Compartir a través de

Guía de implementación para Microsoft Defender para punto de conexión en Linux para SAP

  • Artículo

Se aplica a:

En este artículo se proporcionan instrucciones de implementación para Microsoft Defender para punto de conexión en Linux para SAP. En este artículo se incluyen las notas recomendadas de SAP OSS (Online Services System), los requisitos del sistema, los requisitos previos, la configuración importante, las exclusiones de antivirus recomendadas y las instrucciones sobre la programación de exámenes antivirus.

Las defensas de seguridad convencionales que se han usado habitualmente para proteger los sistemas SAP, como aislar la infraestructura detrás de firewalls y limitar los inicios de sesión del sistema operativo interactivo, ya no se consideran suficientes para mitigar las amenazas sofisticadas modernas. Es esencial implementar defensas modernas para detectar y contener amenazas en tiempo real. Las aplicaciones de SAP, a diferencia de la mayoría de las demás cargas de trabajo, requieren una evaluación y validación básicas antes de implementar Microsoft Defender para punto de conexión. Los administradores de seguridad empresarial deben ponerse en contacto con el equipo de SAP Basis antes de implementar Defender para punto de conexión. El equipo de base de SAP debe entrenarse de forma cruzada con un nivel básico de conocimiento sobre Defender para punto de conexión.

Aplicaciones sap en Linux

Importante

Al implementar Defender para punto de conexión en Linux, se recomienda encarecidamente eBPF. Para obtener más información, consulte la documentación de eBPF. Defender for Endpoint se ha mejorado para usar el marco eBPF.

Las distribuciones admitidas incluyen todas las distribuciones comunes de Linux, pero no Suse 12.x. Se recomienda a los clientes de Suse 12.x que actualicen a Suse 15. Suse 12.x usa un sensor basado en antiguo Audit.D que tiene limitaciones de rendimiento.

Para obtener más información sobre las distribuciones de soporte técnico, consulte Uso del sensor basado en eBPF para Microsoft Defender para punto de conexión en Linux.

Estos son algunos puntos importantes sobre las aplicaciones SAP en Linux Server:

  • SAP solo admite Suse, Redhat y Oracle Linux. No se admiten otras distribuciones para aplicaciones de SAP S4 o NetWeaver.
  • Se recomienda encarecidamente Suse 15.x, Redhat 9.x y Oracle Linux 9.x. Las distribuciones admitidas incluyen todas las distribuciones comunes de Linux, pero no Suse 12.x.
  • No se admiten Suse 11.x, Redhat 6.x y Oracle Linux 6.x.
  • Redhat 7.x y 8.x, y Oracle Linux 7.x y 8.x son técnicamente compatibles, pero ya no se prueban en combinación con el software SAP.
  • Suse y Redhat ofrecen distribuciones personalizadas para SAP. Estas versiones "para SAP" de Suse y Redhat podrían tener paquetes diferentes preinstalados y posiblemente kernels diferentes.
  • SAP solo admite determinados sistemas de archivos Linux. En general, se usan XFS y EXT3. El sistema de archivos de Administración automática de almacenamiento (ASM) de Oracle a veces se usa para ORACLE DBMS y Defender para punto de conexión no puede leerlo.
  • Algunas aplicaciones sap usan motores independientes, como TREX, Adobe Document Server, Content Server y LiveCache. Estos motores requieren exclusiones específicas de archivos y configuración.
  • Las aplicaciones SAP suelen tener directorios de transporte e interfaz con muchos miles de archivos pequeños. Si el número de archivos es mayor que 100 000, podría afectar al rendimiento. Se recomienda archivar archivos.
  • Se recomienda encarecidamente implementar Defender para punto de conexión en entornos de SAP no productivos durante varias semanas antes de la implementación en producción. El equipo de base de SAP debe usar herramientas como sysstat, KSARy nmon para comprobar si la CPU y otros parámetros de rendimiento se ven afectados. También es posible configurar exclusiones amplias con el parámetro de ámbito global y, a continuación, reducir incrementalmente el número de directorios que se excluyen.

Requisitos previos para implementar Microsoft Defender para punto de conexión en Linux en máquinas virtuales SAP

A partir de diciembre de 2024, Defender para punto de conexión en Linux se puede configurar de forma segura con la protección en tiempo real habilitada.

La opción de configuración predeterminada para la implementación como una extensión de Azure para antivirus es el modo pasivo. Esto significa que Microsoft Defender Antivirus, el componente antivirus o antimalware de Microsoft Defender para punto de conexión, no intercepta las llamadas de E/S. Se recomienda ejecutar Defender para punto de conexión en con la protección en tiempo real habilitada en todas las aplicaciones de SAP. Por lo tanto:

  • La protección en tiempo real está activada: Microsoft Defender Antivirus intercepta las llamadas de E/S en tiempo real.
  • El examen a petición está activado: puede usar funcionalidades de examen en el punto de conexión.
  • La corrección automática de amenazas está activada: los archivos se mueven y se alerta al administrador de seguridad.
  • Las actualizaciones de inteligencia de seguridad están activadas: las alertas están disponibles en el portal de Microsoft Defender.

Las herramientas de aplicación de revisiones del kernel en línea, como Ksplice o similares, pueden dar lugar a una estabilidad imprevisible del sistema operativo si Defender para punto de conexión se está ejecutando. Se recomienda detener temporalmente el demonio de Defender para punto de conexión antes de realizar la aplicación de revisiones del kernel en línea. Una vez actualizado el kernel, Defender para punto de conexión en Linux se puede reiniciar de forma segura. Esta acción es especialmente importante en máquinas virtuales de SAP HANA de gran tamaño con contextos de memoria enormes.

