 9.x und Oracle Linux 9.x werden dringend empfohlen. Die unterstützten Distributionen umfassen alle gängigen Linux-Distributionen, aber nicht Suse 12.x.
  • Suse 11.x, Redhat 6.x und Oracle Linux 6.x werden nicht unterstützt.
  • Redhat 7.x und 8.x sowie Oracle Linux 7.x und 8.x werden technisch unterstützt, aber nicht mehr in Kombination mit SAP-Software getestet.
  • Suse und Redhat bieten maßgeschneiderte Distributionen für SAP. Für diese "for SAP"-Versionen von Suse und Redhat sind möglicherweise verschiedene Pakete vorinstalliert und möglicherweise unterschiedliche Kernels.
  • SAP unterstützt nur bestimmte Linux-Dateisysteme. Im Allgemeinen werden XFS und EXT3 verwendet. Das Asm-Dateisystem (Oracle Automatic Storage Management) wird manchmal für Oracle DBMS verwendet und kann von Defender für Endpunkt nicht gelesen werden.
  • Einige SAP-Anwendungen verwenden eigenständige Engines, z. B. TREX, Adobe Document Server, Content Server und LiveCache. Diese Engines erfordern bestimmte Konfigurationen und Dateiausschlüsse.
  • SAP-Anwendungen verfügen häufig über Transport- und Schnittstellenverzeichnisse mit vielen Tausenden von kleinen Dateien. Wenn die Anzahl der Dateien größer als 100.000 ist, kann dies die Leistung beeinträchtigen. Es wird empfohlen, Dateien zu archivieren.
  • Es wird dringend empfohlen, Defender für Endpunkt mehrere Wochen in nicht produktiven SAP-Landschaften bereitzustellen, bevor sie in der Produktion bereitgestellt werden. Das SAP-Basisteam sollte Tools wie sysstat, KSARund nmon verwenden, um zu überprüfen, ob cpu- und andere Leistungsparameter betroffen sind. Es ist auch möglich, umfassende Ausschlüsse mit dem globalen Bereichsparameter zu konfigurieren und dann die Anzahl der ausgeschlossenen Verzeichnisse inkrementell zu reduzieren.

Voraussetzungen für die Bereitstellung von Microsoft Defender for Endpoint unter Linux auf SAP-VMs

Ab Dezember 2024 kann Defender für Endpunkt unter Linux sicher mit aktiviertem Echtzeitschutz konfiguriert werden.

Die Standardkonfigurationsoption für die Bereitstellung als Azure-Erweiterung für Antivirus ist der passive Modus. Dies bedeutet, dass Microsoft Defender Antivirus, die Antiviren-/Antischadsoftwarekomponente von Microsoft Defender for Endpoint, keine E/A-Aufrufe abfängt. Es wird empfohlen, Defender für Endpunkt in mit aktiviertem Echtzeitschutz für alle SAP-Anwendungen auszuführen. Daher gilt:

  • Echtzeitschutz ist aktiviert: Microsoft Defender Antivirus fängt E/A-Aufrufe in Echtzeit ab.
  • On-Demand-Überprüfung ist aktiviert: Sie können Scanfunktionen auf dem Endpunkt verwenden.
  • Die automatische Bedrohungsbehebung ist aktiviert: Dateien werden verschoben, und der Sicherheitsadministrator wird benachrichtigt.
  • Security Intelligence-Updates sind aktiviert: Warnungen sind im Microsoft Defender-Portal verfügbar.

Online-Kernelpatchtools wie Ksplice oder ähnliches können zu unvorhersehbarer Stabilität des Betriebssystems führen, wenn Defender für Endpunkt ausgeführt wird. Es wird empfohlen, den Defender für Endpunkt-Daemon vor dem Online-Kernelpatching vorübergehend zu beenden. Nachdem der Kernel aktualisiert wurde, kann Defender für Endpunkt unter Linux sicher neu gestartet werden. Diese Aktion ist besonders wichtig für große SAP HANA-VMs mit großen Arbeitsspeicherkontexten.

Wenn Microsoft Defender Antivirus mit Echtzeitschutz ausgeführt wird, ist es nicht mehr erforderlich, Überprüfungen zu planen. Sie sollten mindestens einmal eine Überprüfung ausführen, um eine Baseline festzulegen. Anschließend wird bei Bedarf der Linux-Crontab in der Regel verwendet, um Microsoft Defender Antivirusscans und Protokollrotationsaufgaben zu planen. Weitere Informationen finden Sie unter Planen von Überprüfungen mit Microsoft Defender for Endpoint (Linux).

Die EDR-Funktionalität (Endpoint Detection and Response) ist immer aktiv, wenn Microsoft Defender for Endpoint unter Linux installiert ist. EDR-Funktionen können über die Befehlszeile oder Konfiguration mithilfe globaler Ausschlüsse deaktiviert werden. Weitere Informationen zur Problembehandlung bei EDR finden Sie in den Abschnitten Nützliche Befehle und Nützliche Links (in diesem Artikel).

Wichtige Konfigurationseinstellungen für Microsoft Defender for Endpoint unter SAP unter Linux

Es wird empfohlen, die Installation und Konfiguration von Defender für Endpunkt mit dem Befehl mdatp healthzu überprüfen.

Folgende wichtige Parameter werden für SAP-Anwendungen empfohlen:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Informationen zur Behandlung von Installationsproblemen finden Sie unter Behandeln von Installationsproblemen für Microsoft Defender for Endpoint unter Linux.

