Partilhar via


Orientações de implementação para Microsoft Defender para Endpoint no Linux para SAP

Este artigo fornece orientações de implementação para Microsoft Defender para Endpoint no Linux para SAP. Este artigo inclui notas recomendadas do SAP OSS (Sistema de Serviços Online), os requisitos de sistema, os pré-requisitos, as definições de configuração importantes, as exclusões antivírus recomendadas e as orientações sobre o agendamento de análises antivírus.

As defesas de segurança convencionais que têm sido frequentemente utilizadas para proteger sistemas SAP, como isolar a infraestrutura atrás de firewalls e limitar inícios de sessão de sistemas operativos interativos, já não são consideradas suficientes para mitigar ameaças modernas e sofisticadas. É essencial implementar defesas modernas para detetar e conter ameaças em tempo real. As aplicações SAP, ao contrário da maioria das outras cargas de trabalho, requerem avaliação e validação básicas antes de implementar Microsoft Defender para Endpoint. Os administradores de segurança da empresa devem contactar a equipa sap basis antes de implementar o Defender para Endpoint. A Equipa de Base SAP deve ser preparada de forma cruzada com um nível básico de conhecimento sobre o Defender para Endpoint.

Aplicações SAP no Linux

  • O SAP só suporta Suse, Redhat e Oracle Linux. Outras distribuições não são suportadas para aplicações SAP S4 ou NetWeaver.
  • Suse 15.x, Redhat 8.x ou 9.x e Oracle Linux 8.x são vivamente recomendados.
  • Suse 12.x, Redhat 7.x e Oracle Linux 7.x são tecnicamente suportados, mas não foram amplamente testados.
  • Suse 11.x, Redhat 6.x e Oracle Linux 6.x podem não ser suportados e não foram testados.
  • O Suse e o Redhat oferecem distribuições personalizadas para SAP. Estas versões "para SAP" do Suse e redhat podem ter pacotes diferentes pré-instalados e, possivelmente, kernels diferentes.
  • O SAP só suporta determinados sistemas de Ficheiros Linux. Em geral, são utilizados XFS e EXT3. Por vezes, o sistema de ficheiros oracle Automatic Storage Management (ASM) é utilizado para o Oracle DBMS e não pode ser lido pelo Defender para Endpoint.
  • Algumas aplicações SAP utilizam "motores autónomos", como TREX, Adobe Document Server, Content Server e LiveCache. Estes motores requerem exclusões de ficheiros e configuração específicas.
  • Muitas vezes, as aplicações SAP têm diretórios de Transporte e Interface com muitos milhares de ficheiros pequenos. Se o número de ficheiros for superior a 100 000, poderá afetar o desempenho. É recomendado arquivar ficheiros.
  • Recomenda-se vivamente que implemente o Defender para Endpoint em paisagens SAP não produção durante várias semanas antes de implementar na produção. A Equipa de Base SAP deve utilizar ferramentas como sysstat, KSARe nmon para verificar se a CPU e outros parâmetros de desempenho são afetados.

Pré-requisitos para implementar Microsoft Defender para Endpoint no Linux em VMs SAP

  • Microsoft Defender para Endpoint versão>= 101.23082.0009 | Versão de versão: 30.123082.0009 ou superior tem de ser implementada.
  • Microsoft Defender para Endpoint no Linux suporta todas as versões do Linux utilizadas pelas aplicações SAP.
  • Microsoft Defender para Endpoint no Linux requer conectividade a pontos finais específicos da Internet a partir de VMs para atualizar definições de antivírus.
  • Microsoft Defender para Endpoint no Linux requer algumas entradas crontab (ou outro agendador de tarefas) para agendar análises, rotação de registos e atualizações de Microsoft Defender para Endpoint. Normalmente, as equipas de Segurança Empresarial gerem estas entradas. Veja Como agendar uma atualização do Microsoft Defender para Endpoint (Linux).

A opção de configuração predefinida para implementação como uma Extensão do Azure para AntiVírus (AV) é o Modo Passivo. Isto significa que Microsoft Defender Antivírus, o componente AV da Microsoft Defender para Endpoint, não interceta chamadas de E/S. É recomendado executar Microsoft Defender para Endpoint no Modo Passivo em todas as aplicações SAP e agendar uma análise uma vez por dia. Neste modo:

  • A proteção em tempo real está desativada: as ameaças não são remediadas pelo Antivírus Microsoft Defender.
  • A análise a pedido está ativada: utilize ainda as capacidades de análise no ponto final.
  • A remediação automática de ameaças está desativada: não são movidos ficheiros e espera-se que o administrador de segurança tome as medidas necessárias.
  • As atualizações de informações de segurança estão ativadas: os alertas estão disponíveis no inquilino do administrador de segurança.

As ferramentas de aplicação de patches de Kernel online, como ksplice ou semelhantes, podem levar a uma estabilidade imprevisível do SO se o Defender para Endpoint estiver em execução. Recomenda-se que pare temporariamente o daemon do Defender para Endpoint antes de executar a aplicação de patches do Kernel online. Depois de o Kernel ser atualizado, o Defender para Endpoint no Linux pode ser reiniciado em segurança. Isto é especialmente importante em VMs SAP HANA grandes com enormes contextos de memória.

