Implementatierichtlijnen voor Microsoft Defender voor Eindpunt in Linux voor SAP

Dit artikel bevat richtlijnen voor de implementatie van Microsoft Defender voor Eindpunt in Linux voor SAP. Dit artikel bevat aanbevolen SAP OSS-notities (Online Services System), de systeemvereisten, vereisten, belangrijke configuratie-instellingen, aanbevolen antivirusuitsluitingen en richtlijnen voor het plannen van antivirusscans.

Conventionele beveiligingsbeveiligingen die vaak worden gebruikt om SAP-systemen te beveiligen, zoals het isoleren van de infrastructuur achter firewalls en het beperken van aanmeldingen voor interactieve besturingssystemen, worden niet langer als voldoende beschouwd om moderne geavanceerde bedreigingen te beperken. Het is essentieel om moderne beveiliging te implementeren om bedreigingen in realtime te detecteren en te beperken. SAP-toepassingen, in tegenstelling tot de meeste andere workloads, vereisen een eenvoudige evaluatie en validatie voordat Microsoft Defender voor Eindpunt wordt geïmplementeerd. De ondernemingsbeveiligingsbeheerders moeten contact opnemen met het SAP-basisteam voordat ze Defender voor Eindpunt implementeren. Het SAP-basisteam moet worden getraind met een basisniveau van kennis over Defender voor Eindpunt.

Aanbevolen SAP OSS-notities

• 2248916: welke bestanden en mappen moeten worden uitgesloten van een antivirusscan voor SAP BusinessObjects Business Intelligence Platform-producten in Linux/Unix? - SAP ONE Support Launchpad
• 1984459 - Welke bestanden en mappen moeten worden uitgesloten van een antivirusscan voor SAP Data Services - SAP ONE Support Launchpad
• 2808515 - Beveiligingssoftware installeren op SAP-servers die worden uitgevoerd op Linux - SAP ONE Support Launchpad
• 1730930 - Antivirussoftware gebruiken in een SAP HANA-apparaat - SAP ONE Support Launchpad
• 1730997 - Niet-aanbevolen versies van antivirussoftware - SAP ONE Support Launchpad

SAP-toepassingen in Linux

• SAP ondersteunt alleen Suse, Redhat en Oracle Linux. Andere distributies worden niet ondersteund voor SAP S4- of NetWeaver-toepassingen.
• Suse 15.x, Redhat 8.x of 9.x en Oracle Linux 8.x worden sterk aanbevolen.
• Suse 12.x, Redhat 7.x en Oracle Linux 7.x worden technisch ondersteund, maar zijn niet uitgebreid getest.
• Suse 11.x, Redhat 6.x en Oracle Linux 6.x worden mogelijk niet ondersteund en zijn niet getest.
• Suse en Redhat bieden distributies op maat voor SAP. Deze 'voor SAP'-versies van Suse en Redhat hebben mogelijk verschillende pakketten die vooraf zijn geïnstalleerd en mogelijk verschillende kernels.
• SAP ondersteunt alleen bepaalde Linux-bestandssystemen. Over het algemeen worden XFS en EXT3 gebruikt. Het ASM-bestandssysteem (Oracle Automatic Storage Management) wordt soms gebruikt voor Oracle DBMS en kan niet worden gelezen door Defender for Endpoint.
• Sommige SAP-toepassingen gebruiken zelfstandige engines, zoals TREX, Adobe Document Server, Content Server en LiveCache. Voor deze engines zijn specifieke configuratie- en bestandsuitsluitingen vereist.
• SAP-toepassingen hebben vaak transport- en interfacemappen met vele duizenden kleine bestanden. Als het aantal bestanden groter is dan 100.000, kan dit de prestaties beïnvloeden. Het wordt aanbevolen om bestanden te archiveren.
• Het wordt ten zeerst aanbevolen om Defender voor Eindpunt enkele weken te implementeren in niet-productieve SAP-landschappen voordat de implementatie in productie wordt genomen. Het SAP-basisteam moet hulpprogramma's zoals sysstat, KSARen nmon gebruiken om te controleren of cpu- en andere prestatieparameters worden beïnvloed.

Vereisten voor het implementeren van Microsoft Defender voor Eindpunt op Linux op SAP-VM's

• Microsoft Defender voor Eindpunt versie>= 101.23082.0009 | Releaseversie: 30.123082.0009 of hoger moet worden geïmplementeerd.
• Microsoft Defender voor Eindpunt op Linux ondersteunt alle Linux-releases die door SAP-toepassingen worden gebruikt.
• Microsoft Defender voor Eindpunt op Linux vereist connectiviteit met specifieke interneteindpunten van VM's om antivirusdefinities bij te werken.
• voor Microsoft Defender voor Eindpunt in Linux zijn enkele crontab-vermeldingen (of andere taakplanners) vereist om scans, logboekrotatie en Microsoft Defender voor Eindpunt updates te plannen. Enterprise Security-teams beheren deze vermeldingen normaal gesproken. Raadpleeg Een update van de Microsoft Defender voor Eindpunt (Linux) plannen.

