Distributionsvägledning för Microsoft Defender för Endpoint i Linux för SAP

Den här artikeln innehåller distributionsvägledning för Microsoft Defender för Endpoint på Linux för SAP. Den här artikeln innehåller rekommenderade SAP OSS-anteckningar (Online Services System), systemkrav, krav, viktiga konfigurationsinställningar, rekommenderade antivirusundantag och vägledning om schemaläggning av antivirusgenomsökningar.

Konventionella säkerhetsskydd som ofta har använts för att skydda SAP-system, till exempel isolera infrastruktur bakom brandväggar och begränsa interaktiva operativsysteminloggningar, anses inte längre vara tillräckliga för att minimera moderna sofistikerade hot. Det är viktigt att distribuera moderna försvar för att identifiera och begränsa hot i realtid. SAP-program till skillnad från de flesta andra arbetsbelastningar kräver grundläggande utvärdering och validering innan Microsoft Defender för Endpoint distribueras. Företagssäkerhetsadministratörerna bör kontakta SAP Basis-teamet innan de distribuerar Defender för Endpoint. SAP-basteamet bör korstränas med grundläggande kunskaper om Defender för Endpoint.

Rekommenderade SAP OSS-anteckningar

• 2248916 – Vilka filer och kataloger ska undantas från en antivirussökning efter SAP BusinessObjects Business Intelligence Platform-produkter i Linux/Unix? – SAP ONE Support Launchpad
• 1984459 – Vilka filer och kataloger som ska undantas från en antivirussökning efter SAP Data Services – SAP ONE Support Launchpad
• 2808515 – Installera säkerhetsprogram på SAP-servrar som körs på Linux – SAP ONE Support Launchpad
• 1730930 – Använda antivirusprogram i en SAP HANA-apparat – SAP ONE Support Launchpad
• 1730997 – okommenterad version av antivirusprogram – SAP ONE Support Launchpad

SAP-program på Linux

• SAP stöder endast Suse, Redhat och Oracle Linux. Andra distributioner stöds inte för SAP S4- eller NetWeaver-program.
• Suse 15.x, Redhat 8.x eller 9.x och Oracle Linux 8.x rekommenderas starkt.
• Suse 12.x, Redhat 7.x och Oracle Linux 7.x stöds tekniskt men testades inte i stor utsträckning.
• Suse 11.x, Redhat 6.x och Oracle Linux 6.x kanske inte stöds och testades inte.
• Suse och Redhat erbjuder skräddarsydda distributioner för SAP. Dessa "för SAP"-versioner av Suse och Redhat kan ha olika paket förinstallerade och eventuellt olika kernels.
• SAP stöder endast vissa Linux-filsystem. I allmänhet används XFS och EXT3. Oracles filsystem för automatisk lagringshantering (ASM) används ibland för Oracle DBMS och kan inte läsas av Defender för Endpoint.
• Vissa SAP-program använder "fristående motorer" som TREX, Adobe Document Server, Content Server och LiveCache. Dessa motorer kräver specifika konfigurations- och filundantag.
• SAP-program har ofta transport- och gränssnittskataloger med tusentals små filer. Om antalet filer är större än 100 000 kan det påverka prestandan. Vi rekommenderar att du arkiverar filer.
• Vi rekommenderar starkt att du distribuerar Defender för Endpoint till icke-produktiva SAP-landskap i flera veckor innan du distribuerar till produktion. SAP-basteamet bör använda verktyg som sysstat, KSARoch nmon för att kontrollera om PROCESSOR och andra prestandaparametrar påverkas.

Förutsättningar för att distribuera Microsoft Defender för Endpoint i Linux på virtuella SAP-datorer

• Microsoft Defender för Endpoint version>= 101.23082.0009 | Versionsversion: 30.123082.0009 eller senare måste distribueras.
• Microsoft Defender för Endpoint på Linux stöder alla Linux-versioner som används av SAP-program.
• Microsoft Defender för Endpoint i Linux kräver anslutning till specifika Internetslutpunkter från virtuella datorer för att uppdatera antivirusdefinitioner.
• Microsoft Defender för Endpoint i Linux kräver vissa crontab-poster (eller andra schemaläggare) för att schemalägga genomsökningar, loggrotation och Microsoft Defender för Endpoint uppdateringar. Företagssäkerhetsteam hanterar normalt dessa poster. Se Så här schemalägger du en uppdatering av Microsoft Defender för Endpoint (Linux).

