Udostępnij za pośrednictwem

Wskazówki dotyczące wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux dla systemu SAP

  • Artykuł

Dotyczy:

Ten artykuł zawiera wskazówki dotyczące wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux dla systemu SAP. Ten artykuł zawiera zalecane informacje o systemie SAP OSS (Online Services System), wymagania systemowe, wymagania wstępne, ważne ustawienia konfiguracji, zalecane wykluczenia antywirusowe i wskazówki dotyczące planowania skanowania antywirusowego.

Konwencjonalne mechanizmy zabezpieczeń, które były powszechnie używane do ochrony systemów SAP, takie jak izolowanie infrastruktury za zaporami i ograniczanie interakcyjnych logowania do systemu operacyjnego, nie są już uważane za wystarczające do wyeliminowania nowoczesnych zaawansowanych zagrożeń. Konieczne jest wdrożenie nowoczesnych mechanizmów obronnych w celu wykrywania zagrożeń i ich ograniczania w czasie rzeczywistym. Aplikacje SAP w przeciwieństwie do większości innych obciążeń wymagają podstawowej oceny i walidacji przed wdrożeniem Ochrona punktu końcowego w usłudze Microsoft Defender. Administratorzy zabezpieczeń przedsiębiorstwa powinni skontaktować się z zespołem SAP Basis przed wdrożeniem usługi Defender for Endpoint. Zespół SAP Basis Team powinien być przeszkolony krzyżowo z podstawowym poziomem wiedzy na temat usługi Defender for Endpoint.

Aplikacje SAP w systemie Linux

Ważna

Podczas wdrażania usługi Defender for Endpoint w systemie Linux zdecydowanie zaleca się eBPF. Aby uzyskać więcej informacji, zobacz dokumentację eBPF. Usługa Defender for Endpoint została ulepszona w celu używania struktury eBPF.

Obsługiwane dystrybucje obejmują wszystkie typowe dystrybucje systemu Linux, ale nie Suse 12.x. Klientom Suse 12.x zaleca się uaktualnienie do wersji Suse 15. Suse 12.x używa starego Audit.D czujnika opartego na ograniczeniach wydajności.

Aby uzyskać więcej informacji na temat dystrybucji pomocy technicznej, zobacz Use eBPF-based sensor for Ochrona punktu końcowego w usłudze Microsoft Defender on Linux (Używanie czujnika opartego na platformie eBPF dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux).

Oto kilka ważnych kwestii dotyczących aplikacji SAP na serwerze z systemem Linux:

  • Oprogramowanie SAP obsługuje tylko systemy Suse, Redhat i Oracle Linux. Inne dystrybucje nie są obsługiwane w przypadku aplikacji SAP S4 lub NetWeaver.
  • Zdecydowanie zalecane są Suse 15.x, Redhat 9.x i Oracle Linux 9.x. Obsługiwane dystrybucje obejmują wszystkie typowe dystrybucje systemu Linux, ale nie Suse 12.x.
  • Suse 11.x, Redhat 6.x i Oracle Linux 6.x nie są obsługiwane.
  • Systemy Redhat 7.x i 8.x oraz Oracle Linux 7.x i 8.x są technicznie obsługiwane, ale nie są już testowane w połączeniu z oprogramowaniem SAP.
  • Suse i Redhat oferują dostosowane dystrybucje dla oprogramowania SAP. Te wersje Suse i Redhat "for SAP" mogą mieć różne pakiety wstępnie zainstalowane i być może różne jądra.
  • System SAP obsługuje tylko niektóre systemy plików systemu Linux. Ogólnie rzecz biorąc, używane są platformy XFS i EXT3. System plików Oracle Automatic Storage Management (ASM) jest czasami używany w systemie Oracle DBMS i nie może być odczytywany przez usługę Defender for Endpoint.
  • Niektóre aplikacje SAP używają aparatów autonomicznych, takich jak TREX, Adobe Document Server, Content Server i LiveCache. Aparaty te wymagają konkretnej konfiguracji i wykluczeń plików.
  • Aplikacje SAP często mają katalogi transportowe i interfejsowe z wieloma tysiącami małych plików. Jeśli liczba plików jest większa niż 100 000, może to mieć wpływ na wydajność. Zaleca się archiwizowanie plików.
  • Zdecydowanie zaleca się wdrożenie usługi Defender for Endpoint w nieproduktywnych środowiskach SAP przez kilka tygodni przed wdrożeniem w środowisku produkcyjnym. Zespół SAP Basis Team powinien używać narzędzi, takich jak sysstat, KSARi nmon , aby sprawdzić, czy ma to wpływ na procesor CPU i inne parametry wydajności. Istnieje również możliwość skonfigurowania szerokich wykluczeń przy użyciu parametru zakresu globalnego, a następnie przyrostowego zmniejszenia liczby wykluczonych katalogów.

