Microsoft Defender para Endpoint no Windows Server com SAP
Aplica-se a:
Se a sua organização utilizar o SAP, é essencial compreender a compatibilidade e o suporte entre o antivírus e o EDR no Microsoft Defender para Endpoint e as suas aplicações SAP. Este artigo ajuda-o a compreender o suporte fornecido pelo SAP para soluções de segurança de proteção de ponto final, como o Defender para Endpoint e como interagem com aplicações SAP.
Este artigo descreve como utilizar Microsoft Defender para Endpoint no Windows Server juntamente com aplicações SAP, como NetWeaver e S4 Hana, e motores autónomos SAP, como o LiveCache. Neste artigo, focamo-nos nas capacidades antivírus e EDR no Defender para Endpoint. Para obter uma descrição geral de todas as capacidades do Defender para Endpoint, veja Microsoft Defender para Endpoint.
Este artigo não abrange o software de cliente SAP, como o SAPGUI ou o Antivírus Microsoft Defender em dispositivos cliente Windows.
Segurança empresarial e a equipa sap basis
A segurança empresarial é uma função especializada e as atividades descritas neste artigo devem ser planeadas como uma atividade conjunta entre a sua equipa de segurança empresarial e a equipa sap basis. A equipa de segurança empresarial tem de se coordenar com a equipa sap Basis e estruturar conjuntamente a configuração do Defender para Endpoint e analisar quaisquer exclusões.
Obter uma descrição geral do Defender para Endpoint
O Defender para Endpoint é um componente do Microsoft Defender XDR e pode ser integrado na sua solução SIEM/SOAR.
Antes de começar a planear ou implementar o Defender para Endpoint no Windows Server com SAP, dedique algum tempo a obter uma descrição geral do Defender para Endpoint. O vídeo seguinte fornece uma descrição geral:
Para obter informações mais detalhadas sobre o Defender para Endpoint e as ofertas de segurança da Microsoft, consulte os seguintes recursos:
- Microsoft Defender para Endpoint
- Documentação e formação do Microsoft Security – Documentação de segurança
O Defender para Endpoint inclui capacidades que estão fora do âmbito deste artigo. Neste artigo, focamo-nos em duas áreas principais:
- Proteção de próxima geração (que inclui proteção antivírus). A proteção de próxima geração é um produto antivírus como outras soluções antivírus para ambientes Windows.
- Deteção e Resposta de Pontos Finais (EDR). As capacidades EDR detetam atividades suspeitas e chamadas de sistema e fornecem uma camada adicional de proteção contra ameaças que ignoraram a proteção antivírus.
A Microsoft e outros fornecedores de software de segurança monitorizam ameaças e fornecem informações sobre tendências. Para obter informações, consulte Ciberthreats, vírus e software maligno - Informações de Segurança da Microsoft.
Nota
Para obter informações sobre Microsoft Defender para SAP no Linux, veja Orientações de implementação para Microsoft Defender para Endpoint no Linux para SAP. O Defender para Endpoint no Linux é significativamente diferente da versão do Windows.
Declaração de suporte sap no Defender para Endpoint e outras soluções de segurança
O SAP fornece documentação básica para soluções convencionais de antivírus de análise de ficheiros. As soluções convencionais de antivírus de análise de ficheiros comparam assinaturas de ficheiros com uma base de dados de ameaças conhecidas. Quando um ficheiro infetado é identificado, o software antivírus normalmente alerta e coloca o ficheiro em quarentena. Os mecanismos e o comportamento das soluções antivírus de análise de ficheiros são razoavelmente conhecidos e previsíveis; Por conseguinte, o suporte sap pode fornecer um nível básico de suporte para aplicações SAP que interagem com software antivírus de análise de ficheiros.
As ameaças baseadas em ficheiros são agora apenas um vetor possível para software malicioso. Software maligno e malware sem ficheiros que reside fora do terreno, ameaças altamente polimórficas que sofrem uma mutação mais rápida do que as soluções tradicionais podem acompanhar e ataques operados por humanos que se adaptam ao que os adversários encontram em dispositivos comprometidos. As soluções de segurança antivírus tradicionais não são suficientes para parar esses ataques. São necessárias capacidades suportadas pela inteligência artificial (IA) e aprendizagem de dispositivos (ML), como o bloqueio comportamental e a contenção. O software de segurança, como o Defender para Endpoint, tem funcionalidades avançadas de proteção contra ameaças para mitigar ameaças modernas.
