Partager via

Conseils de déploiement pour Microsoft Defender pour point de terminaison sur Linux pour SAP

  • Article

S’applique à :

Cet article fournit des conseils de déploiement pour Microsoft Defender pour point de terminaison sur Linux pour SAP. Cet article inclut des notes sap OSS (Online Services System) recommandées, la configuration système requise, les prérequis, les paramètres de configuration importants, les exclusions antivirus recommandées et des conseils sur la planification des analyses antivirus.

Les défenses de sécurité conventionnelles couramment utilisées pour protéger les systèmes SAP, telles que l’isolation de l’infrastructure derrière des pare-feu et la limitation des ouvertures de session interactives des systèmes d’exploitation, ne sont plus considérées comme suffisantes pour atténuer les menaces sophistiquées modernes. Il est essentiel de déployer des défenses modernes pour détecter et contenir les menaces en temps réel. Contrairement à la plupart des autres charges de travail, les applications SAP nécessitent une évaluation et une validation de base avant de déployer Microsoft Defender pour point de terminaison. Les administrateurs de la sécurité d’entreprise doivent contacter l’équipe SAP Basis avant de déployer Defender pour point de terminaison. L’équipe SAP Basis doit être formée avec un niveau de connaissances de base sur Defender pour point de terminaison.

Applications SAP sur Linux

Importante

Lorsque vous déployez Defender pour point de terminaison sur Linux, eBPF est fortement recommandé. Pour plus d’informations, consultez la documentation eBPF. Defender pour point de terminaison a été amélioré pour utiliser l’infrastructure eBPF.

Les distributions prises en charge incluent toutes les distributions Linux courantes, mais pas Suse 12.x. Les clients Suse 12.x sont invités à effectuer une mise à niveau vers Suse 15. Suse 12.x utilise un ancien Audit.D capteur qui présente des limitations de performances.

Pour plus d’informations sur les distributions de prise en charge, consultez Utiliser un capteur eBPF pour Microsoft Defender pour point de terminaison sur Linux.

Voici quelques points importants concernant les applications SAP sur Linux Server :

  • SAP prend uniquement en charge Suse, Redhat et Oracle Linux. Les autres distributions ne sont pas prises en charge pour les applications SAP S4 ou NetWeaver.
  • Suse 15.x, Redhat 9.x et Oracle Linux 9.x sont fortement recommandés. Les distributions prises en charge incluent toutes les distributions Linux courantes, mais pas Suse 12.x.
  • Suse 11.x, Redhat 6.x et Oracle Linux 6.x ne sont pas pris en charge.
  • Redhat 7.x et 8.x, et Oracle Linux 7.x et 8.x sont techniquement pris en charge, mais ne sont plus testés en combinaison avec les logiciels SAP.
  • Suse et Redhat offrent des distributions personnalisées pour SAP. Ces versions « pour SAP » de Suse et Redhat peuvent avoir différents packages préinstallés et éventuellement des noyaux différents.
  • SAP prend uniquement en charge certains systèmes de fichiers Linux. En général, XFS et EXT3 sont utilisés. Le système de fichiers Oracle Automatic Storage Management (ASM) est parfois utilisé pour le SGBD Oracle et ne peut pas être lu par Defender pour point de terminaison.
  • Certaines applications SAP utilisent des moteurs autonomes, tels que TREX, Adobe Document Server, Content Server et LiveCache. Ces moteurs nécessitent une configuration et des exclusions de fichiers spécifiques.
  • Les applications SAP ont souvent des répertoires de transport et d’interface avec plusieurs milliers de petits fichiers. Si le nombre de fichiers est supérieur à 100 000, cela peut et affecter les performances. Il est recommandé d’archiver les fichiers.
  • Il est fortement recommandé de déployer Defender pour point de terminaison sur des paysages SAP non productifs pendant plusieurs semaines avant le déploiement en production. L’équipe SAP Basis doit utiliser des outils, tels que sysstat, KSARet nmon pour vérifier si le processeur et d’autres paramètres de performances sont affectés. Il est également possible de configurer des exclusions étendues avec le paramètre d’étendue globale, puis de réduire de manière incrémentielle le nombre de répertoires exclus.