Wymagania wstępne dotyczące wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na maszynach wirtualnych SAP

Od grudnia 2024 r. można bezpiecznie skonfigurować usługę Defender for Endpoint w systemie Linux z włączoną ochroną w czasie rzeczywistym.

Domyślną opcją konfiguracji wdrożenia jako rozszerzenia platformy Azure dla programu antywirusowego jest tryb pasywny. Oznacza to, że program antywirusowy Microsoft Defender, składnik antywirusowy/chroniący przed złośliwym oprogramowaniem Ochrona punktu końcowego w usłudze Microsoft Defender, nie przechwytuje wywołań we/wy. Zalecamy uruchomienie usługi Defender for Endpoint w programie z włączoną ochroną w czasie rzeczywistym we wszystkich aplikacjach SAP. W związku z tym:

  • Włączono ochronę w czasie rzeczywistym: program antywirusowy Microsoft Defender przechwytuje wywołania we/wy w czasie rzeczywistym.
  • Skanowanie na żądanie jest włączone: możesz użyć funkcji skanowania w punkcie końcowym.
  • Automatyczne korygowanie zagrożeń jest włączone: pliki są przenoszone, a administrator zabezpieczeń jest powiadamiany.
  • Aktualizacje analizy zabezpieczeń są włączone: alerty są dostępne w portalu Microsoft Defender.

Narzędzia do stosowania poprawek jądra online, takie jak Ksplice lub podobne, mogą prowadzić do nieprzewidywalnej stabilności systemu operacyjnego, jeśli usługa Defender for Endpoint jest uruchomiona. Zaleca się tymczasowe zatrzymanie demona usługi Defender for Endpoint przed wykonaniem poprawek jądra online. Po zaktualizowaniu jądra można bezpiecznie uruchomić ponownie usługę Defender for Endpoint w systemie Linux. Ta akcja jest szczególnie ważna w przypadku dużych maszyn wirtualnych SAP HANA z ogromnym kontekstem pamięci.

Gdy program antywirusowy Microsoft Defender działa z ochroną w czasie rzeczywistym, nie jest już wymagany do planowania skanowania. Aby ustawić punkt odniesienia, należy uruchomić skanowanie co najmniej raz. Następnie, w razie potrzeby, crontab systemu Linux jest zwykle używany do planowania Microsoft Defender skanowanie antywirusowe i zadania rotacji dzienników. Aby uzyskać więcej informacji, zobacz How to schedule scans with Ochrona punktu końcowego w usłudze Microsoft Defender (Linux) (Jak zaplanować skanowanie za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender (Linux)).

Funkcja wykrywania i reagowania na punkty końcowe (EDR) jest aktywna za każdym razem, gdy jest zainstalowany Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. Funkcje EDR można wyłączyć za pośrednictwem wiersza polecenia lub konfiguracji przy użyciu wykluczeń globalnych. Aby uzyskać więcej informacji na temat rozwiązywania problemów z EDR, zobacz sekcje Przydatne polecenia i przydatne linki (w tym artykule).

Ważne ustawienia konfiguracji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie SAP w systemie Linux

Zaleca się sprawdzenie instalacji i konfiguracji usługi Defender for Endpoint za pomocą polecenia mdatp health.

Kluczowe parametry zalecane dla aplikacji SAP są następujące:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Aby uzyskać informacje na temat rozwiązywania problemów z instalacją, zobacz Rozwiązywanie problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Zespół ds. zabezpieczeń przedsiębiorstwa musi uzyskać pełną listę wykluczeń programu antywirusowego od administratorów SAP (zazwyczaj zespołu sapów). Zalecane jest, aby początkowo wykluczyć:

  • Pliki danych DBMS, pliki dziennika i pliki tymczasowe, w tym dyski zawierające pliki kopii zapasowej
  • Cała zawartość katalogu SAPMNT
  • Cała zawartość katalogu SAPLOC
  • Cała zawartość katalogu TRANS
  • Hana — wykluczanie /hana/shared, /hana/data i /hana/log — zobacz Uwaga 1730930
  • SQL Server — konfigurowanie oprogramowania antywirusowego do pracy z SQL Server
  • Oracle — zobacz jak skonfigurować ochronę antywirusową na serwerze Oracle Database Server (identyfikator dokumentu 782354.1)
  • DB2 — dokumentacja IBM: które katalogi DB2 należy wykluczyć za pomocą oprogramowania antywirusowego
  • SAP ASE — skontaktuj się z firmą SAP
  • MaxDB — skontaktuj się z sapem
  • Przed wdrożeniem usługi Defender for Endpoint w środowisku produkcyjnym należy dokładnie przetestować serwer Adobe Document Server, katalogi ARCHIWUM SAP, TREX, LiveCache, serwer zawartości i inne aparaty autonomiczne.

