Jaa

Käyttöönotto-ohjeet Microsoft Defender for Endpoint Linuxissa SAP:lle

  • Artikkeli

Koskee seuraavia:

Tässä artikkelissa on käyttöönotto-ohjeet Microsoft Defender for Endpoint LINUX for SAP:ssä. Tämä artikkeli sisältää suositellut SAP OSS (Online Services System) -muistiinpanot, järjestelmävaatimukset, edellytykset, tärkeät määritysasetukset, suositellut virustentorjuntapoikkeukset ja ohjeita virustentorjuntatarkistusten ajoittamiseen.

Tavanomaisia suojauspuolustuskeinoja, joita on yleisesti käytetty SAP-järjestelmien suojaamiseen, kuten infrastruktuurin eristäminen palomuurien takana ja vuorovaikutteisten käyttöjärjestelmän kirjautumisten rajoittaminen, ei enää pidetä riittävänä nykyaikaisten kehittyneiden uhkien lieventämiseen. On tärkeää ottaa käyttöön nykyaikaisia puolustuskeinoja uhkien havaitsemiseksi ja hillitsemiseksi reaaliaikaisesti. SAP-sovellukset, toisin kuin useimmat muut kuormitukset, edellyttävät perusarviointia ja vahvistusta ennen Microsoft Defender for Endpoint käyttöönottoa. Yrityksen suojauksen järjestelmänvalvojien tulee ottaa yhteyttä SAP-perustatiimiin ennen Defender for Endpointin käyttöönottoa. SAP-perustatiimi tulee ristiinkoulutettava niin, että hänellä on perustiedot Defender for Endpointista.

SAP-sovellukset Linuxissa

Tärkeää

Kun otat Defender for Endpointin käyttöön Linuxissa, eBPF on erittäin suositeltavaa. Lisätietoja on eBPF-dokumentaatiossa. Defender for Endpointia on parannettu käyttämään eBPF-kehystä.

Tuetut jakelut sisältävät kaikki yleiset Linux-jakelut, mutta eivät Suse 12.x:ää. Suse 12.x -asiakkaita kehotetaan päivittämään Suse 15 -versioon. Suse 12.x käyttää vanhaa Audit.D anturia, jolla on suorituskykyrajoituksia.

Lisätietoja tuen jakaumista on artikkelissa eBPF-pohjaisen tunnistimen käyttäminen Microsoft Defender for Endpoint Linuxissa.

Seuraavassa on joitakin tärkeitä tietoja Linux-palvelimen SAP-sovelluksista:

  • SAP tukee vain Susea, Redhatia ja Oracle Linuxia. Muita jakeluja ei tueta SAP S4- tai NetWeaver-sovelluksissa.
  • Suse 15.x, Redhat 9.x ja Oracle Linux 9.x ovat erittäin suositeltavia. Tuetut jakelut sisältävät kaikki yleiset Linux-jakelut, mutta eivät Suse 12.x:ää.
  • Suse 11.x:ää, Redhat 6.x:ää ja Oracle Linux 6.x:ää ei tueta.
  • Redhat 7.x ja 8.x sekä Oracle Linux 7.x ja 8.x ovat teknisesti tuettuja, mutta niitä ei enää testata yhdessä SAP-ohjelmiston kanssa.
  • Suse ja Redhat tarjoavat SAP:lle räätälöityjä jakeluja. Nämä Suse- ja Redhat-versioiden SAP-versiot saattavat sisältää erilaisia paketteja, jotka on esiasennettu ja mahdollisesti eri ytimet.
  • SAP tukee vain tiettyjä Linux-tiedostojärjestelmiä. Yleensä käytetään XFS- ja EXT3-tiedostoja. Oracle Automatic Storage Management (ASM) -tiedostojärjestelmää käytetään joskus Oracle DBMS:lle, eikä Defender voi lukea sitä päätepisteelle.
  • Jotkin SAP-sovellukset käyttävät erillisiä moottoreita, kuten TREX, Adobe Document Server, Content Server ja LiveCache. Nämä moottorit edellyttävät erityisiä määrityksiä ja tiedostopoikkeuksia.
  • SAP-sovelluksissa on usein Transport- ja Interface-hakemistoja, joissa on tuhansia pieniä tiedostoja. Jos tiedostojen määrä on suurempi kuin 100 000, se voi vaikuttaa suorituskykyyn. Tiedostojen arkistointi on suositeltavaa.
  • On erittäin suositeltavaa ottaa Defender for Endpoint käyttöön ei-tuottamattomassa SAP-vaakaympäristössä useita viikkoja ennen käyttöönottoa tuotantoon. SAP-perustatiimin tulee käyttää työkaluja, kuten sysstat, KSARja nmon tarkistaakseen, vaikuttaako suoritin ja muut suorituskykyparametrit. On myös mahdollista määrittää laajat poikkeukset maailmanlaajuisen vaikutusalueen parametrin avulla ja vähentää sitten asteittain pois jätettyjen hakemistojen määrää.