Standardkonfigurationsalternativet för distribution som ett Azure-tillägg för antivirus (AV) är passivt läge. Det innebär att Microsoft Defender Antivirus, AV-komponenten i Microsoft Defender för Endpoint, inte fångar upp I/O-anrop. Vi rekommenderar att du kör Microsoft Defender för Endpoint i passivt läge i alla SAP-program och schemalägger en genomsökning en gång per dag. I det här läget:

• Realtidsskydd är inaktiverat: Hot åtgärdas inte av Microsoft Defender Antivirus.
• Genomsökning på begäran är aktiverat: Använd fortfarande genomsökningsfunktionerna på slutpunkten.
• Automatisk hotreparation är inaktiverad: Inga filer flyttas och säkerhetsadministratören förväntas vidta nödvändiga åtgärder.
• Uppdateringar av säkerhetsinformation är aktiverade: Aviseringar är tillgängliga i säkerhetsadministratörens klientorganisation.

Online-kernelkorrigeringsverktyg som Ksplice eller liknande kan leda till oförutsägbar OS-stabilitet om Defender för Endpoint körs. Vi rekommenderar att du tillfälligt stoppar Defender för Endpoint-daemon innan du utför kernelkorrigering online. När kerneln har uppdaterats kan Defender för Endpoint på Linux startas om på ett säkert sätt. Detta är särskilt viktigt för stora virtuella SAP HANA-datorer med stora minneskontexter.

Linux crontab används vanligtvis för att schemalägga Microsoft Defender för Endpoint AV-genomsöknings- och loggrotationsuppgifter: Så här schemalägger du genomsökningar med Microsoft Defender för Endpoint (Linux)

Funktioner för slutpunktsidentifiering och svar (EDR) är aktiva när Microsoft Defender för Endpoint på Linux installeras. Det finns inget enkelt sätt att inaktivera EDR-funktioner via kommandoraden eller konfigurationen. Mer information om felsökning av EDR finns i avsnitten Användbara kommandon och användbara länkar.

Viktiga konfigurationsinställningar för Microsoft Defender för Endpoint på SAP på Linux

Vi rekommenderar att du kontrollerar installationen och konfigurationen av Defender för Endpoint med kommandot mdatp health.

De nyckelparametrar som rekommenderas för SAP-program är:

• healthy = true
• release_ring = Production. Förhandsversioner och insiderringar bör inte användas med SAP-program.
• real_time_protection_enabled = false. Realtidsskydd är inaktiverat i passivt läge, vilket är standardläget och förhindrar I/O-avlyssning i realtid.
• automatic_definition_update_enabled = true
• definition_status = "up_to_date". Kör en manuell uppdatering om ett nytt värde identifieras.
• edr_early_preview_enabled = "disabled". Om det är aktiverat på SAP-system kan det leda till systeminstabilitet.
• conflicting_applications = [ ]. Annan AV- eller säkerhetsprogramvara installerad på en virtuell dator, till exempel Clam.
• supplementary_events_subsystem = "ebpf". Fortsätt inte om ebpf inte visas. Kontakta säkerhetsadministratörsteamet.

Den här artikeln innehåller några användbara tips om hur du felsöker installationsproblem för Microsoft Defender för Endpoint: Felsöka installationsproblem för Microsoft Defender för Endpoint på Linux

Rekommenderade Microsoft Defender för Endpoint antivirusundantag för SAP på Linux

Enterprise Security Team måste hämta en fullständig lista över antivirusundantag från SAP-administratörerna (vanligtvis SAP Basis Team). Vi rekommenderar att du först exkluderar:

• DBMS-datafiler, loggfiler och temporära filer, inklusive diskar som innehåller säkerhetskopieringsfiler
• Hela innehållet i SAPMNT-katalogen
• Hela innehållet i SAPLOC-katalogen
• Hela innehållet i TRANS-katalogen
• Hela innehållet i kataloger för fristående motorer, till exempel TREX
• Hana – exkludera /hana/shared, /hana/data och /hana/log – se Anmärkning 1730930
• SQL Server – Konfigurera antivirusprogram så att det fungerar med SQL Server – SQL Server
• Oracle – Se Hur du konfigurerar antivirus på Oracle Database Server (Doc ID 782354.1)
• DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
• SAP ASE – kontakta SAP
• MaxDB – kontakta SAP

Oracle ASM-system behöver inte undantag eftersom Microsoft Defender för Endpoint inte kan läsa ASM-diskar.

