Del via

Distribusjonsveiledning for Microsoft Defender for endepunkt på Linux for SAP

  • Artikkel

Gjelder for:

Denne artikkelen gir distribusjonsveiledning for Microsoft Defender for endepunkt på Linux for SAP. Denne artikkelen inneholder anbefalte NOTATER for SAP OSS (Online Services System), systemkrav, forutsetninger, viktige konfigurasjonsinnstillinger, anbefalte antivirusutelukkelser og veiledning om planlegging av antivirusskanninger.

Konvensjonelle sikkerhetsforsvar som ofte har blitt brukt til å beskytte SAP-systemer, for eksempel å isolere infrastruktur bak brannmurer og begrense interaktive pålogginger i operativsystemet, anses ikke lenger som tilstrekkelige til å redusere moderne sofistikerte trusler. Det er viktig å distribuere moderne forsvar for å oppdage og inneholde trusler i sanntid. SAP-programmer, i motsetning til de fleste andre arbeidsbelastninger, krever grunnleggende vurdering og validering før Microsoft Defender for endepunkt distribueres. Bedriftssikkerhetsadministratorene bør kontakte SAP Basis-teamet før de distribuerer Defender for Endpoint. SAP Basis-teamet bør være cross trained med et grunnleggende kunnskapsnivå om Defender for Endpoint.

SAP-programmer på Linux

Viktig

Når du distribuerer Defender for Endpoint på Linux, anbefales eBPF på det sterkeste. Hvis du vil ha mer informasjon, kan du se eBPF-dokumentasjon. Defender for Endpoint er forbedret til å bruke eBPF-rammeverket.

De støttede distribusjonene inkluderer alle vanlige Linux-distribusjoner, men ikke Suse 12.x. Suse 12.x-kunder anbefales å oppgradere til Suse 15. Suse 12.x bruker en gammel Audit.D basert sensor som har ytelsesbegrensninger.

Hvis du vil ha mer informasjon om støttedistribusjoner, kan du se Bruke eBPF-basert sensor for Microsoft Defender for endepunkt på Linux.

Her er noen viktige punkter om SAP-programmer på Linux Server:

  • SAP støtter bare Suse, Redhat og Oracle Linux. Andre distribusjoner støttes ikke for SAP S4- eller NetWeaver-programmer.
  • Bruk 15.x, Redhat 9.x og Oracle Linux 9.x anbefales på det sterkeste. De støttede distribusjonene inkluderer alle vanlige Linux-distribusjoner, men ikke Suse 12.x.
  • Suse 11.x, Redhat 6.x og Oracle Linux 6.x støttes ikke.
  • Redhat 7.x og 8.x, og Oracle Linux 7.x og 8.x støttes teknisk, men er ikke lenger testet i kombinasjon med SAP-programvare.
  • Suse og Redhat tilbyr skreddersydde distribusjoner for SAP. Disse "for SAP"-versjonene av Suse og Redhat kan ha forskjellige pakker forhåndsinstallert og muligens forskjellige kjerner.
  • SAP støtter bare visse Linux-filsystemer. Generelt brukes XFS og EXT3. Oracle Automatic Storage Management -filsystem (ASM) brukes noen ganger for Oracle DBMS og kan ikke leses av Defender for Endpoint.
  • Noen SAP-programmer bruker frittstående motorer, for eksempel TREX, Adobe Document Server, Content Server og LiveCache. Disse motorene krever spesifikke konfigurasjons- og filutelukkelser.
  • SAP-programmer har ofte transport- og grensesnittkataloger med mange tusen små filer. Hvis antall filer er større enn 100 000, kan det og påvirke ytelsen. Det anbefales å arkivere filer.
  • Det anbefales på det sterkeste å distribuere Defender for Endpoint til ikke-produktive SAP-landskap i flere uker før du distribuerer til produksjon. SAP Basis-teamet bør bruke verktøy, for eksempel sysstat, KSARog nmon for å bekrefte om CPU og andre ytelsesparametere påvirkes. Det er også mulig å konfigurere brede utelatelser med den globale omfangsparameteren og deretter trinnvist redusere antall kataloger som er utelatt.