Normalmente, o crontab do Linux é utilizado para agendar Microsoft Defender para Endpoint tarefas de rotação de registos e análise do AV: Como agendar análises com Microsoft Defender para Endpoint (Linux)

A funcionalidade de Deteção e Resposta de Pontos Finais (EDR) está ativa sempre que Microsoft Defender para Endpoint no Linux é instalada. Não existe uma forma simples de desativar a funcionalidade EDR através da linha de comandos ou da configuração. Para obter mais informações sobre a resolução de problemas do EDR, veja as secções Comandos Úteis e Ligações Úteis.

Definições de Configuração Importantes para Microsoft Defender para Endpoint no SAP no Linux

É recomendado verificar a instalação e configuração do Defender para Endpoint com o comando mdatp health.

Os parâmetros principais recomendados para aplicações SAP são:

  • healthy = true
  • release_ring = Production. Os anéis de pré-lançamento e insider não devem ser utilizados com as Aplicações SAP.
  • real_time_protection_enabled = false. A proteção em tempo real está desativada no modo passivo, que é o modo predefinido e impede a intercepção de E/S em tempo real.
  • automatic_definition_update_enabled = true
  • definition_status = "up_to_date". Execute uma atualização manual se for identificado um novo valor.
  • edr_early_preview_enabled = "disabled". Se estiver ativada nos sistemas SAP, poderá originar instabilidade do sistema.
  • conflicting_applications = [ ]. Outro AV ou software de segurança instalado numa VM, como o Clam.
  • supplementary_events_subsystem = "ebpf". Não prossiga se o ebpf não for apresentado. Contacte a equipa de administrador de segurança.

Este artigo tem algumas sugestões úteis sobre a resolução de problemas de instalação para Microsoft Defender para Endpoint: Resolver problemas de instalação de Microsoft Defender para Endpoint no Linux

A Equipa de Segurança Empresarial tem de obter uma lista completa das exclusões antivírus dos Administradores do SAP (normalmente, a Equipa de Base SAP). É recomendado excluir inicialmente:

Os sistemas ASM oracle não precisam de exclusões, uma vez que Microsoft Defender para Endpoint não conseguem ler discos ASM.

Os clientes com clusters pacemaker também devem configurar estas exclusões:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*

Os clientes que executam a política de segurança de Segurança do Azure podem acionar uma análise com a solução AV do Freeware Clam. É recomendado desativar a análise AV da Amêijoa depois de uma VM ter sido protegida com Microsoft Defender para Endpoint através dos seguintes comandos:

sudo azsecd config  -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status 

Os artigos seguintes detalham como configurar exclusões AV para processos, ficheiros e pastas por VM individual:

Agendar uma Análise AV Diária

A configuração recomendada para aplicações SAP desativa a intercepção em tempo real de chamadas de E/S para análise av. A definição recomendada é o modo passivo no qual real_time_protection_enabled = falso.

A seguinte ligação detalha como agendar uma análise: Como agendar análises com Microsoft Defender para Endpoint (Linux).

Os grandes sistemas SAP podem ter mais de 20 servidores de aplicações SAP cada um com uma ligação à partilha SAPMNT NFS. Vinte ou mais servidores de aplicações que verificam simultaneamente o mesmo servidor NFS provavelmente sobrecarregarão o servidor NFS. Por predefinição, o Defender para Endpoint no Linux não analisa origens NFS.

Se existir um requisito para analisar o SAPMNT, esta análise deve ser configurada apenas numa ou duas VMs.

As análises agendadas para SAP ECC, BW, CRM, SCM, Gestor de Soluções e outros componentes devem ser escalonadas em alturas diferentes para evitar que todos os componentes SAP sobrecarreguem uma origem de armazenamento NFS partilhada partilhada por todos os componentes SAP.

Comandos Úteis

Se, durante a instalação manual do zypper no Suse, ocorrer um erro "Nada fornece 'policycoreutils'", veja: Resolver problemas de instalação do Microsoft Defender para Endpoint no Linux.

Existem vários comandos da linha de comandos que podem controlar a operação do mdatp. Para ativar o modo passivo, pode utilizar o seguinte comando:

mdatp config passive-mode --value enabled

Nota

O modo passivo é o modo predefinido para instalar o Defender para ponto final no Linux.

Para desativar a proteção em tempo real, pode utilizar o comando :

mdatp config real-time-protection --value disabled

Este comando indica ao mdatp para obter as definições mais recentes da cloud:

mdatp definitions update 

Este comando testa se o mdatp consegue ligar-se aos pontos finais baseados na cloud através da rede:

mdatp connectivity test

Estes comandos atualizam o software mdatp, se necessário:

yum update mdatp
zypper update mdatp

Uma vez que o mdatp é executado como um serviço de sistema linux, pode controlar o mdatp com o comando de serviço, por exemplo:

service mdatp status 

Este comando cria um ficheiro de diagnóstico que pode ser carregado para o suporte da Microsoft:

sudo mdatp diagnostic create