Condividi tramite

Linee guida per la distribuzione per Microsoft Defender per endpoint in Linux per SAP

  • Articolo

Si applica a:

Questo articolo fornisce indicazioni sulla distribuzione per Microsoft Defender per endpoint in Linux per SAP. Questo articolo include le note consigliate del sistema operativo SAP (Online Services System), i requisiti di sistema, i prerequisiti, le impostazioni di configurazione importanti, le esclusioni antivirus consigliate e le indicazioni sulla pianificazione delle analisi antivirus.

Le difese di sicurezza convenzionali usate comunemente per proteggere i sistemi SAP, ad esempio l'isolamento dell'infrastruttura dietro i firewall e la limitazione degli accessi interattivi del sistema operativo, non sono più considerate sufficienti per attenuare le moderne minacce sofisticate. È essenziale distribuire difese moderne per rilevare e contenere minacce in tempo reale. Le applicazioni SAP a differenza della maggior parte degli altri carichi di lavoro richiedono la valutazione e la convalida di base prima di distribuire Microsoft Defender per endpoint. Gli amministratori della sicurezza aziendale devono contattare il team di SAP Basis prima di distribuire Defender per endpoint. Il team sap basis deve essere sottoposto a training incrociato con un livello di conoscenza di base di Defender per endpoint.

Applicazioni SAP in Linux

Importante

Quando si distribuisce Defender per endpoint in Linux, è consigliabile usare eBPF. Per altre informazioni, vedere la documentazione di eBPF. Defender per endpoint è stato migliorato per usare il framework eBPF.

Le distribuzioni supportate includono tutte le distribuzioni Linux comuni, ma non Suse 12.x. Si consiglia ai clienti di Suse 12.x di eseguire l'aggiornamento a Suse 15. Suse 12.x usa un sensore basato su vecchio Audit.D che presenta limitazioni di prestazioni.

Per altre informazioni sulle distribuzioni di supporto, vedere Usare un sensore basato su eBPF per Microsoft Defender per endpoint in Linux.

Ecco alcuni punti importanti sulle applicazioni SAP nel server Linux:

  • SAP supporta solo Suse, Redhat e Oracle Linux. Altre distribuzioni non sono supportate per le applicazioni SAP S4 o NetWeaver.
  • Suse 15.x, Redhat 9.x e Oracle Linux 9.x sono fortemente consigliati. Le distribuzioni supportate includono tutte le distribuzioni Linux comuni, ma non Suse 12.x.
  • Suse 11.x, Redhat 6.x e Oracle Linux 6.x non sono supportati.
  • Redhat 7.x e 8.x e Oracle Linux 7.x e 8.x sono tecnicamente supportati, ma non sono più testati in combinazione con il software SAP.
  • Suse e Redhat offrono distribuzioni personalizzate per SAP. Queste versioni "per SAP" di Suse e Redhat potrebbero avere pacchetti diversi preinstallati e possibilmente kernel diversi.
  • SAP supporta solo alcuni file system Linux. In generale, vengono usati XFS e EXT3. Il file system Oracle Automatic Storage Management (ASM) viene talvolta usato per Oracle DBMS e non può essere letto da Defender per endpoint.
  • Alcune applicazioni SAP usano motori autonomi, ad esempio TREX, Adobe Document Server, Content Server e LiveCache. Questi motori richiedono specifiche esclusioni di file e configurazione.
  • Le applicazioni SAP hanno spesso directory di trasporto e interfaccia con molte migliaia di file di piccole dimensioni. Se il numero di file è maggiore di 100.000, potrebbe influire sulle prestazioni. È consigliabile archiviare i file.
  • È consigliabile distribuire Defender per endpoint in ambienti SAP non produttivi per diverse settimane prima della distribuzione nell'ambiente di produzione. Il team sap basis deve usare strumenti, ad sysstatesempio , KSARe nmon per verificare se la CPU e altri parametri di prestazioni sono interessati. È anche possibile configurare esclusioni generali con il parametro di ambito globale e quindi ridurre in modo incrementale il numero di directory escluse.

Prerequisiti per la distribuzione di Microsoft Defender per endpoint in Linux in macchine virtuali SAP

A partire da dicembre 2024, Defender per endpoint in Linux può essere configurato in modo sicuro con la protezione in tempo reale abilitata.

L'opzione di configurazione predefinita per la distribuzione come estensione di Azure per antivirus è la modalità passiva. Ciò significa che Microsoft Defender Antivirus, il componente antivirus/antimalware di Microsoft Defender per endpoint, non intercetta le chiamate di I/O. È consigliabile eseguire Defender per endpoint in con la protezione in tempo reale abilitata in tutte le applicazioni SAP. In quanto tale:

  • La protezione in tempo reale è attivata: Microsoft Defender Antivirus intercetta le chiamate di I/O in tempo reale.
  • L'analisi su richiesta è attivata: è possibile usare le funzionalità di analisi nell'endpoint.
  • Correzione automatica delle minacce attivata: i file vengono spostati e l'amministratore della sicurezza viene avvisato.
  • Gli aggiornamenti dell'intelligence per la sicurezza sono attivati: gli avvisi sono disponibili nel portale di Microsoft Defender.

Gli strumenti di applicazione di patch del kernel online, ad esempio Ksplice o simili, possono portare a una stabilità imprevedibile del sistema operativo se Defender per endpoint è in esecuzione. È consigliabile arrestare temporaneamente il daemon defender per endpoint prima di eseguire l'applicazione di patch online al kernel. Dopo l'aggiornamento del kernel, Defender per endpoint in Linux può essere riavviato in modo sicuro. Questa azione è particolarmente importante nelle macchine virtuali SAP HANA di grandi dimensioni con contesti di memoria elevati.