Forutsetninger for distribusjon av Microsoft Defender for endepunkt på Linux på VIRTUELLE SAP-er

Fra og med desember 2024 kan Defender for Endpoint på Linux trygt konfigureres med sanntidsbeskyttelse aktivert.

Standardkonfigurasjonsalternativet for distribusjon som azure-utvidelse for antivirus er passiv modus. Dette betyr at Microsoft Defender Antivirus, komponenten for antivirus-/skadelig programvare i Microsoft Defender for endepunkt, ikke avskjærer IO-anrop. Vi anbefaler at du kjører Defender for Endpoint med sanntidsbeskyttelse aktivert for alle SAP-programmer. Som sådan:

  • Sanntidsbeskyttelse er aktivert: Microsoft Defender Antivirus fanger opp IO-anrop i sanntid.
  • Skanning ved behov er aktivert: Du kan bruke skannefunksjoner på endepunktet.
  • Automatisk utbedring av trusler er aktivert: Filer flyttes og sikkerhetsadministratoren varsles.
  • Sikkerhetsanalyseoppdateringer er aktivert: Varsler er tilgjengelige i Microsoft Defender-portalen.

Elektroniske kjerneoppdateringsverktøy, for eksempel Ksplice eller lignende, kan føre til uforutsigbar operativsystemstabilitet hvis Defender for Endpoint kjører. Det anbefales å midlertidig stoppe Defender for Endpoint-daemonen før du utfører nettbasert kjerneoppdatering. Når kjernen er oppdatert, kan Defender for Endpoint på Linux trygt startes på nytt. Denne handlingen er spesielt viktig for store VIRTUELLE SAP HANA-er med store minnekontekster.

Når Microsoft Defender Antivirus kjører med sanntidsbeskyttelse, er det ikke lenger nødvendig å planlegge skanninger. Du bør kjøre en skanning minst én gang for å angi en opprinnelig plan. Deretter, om nødvendig, brukes Linux crontab vanligvis til å planlegge Microsoft Defender antivirusskanninger og loggrotasjonsoppgaver. Hvis du vil ha mer informasjon, kan du se Slik planlegger du skanninger med Microsoft Defender for endepunkt (Linux).

Gjenkjennings- og responsfunksjonalitet for endepunkt (EDR) er aktiv når Microsoft Defender for endepunkt på Linux er installert. EDR-funksjonalitet kan deaktiveres via kommandolinje eller konfigurasjon ved hjelp av globale utelatelser. Hvis du vil ha mer informasjon om feilsøking av EDR, kan du se avsnittene Nyttige kommandoer og Nyttige koblinger (i denne artikkelen).

Viktige konfigurasjonsinnstillinger for Microsoft Defender for endepunkt på SAP på Linux

Det anbefales å kontrollere installasjonen og konfigurasjonen av Defender for Endpoint med kommandoen mdatp health.

Nøkkelparameterne som anbefales for SAP-programmer, er som følger:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Hvis du vil ha informasjon om feilsøking av installasjonsproblemer, kan du se Feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux.

Bedriftens sikkerhetsteam må få en fullstendig liste over antivirusutelukkelser fra SAP-administratorer (vanligvis SAP Basis Team). Det anbefales først å ekskludere:

