Delen via

Implementatierichtlijnen voor Microsoft Defender voor Eindpunt in Linux voor SAP

  • Artikel

Van toepassing op:

Dit artikel bevat richtlijnen voor de implementatie van Microsoft Defender voor Eindpunt in Linux voor SAP. Dit artikel bevat aanbevolen SAP OSS-notities (Online Services System), de systeemvereisten, vereisten, belangrijke configuratie-instellingen, aanbevolen antivirusuitsluitingen en richtlijnen voor het plannen van antivirusscans.

Conventionele beveiligingsbeveiligingen die vaak worden gebruikt om SAP-systemen te beveiligen, zoals het isoleren van de infrastructuur achter firewalls en het beperken van aanmeldingen voor interactieve besturingssystemen, worden niet langer als voldoende beschouwd om moderne geavanceerde bedreigingen te beperken. Het is essentieel om moderne beveiliging te implementeren om bedreigingen in realtime te detecteren en te beperken. SAP-toepassingen, in tegenstelling tot de meeste andere workloads, vereisen een eenvoudige evaluatie en validatie voordat Microsoft Defender voor Eindpunt wordt geïmplementeerd. De ondernemingsbeveiligingsbeheerders moeten contact opnemen met het SAP-basisteam voordat ze Defender voor Eindpunt implementeren. Het SAP-basisteam moet worden getraind met een basisniveau van kennis over Defender voor Eindpunt.

SAP-toepassingen in Linux

Belangrijk

Wanneer u Defender voor Eindpunt in Linux implementeert, wordt eBPF sterk aangeraden. Zie eBPF-documentatie voor meer informatie. Defender voor Eindpunt is verbeterd voor het gebruik van het eBPF-framework.

De ondersteunde distributies omvatten alle algemene Linux-distributies, maar niet Suse 12.x. Klanten van Suse 12.x wordt aangeraden een upgrade uit te voeren naar Suse 15. Suse 12.x maakt gebruik van een oude Audit.D sensor met prestatiebeperkingen.

Zie Op eBPF gebaseerde sensor gebruiken voor Microsoft Defender voor Eindpunt in Linux voor meer informatie over ondersteuningsdistributies.

Hier volgen een belangrijk punt over SAP-toepassingen op Linux Server:

  • SAP ondersteunt alleen Suse, Redhat en Oracle Linux. Andere distributies worden niet ondersteund voor SAP S4- of NetWeaver-toepassingen.
  • Suse 15.x, Redhat 9.x en Oracle Linux 9.x worden sterk aanbevolen. De ondersteunde distributies omvatten alle algemene Linux-distributies, maar niet Suse 12.x.
  • Suse 11.x, Redhat 6.x en Oracle Linux 6.x worden niet ondersteund.
  • Redhat 7.x en 8.x en Oracle Linux 7.x en 8.x worden technisch ondersteund, maar worden niet meer getest in combinatie met SAP-software.
  • Suse en Redhat bieden distributies op maat voor SAP. Deze 'voor SAP'-versies van Suse en Redhat hebben mogelijk verschillende pakketten die vooraf zijn geïnstalleerd en mogelijk verschillende kernels.
  • SAP ondersteunt alleen bepaalde Linux-bestandssystemen. Over het algemeen worden XFS en EXT3 gebruikt. Het ASM-bestandssysteem (Oracle Automatic Storage Management) wordt soms gebruikt voor Oracle DBMS en kan niet worden gelezen door Defender for Endpoint.
  • Sommige SAP-toepassingen maken gebruik van zelfstandige engines, zoals TREX, Adobe Document Server, Content Server en LiveCache. Voor deze engines zijn specifieke configuratie- en bestandsuitsluitingen vereist.
  • SAP-toepassingen hebben vaak transport- en interfacemappen met vele duizenden kleine bestanden. Als het aantal bestanden groter is dan 100.000, kan dit de prestaties beïnvloeden. Het wordt aanbevolen om bestanden te archiveren.
  • Het wordt ten zeerst aanbevolen om Defender voor Eindpunt enkele weken te implementeren in niet-productieve SAP-landschappen voordat de implementatie in productie wordt genomen. Het SAP-basisteam moet hulpprogramma's gebruiken, zoals sysstat, KSARen nmon om te controleren of cpu- en andere prestatieparameters worden beïnvloed. Het is ook mogelijk om brede uitsluitingen te configureren met de globale bereikparameter en vervolgens het aantal uitgesloten mappen stapsgewijs te verminderen.