Systemy Oracle ASM nie wymagają wykluczeń, ponieważ Ochrona punktu końcowego w usłudze Microsoft Defender nie mogą odczytywać dysków ASM.

Klienci z klastrami Pacemaker powinni również skonfigurować następujące wykluczenia:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Klienci korzystający z zasad zabezpieczeń platformy Azure mogą wyzwolić skanowanie przy użyciu rozwiązania Freeware Clam AV. Zaleca się wyłączenie skanowania clam AV po tym, jak maszyna wirtualna została chroniona za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu następujących poleceń:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

W poniższych artykułach szczegółowo opisano sposób konfigurowania wykluczeń programu antywirusowego dla procesów, plików i folderów dla poszczególnych maszyn wirtualnych:

Planowanie codziennego skanowania antywirusowego (opcjonalnie)

Zalecana konfiguracja dla aplikacji SAP umożliwia przechwytywanie wywołań we/wy w czasie rzeczywistym na potrzeby skanowania antywirusowego. Zalecanym ustawieniem jest tryb pasywny, w którym real_time_protection_enabled = true.

Aplikacje SAP działające w starszych wersjach systemu Linux lub na przeciążonym sprzęcie mogą rozważyć użycie programu real_time_protection_enabled = false. W takim przypadku należy zaplanować skanowanie antywirusowe.

Aby uzyskać więcej informacji, zobacz How to schedule scans with Ochrona punktu końcowego w usłudze Microsoft Defender (Linux) (Jak zaplanować skanowanie za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender (Linux)).

Duże systemy SAP mogą mieć więcej niż 20 serwerów aplikacji SAP, z których każdy ma połączenie z udziałem systemu PLIKÓW NFS SAPMNT. Dwadzieścia lub więcej serwerów aplikacji jednocześnie skanujących ten sam serwer NFS prawdopodobnie przeciąża serwer NFS. Domyślnie usługa Defender dla punktu końcowego w systemie Linux nie skanuje źródeł NFS.

Jeśli jest wymagane skanowanie oprogramowania SAPMNT, to skanowanie powinno być skonfigurowane tylko na jednej lub dwóch maszynach wirtualnych.

Zaplanowane skanowania dla systemów SAP ECC, BW, CRM, SCM, Solution Manager i innych składników powinny być rozłożone w różnym czasie, aby uniknąć przeciążenia udostępnionego źródła magazynu systemu plików NFS współużytkowanego przez wszystkie składniki sap.

Przydatne polecenia

Jeśli podczas ręcznej instalacji programu Zypper na serwerze Suse występuje błąd "Nic nie zawiera wartości "policycoreutils", zobacz Rozwiązywanie problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Istnieje kilka poleceń wiersza polecenia, które mogą kontrolować działanie mdatp. Aby włączyć tryb pasywny, możesz użyć następującego polecenia:


mdatp config passive-mode --value enabled

Uwaga

Tryb pasywny jest trybem domyślnym podczas instalowania usługi Defender for Endpoint w systemie Linux.

Aby włączyć ochronę w czasie rzeczywistym, możesz użyć polecenia:


mdatp config real-time-protection --value enabled

To polecenie informuje narzędzie mdatp o pobraniu najnowszych definicji z chmury:


mdatp definitions update

To polecenie sprawdza, czy program mdatp może łączyć się z chmurowymi punktami końcowymi w sieci:


mdatp connectivity test

Te polecenia aktualizują oprogramowanie mdatp w razie potrzeby:


yum update mdatp



zypper update mdatp

Ponieważ narzędzie mdatp działa jako usługa systemu Linux, możesz kontrolować mdatp przy użyciu polecenia usługi, na przykład:


service mdatp status

To polecenie tworzy plik diagnostyczny, który można przekazać do pomocy technicznej firmy Microsoft:


sudo mdatp diagnostic create