  • DBMS-datafiler, loggfiler og midlertidige filer, inkludert disker som inneholder sikkerhetskopifiler
  • Hele innholdet i SAPMNT-katalogen
  • Hele innholdet i SAPLOC-katalogen
  • Hele innholdet i TRANS-katalogen
  • Hana – exclude /hana/shared, /hana/data, and /hana/log – se 1730930
  • SQL Server – Konfigurere antivirusprogrammer til å fungere med SQL Server
  • Oracle – se hvordan du konfigurerer antivirus på Oracle Database Server (Doc ID 782354.1)
  • DB2 – IBM-dokumentasjon: Hvilke DB2-kataloger som skal ekskluderes med antivirusprogramvare
  • SAP ASE – kontakt SAP
  • MaxDB – kontakt SAP
  • Adobe Document Server, SAP Arkiv Kataloger, TREX, LiveCache, Content Server og andre frittstående motorer må testes nøye i landskap som ikke er i produksjon, før du distribuerer Defender for Endpoint i produksjon

Oracle ASM-systemer trenger ikke utelukkelser fordi Microsoft Defender for endepunkt ikke kan lese ASM-disker.

Kunder med Pacemaker-klynger bør også konfigurere disse utelukkelsene:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Kunder som kjører sikkerhetspolicyen for Azure Security, kan utløse en skanning ved hjelp av Freeware Clam AV-løsningen. Det anbefales å deaktivere Clam AV-skanning etter at en virtuell maskin er beskyttet med Microsoft Defender for endepunkt ved hjelp av følgende kommandoer:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

Følgende artikler beskriver hvordan du konfigurerer antivirusutelukkelser for prosesser, filer og mapper per individuelle virtuelle maskin:

Planlegge en daglig antivirusskanning (valgfritt)

Den anbefalte konfigurasjonen for SAP-programmer muliggjør avskjæring i sanntid av IO-kall for antivirusskanning. Den anbefalte innstillingen er passiv modus der real_time_protection_enabled = true.

SAP-programmer som kjører på eldre versjoner av Linux eller på maskinvare som er overbelastet, kan vurdere å bruke real_time_protection_enabled = false. I dette tilfellet bør antivirusskanninger planlegges.

Hvis du vil ha mer informasjon, kan du se Slik planlegger du skanninger med Microsoft Defender for endepunkt (Linux).

Store SAP-systemer kan ha mer enn 20 SAP-programservere, hver med en tilkobling til SAPMNT NFS-delingen. 20 eller flere programservere som skanner den samme NFS-serveren samtidig, vil sannsynligvis overbelaste NFS-serveren. Defender for Endpoint på Linux skanner som standard ikke NFS-kilder.

Hvis det er behov for å skanne SAPMNT, bør denne skanningen bare konfigureres på én eller to virtuelle maskiner.

Planlagte skanninger for SAP ECC, BW, CRM, SCM, Solution Manager og andre komponenter bør forskyves til forskjellige tider for å unngå at alle SAP-komponenter overbelaster en delt NFS-lagringskilde som deles av alle SAP-komponenter.

Nyttige kommandoer

Hvis det oppstår en feil under manuell zypper-installasjon på Suse: «Ingenting gir policykorrektur» oppstår, kan du se Feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux.

Det finnes flere kommandolinjekommandoer som kan styre operasjonen av mdatp. Hvis du vil aktivere passiv modus, kan du bruke følgende kommando:


mdatp config passive-mode --value enabled

Obs!

Passiv modus er standardmodus når du installerer Defender for Endpoint på Linux.

Hvis du vil aktivere sanntidsbeskyttelse, kan du bruke kommandoen:


mdatp config real-time-protection --value enabled

Denne kommandoen ber mdatp hente de nyeste definisjonene fra skyen:


mdatp definitions update

Denne kommandoen tester om mdatp kan koble til skybaserte endepunkter på nettverket:


mdatp connectivity test

Disse kommandoene oppdaterer mdatp-programvaren om nødvendig:


yum update mdatp



zypper update mdatp

Siden mdatp kjører som en linux-systemtjeneste, kan du kontrollere mdatp ved hjelp av tjenestekommandoen, for eksempel:


service mdatp status

Denne kommandoen oppretter en diagnosefil som kan lastes opp til Microsoft Kundestøtte:


sudo mdatp diagnostic create