Kunder med Pacemaker-kluster bör också konfigurera dessa undantag:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Kunder som kör Azure Security-säkerhetsprincipen kan utlösa en genomsökning med hjälp av Freeware Clam AV-lösningen. Vi rekommenderar att du inaktiverar Clam AV-genomsökning när en virtuell dator har skyddats med Microsoft Defender för Endpoint med hjälp av följande kommandon:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status 

Följande artiklar beskriver hur du konfigurerar AV-undantag för processer, filer och mappar per enskild virtuell dator:

• Konfigurera undantag för Microsoft Defender Antivirus-genomsökningar
• Vanliga misstag att undvika när man definierar undantag

Schemalägga en daglig AV-genomsökning

Den rekommenderade konfigurationen för SAP-program inaktiverar realtidsavlyssning av I/O-anrop för AV-genomsökning. Den rekommenderade inställningen är passivt läge där real_time_protection_enabled = false.

Följande länk beskriver hur du schemalägger en genomsökning: Så här schemalägger du genomsökningar med Microsoft Defender för Endpoint (Linux).

Stora SAP-system kan ha fler än 20 SAP-programservrar var och en med en anslutning till SAPMNT NFS-resursen. Tjugo eller fler programservrar som skannar samma NFS-server samtidigt överbelastar troligen NFS-servern. Som standard söker Defender för Endpoint på Linux inte igenom NFS-källor.

Om det finns ett krav på att skanna SAPMNT ska den här genomsökningen konfigureras endast på en eller två virtuella datorer.

Schemalagda genomsökningar för SAP ECC, BW, CRM, SCM, Solution Manager och andra komponenter bör spridas vid olika tidpunkter för att undvika att alla SAP-komponenter överbelastar en delad NFS-lagringskälla som delas av alla SAP-komponenter.

Användbara kommandon

Om ett fel om "Nothing provides 'policycoreutils" inträffar under manuell zypper-installation på Suse, se: Felsöka installationsproblem för Microsoft Defender för Endpoint i Linux.

Det finns flera kommandoradskommandon som kan styra mdatp-åtgärden. Om du vill aktivera passivt läge kan du använda följande kommando:

mdatp config passive-mode --value enabled

Obs!

passivt läge är standardläget vid installation av Defender för endpoint i Linux.

Om du vill inaktivera realtidsskydd kan du använda kommandot:

mdatp config real-time-protection --value disabled

Det här kommandot instruerar mdatp att hämta de senaste definitionerna från molnet:

mdatp definitions update 

Det här kommandot testar om mdatp kan ansluta till de molnbaserade slutpunkterna via nätverket:

mdatp connectivity test

Dessa kommandon uppdaterar mdatp-programvaran om det behövs:

yum update mdatp

zypper update mdatp

Eftersom mdatp körs som en linux-systemtjänst kan du styra mdatp med hjälp av tjänstkommandot, till exempel:

service mdatp status 

Det här kommandot skapar en diagnostikfil som kan laddas upp till Microsofts support:

sudo mdatp diagnostic create

Användbara länkar

• Microsoft Endpoint Manager stöder inte Linux just nu

• Hantera konfigurationsinställningar för Microsoft Defender för Endpoint på enheter med Microsoft Endpoint Manager

• Microsoft Tech Community: Microsoft Defender för Endpoint Linux – Konfigurations- och åtgärdskommandolista

• Microsoft Tech Community: Distribuera Microsoft Defender för Endpoint på Linux-servrar

• Felsöka problem med molnanslutning för Microsoft Defender för Endpoint i Linux

• Felsöka prestandaproblem för Microsoft Defender för Endpoint i Linux