O Defender para Endpoint monitoriza continuamente as chamadas do sistema operativo, como a leitura de ficheiros, a escrita de ficheiros, a criação de sockets e outras operações ao nível do processo. O sensor EDR do Defender para Endpoint adquire bloqueios oportunistas em sistemas de ficheiros NTFS locais e é, portanto, pouco provável que tenha impacto nas aplicações. Os bloqueios oportunistas não são possíveis em sistemas de ficheiros de rede remota. Em casos raros, um bloqueio pode causar erros gerais não específicos, como Acesso Negado em aplicações SAP.
O SAP não consegue fornecer qualquer nível de suporte para software EDR/XDR, como o Microsoft Defender XDR ou o Defender para Endpoint. Os mecanismos nessas soluções são adaptáveis; portanto, não são previsíveis. Além disso, os problemas não são potencialmente reproduzíveis. Quando os problemas são identificados em sistemas que executam soluções de segurança avançadas, o SAP recomenda a desativação do software de segurança e, em seguida, a tentativa de reprodução do problema. Em seguida, pode ser gerado um pedido de suporte junto do fornecedor de software de segurança.
Para obter mais informações sobre a política de Suporte sap, veja 3356389 - Antivírus ou outro software de segurança que afete as operações SAP.
Notas recomendadas do SAP OSS
Eis uma lista de artigos SAP que pode utilizar conforme necessário:
- 3356389 – Antivírus ou outro software de segurança que afeta as operações SAP – SAP para Mim
- 106267 – Software de detetor de vírus no Windows – SAP para Mim
- 690449 - Ficheiro de bloqueio da memória intermédia de transporte (. LOB) permanece bloqueado no Windows – SAP para Mim
- 2311946 – Erros do sistema de ficheiros no Windows – SAP para Mim
- 2496239 – Ransomware/malware no Windows – SAP para Mim
- 1497394 - Que ficheiros e diretórios devem ser excluídos de uma análise antivírus para produtos sap BusinessObjects Business Intelligence Platform no Windows? - SAP para Mim
Aplicações SAP no Windows Server: Principais 10 recomendações
Limite o acesso a servidores SAP, bloqueie portas de rede e tome todas as outras medidas comuns de proteção de segurança. Este primeiro passo é essencial. O panorama das ameaças evoluiu de vírus baseados em ficheiros para ameaças complexas e sofisticadas sem ficheiros. As ações, como bloquear portas e limitar o início de sessão/acesso às VMs , já não são consideradas suficientes para mitigar totalmente as ameaças modernas.
Implemente o Defender para Endpoint em sistemas não produtivos antes de implementar em sistemas de produção. Implementar o Defender para Endpoint diretamente em sistemas de produção sem testes é altamente arriscado e pode levar a um período de indisponibilidade. Se não conseguir atrasar a implementação do Defender para Endpoint nos seus sistemas de produção, considere desativar temporariamente a proteção contra adulteração e a proteção em tempo real.
Lembre-se de que a proteção em tempo real está ativada por predefinição no Windows Server. Se forem identificados problemas que possam estar relacionados com o Defender para Endpoint, é recomendado configurar exclusões e/ou abrir um pedido de suporte através do portal do Microsoft Defender.
Peça à equipa sap basis e à sua equipa de segurança que trabalhem em conjunto na implementação do Defender para Endpoint. As duas equipas precisam de criar em conjunto um plano de implementação, teste e monitorização faseado.
Utilize ferramentas como o PerfMon (Windows) para criar uma linha de base de desempenho antes de implementar e ativar o Defender para Endpoint. Compare a utilização do desempenho antes e depois de ativar o Defender para Endpoint. Veja perfmon.
Implemente a versão mais recente do Defender para Endpoint e utilize as versões mais recentes do Windows, idealmente o Windows Server 2019 ou mais recente. Veja Requisitos mínimos para Microsoft Defender para Endpoint.
Configure determinadas exclusões para o Antivírus Microsoft Defender. Estes incluem:
- Ficheiros de dados do DBMS, ficheiros de registo e ficheiros temporários, incluindo discos que contêm ficheiros de cópia de segurança
- Todo o conteúdo do diretório SAPMNT
- Todo o conteúdo do diretório SAPLOC
- Todo o conteúdo do diretório TRANS
- Todo o conteúdo dos diretórios para motores autónomos, como TREX
Os utilizadores avançados podem considerar a utilização de exclusões contextuais de ficheiros e pastas.
