Dela via

Distributionsvägledning för Microsoft Defender för Endpoint i Linux för SAP

  • Artikel

Gäller för:

Den här artikeln innehåller distributionsvägledning för Microsoft Defender för Endpoint på Linux för SAP. Den här artikeln innehåller rekommenderade SAP OSS-anteckningar (Online Services System), systemkrav, krav, viktiga konfigurationsinställningar, rekommenderade antivirusundantag och vägledning om schemaläggning av antivirusgenomsökningar.

Konventionella säkerhetsskydd som ofta har använts för att skydda SAP-system, till exempel isolera infrastruktur bakom brandväggar och begränsa interaktiva operativsysteminloggningar, anses inte längre vara tillräckliga för att minimera moderna sofistikerade hot. Det är viktigt att distribuera moderna försvar för att identifiera och begränsa hot i realtid. SAP-program till skillnad från de flesta andra arbetsbelastningar kräver grundläggande utvärdering och validering innan Microsoft Defender för Endpoint distribueras. Företagssäkerhetsadministratörerna bör kontakta SAP Basis-teamet innan de distribuerar Defender för Endpoint. SAP-basteamet bör korstränas med grundläggande kunskaper om Defender för Endpoint.

SAP-program på Linux

Viktigt

När du distribuerar Defender för Endpoint i Linux rekommenderas eBPF starkt. Mer information finns i eBPF-dokumentationen. Defender för Endpoint har förbättrats för att använda eBPF-ramverket.

De distributioner som stöds omfattar alla vanliga Linux-distributioner men inte Suse 12.x. Suse 12.x-kunder rekommenderas att uppgradera till Suse 15. Suse 12.x använder en gammal Audit.D baserad sensor som har prestandabegränsningar.

Mer information om stöddistributioner finns i Använda eBPF-baserad sensor för Microsoft Defender för Endpoint på Linux.

Här är några viktiga punkter om SAP-program på Linux Server:

  • SAP stöder endast Suse, Redhat och Oracle Linux. Andra distributioner stöds inte för SAP S4- eller NetWeaver-program.
  • Suse 15.x, Redhat 9.x och Oracle Linux 9.x rekommenderas starkt. De distributioner som stöds omfattar alla vanliga Linux-distributioner men inte Suse 12.x.
  • Suse 11.x, Redhat 6.x och Oracle Linux 6.x stöds inte.
  • Redhat 7.x och 8.x och Oracle Linux 7.x och 8.x stöds tekniskt, men testas inte längre i kombination med SAP-programvara.
  • Suse och Redhat erbjuder skräddarsydda distributioner för SAP. Dessa "för SAP"-versioner av Suse och Redhat kan ha olika paket förinstallerade och eventuellt olika kernels.
  • SAP stöder endast vissa Linux-filsystem. I allmänhet används XFS och EXT3. Oracles filsystem för automatisk lagringshantering (ASM) används ibland för Oracle DBMS och kan inte läsas av Defender för Endpoint.
  • Vissa SAP-program använder fristående motorer, till exempel TREX, Adobe Document Server, Content Server och LiveCache. Dessa motorer kräver specifika konfigurations- och filundantag.
  • SAP-program har ofta transport- och gränssnittskataloger med tusentals små filer. Om antalet filer är större än 100 000 kan det påverka prestandan. Vi rekommenderar att du arkiverar filer.
  • Vi rekommenderar starkt att du distribuerar Defender för Endpoint till icke-produktiva SAP-landskap i flera veckor innan du distribuerar till produktion. SAP-basteamet bör använda verktyg som sysstat, KSARoch nmon för att kontrollera om PROCESSOR och andra prestandaparametrar påverkas. Det går också att konfigurera breda undantag med den globala omfångsparametern och sedan stegvis minska antalet kataloger som undantas.

Förutsättningar för att distribuera Microsoft Defender för Endpoint i Linux på virtuella SAP-datorer

Från och med december 2024 kan Defender för Endpoint i Linux konfigureras på ett säkert sätt med realtidsskydd aktiverat.

Standardkonfigurationsalternativet för distribution som ett Azure-tillägg för antivirus är passivt läge. Det innebär att Microsoft Defender Antivirus, komponenten för antivirus/skydd mot skadlig kod i Microsoft Defender för Endpoint, inte fångar upp I/O-anrop. Vi rekommenderar att du kör Defender för Endpoint i med realtidsskydd aktiverat i alla SAP-program. Som sådan:

  • Realtidsskydd är aktiverat: Microsoft Defender Antivirus fångar upp I/O-anrop i realtid.
  • Genomsökning på begäran är aktiverat: Du kan använda genomsökningsfunktioner på slutpunkten.
  • Automatisk hotreparation aktiveras: Filer flyttas och säkerhetsadministratören aviseras.
  • Uppdateringar av säkerhetsinformation är aktiverade: Aviseringar är tillgängliga i Microsoft Defender-portalen.

Online-kernelkorrigeringsverktyg, till exempel Ksplice eller liknande, kan leda till oförutsägbar OS-stabilitet om Defender för Endpoint körs. Vi rekommenderar att du tillfälligt stoppar Daemon för Defender för Endpoint innan du utför kernelkorrigering online. När kerneln har uppdaterats kan Defender för Endpoint i Linux startas om på ett säkert sätt. Den här åtgärden är särskilt viktig för stora virtuella SAP HANA-datorer med stora minneskontexter.

