通过

Linux for SAP 上的Microsoft Defender for Endpoint部署指南

  • 项目

适用于

本文提供有关 Linux for SAP 上的Microsoft Defender for Endpoint的部署指南。 本文包括建议的 SAP OSS (Online Services 系统) 说明、系统要求、先决条件、重要配置设置、建议的防病毒排除项以及有关计划防病毒扫描的指南。

通常用于保护 SAP 系统的传统安全防御措施(例如在防火墙后面隔离基础结构和限制交互式操作系统登录)不再足以缓解现代复杂威胁。 部署新式防御以实时检测和遏制威胁至关重要。 与大多数其他工作负载不同的是,SAP 应用程序需要在部署Microsoft Defender for Endpoint之前进行基本的评估和验证。 企业安全管理员应在部署 Defender for Endpoint 之前联系 SAP Basis 团队。 SAP 基础团队应接受有关 Defender for Endpoint 的基本知识的交叉培训。

Linux 上的 SAP 应用程序

重要

在 Linux 上部署 Defender for Endpoint 时,强烈建议使用 eBPF。 有关详细信息,请参阅 eBPF 文档。 Defender for Endpoint 已得到增强,以使用 eBPF 框架。

支持的发行版包括所有常见的 Linux 发行版,但不包括 Suse 12.x。 建议 Suse 12.x 客户升级到 Suse 15。 Suse 12.x 使用具有性能限制的旧 Audit.D 式传感器。

有关支持分发版的详细信息,请参阅在 Linux 上使用基于 eBPF 的传感器Microsoft Defender for Endpoint

下面是有关 Linux Server 上的 SAP 应用程序的一些要点:

  • SAP 仅支持 Suse、Redhat 和 Oracle Linux。 SAP S4 或 NetWeaver 应用程序不支持其他分发版。
  • 强烈建议使用 Suse 15.x、Redhat 9.x 和 Oracle Linux 9.x。 支持的发行版包括所有常见的 Linux 发行版,但不包括 Suse 12.x。
  • 不支持 Suse 11.x、Redhat 6.x 和 Oracle Linux 6.x。
  • Redhat 7.x 和 8.x 以及 Oracle Linux 7.x 和 8.x 在技术上受支持,但不再与 SAP 软件结合使用进行测试。
  • Suse 和 Redhat 为 SAP 提供定制的发行版。 这些“for SAP”版本的 Suse 和 Redhat 可能预安装了不同的包,并且可能具有不同的内核。
  • SAP 仅支持某些 Linux 文件系统。 通常,使用 XFS 和 EXT3。 Oracle 自动存储管理 (ASM) 文件系统有时用于 Oracle DBMS,Defender for Endpoint 无法读取。
  • 某些 SAP 应用程序使用独立引擎,例如 TREX、Adobe Document Server、Content Server 和 LiveCache。 这些引擎需要特定的配置和文件排除项。
  • SAP 应用程序通常具有包含数千个小文件的传输和接口目录。 如果文件数大于 100,000,则可能会影响性能。 建议存档文件。
  • 强烈建议在部署到生产环境之前,将 Defender for Endpoint 部署到非生产 SAP 环境数周。 SAP 基础团队应使用 、 和 nmonsysstatKSAR工具来验证 CPU 和其他性能参数是否受到影响。 还可以使用全局范围参数配置广泛的排除项,然后逐步减少排除的目录数。

在 Linux 上在 SAP VM 上部署Microsoft Defender for Endpoint的先决条件

从 2024 年 12 月开始,Linux 上的 Defender for Endpoint 可以安全地配置启用实时保护。

部署为 Azure 防病毒扩展的默认配置选项是 被动模式。 这意味着,Microsoft Defender防病毒(Microsoft Defender for Endpoint的防病毒/反恶意软件组件)不会截获 IO 调用。 建议在所有 SAP 应用程序上启用实时保护的情况下,在 中运行 Defender for Endpoint。 因此:

  • 已启用实时保护:Microsoft Defender防病毒实时拦截 IO 调用。
  • 按需扫描已启用:可以在终结点上使用扫描功能。
  • 启用自动威胁修正:移动文件,并向安全管理员发出警报。
  • 安全智能更新已打开警报可在Microsoft Defender门户中使用。

如果 Defender for Endpoint 正在运行,联机内核修补工具(如 Ksplice 或类似工具)可能会导致不可预知的 OS 稳定性。 建议在执行联机内核修补之前暂时停止 Defender for Endpoint 守护程序。 更新内核后,可以安全地重启 Linux 上的 Defender for Endpoint。 此操作对于具有大量内存上下文的大型 SAP HANA VM 尤其重要。

