Partilhar via

Orientações de implementação para Microsoft Defender para Endpoint no Linux para SAP

  • Artigo

Aplica-se a:

Este artigo fornece orientações de implementação para Microsoft Defender para Endpoint no Linux para SAP. Este artigo inclui notas recomendadas do SAP OSS (Sistema de Serviços Online), os requisitos de sistema, os pré-requisitos, as definições de configuração importantes, as exclusões antivírus recomendadas e as orientações sobre o agendamento de análises antivírus.

As defesas de segurança convencionais que têm sido frequentemente utilizadas para proteger sistemas SAP, como isolar a infraestrutura atrás de firewalls e limitar inícios de sessão de sistemas operativos interativos, já não são consideradas suficientes para mitigar ameaças modernas e sofisticadas. É essencial implementar defesas modernas para detetar e conter ameaças em tempo real. As aplicações SAP, ao contrário da maioria das outras cargas de trabalho, requerem avaliação e validação básicas antes de implementar Microsoft Defender para Endpoint. Os administradores de segurança da empresa devem contactar a equipa sap basis antes de implementar o Defender para Endpoint. A Equipa de Base SAP deve ser preparada de forma cruzada com um nível básico de conhecimento sobre o Defender para Endpoint.

Aplicações SAP no Linux

Importante

Quando implementa o Defender para Endpoint no Linux, o eBPF é fortemente aconselhado. Para obter mais informações, veja Documentação do eBPF. O Defender para Endpoint foi melhorado para utilizar a arquitetura eBPF.

As distribuições suportadas incluem todas as distribuições comuns do Linux, mas não o Suse 12.x. Os clientes do Suse 12.x são aconselhados a atualizar para o Suse 15. O Suse 12.x utiliza um Audit.D sensor antigo baseado que tem limitações de desempenho.

Para obter mais informações sobre distribuições de suporte, veja Utilizar o sensor baseado em eBPF para Microsoft Defender para Endpoint no Linux.

Eis um ponto importante sobre as aplicações SAP no Linux Server:

  • O SAP só suporta Suse, Redhat e Oracle Linux. Outras distribuições não são suportadas para aplicações SAP S4 ou NetWeaver.
  • Suse 15.x, Redhat 9.x e Oracle Linux 9.x são vivamente recomendados. As distribuições suportadas incluem todas as distribuições comuns do Linux, mas não o Suse 12.x.
  • O Suse 11.x, o Redhat 6.x e o Oracle Linux 6.x não são suportados.
  • O Redhat 7.x e 8.x e o Oracle Linux 7.x e 8.x são tecnicamente suportados, mas já não são testados em combinação com o software SAP.
  • O Suse e o Redhat oferecem distribuições personalizadas para SAP. Estas versões "para SAP" do Suse e redhat podem ter pacotes diferentes pré-instalados e, possivelmente, kernels diferentes.
  • O SAP só suporta determinados sistemas de Ficheiros Linux. Em geral, são utilizados XFS e EXT3. Por vezes, o sistema de ficheiros oracle Automatic Storage Management (ASM) é utilizado para o Oracle DBMS e não pode ser lido pelo Defender para Endpoint.
  • Algumas aplicações SAP utilizam motores autónomos, como TREX, Adobe Document Server, Servidor de Conteúdos e LiveCache. Estes motores requerem exclusões de ficheiros e configuração específicas.
  • Muitas vezes, as aplicações SAP têm diretórios de Transporte e Interface com muitos milhares de ficheiros pequenos. Se o número de ficheiros for superior a 100 000, poderá afetar o desempenho. É recomendado arquivar ficheiros.
  • Recomenda-se vivamente que implemente o Defender para Endpoint em paisagens SAP não produção durante várias semanas antes de implementar na produção. A Equipa de Base SAP deve utilizar ferramentas, como sysstat, KSARe nmon para verificar se a CPU e outros parâmetros de desempenho são afetados. Também é possível configurar amplas exclusões com o parâmetro de âmbito global e, em seguida, reduzir incrementalmente o número de diretórios excluídos.

Pré-requisitos para implementar Microsoft Defender para Endpoint no Linux em VMs SAP

A partir de dezembro de 2024, o Defender para Endpoint no Linux pode ser configurado com segurança com a proteção em tempo real ativada.

A opção de configuração predefinida para implementação como uma Extensão do Azure para Antivírus é o modo passivo. Isto significa que Microsoft Defender Antivírus, o componente antivírus/antimalware do Microsoft Defender para Endpoint, não interceta chamadas de E/S. Recomendamos que execute o Defender para Endpoint com a proteção em tempo real ativada em todas as aplicações SAP. Como tal:

  • A proteção em tempo real está ativada: Microsoft Defender Antivírus interceta chamadas de E/S em tempo real.
  • A análise a pedido está ativada: pode utilizar as capacidades de análise no ponto final.
  • A remediação automática de ameaças está ativada: os ficheiros são movidos e o administrador de segurança é alertado.
  • As atualizações de informações de segurança estão ativadas: os alertas estão disponíveis no portal Microsoft Defender.

As ferramentas de aplicação de patches de Kernel online, como ksplice ou semelhantes, podem originar estabilidade imprevisível do SO se o Defender para Endpoint estiver em execução. Recomenda-se parar temporariamente o daemon do Defender para Endpoint antes de efetuar a aplicação de patches do Kernel online. Após a atualização do Kernel, o Defender para Endpoint no Linux pode ser reiniciado em segurança. Esta ação é especialmente importante em VMs SAP HANA grandes com enormes contextos de memória.

