Руководство по развертыванию Microsoft Defender для конечной точки в Linux для SAP

Применимо к:

• Сервер Microsoft Defender для конечной точки
• Microsoft Defender для серверов

В этой статье приводятся рекомендации по развертыванию для Microsoft Defender для конечной точки в Linux для SAP. В этой статье содержатся рекомендуемые заметки о SAP OSS (online Services System), требования к системе, предварительные требования, важные параметры конфигурации, рекомендуемые исключения антивирусной программы и рекомендации по планированию проверок антивирусной программы.

Обычные средства защиты безопасности, которые обычно используются для защиты систем SAP, такие как изоляция инфраструктуры за брандмауэрами и ограничение интерактивных входов в операционную систему, больше не считаются достаточными для устранения современных сложных угроз. Важно развернуть современные средства защиты для обнаружения и сдерживания угроз в режиме реального времени. Приложения SAP, в отличие от большинства других рабочих нагрузок, требуют базовой оценки и проверки перед развертыванием Microsoft Defender для конечной точки. Перед развертыванием Defender для конечной точки администраторы безопасности предприятия должны обратиться к команде SAP Basis. Базовая группа SAP должна пройти кросс-обучение с базовым уровнем знаний о Defender для конечной точки.

Рекомендуемые заметки о SAP OSS

• 2248916 . Какие файлы и каталоги следует исключить из антивирусной проверки продуктов SAP BusinessObjects Business Intelligence Platform в Linux/Unix? — Панель запуска поддержки SAP ONE
• 1984459 — какие файлы и каталоги следует исключить из антивирусной проверки для sap Data Services — панель запуска поддержки SAP ONE
• 2808515 . Установка программного обеспечения безопасности на серверах SAP под управлением Linux — панель запуска поддержки SAP ONE
• 1730930 . Использование антивирусного программного обеспечения в (модуль) SAP HANA — панель запуска поддержки SAP ONE
• 1730997 — нерекомендуемые версии антивирусного программного обеспечения — панель запуска поддержки SAP ONE

Приложения SAP в Linux

Важно!

При развертывании Defender для конечной точки в Linux настоятельно рекомендуется использовать eBPF. Дополнительные сведения см. в документации по eBPF. Defender для конечной точки был усовершенствован для использования платформы eBPF.

Поддерживаемые дистрибутивы включают все распространенные дистрибутивы Linux, но не Suse 12.x. Клиентам Suse 12.x рекомендуется выполнить обновление до Suse 15. В Suse 12.x используется старый Audit.D датчик с ограничениями производительности.

Дополнительные сведения о поддержке дистрибутивов см. в статье Использование датчика на основе eBPF для Microsoft Defender для конечной точки в Linux.

Вот некоторые важные моменты о приложениях SAP на Сервере Linux:

• SAP поддерживает только Suse, Redhat и Oracle Linux. Другие дистрибутивы не поддерживаются для приложений SAP S4 или NetWeaver.
• Настоятельно рекомендуется использовать Suse 15.x, Redhat 9.x и Oracle Linux 9.x. Поддерживаемые дистрибутивы включают все распространенные дистрибутивы Linux, но не Suse 12.x.
• Suse 11.x, Redhat 6.x и Oracle Linux 6.x не поддерживаются.
• Redhat 7.x и 8.x, а также Oracle Linux 7.x и 8.x технически поддерживаются, но больше не тестируются в сочетании с программным обеспечением SAP.
• Suse и Redhat предлагают специализированные дистрибутивы для SAP. Эти версии Suse и Redhat для SAP могут иметь разные предварительно установленные пакеты и, возможно, разные ядра.
• SAP поддерживает только определенные файловые системы Linux. Как правило, используются XFS и EXT3. Файловая система Oracle Automatic Storage Management (ASM) иногда используется для СУБД Oracle и не может быть прочитана Defender для конечной точки.
• Некоторые приложения SAP используют автономные подсистемы, такие как TREX, Adobe Document Server, Content Server и LiveCache. Для этих ядр требуются определенные исключения конфигурации и файлов.
• Приложения SAP часто имеют каталоги транспорта и интерфейса со многими тысячами небольших файлов. Если количество файлов превышает 100 000, это может повлиять на производительность. Рекомендуется архивировать файлы.
• Настоятельно рекомендуется развернуть Defender для конечной точки в непроизводственных ландшафтах SAP в течение нескольких недель перед развертыванием в рабочей среде. Команда sap Basis должна использовать такие средства, как sysstat, KSARи nmon , чтобы проверить, влияют ли ЦП и другие параметры производительности. Кроме того, можно настроить широкие исключения с помощью глобального параметра область, а затем постепенно уменьшать количество исключенных каталогов.