Ihr Unternehmenssicherheitsteam muss eine vollständige Liste der Antivirenausschlüsse von den SAP-Administratoren (in der Regel das SAP-Basisteam) abrufen. Es wird empfohlen, zunächst Folgendes auszuschließen:

  • DBMS-Datendateien, Protokolldateien und temporäre Dateien, einschließlich Datenträgern mit Sicherungsdateien
  • Der gesamte Inhalt des SAPMNT-Verzeichnisses
  • Der gesamte Inhalt des SAPLOC-Verzeichnisses
  • Der gesamte Inhalt des TRANS-Verzeichnisses
  • Hana : Ausschließen von "/hana/shared", "/hana/data" und "/hana/log" finden Sie unter Hinweis 1730930
  • SQL Server – Konfigurieren von Antivirensoftware für die Verwendung mit SQL Server
  • Oracle – Weitere Informationen finden Sie unter Konfigurieren von Virenschutz auf Oracle Database Server (Dokument-ID 782354.1).
  • DB2 – IBM-Dokumentation: Welche DB2-Verzeichnisse mit Antivirensoftware ausgeschlossen werden sollen
  • SAP ASE – Kontaktieren von SAP
  • MaxDB – Sap kontaktieren
  • Adobe Document Server, SAP Archive Directories, TREX, LiveCache, Content Server und andere eigenständige Engines müssen sorgfältig in Nichtproduktionslandschaften getestet werden, bevor Defender für Endpunkt in der Produktion bereitgestellt wird.

Oracle ASM-Systeme benötigen keine Ausschlüsse, da Microsoft Defender for Endpoint asm-Datenträger nicht lesen können.

Kunden mit Pacemaker-Clustern sollten auch diese Ausschlüsse konfigurieren:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Kunden, die die Azure-Sicherheitsrichtlinie ausführen, können eine Überprüfung mithilfe der Freeware Clam AV-Lösung auslösen. Es wird empfohlen, die Clam-AV-Überprüfung zu deaktivieren, nachdem ein virtueller Computer mit Microsoft Defender for Endpoint mit den folgenden Befehlen geschützt wurde:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

In den folgenden Artikeln wird beschrieben, wie Sie Antivirenausschlüsse für Prozesse, Dateien und Ordner pro einzelnem virtuellen Computer konfigurieren:

Planen einer täglichen Antivirenüberprüfung (optional)

Die empfohlene Konfiguration für SAP-Anwendungen ermöglicht das Abfangen von E/A-Aufrufen für Antivirenscans in Echtzeit. Die empfohlene Einstellung ist der passive Modus, in dem real_time_protection_enabled = true.

SAP-Anwendungen, die unter älteren Versionen von Linux oder auf überladener Hardware ausgeführt werden, können die Verwendung von real_time_protection_enabled = falsein Betracht ziehen. In diesem Fall sollten Antivirenscans geplant werden.

Weitere Informationen finden Sie unter Planen von Überprüfungen mit Microsoft Defender for Endpoint (Linux).

Große SAP-Systeme verfügen möglicherweise über mehr als 20 SAP-Anwendungsserver, die jeweils über eine Verbindung mit der SAPMNT NFS-Freigabe verfügen. Zwanzig oder mehr Anwendungsserver, die denselben NFS-Server gleichzeitig überprüfen, überlasten wahrscheinlich den NFS-Server. Standardmäßig überprüft Defender für Endpunkt unter Linux keine NFS-Quellen.

Wenn sapMNT überprüft werden muss, sollte diese Überprüfung nur auf einem oder zwei VMs konfiguriert werden.

Geplante Überprüfungen für SAP ECC, BW, CRM, SCM, Solution Manager und andere Komponenten sollten zu unterschiedlichen Zeiten gestaffelt werden, um zu vermeiden, dass alle SAP-Komponenten eine freigegebene NFS-Speicherquelle überladen, die von allen SAP-Komponenten gemeinsam genutzt wird.

Nützliche Befehle

Wenn während der manuellen Zypper-Installation unter Suse der Fehler "Nothing provides 'policycoreutils'" auftritt, finden Sie weitere Informationen unter Behandeln von Installationsproblemen für Microsoft Defender for Endpoint unter Linux.

Es gibt mehrere Befehlszeilenbefehle, die den Betrieb von mdatp steuern können. Um den passiven Modus zu aktivieren, können Sie den folgenden Befehl verwenden:


mdatp config passive-mode --value enabled

Hinweis

Der passive Modus ist der Standardmodus bei der Installation von Defender für Endpunkt unter Linux.

Um den Echtzeitschutz zu aktivieren, können Sie den folgenden Befehl verwenden:


mdatp config real-time-protection --value enabled

Dieser Befehl weist mdatp an, die neuesten Definitionen aus der Cloud abzurufen:


mdatp definitions update

Dieser Befehl testet, ob mdatp eine Verbindung mit den cloudbasierten Endpunkten im Netzwerk herstellen kann:


mdatp connectivity test

Diese Befehle aktualisieren bei Bedarf die mdatp-Software:


yum update mdatp



zypper update mdatp

Da mdatp als Linux-Systemdienst ausgeführt wird, können Sie mdatp mithilfe des Dienstbefehls steuern, z. B.:


service mdatp status

Dieser Befehl erstellt eine Diagnosedatei, die in den Microsoft-Support hochgeladen werden kann:


sudo mdatp diagnostic create