次の方法で共有

Linux for SAP でのMicrosoft Defender for Endpointのデプロイ ガイダンス

  • [アーティクル]

適用対象:

この記事では、Linux for SAP でのMicrosoft Defender for Endpointのデプロイ ガイダンスについて説明します。 この記事には、推奨される SAP OSS (オンライン サービス システム) に関する注意事項、システム要件、前提条件、重要な構成設定、推奨されるウイルス対策の除外、ウイルス対策スキャンのスケジュール設定に関するガイダンスが含まれています。

ファイアウォールの背後にあるインフラストラクチャの分離や対話型オペレーティング システムのログオンの制限など、SAP システムの保護に一般的に使用されていた従来のセキュリティ防御は、最新の高度な脅威を軽減するのに十分とは見なされなくなりました。 脅威をリアルタイムで検出して封じ込めるために、最新の防御を展開することが不可欠です。 他のほとんどのワークロードとは異なる SAP アプリケーションでは、Microsoft Defender for Endpointをデプロイする前に基本的な評価と検証が必要です。 エンタープライズ セキュリティ管理者は、Defender for Endpoint をデプロイする前に SAP Basis チームに問い合わせる必要があります。 SAP Basis Team は、Defender for Endpoint に関する基本的なレベルの知識を使用してクロストレーニングする必要があります。

Linux 上の SAP アプリケーション

重要

Linux 上に Defender for Endpoint を展開する場合は、eBPF を強くお勧めします。 詳細については、 eBPF ドキュメントを参照してください。 Defender for Endpoint は、eBPF フレームワークを使用するように強化されました。

サポートされているディストリビューションには、すべての一般的な Linux ディストリビューションが含まれますが、Suse 12.x は含まれません。 Suse 12.x のお客様は、Suse 15 にアップグレードすることをお勧めします。 Suse 12.x では、パフォーマンスの制限がある古い Audit.D ベースのセンサーが使用されます。

サポートディストリビューションの詳細については、「Linux 上のMicrosoft Defender for Endpointに eBPF ベースのセンサーを使用する」を参照してください。

Linux Server 上の SAP アプリケーションに関する重要なポイントを次に示します。

  • SAP では、Suse、Redhat、Oracle Linux のみがサポートされています。 その他のディストリビューションは、SAP S4 または NetWeaver アプリケーションではサポートされていません。
  • Suse 15.x、Redhat 9.x、Oracle Linux 9.x を強くお勧めします。 サポートされているディストリビューションには、すべての一般的な Linux ディストリビューションが含まれますが、Suse 12.x は含まれません。
  • Suse 11.x、Redhat 6.x、Oracle Linux 6.x はサポートされていません。
  • Redhat 7.x と 8.x、および Oracle Linux 7.x と 8.x は技術的にサポートされていますが、SAP ソフトウェアとの組み合わせではテストされなくなりました。
  • Suse と Redhat では、SAP 用にカスタマイズされたディストリビューションが提供されます。 これらの "for SAP" バージョンの Suse と Redhat には、さまざまなパッケージがプレインストールされていて、場合によっては異なるカーネルがインストールされている場合があります。
  • SAP では、特定の Linux ファイル システムのみがサポートされます。 一般に、XFS と EXT3 が使用されます。 Oracle 自動ストレージ管理 (ASM) ファイルシステムは、Oracle DBMS で使用される場合があり、Defender for Endpoint で読み取ることはできません。
  • 一部の SAP アプリケーションでは、TREX、Adobe Document Server、Content Server、LiveCache などのスタンドアロン エンジンが使用されます。 これらのエンジンには、特定の構成とファイルの除外が必要です。
  • SAP アプリケーションには、多くの場合、何千もの小さなファイルを含むトランスポートディレクトリとインターフェイス ディレクトリがあります。 ファイルの数が 100,000 を超える場合は、パフォーマンスに影響を与える可能性があります。 ファイルをアーカイブすることをお勧めします。
  • 運用環境にデプロイする前に、Defender for Endpoint を非生産的な SAP ランドスケープに数週間デプロイすることを強くお勧めします。 SAP Basis Team では、nmonKSARnmonなどのツールを使用して、CPU やその他のパフォーマンス パラメーターが影響を受けるかどうかを確認する必要があります。 グローバル スコープ パラメーターを使用して広範な除外を構成し、除外されるディレクトリの数を段階的に減らすことも可能です。