När Microsoft Defender Antivirus körs med realtidsskydd behöver du inte längre schemalägga genomsökningar. Du bör köra en genomsökning minst en gång för att ange en baslinje. Om det behövs används linux-crontab vanligtvis för att schemalägga Microsoft Defender Antivirus-genomsökningar och loggrotationsuppgifter. Mer information finns i Så här schemalägger du genomsökningar med Microsoft Defender för Endpoint (Linux).

Funktionerna för slutpunktsidentifiering och svar (EDR) är aktiva när Microsoft Defender för Endpoint på Linux installeras. EDR-funktioner kan inaktiveras via kommandoraden eller konfigurationen med hjälp av globala undantag. Mer information om felsökning av EDR finns i avsnitten Användbara kommandon och användbara länkar (i den här artikeln).

Viktiga konfigurationsinställningar för Microsoft Defender för Endpoint på SAP på Linux

Vi rekommenderar att du kontrollerar installationen och konfigurationen av Defender för Endpoint med kommandot mdatp health.

De nyckelparametrar som rekommenderas för SAP-program är följande:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Information om hur du felsöker installationsproblem finns i Felsöka installationsproblem för Microsoft Defender för Endpoint i Linux.

Företagets säkerhetsteam måste hämta en fullständig lista över antivirusundantag från SAP-administratörerna (vanligtvis SAP-basteamet). Vi rekommenderar att du först exkluderar:

  • DBMS-datafiler, loggfiler och temporära filer, inklusive diskar som innehåller säkerhetskopierade filer
  • Hela innehållet i SAPMNT-katalogen
  • Hela innehållet i SAPLOC-katalogen
  • Hela innehållet i TRANS-katalogen
  • Hana – exkludera /hana/shared, /hana/data och /hana/log – se Anmärkning 1730930
  • SQL Server – Konfigurera antivirusprogram så att det fungerar med SQL Server
  • Oracle – Se Hur du konfigurerar antivirus på Oracle Database Server (Doc ID 782354.1)
  • DB2 – IBM-dokumentation: Vilka DB2-kataloger som ska undantas med antivirusprogram
  • SAP ASE – kontakta SAP
  • MaxDB – kontakta SAP
  • Adobe Document Server, SAP Arkiv Directories, TREX, LiveCache, Content Server och andra fristående motorer måste testas noggrant i icke-produktionslandskap innan du distribuerar Defender för Endpoint i produktion

Oracle ASM-system behöver inte undantag eftersom Microsoft Defender för Endpoint inte kan läsa ASM-diskar.

Kunder med Pacemaker-kluster bör också konfigurera dessa undantag:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Kunder som kör Azure Security-säkerhetsprincipen kan utlösa en genomsökning med hjälp av Freeware Clam AV-lösningen. Vi rekommenderar att du inaktiverar Clam AV-genomsökning när en virtuell dator har skyddats med Microsoft Defender för Endpoint med hjälp av följande kommandon:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

I följande artiklar beskrivs hur du konfigurerar antivirusundantag för processer, filer och mappar per enskild virtuell dator:

Schemalägga en daglig antivirusgenomsökning (valfritt)

Den rekommenderade konfigurationen för SAP-program möjliggör avlyssning i realtid av I/O-anrop för antivirusgenomsökning. Den rekommenderade inställningen är passivt läge där real_time_protection_enabled = true.

SAP-program som körs på äldre versioner av Linux eller på maskinvara som är överbelastad kan överväga att använda real_time_protection_enabled = false. I det här fallet bör antivirusgenomsökningar schemaläggas.

Mer information finns i Så här schemalägger du genomsökningar med Microsoft Defender för Endpoint (Linux).

Stora SAP-system kan ha fler än 20 SAP-programservrar, var och en med en anslutning till SAPMNT NFS-resursen. Tjugo eller fler programservrar som skannar samma NFS-server samtidigt överbelastar troligen NFS-servern. Som standard söker Defender för Endpoint på Linux inte igenom NFS-källor.

Om det finns ett krav på att skanna SAPMNT bör den här genomsökningen konfigureras endast på en eller två virtuella datorer.

Schemalagda genomsökningar för SAP ECC, BW, CRM, SCM, Solution Manager och andra komponenter bör spridas vid olika tidpunkter för att undvika att alla SAP-komponenter överbelastar en delad NFS-lagringskälla som delas av alla SAP-komponenter.

Användbara kommandon

Om ett felmeddelande "Nothing provides 'policycoreutils" inträffar under manuell zypper-installation på Suse, läser du Felsöka installationsproblem för Microsoft Defender för Endpoint i Linux.

Det finns flera kommandoradskommandon som kan styra mdatp-åtgärden. Om du vill aktivera passivt läge kan du använda följande kommando:


mdatp config passive-mode --value enabled

Obs!

Passivt läge är standardläget när du installerar Defender för Endpoint i Linux.

Om du vill aktivera realtidsskydd kan du använda kommandot:


mdatp config real-time-protection --value enabled

Det här kommandot instruerar mdatp att hämta de senaste definitionerna från molnet:


mdatp definitions update

Det här kommandot testar om mdatp kan ansluta till de molnbaserade slutpunkterna i nätverket:


mdatp connectivity test

Dessa kommandon uppdaterar mdatp-programvaran om det behövs:


yum update mdatp



zypper update mdatp

Eftersom mdatp körs som en linux-systemtjänst kan du styra mdatp med hjälp av tjänstkommandot, till exempel:


service mdatp status

Det här kommandot skapar en diagnostikfil som kan laddas upp till Microsofts support:


sudo mdatp diagnostic create