Vereisten voor het implementeren van Microsoft Defender voor Eindpunt op Linux op SAP-VM's

Vanaf december 2024 kan Defender voor Eindpunt op Linux veilig worden geconfigureerd met realtime-beveiliging ingeschakeld.

De standaardconfiguratieoptie voor implementatie als een Azure-extensie voor Antivirus is de passieve modus. Dit betekent dat Microsoft Defender Antivirus, het antivirus-/antimalwareonderdeel van Microsoft Defender voor Eindpunt, geen IO-aanroepen onderschept. We raden u aan Defender voor Eindpunt in uit te voeren met realtime-beveiliging ingeschakeld voor alle SAP-toepassingen. Als zodanig:

  • Realtime-beveiliging is ingeschakeld: Microsoft Defender Antivirus onderschept I/O-aanroepen in realtime.
  • Scannen op aanvraag is ingeschakeld: u kunt scanmogelijkheden op het eindpunt gebruiken.
  • Automatisch herstel van bedreigingen is ingeschakeld: Bestanden worden verplaatst en de beveiligingsbeheerder wordt gewaarschuwd.
  • Updates voor beveiligingsinformatie zijn ingeschakeld: waarschuwingen zijn beschikbaar in de Microsoft Defender-portal.

Online-hulpprogramma's voor kernelpatching, zoals Ksplice of iets dergelijks, kunnen leiden tot onvoorspelbare stabiliteit van het besturingssysteem als Defender voor Eindpunt wordt uitgevoerd. Het wordt aanbevolen om de Defender for Endpoint-daemon tijdelijk te stoppen voordat u online kernelpatching uitvoert. Nadat de kernel is bijgewerkt, kan Defender voor Eindpunt op Linux veilig opnieuw worden opgestart. Deze actie is met name belangrijk voor grote SAP HANA-VM's met enorme geheugencontexten.

Wanneer Microsoft Defender Antivirus wordt uitgevoerd met realtime-beveiliging, is het niet langer nodig om scans te plannen. U moet ten minste één keer een scan uitvoeren om een basislijn in te stellen. Vervolgens wordt, indien nodig, de Linux-crontab meestal gebruikt om Microsoft Defender antivirusscans en logboekrotatietaken te plannen. Zie Scans plannen met Microsoft Defender voor Eindpunt (Linux) voor meer informatie.

De functionaliteit voor eindpuntdetectie en -respons (EDR) is actief wanneer Microsoft Defender voor Eindpunt op Linux is geïnstalleerd. EDR-functionaliteit kan worden uitgeschakeld via de opdrachtregel of configuratie met behulp van globale uitsluitingen. Zie de secties Nuttige opdrachten en Nuttige koppelingen (in dit artikel) voor meer informatie over het oplossen van problemen met EDR.

Belangrijke configuratie-instellingen voor Microsoft Defender voor Eindpunt in SAP on Linux

Het wordt aanbevolen om de installatie en configuratie van Defender voor Eindpunt te controleren met de opdracht mdatp health.

De belangrijkste parameters die worden aanbevolen voor SAP-toepassingen zijn als volgt:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Zie Installatieproblemen oplossen voor Microsoft Defender voor Eindpunt in Linux voor informatie over het oplossen van installatieproblemen.

Het beveiligingsteam van uw bedrijf moet een volledige lijst met antivirusuitsluitingen verkrijgen van de SAP-beheerders (meestal het SAP-basisteam). Het wordt aanbevolen om in eerste instantie het volgende uit te sluiten:

  • DBMS-gegevensbestanden, logboekbestanden en tijdelijke bestanden, inclusief schijven met back-upbestanden
  • De volledige inhoud van de SAPMNT-map
  • De volledige inhoud van de SAPLOC-map
  • De volledige inhoud van de TRANS-map
  • Hana – sluit /hana/shared, /hana/data en /hana/log uit - zie Opmerking 1730930
  • SQL Server: antivirussoftware configureren voor gebruik met SQL Server
  • Oracle – Zie Antivirus configureren op Oracle Database Server (doc-id 782354.1)
  • DB2 – IBM-documentatie: welke DB2-directory's moeten worden uitgesloten met antivirussoftware
  • SAP ASE : neem contact op met SAP
  • MaxDB – contact SAP
  • Adobe Document Server, SAP Archief Directory's, TREX, LiveCache, Content Server en andere zelfstandige engines moeten zorgvuldig worden getest in niet-productielandschappen voordat Defender voor Eindpunt in productie wordt geïmplementeerd

Oracle ASM-systemen hebben geen uitsluitingen nodig omdat Microsoft Defender voor Eindpunt GEEN ASM-schijven kunt lezen.

Klanten met Pacemaker-clusters moeten deze uitsluitingen ook configureren:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Klanten die het Beveiligingsbeleid van Azure uitvoeren, kunnen een scan activeren met behulp van de Freeware Clam AV-oplossing. Het wordt aanbevolen om Clam AV-scan uit te schakelen nadat een VM is beveiligd met Microsoft Defender voor Eindpunt met behulp van de volgende opdrachten:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

In de volgende artikelen wordt beschreven hoe u antivirusuitsluitingen configureert voor processen, bestanden en mappen per afzonderlijke VM:

Een dagelijkse antivirusscan plannen (optioneel)

De aanbevolen configuratie voor SAP-toepassingen maakt realtime onderschepping van IO-aanroepen voor antivirusscans mogelijk. De aanbevolen instelling is de passieve modus waarin real_time_protection_enabled = true.

SAP-toepassingen die worden uitgevoerd op oudere versies van Linux of op hardware die overbelast is, kunnen overwegen om te gebruiken real_time_protection_enabled = false. In dit geval moeten antivirusscans worden gepland.

Zie Scans plannen met Microsoft Defender voor Eindpunt (Linux) voor meer informatie.

Grote SAP-systemen hebben mogelijk meer dan 20 SAP-toepassingsservers, elk met een verbinding met de SAPMNT NFS-share. Twintig of meer toepassingsservers die tegelijkertijd dezelfde NFS-server scannen, zullen de NFS-server waarschijnlijk overbelasten. Standaard scant Defender voor Eindpunt op Linux geen NFS-bronnen.

Als er een vereiste is om SAPMNT te scannen, moet deze scan alleen worden geconfigureerd op een of twee VM's.

Geplande scans voor SAP ECC, BW, CRM, SCM, Solution Manager en andere onderdelen moeten op verschillende tijdstippen worden gespreid om te voorkomen dat alle SAP-onderdelen een gedeelde NFS-opslagbron overbelasten die wordt gedeeld door alle SAP-onderdelen.

Nuttige opdrachten

Als tijdens de handmatige installatie van zypper in Suse de fout 'Niets biedt 'policycoreutils' optreedt, raadpleegt u Installatieproblemen oplossen voor Microsoft Defender voor Eindpunt in Linux.

Er zijn verschillende opdrachtregelopdrachten die de werking van mdatp kunnen beheren. Als u de passieve modus wilt inschakelen, kunt u de volgende opdracht gebruiken:


mdatp config passive-mode --value enabled

Opmerking

Passieve modus is de standaardmodus bij het installeren van Defender voor Eindpunt in Linux.

Als u realtime-beveiliging wilt inschakelen, kunt u de opdracht gebruiken:


mdatp config real-time-protection --value enabled

Met deze opdracht wordt mdatp de meest recente definities uit de cloud opgehaald:


mdatp definitions update

Met deze opdracht wordt getest of mdatp verbinding kan maken met de cloudeindpunten op het netwerk:


mdatp connectivity test

Met deze opdrachten wordt de mdatp-software bijgewerkt, indien nodig:


yum update mdatp



zypper update mdatp

Aangezien mdatp wordt uitgevoerd als een Linux-systeemservice, kunt u mdatp beheren met behulp van de serviceopdracht, bijvoorbeeld:


service mdatp status

Met deze opdracht maakt u een diagnostisch bestand dat kan worden geüpload naar Microsoft-ondersteuning:


sudo mdatp diagnostic create