Prérequis pour le déploiement de Microsoft Defender pour point de terminaison sur Linux sur des machines virtuelles SAP

Depuis décembre 2024, Defender pour point de terminaison sur Linux peut être configuré en toute sécurité avec la protection en temps réel activée.

L’option de configuration par défaut pour le déploiement en tant qu’extension Azure pour antivirus est le mode passif. Cela signifie que Microsoft Defender Antivirus, le composant antivirus/anti-programme malveillant de Microsoft Defender pour point de terminaison, n’intercepte pas les appels d’E/S. Nous vous recommandons d’exécuter Defender pour point de terminaison dans avec la protection en temps réel activée sur toutes les applications SAP. Ainsi :

  • La protection en temps réel est activée : Microsoft Defender Antivirus intercepte les appels d’E/S en temps réel.
  • L’analyse à la demande est activée : vous pouvez utiliser les fonctionnalités d’analyse sur le point de terminaison.
  • La correction automatique des menaces est activée : les fichiers sont déplacés et l’administrateur de la sécurité est alerté.
  • Les mises à jour du renseignement de sécurité sont activées : les alertes sont disponibles dans le portail Microsoft Defender.

Les outils de mise à jour corrective du noyau en ligne, tels que Ksplice ou similaires, peuvent entraîner une stabilité du système d’exploitation imprévisible si Defender pour point de terminaison est en cours d’exécution. Il est recommandé d’arrêter temporairement le démon Defender pour point de terminaison avant d’effectuer une mise à jour corrective du noyau en ligne. Une fois le noyau mis à jour, Defender pour point de terminaison sur Linux peut être redémarré en toute sécurité. Cette action est particulièrement importante sur les machines virtuelles SAP HANA volumineuses avec des contextes de mémoire volumineux.

Lorsque Microsoft Defender Antivirus s’exécute avec une protection en temps réel, il n’est plus nécessaire de planifier des analyses. Vous devez exécuter une analyse au moins une fois pour définir une base de référence. Ensuite, si nécessaire, le crontab Linux est généralement utilisé pour planifier Microsoft Defender analyses antivirus et les tâches de rotation des journaux. Pour plus d’informations, consultez Guide pratique pour planifier des analyses avec Microsoft Defender pour point de terminaison (Linux).

La fonctionnalité de détection et de réponse de point de terminaison (EDR) est active chaque fois que Microsoft Defender pour point de terminaison sur Linux est installé. La fonctionnalité EDR peut être désactivée via la ligne de commande ou la configuration à l’aide d’exclusions globales. Pour plus d’informations sur la résolution des problèmes liés à EDR, consultez les sections Commandes utiles et Liens utiles (dans cet article).

Paramètres de configuration importants pour Microsoft Defender pour point de terminaison sur SAP sur Linux

Il est recommandé de case activée l’installation et la configuration de Defender pour point de terminaison avec la commande mdatp health.

Les paramètres clés recommandés pour les applications SAP sont les suivants :


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Pour plus d’informations sur la résolution des problèmes d’installation, consultez Résoudre les problèmes d’installation pour Microsoft Defender pour point de terminaison sur Linux.

Votre équipe de sécurité d’entreprise doit obtenir une liste complète des exclusions d’antivirus auprès des administrateurs SAP (généralement l’équipe de base SAP). Il est recommandé d’exclure initialement :