Cuando Microsoft Defender Antivirus se ejecuta con protección en tiempo real, ya no es necesario programar exámenes. Debe ejecutar un examen al menos una vez para establecer una línea base. A continuación, si es necesario, la crontab de Linux se usa normalmente para programar Microsoft Defender exámenes antivirus y tareas de rotación de registros. Para obtener más información, consulte Programación de exámenes con Microsoft Defender para punto de conexión (Linux).

La funcionalidad de detección y respuesta de puntos de conexión (EDR) está activa cada vez que se instala Microsoft Defender para punto de conexión en Linux. La funcionalidad de EDR se puede deshabilitar mediante la línea de comandos o la configuración mediante exclusiones globales. Para obtener más información sobre la solución de problemas de EDR, consulte las secciones Comandos útiles y Vínculos útiles (en este artículo).

Valores de configuración importantes para Microsoft Defender para punto de conexión en SAP en Linux

Se recomienda comprobar la instalación y configuración de Defender para punto de conexión con el comando mdatp health.

Los parámetros clave recomendados para las aplicaciones SAP son los siguientes:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Para obtener información sobre cómo solucionar problemas de instalación, consulte Solución de problemas de instalación para Microsoft Defender para punto de conexión en Linux.

El equipo de seguridad de la empresa debe obtener una lista completa de exclusiones de antivirus de los administradores de SAP (normalmente, el equipo de base de SAP). Se recomienda excluir inicialmente:

  • Archivos de datos dbms, archivos de registro y archivos temporales, incluidos los discos que contienen archivos de copia de seguridad
  • Todo el contenido del directorio SAPMNT
  • Todo el contenido del directorio SAPLOC
  • Todo el contenido del directorio TRANS
  • Hana: excluir /hana/shared, /hana/data y /hana/log: consulte Nota 1730930
  • SQL Server: configurar el software antivirus para que funcione con SQL Server
  • Oracle: consulte Configuración del antivirus en Oracle Database Server (id. de documento 782354.1)
  • DB2: documentación de IBM: qué directorios de DB2 excluir con software antivirus
  • SAP ASE: póngase en contacto con SAP
  • MaxDB: póngase en contacto con SAP
  • Adobe Document Server, SAP Archive Directories, TREX, LiveCache, Content Server y otros motores independientes deben probarse cuidadosamente en entornos que no son de producción antes de implementar Defender para punto de conexión en producción.

Los sistemas ASM de Oracle no necesitan exclusiones, ya que Microsoft Defender para punto de conexión no pueden leer discos ASM.

Los clientes con clústeres de Pacemaker también deben configurar estas exclusiones:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Los clientes que ejecutan la directiva de seguridad de Azure security pueden desencadenar un examen mediante la solución Freeware Clam AV. Se recomienda deshabilitar el examen av de Clam después de que una máquina virtual se haya protegido con Microsoft Defender para punto de conexión mediante los siguientes comandos:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

En los artículos siguientes se detalla cómo configurar exclusiones antivirus para procesos, archivos y carpetas por máquina virtual individual:

Programación de un examen antivirus diario (opcional)

La configuración recomendada para las aplicaciones sap permite la interceptación en tiempo real de llamadas de E/S para el examen antivirus. La configuración recomendada es el modo pasivo en el que real_time_protection_enabled = true.

Las aplicaciones sap que se ejecutan en versiones anteriores de Linux o en hardware sobrecargado podrían considerar el uso de real_time_protection_enabled = false. En este caso, se deben programar exámenes antivirus.

Para obtener más información, consulte Programación de exámenes con Microsoft Defender para punto de conexión (Linux).

Los sistemas SAP de gran tamaño pueden tener más de 20 servidores de aplicaciones SAP, cada uno con una conexión al recurso compartido NFS de SAPMNT. Es probable que veinte o más servidores de aplicaciones que examinan simultáneamente el mismo servidor NFS sobrecarguen el servidor NFS. De forma predeterminada, Defender para punto de conexión en Linux no examina los orígenes NFS.

Si hay un requisito para examinar SAPMNT, este examen debe configurarse solo en una o dos máquinas virtuales.

Los exámenes programados de SAP ECC, BW, CRM, SCM, Solution Manager y otros componentes deben escalonarse en momentos diferentes para evitar que todos los componentes de SAP sobrecarguen un origen de almacenamiento NFS compartido compartido compartido por todos los componentes de SAP.

Comandos útiles

Si durante la instalación manual de Zypper en Suse se produce un error "Nothing provides 'policycoreutils'", consulte Solución de problemas de instalación para Microsoft Defender para punto de conexión en Linux.

Hay varios comandos de línea de comandos que pueden controlar el funcionamiento de mdatp. Para habilitar el modo pasivo, puede usar el siguiente comando:


mdatp config passive-mode --value enabled

Nota:

El modo pasivo es el modo predeterminado al instalar Defender para punto de conexión en Linux.

Para activar la protección en tiempo real, puede usar el comando :


mdatp config real-time-protection --value enabled

Este comando indica a mdatp que recupere las definiciones más recientes de la nube:


mdatp definitions update

Este comando comprueba si mdatp puede conectarse a los puntos de conexión basados en la nube en la red:


mdatp connectivity test

Estos comandos actualizan el software mdatp, si es necesario:


yum update mdatp



zypper update mdatp

Dado que mdatp se ejecuta como un servicio del sistema Linux, puede controlar mdatp mediante el comando service, por ejemplo:


service mdatp status

Este comando crea un archivo de diagnóstico que se puede cargar en el soporte técnico de Microsoft:


sudo mdatp diagnostic create