当Microsoft Defender防病毒运行实时保护时,不再需要计划扫描。 应至少运行一次扫描以设置基线。 然后,如有必要,Linux crontab 通常用于计划Microsoft Defender防病毒扫描和日志轮换任务。 有关详细信息,请参阅如何使用 Microsoft Defender for Endpoint (Linux) 计划扫描

每当 Linux 上安装Microsoft Defender for Endpoint时,终结点检测和响应 (EDR) 功能都处于活动状态。 可以使用 全局排除项通过命令行或配置禁用 EDR 功能。 有关对 EDR 进行故障排除的详细信息,请参阅本文) 中有用的 命令有用链接 (部分。

Linux 上的 SAP 上的Microsoft Defender for Endpoint的重要配置设置

建议使用 命令mdatp health检查 Defender for Endpoint 的安装和配置。

建议用于 SAP 应用程序的关键参数如下:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

有关排查安装问题的信息,请参阅排查 Linux 上Microsoft Defender for Endpoint的安装问题

企业安全团队必须从 SAP 管理员 (通常为 SAP 基础团队) 获取防病毒 排除 的完整列表。 建议最初排除:

  • DBMS 数据文件、日志文件和临时文件,包括包含备份文件的磁盘
  • SAPMNT 目录的全部内容
  • SAPLOC 目录的全部内容
  • TRANS 目录的全部内容
  • Hana - 排除 /hana/shared、/hana/data 和 /hana/log - 请参阅注释1730930
  • SQL Server – 配置防病毒软件以使用SQL Server
  • Oracle – 请参阅如何在 Oracle 数据库服务器上配置防病毒 (文档 ID 782354.1)
  • DB2 – IBM 文档:防病毒软件要排除的 DB2 目录
  • SAP ASE - 联系 SAP
  • MaxDB - 联系 SAP
  • 在生产环境中部署 Defender for Endpoint 之前,必须在非生产环境中仔细测试 Adobe Document Server、SAP 存档目录、TREX、LiveCache、内容服务器和其他独立引擎

Oracle ASM 系统不需要排除项,因为Microsoft Defender for Endpoint无法读取 ASM 磁盘。

使用 Pacemaker 群集的客户还应配置以下排除项:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

运行 Azure 安全策略的客户可能会使用免费软件 Clam AV 解决方案触发扫描。 建议在 VM 受Microsoft Defender for Endpoint保护后,使用以下命令禁用 Clam AV 扫描:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

以下文章详细介绍了如何为每个 VM 的进程、文件和文件夹配置防病毒排除项:

计划每日防病毒扫描 (可选)

SAP 应用程序的建议配置可实现针对防病毒扫描的 IO 调用的实时拦截。 建议的设置是被动模式,在此 real_time_protection_enabled = true模式下。

在较旧版本的 Linux 或重载硬件上运行的 SAP 应用程序可能会考虑使用 real_time_protection_enabled = false。 在这种情况下,应计划防病毒扫描。

有关详细信息,请参阅如何使用 Microsoft Defender for Endpoint (Linux) 计划扫描

大型 SAP 系统可能有 20 个以上的 SAP 应用程序服务器,每个服务器都连接到 SAPMNT NFS 共享。 同时扫描同一 NFS 服务器的 20 个或更多应用程序服务器可能会使 NFS 服务器过载。 默认情况下,Linux 上的 Defender for Endpoint 不会扫描 NFS 源。

如果要求扫描 SAPMNT,则只应在一个或两个 VM 上配置此扫描。

SAP ECC、BW、CRM、SCM、解决方案管理器和其他组件的计划扫描应在不同时间错开,以避免所有 SAP 组件重载由所有 SAP 组件共享的共享 NFS 存储源。

有用的命令

如果在 Suse 上手动安装 zypper 期间出现错误“无提供'policycoreutils'”,请参阅排查 Linux 上Microsoft Defender for Endpoint的安装问题

有几个命令行命令可以控制 mdatp 的操作。 若要启用被动模式,可以使用以下命令:


mdatp config passive-mode --value enabled

注意

被动模式是在 Linux 上安装 Defender for Endpoint 时的默认模式。

若要启用实时保护,可以使用 命令:


mdatp config real-time-protection --value enabled

此命令告知 mdatp 从云中检索最新定义:


mdatp definitions update

此命令测试 mdatp 是否可以连接到网络上基于云的终结点:


mdatp connectivity test

如果需要,这些命令会更新 mdatp 软件:


yum update mdatp



zypper update mdatp

由于 mdatp 作为 linux 系统服务运行,因此可以使用 service 命令控制 mdatp,例如:


service mdatp status

此命令创建可上传到Microsoft支持的诊断文件:


sudo mdatp diagnostic create