Para obter mais informações sobre as exclusões do DBMS, utilize os seguintes recursos:
- SQL Server: Configurar software antivírus para trabalhar com SQL Server
- Oracle: Como Configurar o Antivírus no Servidor da Base de Dados Oracle (ID do Documento 782354.1)
- DB2: que diretórios DB2 excluir do software Antivírus do Linux (utilize os mesmos comandos no Windows Server)
- SAP ASE: Contactar o SAP
- MaxDB: Contactar o SAP
Verifique as definições do Defender para Endpoint. Microsoft Defender Antivírus com aplicações SAP devem ter as seguintes definições na maioria dos casos:
AntivirusEnabled : True
AntivirusSignatureAge : 0
BehaviorMonitorEnabled : True
DefenderSignaturesOutOfDate : False
IsTamperProtected : True
RealTimeProtectionEnabled : True
Utilize ferramentas, como Intune ou a gestão de definições de segurança do Defender para Endpoint para configurar o Defender para Endpoint. Estas ferramentas podem ajudar a garantir que o Defender para Endpoint está configurado corretamente e de forma uniforme.
Para utilizar a gestão de definições de segurança do Defender para Endpoint, no portal Microsoft Defender, aceda a EndpointsGestão> de configuração Políticas > desegurança de ponto final e, em seguida, selecione Criar nova Política. Para obter mais informações, veja Gerir políticas de segurança de pontos finais no Microsoft Defender para Endpoint.
Utilize a versão mais recente do Defender para Endpoint. Estão a ser implementadas várias novas funcionalidades no Defender para Endpoint no Windows e estas funcionalidades foram testadas com sistemas SAP. Estas novas funcionalidades reduzem o bloqueio e reduzem o consumo da CPU. Para obter mais informações sobre as novas funcionalidades, consulte Novidades no Microsoft Defender para Endpoint.
Metodologia de implementação
O SAP e a Microsoft não recomendam a implementação direta do Defender para Endpoint no Windows em todos os sistemas de desenvolvimento, QAS e produção em simultâneo e/ou sem testes e monitorização cuidadosos. Como resultado, os clientes que implementaram o Defender para Endpoint e outro software semelhante de forma não controlada, sem testes adequados, sofreram um período de indisponibilidade do sistema.
O Defender para Endpoint no Windows e qualquer outra alteração de software ou configuração devem ser implementados em sistemas de desenvolvimento primeiro, validados em QAS e apenas depois implementados em ambientes de produção.
A utilização de ferramentas, como a gestão de definições de segurança do Defender para Endpoint para implementar o Defender para Endpoint em todo o cenário do SAP sem testes, pode causar tempo de inatividade.
Eis uma lista do que deve verificar:
Implemente o Defender para Endpoint com a proteção contra adulteração ativada. Se surgirem problemas, ative o modo de resolução de problemas, desative a proteção contra adulteração, desative a proteção em tempo real e configure as análises agendadas.
Exclua ficheiros DBMS e executáveis ao seguir as recomendações do fornecedor do DBMS.
Analise os diretórios SAPMNT, SAP TRANS_DIR, Spool e Registo de Tarefas. Se existirem mais de 100 000 ficheiros, considere arquivar para reduzir o número de ficheiros.
Confirme os limites de desempenho e as quotas do sistema de ficheiros partilhado utilizado para SAPMNT. A origem de partilha SMB pode ser uma aplicação NetApp, um disco partilhado do Windows Server ou Ficheiros do Azure SMB.
Configure exclusões para que todos os servidores de aplicações SAP não estejam a analisar a partilha SAPMNT em simultâneo, uma vez que pode sobrecarregar o servidor de armazenamento partilhado.
Em geral, os ficheiros de interface de anfitrião num servidor de ficheiros não SAP dedicado. Os ficheiros de interface são reconhecidos como um vetor de ataque. A proteção em tempo real deve ser ativada neste servidor de ficheiros dedicado. Os servidores SAP nunca devem ser utilizados como servidores de ficheiros para ficheiros de interface.
Nota
Alguns grandes sistemas SAP têm mais de 20 servidores de aplicações SAP cada um com uma ligação à mesma partilha SMB SAPMNT. 20 servidores de aplicações que verificam simultaneamente o mesmo servidor SMB podem sobrecarregar o servidor SMB. Recomenda-se excluir SAPMNT de análises regulares.