SAP VM 上の Linux にMicrosoft Defender for Endpointをデプロイするための前提条件

2024 年 12 月の時点で、Defender for Endpoint on Linux は、リアルタイム保護を有効にして安全に構成できます。

Azure Extension for Antivirus としてのデプロイの既定の構成オプションは パッシブ モードです。 つまり、Microsoft Defender for Endpointのウイルス対策/マルウェア対策コンポーネントであるMicrosoft Defenderウイルス対策は、IO 呼び出しをインターセプトしません。 すべての SAP アプリケーションでリアルタイム保護を有効にして、Defender for Endpoint を で実行することをお勧めします。 例:

  • リアルタイム保護が有効になっている: Microsoft Defenderウイルス対策は IO 呼び出しをリアルタイムでインターセプトします。
  • オンデマンド スキャンが有効になっている: エンドポイントでスキャン機能を使用できます。
  • 脅威の自動修復が有効になっている: ファイルが移動され、セキュリティ管理者に警告が表示されます。
  • セキュリティ インテリジェンスの更新が有効になっている: アラートは、Microsoft Defender ポータルで使用できます。

Ksplice などのオンライン カーネル パッチ適用ツールは、Defender for Endpoint が実行されている場合、予期しない OS の安定性につながる可能性があります。 オンラインカーネルパッチ適用を実行する前に、Defender for Endpoint デーモンを一時的に停止することをお勧めします。 カーネルが更新されると、Defender for Endpoint on Linux を安全に再起動できます。 このアクションは、巨大なメモリ コンテキストを持つ大規模な SAP HANA VM で特に重要です。

Microsoft Defenderウイルス対策がリアルタイム保護で実行されている場合、スキャンをスケジュールする必要はなくなりました。 ベースラインを設定するには、少なくとも 1 回スキャンを実行する必要があります。 その後、必要に応じて、通常、Linux crontab を使用して、ウイルス対策スキャンとログ ローテーション タスクMicrosoft Defenderスケジュールします。 詳細については、「Microsoft Defender for Endpoint (Linux)を使用してスキャンをスケジュールする方法」を参照してください。

エンドポイント検出と応答 (EDR) 機能は、Linux 上のMicrosoft Defender for Endpointがインストールされるたびにアクティブになります。 EDR 機能は、 グローバル除外を使用して、コマンド ラインまたは構成を使用して無効にすることができます。 EDR のトラブルシューティングの詳細については、「 便利なコマンド便利なリンク 」のセクションを参照してください (この記事)。

SAP on Linux でのMicrosoft Defender for Endpointの重要な構成設定

コマンド mdatp healthを使用して、Defender for Endpoint のインストールと構成をチェックすることをお勧めします。

SAP アプリケーションに推奨される主なパラメーターは次のとおりです。


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

インストールの問題のトラブルシューティングについては、「Linux 上のMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング」を参照してください。

エンタープライズ セキュリティ チームは、SAP 管理者 (通常は SAP Basis Team ) からウイルス 対策除外の完全な一覧を取得する必要があります。 最初に除外することをお勧めします。