Quando Microsoft Defender Antivírus está em execução com proteção em tempo real, já não é necessário agendar análises. Deve executar uma análise pelo menos uma vez para definir uma linha de base. Em seguida, se necessário, o crontab do Linux é normalmente utilizado para agendar Microsoft Defender análises antivírus e tarefas de rotação de registos. Para obter mais informações, veja Como agendar análises com Microsoft Defender para Endpoint (Linux).

A funcionalidade de deteção e resposta de pontos finais (EDR) está ativa sempre que Microsoft Defender para Endpoint no Linux é instalada. A funcionalidade EDR pode ser desativada através da linha de comandos ou da configuração através de exclusões globais. Para obter mais informações sobre a resolução de problemas do EDR, veja as secções Comandos Úteis e Ligações Úteis (neste artigo).

Definições de configuração importantes para Microsoft Defender para Endpoint no SAP no Linux

É recomendado verificar a instalação e configuração do Defender para Endpoint com o comando mdatp health.

Os parâmetros principais recomendados para aplicações SAP são os seguintes:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Para obter informações sobre a resolução de problemas de instalação, veja Resolver problemas de instalação do Microsoft Defender para Endpoint no Linux.

A sua equipa de segurança empresarial tem de obter uma lista completa das exclusões antivírus dos Administradores do SAP (normalmente, a Equipa de Base SAP). É recomendado excluir inicialmente:

  • Ficheiros de dados do DBMS, ficheiros de registo e ficheiros temporários, incluindo discos que contêm ficheiros de cópia de segurança
  • Todo o conteúdo do diretório SAPMNT
  • Todo o conteúdo do diretório SAPLOC
  • Todo o conteúdo do diretório TRANS
  • Hana – excluir /hana/partilhado, /hana/dados e /hana/log – consulte Nota 1730930
  • SQL Server – Configurar software antivírus para trabalhar com SQL Server
  • Oracle – veja Como Configurar o Antivírus no Servidor da Base de Dados Oracle (ID do Documento 782354.1)
  • DB2 – documentação da IBM: que diretórios DB2 excluir com software antivírus
  • SAP ASE – contactar o SAP
  • MaxDB – contactar o SAP
  • O Adobe Document Server, os Diretórios de Arquivo sap, TREX, LiveCache, Content Server e outros motores autónomos têm de ser testados cuidadosamente em cenários de não produção antes de implementar o Defender para Endpoint na produção

Os sistemas ASM oracle não precisam de exclusões, uma vez que Microsoft Defender para Endpoint não conseguem ler discos ASM.

Os clientes com clusters pacemaker também devem configurar estas exclusões:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Os clientes que executam a política de segurança de Segurança do Azure podem acionar uma análise com a solução AV do Freeware Clam. É recomendado desativar a análise AV da Amêijoa depois de uma VM ter sido protegida com Microsoft Defender para Endpoint através dos seguintes comandos:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

Os artigos seguintes detalham como configurar exclusões de antivírus para processos, ficheiros e pastas por VM individual:

Agendar uma análise antivírus diária (opcional)

A configuração recomendada para aplicações SAP permite a intercepção em tempo real de chamadas de E/S para análise antivírus. A definição recomendada é o modo passivo no qual real_time_protection_enabled = true.

As aplicações SAP em execução em versões mais antigas do Linux ou em hardware sobrecarregado podem considerar a utilização real_time_protection_enabled = falsedo . Neste caso, as análises antivírus devem ser agendadas.

Para obter mais informações, veja Como agendar análises com Microsoft Defender para Endpoint (Linux).

Os grandes sistemas SAP podem ter mais de 20 servidores de aplicações SAP, cada um com uma ligação à partilha SAPMNT NFS. Vinte ou mais servidores de aplicações que verificam simultaneamente o mesmo servidor NFS provavelmente sobrecarregarão o servidor NFS. Por predefinição, o Defender para Endpoint no Linux não analisa origens NFS.

Se existir um requisito para analisar o SAPMNT, esta análise deve ser configurada apenas numa ou duas VMs.

As análises agendadas para SAP ECC, BW, CRM, SCM, Gestor de Soluções e outros componentes devem ser escalonadas em alturas diferentes para evitar que todos os componentes SAP sobrecarreguem uma origem de armazenamento NFS partilhada partilhada por todos os componentes SAP.

Comandos Úteis

Se, durante a instalação manual do zypper no Suse, ocorrer um erro "Nada fornece 'policycoreutils'", veja Resolver problemas de instalação de Microsoft Defender para Endpoint no Linux.

Existem vários comandos da linha de comandos que podem controlar a operação do mdatp. Para ativar o modo passivo, pode utilizar o seguinte comando:


mdatp config passive-mode --value enabled

Nota

O modo passivo é o modo predefinido ao instalar o Defender para Endpoint no Linux.

Para ativar a proteção em tempo real, pode utilizar o comando :


mdatp config real-time-protection --value enabled

Este comando indica ao mdatp para obter as definições mais recentes da cloud:


mdatp definitions update

Este comando testa se o mdatp consegue ligar-se aos pontos finais baseados na cloud na rede:


mdatp connectivity test

Estes comandos atualizam o software mdatp, se necessário:


yum update mdatp



zypper update mdatp

Uma vez que o mdatp é executado como um serviço de sistema linux, pode controlar o mdatp com o comando de serviço, por exemplo:


service mdatp status

Este comando cria um ficheiro de diagnóstico que pode ser carregado para o suporte da Microsoft:


sudo mdatp diagnostic create