Edellytykset Microsoft Defender for Endpoint ottamiseksi käyttöön Linuxissa SAP-näennäiskoneissa

Joulukuussa 2024 Defender for Endpoint on Linux voidaan turvallisesti määrittää reaaliaikaisen suojauksen ollessa käytössä.

Oletusarvoinen määritysasetus käyttöönotolle Azure-laajennuksena virustentorjuntaa varten on passiivinen tila. Tämä tarkoittaa sitä, että Microsoft Defender Antivirus, Microsoft Defender for Endpoint virustentorjunta-/haittaohjelmien torjuntakomponentti, ei sieppaa IO-puheluita. Suosittelemme Käyttämään Defender for Endpointia, kun reaaliaikainen suojaus on käytössä kaikissa SAP-sovelluksissa. Sellaisenaan:

  • Reaaliaikainen suojaus on käytössä: Microsoft Defender virustentorjunta sieppaa IO-kutsut reaaliaikaisesti.
  • Pyydettäessä suoritettava skannaus on käytössä: Voit käyttää etsintäominaisuuksia päätepisteessä.
  • Automaattinen uhkien korjaaminen on käytössä: Tiedostot siirretään ja suojauksen järjestelmänvalvoja saa ilmoituksen.
  • Suojaustietojen päivitykset on otettu käyttöön: ilmoitukset ovat käytettävissä Microsoft Defender portaalissa.

Ytimen korjauksen online-työkalut, kuten Ksplice tai vastaava, voivat johtaa käyttöjärjestelmän arvaamattomaan vakauteen, jos Defender for Endpoint on käynnissä. On suositeltavaa pysäyttää Defender for Endpoint -daemon tilapäisesti ennen online-ydinkorjausta. Kun ydin on päivitetty, Defender for Endpoint on Linux voidaan käynnistää turvallisesti uudelleen. Tämä toiminto on erityisen tärkeä suurissa SAP HANA -näennäiskoneissa, joissa on valtavat muistikontekstit.

Kun Microsoft Defender virustentorjuntaohjelma on käynnissä reaaliaikaisen suojauksen kanssa, tarkistusten ajoittaminen ei ole enää tarpeen. Suorita tarkistus vähintään kerran perusaikataulun määrittämiseksi. Linux-crontabia käytetään tarvittaessa yleensä virustentorjunnan tarkistusten ja kiertotehtävien ajoittamiseen Microsoft Defender. Lisätietoja on artikkelissa Skannausten ajoittaminen Microsoft Defender for Endpoint (Linux) avulla.

Päätepisteen tunnistaminen ja vastaus (EDR) -toiminto on aktiivinen aina, kun Linuxiin asennetaan Microsoft Defender for Endpoint. EDR-toiminnot voidaan poistaa käytöstä komentorivin tai määrityksen kautta yleisillä poissulkemisilla. Lisätietoja EDR:n vianmäärityksestä on tämän artikkelin osioissa Hyödylliset komennot ja Hyödylliset linkit .

Sap on Linux -Microsoft Defender for Endpoint tärkeät määritysasetukset

On suositeltavaa tarkistaa Defenderin asennus ja määritys päätepisteelle komennolla mdatp health.

SAP-sovelluksille suositellut keskeiset parametrit ovat seuraavat:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Lisätietoja asennusongelmien vianmäärityksestä on kohdassa Microsoft Defender for Endpoint Linux-asennusongelmien vianmääritys.

Yrityksen suojaustiimin on hankittava täydellinen luettelo virustentorjuntaohjelman poissulkemisista SAP-järjestelmänvalvojilta (yleensä SAP-perustaryhmä). Suosittelemme, että jätät aluksi pois:

  • DBMS-datatiedostot, lokitiedostot ja tilapäistiedostot, mukaan lukien varmuuskopiotiedostoja sisältävät levyt
  • SAPMNT-hakemiston koko sisältö
  • SAPLOC-hakemiston koko sisältö
  • TRANS-hakemiston koko sisältö
  • Hana – jätä pois /hana/shared, /hana/data ja /hana/log – katso Huomautus 1730930
  • SQL Server – Määritä virustentorjuntaohjelma toimimaan SQL Server kanssa
  • Oracle – katso, miten voit määrittää virustentorjunnan Oracle Database Serverissä (doc ID 782354.1)
  • DB2 – IBM-dokumentaatio: Mitkä DB2-hakemistot jätetään pois virustentorjuntaohjelmiston kanssa
  • SAP ASE – ota yhteyttä SAP:iin
  • MaxDB – ota yhteyttä SAP:hen
  • Adobe Document Server, SAP Arkisto Directories, TREX, LiveCache, Content Server ja muut erilliset moottorit on testattava huolellisesti ei-tuotantoympäristöissä, ennen kuin Defender for Endpoint otetaan käyttöön tuotannossa

Oracle ASM -järjestelmät eivät tarvitse poissulkemisia, koska Microsoft Defender for Endpoint eivät voi lukea ASM-levyjä.

Pacemaker-klustereita sisältävien asiakkaiden tulisi myös määrittää nämä poikkeukset:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Asiakkaat, jotka käyttävät Azure Securityn suojauskäytäntöä, saattavat käynnistää tarkistuksen Freeware Clam AV -ratkaisun avulla. On suositeltavaa poistaa Clam AV -tarkistus käytöstä, kun näennäiskone on suojattu Microsoft Defender for Endpoint käyttämällä seuraavia komentoja:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

Seuraavissa artikkeleissa kerrotaan, miten voit määrittää virustentorjuntaa koskevat poikkeukset prosesseille, tiedostoille ja kansioille yksittäistä näennäiskonetta kohden:

Päivittäisen virustentorjuntatarkistuksen ajoittaminen (valinnainen)

SAP-sovellusten suositeltu määritys mahdollistaa IO-kutsujen reaaliaikaisen sieppauksen virustentorjuntatarkistuksen yhteydessä. Suositeltu asetus on passiivitila, jossa real_time_protection_enabled = true.

SAP-sovellukset, jotka toimivat Linuxin vanhemmissa versioissa tai ylikuormitemuksissa laitteissa, saattavat harkita -sovelluksen käyttöä real_time_protection_enabled = false. Tässä tapauksessa virustentorjuntatarkistuksia on ajoitettava.

Lisätietoja on artikkelissa Skannausten ajoittaminen Microsoft Defender for Endpoint (Linux) avulla.

Suurissa SAP-järjestelmissä voi olla yli 20 SAP-sovelluspalvelinta, joista jokaisella on yhteys SAPMNT NFS -resurssiin. Vähintään kaksikymmentä sovelluspalvelinta, jotka tarkistavat samanaikaisesti samaa NFS-palvelinta, todennäköisesti ylikuormittaa NFS-palvelimen. Defender for Endpoint linuxissa ei oletusarvoisesti tarkista NFS-lähteitä.

Jos SAPMNT-tarkistus vaaditaan, tämä tarkistus tulisi määrittää vain yhdessä tai kahdessa näennäiskoneessa.

SAP ECC:n, BW:n, CRM:n, SCM:n, ratkaisunhallinnan ja muiden komponenttien ajoitetut tarkistukset tulee porrastaa eri aikoina, jotta kaikki SAP-komponentit eivät ylikuormita kaikkien SAP-osien jakamaa jaettua NFS-tallennuslähdettä.

Hyödylliset komennot

Jos manuaalisen zypper-asennuksen aikana Suse-virhe "Mikään ei tarjoa 'policycoreutils'" tapahtuu, katso Microsoft Defender for Endpoint Linuxin asennusongelmien vianmääritys.

Mdatp-toimintoa voi hallita useilla komentorivikomennoilla. Voit ottaa passiivitilan käyttöön seuraavalla komennolla:


mdatp config passive-mode --value enabled

Huomautus

Passiivitila on oletustila, kun Defender for Endpoint asennetaan Linuxiin.

Voit ottaa reaaliaikaisen suojauksen käyttöön komennolla:


mdatp config real-time-protection --value enabled

Tämä komento kertoo mdatp:lle uusimpien määritysten noutamisesta pilvipalvelusta:


mdatp definitions update

Tämä komento testaa, voiko mdatp muodostaa yhteyden verkon pilvipohjaisiin päätepisteisiin:


mdatp connectivity test

Nämä komennot päivittävät mdatp-ohjelmiston tarvittaessa:


yum update mdatp



zypper update mdatp

Koska mdatp toimii Linux-järjestelmäpalveluna, voit hallita mdatp:tä palvelukomennon avulla, esimerkiksi:


service mdatp status

Tämä komento luo diagnostiikkatiedoston, joka voidaan ladata Microsoftin tukeen:


sudo mdatp diagnostic create