Definições de configuração importantes para o Defender para Endpoint no Windows Server com SAP
Obtenha uma descrição geral do Microsoft Defender para Endpoint. Em particular, reveja as informações sobre a proteção da próxima geração e a EDR.
Nota
Por vezes, o termo Defender é utilizado para se referir a um conjunto completo de produtos e soluções. Consulte O que é Microsoft Defender XDR?. Neste artigo, focamo-nos nas capacidades antivírus e EDR no Defender para Endpoint.
Verifique o estado do Antivírus Microsoft Defender. Abra a Linha de Comandos e execute os seguintes comandos do PowerShell:
Get-MpComputerStatus, da seguinte forma:
Get-MpPreference |Select-Object -Property DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting
Saída esperada para
Get-MpComputerStatus
:DisableCpuThrottleOnIdleScans : True DisableRealtimeMonitoring : False DisableScanningMappedNetworkDrivesForFullScan : True DisableScanningNetworkFiles : False ExclusionPath : <<configured exclusions will show here>> MAPSReporting : 2
Get-MpPreference, da seguinte forma:
Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled
Saída esperada para
Get-MpPreference
:AMRunningMode : Normal AntivirusEnabled : True BehaviorMonitorEnabled : True IsTamperProtected : True OnAccessProtectionEnabled : True RealTimeProtectionEnabled : True
Verifique o estado do EDR. Abra a Linha de Comandos e, em seguida, execute o seguinte comando:
PS C:\Windows\System32> Get-Service -Name sense | FL *
Deverá ver um resultado semelhante ao seguinte fragmento de código:
Name : sense RequiredServices : {} CanPauseAndContinue : False CanShutdown : False CanStop : False DisplayName : Windows Defender Advanced Threat Protection Service DependentServices : {} MachineName : . ServiceName : sense ServicesDependedOn : {} ServiceHandle : Status : Running ServiceType : Win32OwnProcess StartType : Automatic Site : Container :
Os valores que pretende ver são
Status: Running
eStartType: Automatic
.Para obter mais informações sobre o resultado, veja Rever eventos e erros com Visualizador de Eventos.
Certifique-se de que Microsoft Defender Antivírus está atualizado. A melhor forma de garantir que a proteção antivírus está atualizada é ao utilizar Windows Update. Se encontrar problemas ou receber um erro, contacte a equipa de segurança.
Para obter mais informações sobre atualizações, veja Microsoft Defender Informações de segurança e atualizações de produtos do Antivírus.
Certifique-se de que a monitorização de comportamento está ativada. Quando a proteção contra adulteração está ativada, a monitorização de comportamento é ativada por predefinição. Utilize a configuração predefinida da proteção contra adulteração ativada, monitorização de comportamento ativada e monitorização em tempo real ativada, a menos que seja identificado um problema específico.
Para obter mais informações, veja A proteção incorporada ajuda a proteger contra ransomware.
Certifique-se de que a proteção em tempo real está ativada. A recomendação atual do Defender para Endpoint no Windows é ativar a análise em tempo real, com a proteção contra adulteração ativada, a monitorização de comportamento ativada e a monitorização em tempo real ativada, a menos que seja identificado um problema específico.
Para obter mais informações, veja A proteção incorporada ajuda a proteger contra ransomware.
Tenha em atenção como as análises funcionam com partilhas de rede. Por predefinição, o componente Antivírus do Microsoft Defender no Windows analisa os sistemas de ficheiros de rede partilhados SMB (por exemplo, uma partilha
\\server\smb-share
de servidor do Windows ou uma partilha NetApp) quando estes ficheiros são acedidos por processos.O Defender para Endpoint EDR no Windows pode analisar sistemas de ficheiros de rede partilhados SMB. O sensor EDR analisa determinados ficheiros identificados como interessantes para análise EDR durante as operações de modificação, eliminação e movimentação de ficheiros.
O Defender para Endpoint no Linux não analisa os sistemas de ficheiros NFS durante as análises agendadas.
Resolver problemas de fiabilidade ou estado de funcionamento do sensor. Para resolver estes problemas, utilize a ferramenta Analisador de Cliente do Defender para Endpoint. O Analisador de Cliente do Defender para Endpoint pode ser útil ao diagnosticar problemas de fiabilidade ou estado de funcionamento do sensor em dispositivos integrados com Windows, Linux ou macOS. Obtenha a versão mais recente do Analisador de Cliente do Defender para Endpoint aqui: https://aka.ms/MDEAnalyzer.