  • バックアップ ファイルを含むディスクを含む DBMS データ ファイル、ログ ファイル、および一時ファイル
  • SAPMNT ディレクトリの内容全体
  • SAPLOC ディレクトリの内容全体
  • TRANS ディレクトリの内容全体
  • Hana – /hana/shared、/hana/data、および /hana/log を除外する - 注 1730930
  • SQL Server – SQL Serverで動作するようにウイルス対策ソフトウェアを構成する
  • Oracle – Oracle データベース サーバーでウイルス対策を構成する方法を参照してください (Doc ID 782354.1)
  • DB2 – IBM のドキュメント: ウイルス対策ソフトウェアで除外する DB2 ディレクトリ
  • SAP ASE – SAP にお問い合わせください
  • MaxDB – SAP にお問い合わせください
  • Adobe Document Server、SAP Archive Directory、TREX、LiveCache、Content Server、およびその他のスタンドアロン エンジンは、運用環境で Defender for Endpoint をデプロイする前に、運用環境以外の環境で慎重にテストする必要があります

Microsoft Defender for Endpointは ASM ディスクを読み取ることができないので、Oracle ASM システムでは除外は必要ありません。

Pacemaker クラスターをお持ちのお客様は、次の除外も構成する必要があります。


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Azure セキュリティ セキュリティ ポリシーを実行しているお客様は、Freeware Clam AV ソリューションを使用してスキャンをトリガーする可能性があります。 次のコマンドを使用して VM がMicrosoft Defender for Endpointで保護された後で、Clam AV スキャンを無効にすることをお勧めします。


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

次の記事では、個々の VM ごとにプロセス、ファイル、フォルダーのウイルス対策の除外を構成する方法について詳しく説明します。

毎日のウイルス対策スキャンのスケジュール設定 (省略可能)

SAP アプリケーションに推奨される構成では、ウイルス対策スキャンの IO 呼び出しをリアルタイムで傍受できます。 推奨される設定は、 real_time_protection_enabled = trueするパッシブ モードです。

古いバージョンの Linux またはオーバーロードされたハードウェアで実行されている SAP アプリケーションでは、 real_time_protection_enabled = falseの使用を検討する場合があります。 この場合、ウイルス対策スキャンをスケジュールする必要があります。

詳細については、「Microsoft Defender for Endpoint (Linux)を使用してスキャンをスケジュールする方法」を参照してください。

大規模な SAP システムには 20 を超える SAP アプリケーション サーバーがあり、それぞれ SAPMNT NFS 共有に接続されている場合があります。 同じ NFS サーバーを同時にスキャンする 20 台以上のアプリケーション サーバーが NFS サーバーを過負荷にする可能性があります。 既定では、Defender for Endpoint on Linux では NFS ソースはスキャンされません。

SAPMNT をスキャンする必要がある場合、このスキャンは 1 つまたは 2 つの VM でのみ構成する必要があります。

SAP ECC、BW、CRM、SCM、ソリューション マネージャー、およびその他のコンポーネントのスケジュールされたスキャンは、すべての SAP コンポーネントがすべての SAP コンポーネントによって共有されている共有 NFS ストレージ ソースをオーバーロードしないように、異なる時間にずらす必要があります。

便利なコマンド

Suse での zypper の手動インストール中にエラー "Nothing provides 'policycoreutils' が発生した場合は、「Linux 上のMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング」を参照してください。

mdatp の操作を制御できるコマンド ライン コマンドがいくつかあります。 パッシブ モードを有効にするには、次のコマンドを使用します。


mdatp config passive-mode --value enabled

注:

パッシブ モードは、Linux に Defender for Endpoint をインストールするときの既定のモードです。

リアルタイム保護を有効にするには、次のコマンドを使用します。


mdatp config real-time-protection --value enabled

このコマンドは、クラウドから最新の定義を取得するように mdatp に指示します。


mdatp definitions update

このコマンドは、mdatp がネットワーク上のクラウドベースのエンドポイントに接続できるかどうかをテストします。


mdatp connectivity test

これらのコマンドは、必要に応じて mdatp ソフトウェアを更新します。


yum update mdatp



zypper update mdatp

mdatp は Linux システム サービスとして実行されるため、次のようにサービス コマンドを使用して mdatp を制御できます。


service mdatp status

このコマンドは、Microsoft サポートにアップロードできる診断ファイルを作成します。


sudo mdatp diagnostic create