Предварительные требования для развертывания Microsoft Defender для конечной точки в Linux на виртуальных машинах SAP

• сборка Microsoft Defender для конечной точки: 101.24082.0004 | Версия выпуска: 30.124082.0004.0 или более поздняя.
• Microsoft Defender для конечной точки в Linux поддерживает выпуски Linux, используемые приложениями SAP.
• Microsoft Defender для конечной точки в Linux требуется подключение к определенным конечным точкам Интернета из виртуальных машин для обновления определений антивирусной программы.
• Microsoft Defender для конечной точки в Linux требуются некоторые crontab (или другие записи планировщика задач) для планирования проверок, смены журналов и Microsoft Defender для конечной точки обновлений. Команды корпоративной безопасности обычно управляют этими записями. Дополнительные сведения см. в статье Планирование обновления для Microsoft Defender для конечной точки в Linux.

С декабря 2024 г. Defender для конечной точки в Linux можно безопасно настроить с включенной защитой в режиме реального времени.

Параметр конфигурации по умолчанию для развертывания в качестве расширения Azure для антивирусной программы является пассивным режимом. Это означает, что Microsoft Defender антивирусная программа, компонент антивирусной или антивирусной программы Microsoft Defender для конечной точки, не перехватывает вызовы ввода-вывода. Мы рекомендуем запустить Defender для конечной точки в с включенной защитой в режиме реального времени для всех приложений SAP. Как таковой:

• Защита в режиме реального времени включена: Microsoft Defender антивирусная программа перехватывает вызовы ввода-вывода в режиме реального времени.
• Сканирование по запросу включено. Вы можете использовать возможности сканирования в конечной точке.
• Автоматическое исправление угроз включено: файлы перемещаются, а администратор безопасности оповещается.
• Обновления аналитики безопасности включены: оповещения доступны на портале Microsoft Defender.

Сетевые средства исправления ядра, такие как Ksplice или аналогичные, могут привести к непредсказуемой стабильности ОС, если Defender для конечной точки запущен. Рекомендуется временно остановить управляющую программу Defender для конечной точки перед выполнением оперативной установки исправлений ядра. После обновления ядра Defender для конечной точки в Linux можно безопасно перезапустить. Это действие особенно важно на больших виртуальных машинах SAP HANA с большими контекстами памяти.

Если антивирусная программа Microsoft Defender работает с защитой в режиме реального времени, она больше не требуется планировать сканирование. Чтобы задать базовый план, необходимо выполнить проверку хотя бы один раз. Затем при необходимости кронтаб Linux обычно используется для планирования Microsoft Defender проверок антивирусной программы и задач смены журналов. Дополнительные сведения см. в статье Планирование проверок с помощью Microsoft Defender для конечной точки (Linux).

Функция обнаружения конечных точек и реагирования (EDR) активна при установке Microsoft Defender для конечной точки в Linux. Функции EDR можно отключить с помощью командной строки или настройки с помощью глобальных исключений. Дополнительные сведения об устранении неполадок с EDR см. в разделах Полезные команды и Полезные ссылки (в этой статье).

Важные параметры конфигурации для Microsoft Defender для конечной точки в SAP на Linux

Рекомендуется проверка установку и настройку Defender для конечной точки с помощью команды mdatp health.

Ниже приведены ключевые параметры, рекомендуемые для приложений SAP.

healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Сведения об устранении неполадок с установкой см. в статье Устранение неполадок с установкой для Microsoft Defender для конечной точки в Linux.

Рекомендуемые исключения антивирусной программы Microsoft Defender для конечной точки для SAP в Linux

Группа безопасности предприятия должна получить полный список исключений антивирусной программы от администраторов SAP (обычно это группа sap Basis). Рекомендуется сначала исключить:

• Файлы данных СУБД, файлы журналов и временные файлы, включая диски, содержащие файлы резервных копий
• Все содержимое каталога SAPMNT
• Все содержимое каталога SAPLOC
• Все содержимое каталога TRANS
• Hana — исключение /hana/shared, /hana/data и /hana/log — см. примечание 1730930
• SQL Server — настройка антивирусного программного обеспечения для работы с SQL Server
• Oracle — см. инструкции по настройке антивирусной программы на сервере базы данных Oracle (идентификатор документа 782354.1)
• DB2 — документация IBM: какие каталоги DB2 следует исключить с помощью антивирусного программного обеспечения
• SAP ASE — обращение в SAP
• MaxDB — контакт с SAP
• Adobe Document Server, каталоги архивов SAP, TREX, LiveCache, Content Server и другие автономные подсистемы должны быть тщательно протестированы в непроизводственных ландшафтах перед развертыванием Defender для конечной точки в рабочей среде.