De standaardconfiguratieoptie voor implementatie als een Azure-extensie voor AntiVirus (AV) is passieve modus. Dit betekent dat Microsoft Defender Antivirus, het AV-onderdeel van Microsoft Defender voor Eindpunt, geen IO-aanroepen onderschept. Het wordt aanbevolen om Microsoft Defender voor Eindpunt uit te voeren in de passieve modus voor alle SAP-toepassingen en om één keer per dag een scan te plannen. In deze modus:

• Realtime-beveiliging is uitgeschakeld: bedreigingen worden niet hersteld door Microsoft Defender Antivirus.
• Scannen op aanvraag is ingeschakeld: gebruik nog steeds de scanmogelijkheden op het eindpunt.
• Automatisch herstel van bedreigingen is uitgeschakeld: er worden geen bestanden verplaatst en de beveiligingsbeheerder wordt geacht de vereiste actie te ondernemen.
• Updates voor beveiligingsinformatie zijn ingeschakeld: waarschuwingen zijn beschikbaar in de tenant van de beveiligingsbeheerder.

Online kernelpatchinghulpprogramma's zoals Ksplice of vergelijkbaar kunnen leiden tot onvoorspelbare stabiliteit van het besturingssysteem als Defender voor Eindpunt wordt uitgevoerd. Het wordt aanbevolen om de Defender for Endpoint-daemon tijdelijk te stoppen voordat u online kernelpatching uitvoert. Nadat de kernel is bijgewerkt, kan Defender voor Eindpunt op Linux veilig opnieuw worden opgestart. Dit is met name belangrijk voor grote SAP HANA-VM's met enorme geheugencontexten.

De Linux-crontab wordt meestal gebruikt voor het plannen van Microsoft Defender voor Eindpunt AV-scan- en logboekrotatietaken: scans plannen met Microsoft Defender voor Eindpunt (Linux)

EDR-functionaliteit (Endpoint Detection and Response) is actief wanneer Microsoft Defender voor Eindpunt op Linux is geïnstalleerd. Er is geen eenvoudige manier om EDR-functionaliteit uit te schakelen via de opdrachtregel of configuratie. Zie de secties Nuttige opdrachten en Nuttige koppelingen voor meer informatie over het oplossen van problemen met EDR.

Belangrijke configuratie-instellingen voor Microsoft Defender voor Eindpunt in SAP op Linux

Het wordt aanbevolen om de installatie en configuratie van Defender voor Eindpunt te controleren met de opdracht mdatp health.

De belangrijkste aanbevolen parameters voor SAP-toepassingen zijn:

• healthy = true
• release_ring = Production. Prerelease- en insider-ringen mogen niet worden gebruikt met SAP-toepassingen.
• real_time_protection_enabled = false. Realtime-beveiliging is uitgeschakeld in de passieve modus. Dit is de standaardmodus en voorkomt realtime IO-interceptie.
• automatic_definition_update_enabled = true
• definition_status = "up_to_date". Voer een handmatige update uit als er een nieuwe waarde wordt geïdentificeerd.
• edr_early_preview_enabled = "disabled". Als dit wordt ingeschakeld op SAP-systemen, kan dit leiden tot instabiliteit van het systeem.
• conflicting_applications = [ ]. Andere AV- of beveiligingssoftware die op een VIRTUELE machine is geïnstalleerd, zoals Clam.
• supplementary_events_subsystem = "ebpf". Ga niet verder als ebpf niet wordt weergegeven. Neem contact op met het beveiligingsbeheerdersteam.

Dit artikel bevat enkele nuttige tips voor het oplossen van installatieproblemen voor Microsoft Defender voor Eindpunt: Installatieproblemen oplossen voor Microsoft Defender voor Eindpunt in Linux

Aanbevolen Microsoft Defender voor Eindpunt antivirusuitsluitingen voor SAP op Linux

Enterprise Security Team moet een volledige lijst met antivirusuitsluitingen verkrijgen van de SAP-beheerders (meestal het SAP-basisteam). Het wordt aanbevolen om in eerste instantie het volgende uit te sluiten:

• DBMS-gegevensbestanden, logboekbestanden en tijdelijke bestanden, inclusief schijven met back-upbestanden
• De volledige inhoud van de SAPMNT-map
• De volledige inhoud van de SAPLOC-map
• De volledige inhoud van de TRANS-map
• De volledige inhoud van mappen voor zelfstandige engines zoals TREX
• Hana – sluit /hana/shared, /hana/data en /hana/log uit - zie Opmerking 1730930
• SQL Server: antivirussoftware configureren voor gebruik met SQL Server - SQL Server
• Oracle – Zie Antivirus configureren op Oracle Database Server (doc-id 782354.1)
• DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
• SAP ASE : neem contact op met SAP
• MaxDB – contact SAP

Oracle ASM-systemen hebben geen uitsluitingen nodig omdat Microsoft Defender voor Eindpunt GEEN ASM-schijven kunt lezen.