Quando Microsoft Defender Antivirus è in esecuzione con protezione in tempo reale, non è più necessario pianificare le analisi. È consigliabile eseguire un'analisi almeno una volta per impostare una baseline. Quindi, se necessario, il crontab Linux viene in genere usato per pianificare le analisi e le attività di rotazione dei log Microsoft Defender Antivirus. Per altre informazioni, vedere Come pianificare le analisi con Microsoft Defender per endpoint (Linux).For more information, see How to schedule scans with Microsoft Defender per endpoint (Linux).

La funzionalità di rilevamento e risposta degli endpoint (EDR) è attiva ogni volta che viene installato Microsoft Defender per endpoint in Linux. La funzionalità EDR può essere disabilitata tramite la riga di comando o la configurazione usando esclusioni globali. Per altre informazioni sulla risoluzione dei problemi di EDR, vedere le sezioni Comandi utili e collegamenti utili (in questo articolo).

Impostazioni di configurazione importanti per Microsoft Defender per endpoint in SAP in Linux

È consigliabile controllare l'installazione e la configurazione di Defender per endpoint con il comando mdatp health.

I parametri chiave consigliati per le applicazioni SAP sono i seguenti:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Per informazioni sulla risoluzione dei problemi di installazione, vedere Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux.

Il team di sicurezza aziendale deve ottenere un elenco completo delle esclusioni antivirus dagli amministratori SAP (in genere il team di base SAP). È consigliabile escludere inizialmente:

  • File di dati DBMS, file di log e file temporanei, inclusi i dischi contenenti file di backup
  • Intero contenuto della directory SAPMNT
  • Intero contenuto della directory SAPLOC
  • Intero contenuto della directory TRANS
  • Hana: escludere /hana/shared, /hana/data e /hana/log. Vedere Nota 1730930
  • SQL Server: configurare il software antivirus per l'uso con SQL Server
  • Oracle: vedere Come configurare l'antivirus nel server di database Oracle (ID documento 782354.1)
  • DB2 - Documentazione IBM: quali directory DB2 escludere con software antivirus
  • SAP ASE: contattare SAP
  • MaxDB: contattare SAP
  • Adobe Document Server, SAP Archive Directories, TREX, LiveCache, Content Server e altri motori autonomi devono essere testati con attenzione in ambienti non di produzione prima di distribuire Defender per endpoint nell'ambiente di produzione

I sistemi Oracle ASM non necessitano di esclusioni perché Microsoft Defender per endpoint non possono leggere i dischi ASM.

Anche i clienti con cluster Pacemaker devono configurare queste esclusioni:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

I clienti che eseguono i criteri di sicurezza di Sicurezza di Azure potrebbero attivare un'analisi usando la soluzione Freeware Clam AV. È consigliabile disabilitare l'analisi Clam AV dopo che una macchina virtuale è stata protetta con Microsoft Defender per endpoint usando i comandi seguenti:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

Gli articoli seguenti illustrano come configurare le esclusioni antivirus per processi, file e cartelle per ogni singola macchina virtuale:

Pianificazione di un'analisi antivirus giornaliera (facoltativo)

La configurazione consigliata per le applicazioni SAP consente l'intercettazione in tempo reale delle chiamate di I/O per l'analisi antivirus. L'impostazione consigliata è la modalità passiva in cui real_time_protection_enabled = true.

Le applicazioni SAP in esecuzione in versioni precedenti di Linux o nell'hardware in overload potrebbero prendere in considerazione l'uso real_time_protection_enabled = falsedi . In questo caso, le analisi antivirus devono essere pianificate.

Per altre informazioni, vedere Come pianificare le analisi con Microsoft Defender per endpoint (Linux).For more information, see How to schedule scans with Microsoft Defender per endpoint (Linux).

I sistemi SAP di grandi dimensioni potrebbero avere più di 20 server applicazioni SAP, ognuno con una connessione alla condivisione NFS SAPMNT. Venti o più server applicazioni contemporaneamente che analizzano lo stesso server NFS probabilmente sovraccariceranno il server NFS. Per impostazione predefinita, Defender per endpoint in Linux non analizza le origini NFS.

Se è necessario analizzare SAPMNT, questa analisi deve essere configurata solo in una o due macchine virtuali.

Le analisi pianificate per SAP ECC, BW, CRM, SCM, Solution Manager e altri componenti devono essere sfalsate in momenti diversi per evitare che tutti i componenti SAP sovraccarichino un'origine di archiviazione NFS condivisa condivisa da tutti i componenti SAP.

Comandi utili

Se durante l'installazione manuale di zypper in Suse si verifica un errore "Nothing provides 'policycoreutils'", vedere Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux.

Sono disponibili diversi comandi da riga di comando che possono controllare il funzionamento di mdatp. Per abilitare la modalità passiva, è possibile usare il comando seguente:


mdatp config passive-mode --value enabled

Nota

La modalità passiva è la modalità predefinita quando si installa Defender per endpoint in Linux.

Per attivare la protezione in tempo reale, è possibile usare il comando :


mdatp config real-time-protection --value enabled

Questo comando indica a mdatp di recuperare le definizioni più recenti dal cloud:


mdatp definitions update

Questo comando verifica se mdatp può connettersi agli endpoint basati sul cloud nella rete:


mdatp connectivity test

Questi comandi aggiornano il software mdatp, se necessario:


yum update mdatp



zypper update mdatp

Poiché mdatp viene eseguito come servizio di sistema Linux, è possibile controllare mdatp usando il comando del servizio, ad esempio:


service mdatp status

Questo comando crea un file di diagnostica che può essere caricato nel supporto Tecnico Microsoft:


sudo mdatp diagnostic create