  • Fichiers de données SGBD, fichiers journaux et fichiers temporaires, y compris les disques contenant des fichiers de sauvegarde
  • Contenu entier du répertoire SAPMNT
  • Tout le contenu du répertoire SAPLOC
  • Tout le contenu du répertoire TRANS
  • Hana : excluez /hana/shared, /hana/data et /hana/log. Consultez remarque 1730930
  • SQL Server : configurer un logiciel antivirus pour qu’il fonctionne avec SQL Server
  • Oracle : consultez Guide pratique pour configurer un antivirus sur Oracle Database Server (ID de document 782354.1)
  • DB2 – Documentation IBM : Quels répertoires DB2 exclure avec un logiciel antivirus
  • SAP ASE : contactez SAP
  • MaxDB : contactez SAP
  • Adobe Document Server, les répertoires d’archive SAP, TREX, LiveCache, Content Server et d’autres moteurs autonomes doivent être testés avec soin dans les paysages hors production avant de déployer Defender pour point de terminaison en production

Les systèmes Oracle ASM n’ont pas besoin d’exclusions, car Microsoft Defender pour point de terminaison ne peuvent pas lire les disques ASM.

Les clients disposant de clusters Pacemaker doivent également configurer ces exclusions :


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Les clients exécutant la stratégie de sécurité Azure Security peuvent déclencher une analyse à l’aide de la solution Freeware Clam AV. Il est recommandé de désactiver l’analyse Clam AV une fois qu’une machine virtuelle a été protégée avec Microsoft Defender pour point de terminaison à l’aide des commandes suivantes :


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

Les articles suivants expliquent en détail comment configurer des exclusions antivirus pour les processus, les fichiers et les dossiers par machine virtuelle individuelle :

Planification d’une analyse antivirus quotidienne (facultatif)

La configuration recommandée pour les applications SAP permet l’interception en temps réel des appels d’E/S pour l’analyse antivirus. Le paramètre recommandé est le mode passif dans lequel real_time_protection_enabled = true.

Les applications SAP exécutées sur des versions antérieures de Linux ou sur du matériel surchargé peuvent envisager d’utiliser real_time_protection_enabled = false. Dans ce cas, les analyses antivirus doivent être planifiées.

Pour plus d’informations, consultez Guide pratique pour planifier des analyses avec Microsoft Defender pour point de terminaison (Linux).

Les grands systèmes SAP peuvent avoir plus de 20 serveurs d’applications SAP, chacun avec une connexion au partage NFS SAPMNT. Vingt serveurs d’applications ou plus qui analysent simultanément le même serveur NFS surchargeront probablement le serveur NFS. Par défaut, Defender pour point de terminaison sur Linux n’analyse pas les sources NFS.

S’il est nécessaire d’analyser SAPMNT, cette analyse doit être configurée sur une ou deux machines virtuelles uniquement.

Les analyses planifiées pour SAP ECC, BW, CRM, SCM, Solution Manager et d’autres composants doivent être échelonnées à des moments différents afin d’éviter que tous les composants SAP ne surchargent une source de stockage NFS partagée par tous les composants SAP.

Commandes utiles

Si, lors de l’installation manuelle de zypper sur Suse, une erreur « Rien ne fournit 'policycoreutils' » se produit, consultez Résoudre les problèmes d’installation pour Microsoft Defender pour point de terminaison sur Linux.

Plusieurs commandes de ligne de commande peuvent contrôler le fonctionnement de mdatp. Pour activer le mode passif, vous pouvez utiliser la commande suivante :


mdatp config passive-mode --value enabled

Remarque

Le mode passif est le mode par défaut lors de l’installation de Defender pour point de terminaison sur Linux.

Pour activer la protection en temps réel, vous pouvez utiliser la commande :


mdatp config real-time-protection --value enabled

Cette commande indique à mdatp de récupérer les dernières définitions à partir du cloud :


mdatp definitions update

Cette commande teste si mdatp peut se connecter aux points de terminaison cloud sur le réseau :


mdatp connectivity test

Ces commandes mettent à jour le logiciel mdatp, si nécessaire :


yum update mdatp



zypper update mdatp

Étant donné que mdatp s’exécute en tant que service système Linux, vous pouvez contrôler mdatp à l’aide de la commande de service, par exemple :


service mdatp status

Cette commande crée un fichier de diagnostic qui peut être chargé sur le support Microsoft :


sudo mdatp diagnostic create