Abra um pedido de suporte se precisar de ajuda. Consulte Contactar Microsoft Defender para Endpoint suporte.
Se estiver a utilizar VMs SAP de produção com Microsoft Defender para a Cloud, tenha em atenção que o Defender para Cloud implementa a extensão defender para ponto final em todas as VMs. Se uma VM não estiver integrada no Defender para Endpoint, pode ser utilizada como um vetor de ataque. Se precisar de mais tempo para testar o Defender para Endpoint antes de deplying para o seu ambiente de produção, contacte o suporte.
Comandos Úteis: Microsoft Defender para Endpoint com SAP no Windows Server
As secções seguintes descrevem como confirmar ou configurar as definições do Defender para Endpoint com o PowerShell e a Linha de Comandos:
Atualizar manualmente as definições do Antivírus do Microsoft Defender
Utilize Windows Update ou execute o seguinte comando:
PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate
Deverá ver uma saída semelhante ao seguinte fragmento de código:
Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>
Outra opção é utilizar este comando:
PS C:\Program Files\Windows Defender> Update-MpSignature
Para obter mais informações sobre estes comandos, veja os seguintes recursos:
Determinar se o EDR no modo de bloco está ativado
O EDR no modo de bloqueio fornece proteção adicional contra artefactos maliciosos quando Microsoft Defender Antivírus não é o produto antivírus principal e está em execução no modo passivo. Pode determinar se o EDR no modo de bloco está ativado ao executar o seguinte comando:
Get-MPComputerStatus|select AMRunningMode
Existem dois modos: Modo Normal e Passivo. Os testes com sistemas SAP foram feitos apenas com AMRunningMode = Normal
para sistemas SAP.
Para obter mais informações sobre este comando, veja Get-MpComputerStatus.
Configurar exclusões de antivírus
Antes de configurar as exclusões, certifique-se de que a equipa sap basis coordena com a sua equipa de segurança. As exclusões devem ser configuradas centralmente e não ao nível da VM. As exclusões, como o sistema de ficheiros SAPMNT partilhado, devem ser excluídas através de uma política através do portal de administração do Intune.
Para ver exclusões, utilize o seguinte comando:
Get-MpPreference | Select-Object -Property ExclusionPath
Para obter mais informações sobre este comando, veja Get-MpComputerStatus.
Para obter mais informações sobre exclusões, veja os seguintes recursos:
- Gerir exclusões do Antivírus Microsoft Defender para Endpoint e Microsoft Defender
- Configurar exclusões personalizadas para o Antivírus do Microsoft Defender
- Exclusões de ficheiros e pastas contextuais
Configurar exclusões EDR
Não é recomendado excluir ficheiros, caminhos ou processos do EDR, uma vez que tais exclusões incluem a proteção contra ameaças modernas não baseadas em ficheiros. Se necessário, abra um pedido de suporte com Suporte da Microsoft através do portal Microsoft Defender especificando executáveis e/ou caminhos a excluir. Consulte Contactar Microsoft Defender para Endpoint suporte.
Desativar completamente o Defender para Endpoint no Windows para fins de teste
Atenção
Não é recomendado desativar o software de segurança, a menos que não exista alternativa para resolver ou isolar um problema.
O Defender para Endpoint deve ser configurado com a proteção contra adulteração ativada. Para desativar temporariamente o Defender para Ponto Final para isolar problemas, utilize o modo de resolução de problemas.
Para encerrar vários subcomponentes da solução antivírus Microsoft Defender, execute os seguintes comandos:
Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled
Para obter mais informações sobre estes comandos, consulte Set-MpPreference.
Importante
Não pode desativar os subcomponentes EDR num dispositivo. A única forma de desativar o EDR é desativar o dispositivo.
Para desativar a proteção fornecida pela cloud (Serviço de Proteção Avançada da Microsoft ou MAPS), execute os seguintes comandos:
PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled
Para obter mais informações sobre a proteção fornecida pela cloud, veja os seguintes recursos:
- Proteção da nuvem e Antivírus do Microsoft Defender
- Proteção da cloud e submissão de exemplo no Antivírus do Microsoft Defender (se estiver a considerar utilizar a submissão automática de exemplo com as suas políticas de segurança)