Системам Oracle ASM не требуются исключения, так как Microsoft Defender для конечной точки не могут читать диски ASM.

Клиенты с кластерами Pacemaker также должны настроить следующие исключения:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Клиенты, использующие политику безопасности Azure, могут активировать проверку с помощью решения freeware Clam AV. Рекомендуется отключить проверку Clam AV после защиты виртуальной машины с помощью Microsoft Defender для конечной точки с помощью следующих команд:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status 

В следующих статьях подробно описано, как настроить исключения антивирусной программы для процессов, файлов и папок для каждой отдельной виртуальной машины.

• Настройка исключений для проверок антивирусной Microsoft Defender
• Распространенные ошибки, которых следует избегать при определении исключений

Планирование ежедневной антивирусной проверки (необязательно)

Рекомендуемая конфигурация для приложений SAP позволяет в режиме реального времени перехватывать вызовы ввода-вывода для антивирусной проверки. Рекомендуемый параметр — пассивный режим, в котором используется real_time_protection_enabled = true.

Приложения SAP, работающие в более старых версиях Linux или на перегруженном оборудовании, могут использовать real_time_protection_enabled = false. В этом случае необходимо запланировать антивирусную проверку.

Дополнительные сведения см. в статье Планирование проверок с помощью Microsoft Defender для конечной точки (Linux).

Крупные системы SAP могут иметь более 20 серверов приложений SAP, каждый из которых имеет подключение к общей папке SAPMNT NFS. Двадцать или более серверов приложений одновременное сканирование одного и того же сервера NFS, скорее всего, перегрузит сервер NFS. По умолчанию Defender для конечной точки в Linux не проверяет источники NFS.

Если требуется сканировать SAPMNT, эту проверку следует настроить только на одной или двух виртуальных машинах.

Запланированные проверки sap ECC, BW, CRM, SCM, диспетчера решений и других компонентов должны выполняться в разное время, чтобы избежать перегрузки всех компонентов SAP общего источника хранилища NFS, совместно используемого всеми компонентами SAP.

Полезные команды

Если во время ручной установки zypper на Suse возникает ошибка "Nothing предоставляет policycoreutils", см. статью Устранение неполадок с установкой для Microsoft Defender для конечной точки в Linux.

Существует несколько команд командной строки, которые могут управлять операцией mdatp. Чтобы включить пассивный режим, можно использовать следующую команду:

mdatp config passive-mode --value enabled

Примечание.

Пассивный режим является режимом по умолчанию при установке Defender для конечной точки в Linux.

Чтобы включить защиту в режиме реального времени, можно использовать команду :

mdatp config real-time-protection --value enabled

Эта команда сообщает mdatp, чтобы получить последние определения из облака:

mdatp definitions update 

Эта команда проверяет, может ли mdatp подключаться к облачным конечным точкам в сети:

mdatp connectivity test

При необходимости эти команды обновляют программное обеспечение mdatp:

yum update mdatp

zypper update mdatp

Так как mdatp выполняется как системная служба Linux, вы можете управлять mdatp с помощью команды службы, например:

service mdatp status 

Эта команда создает файл диагностики, который можно отправить в службу поддержки Майкрософт:

sudo mdatp diagnostic create

Полезные ссылки

• Чтобы проанализировать производительность или другие проблемы, см. статью Запуск клиентского анализатора в Linux.

• Microsoft Intune в настоящее время не поддерживает Linux. См. статью Использование политик безопасности Intune конечных точек для управления Microsoft Defender для конечной точки на устройствах, которые не зарегистрированы в Intune.

• Microsoft Tech Community: Microsoft Defender для конечной точки Linux — список команд конфигурации и операций

• Microsoft Tech Community. Развертывание Microsoft Defender для конечной точки на серверах Linux

• Устранение проблем с подключением к облаку для Microsoft Defender для конечной точки в Linux

• Устранение проблем с производительностью Microsoft Defender для конечной точки в Linux

Статьи по теме

• Подключение серверов к Microsoft Defender для конечной точки
• Microsoft Defender для конечной точки на Windows Server с SAP