Klanten met Pacemaker-clusters moeten deze uitsluitingen ook configureren:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Klanten die het Beveiligingsbeleid van Azure uitvoeren, kunnen een scan activeren met behulp van de Freeware Clam AV-oplossing. Het wordt aanbevolen om Clam AV-scan uit te schakelen nadat een VM is beveiligd met Microsoft Defender voor Eindpunt met behulp van de volgende opdrachten:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status 

In de volgende artikelen wordt beschreven hoe u AV-uitsluitingen configureert voor processen, bestanden en mappen per afzonderlijke VM:

• Uitsluitingen instellen voor Microsoft Defender Antivirusscans
• Veelvoorkomende fouten bij het definiëren van uitsluitingen voorkomen

Een dagelijkse AV-scan plannen

De aanbevolen configuratie voor SAP-toepassingen schakelt realtime interceptie van IO-aanroepen voor AV-scans uit. De aanbevolen instelling is de passieve modus waarin real_time_protection_enabled = onwaar.

De volgende koppeling bevat informatie over het plannen van een scan: Scans plannen met Microsoft Defender voor Eindpunt (Linux).

Grote SAP-systemen hebben mogelijk meer dan 20 SAP-toepassingsservers met elk een verbinding met de SAPMNT NFS-share. Twintig of meer toepassingsservers die tegelijkertijd dezelfde NFS-server scannen, zullen de NFS-server waarschijnlijk overbelasten. Standaard scant Defender voor Eindpunt op Linux geen NFS-bronnen.

Als er een vereiste is om SAPMNT te scannen, moet deze scan alleen worden geconfigureerd op een of twee VM's.

Geplande scans voor SAP ECC, BW, CRM, SCM, Solution Manager en andere onderdelen moeten op verschillende tijdstippen worden gespreid om te voorkomen dat alle SAP-onderdelen een gedeelde NFS-opslagbron overbelasten die wordt gedeeld door alle SAP-onderdelen.

Nuttige opdrachten

Als tijdens de handmatige installatie van zypper in Suse de fout 'Niets biedt 'policycoreutils'' optreedt, raadpleegt u: Installatieproblemen oplossen voor Microsoft Defender voor Eindpunt in Linux.

Er zijn verschillende opdrachtregelopdrachten die de werking van mdatp kunnen beheren. Als u de passieve modus wilt inschakelen, kunt u de volgende opdracht gebruiken:

mdatp config passive-mode --value enabled

Opmerking

passieve modus is de standaardmodus voor het installeren van Defender voor eindpunt in Linux.

Als u realtime-beveiliging wilt uitschakelen, kunt u de opdracht gebruiken:

mdatp config real-time-protection --value disabled

Met deze opdracht wordt mdatp de meest recente definities uit de cloud opgehaald:

mdatp definitions update 

Met deze opdracht wordt getest of mdatp via het netwerk verbinding kan maken met de cloudeindpunten:

mdatp connectivity test

Met deze opdrachten wordt de mdatp-software bijgewerkt, indien nodig:

yum update mdatp

zypper update mdatp

Aangezien mdatp wordt uitgevoerd als een Linux-systeemservice, kunt u mdatp beheren met behulp van de serviceopdracht, bijvoorbeeld:

service mdatp status 

Met deze opdracht maakt u een diagnostisch bestand dat kan worden geüpload naar Microsoft-ondersteuning:

sudo mdatp diagnostic create

Nuttige koppelingen

• Microsoft Endpoint Manager biedt momenteel geen ondersteuning voor Linux

• Configuratie-instellingen voor Microsoft Defender voor Eindpunt beheren op apparaten met Microsoft Endpoint Manager

• Microsoft Tech Community: Microsoft Defender voor Eindpunt Linux - Lijst met configuratie- en bewerkingsopdrachten

• Microsoft Tech Community: Microsoft Defender voor Eindpunt implementeren op Linux-servers

• Verbindingsproblemen met de cloud oplossen voor Microsoft Defender voor Eindpunt in Linux

• Prestatieproblemen voor Microsoft Defender voor Eindpunt in Linux oplossen