Linux for SAP 上的Microsoft Defender for Endpoint部署指南
适用于:
- Microsoft Defender for Endpoint 服务器版
- 服务器的Microsoft Defender
本文提供有关 Linux for SAP 上的Microsoft Defender for Endpoint的部署指南。 本文包括建议的 SAP OSS (Online Services 系统) 说明、系统要求、先决条件、重要配置设置、建议的防病毒排除项以及有关计划防病毒扫描的指南。
通常用于保护 SAP 系统的传统安全防御措施(例如在防火墙后面隔离基础结构和限制交互式操作系统登录)不再足以缓解现代复杂威胁。 部署新式防御以实时检测和遏制威胁至关重要。 与大多数其他工作负载不同的是,SAP 应用程序需要在部署Microsoft Defender for Endpoint之前进行基本的评估和验证。 在部署 Defender for Endpoint 之前,企业安全管理员应联系 SAP Basis 团队。 SAP 基础团队应接受有关 Defender for Endpoint 的基本知识的交叉培训。
建议的 SAP OSS 说明
- 2248916 - Linux/Unix 中 SAP BusinessObjects Business Intelligence Platform 产品的防病毒扫描中应排除哪些文件和目录? - SAP ONE 支持启动板
- 1984459 - 应从 SAP Data Services 的防病毒扫描中排除哪些文件和目录 - SAP ONE 支持启动板
- 2808515 - 在 Linux 上运行的 SAP 服务器上安装安全软件 - SAP ONE 支持启动板
- 1730930 - 在 SAP HANA 设备中使用防病毒软件 - SAP ONE 支持启动板
- 1730997 - 防病毒软件的未推荐版本 - SAP ONE 支持启动板
Linux 上的 SAP 应用程序
- SAP 仅支持 Suse、Redhat 和 Oracle Linux。 SAP S4 或 NetWeaver 应用程序不支持其他分发版。
- 强烈建议使用 Suse 15.x、Redhat 8.x 或 9.x 和 Oracle Linux 8.x。
- Suse 12.x、Redhat 7.x 和 Oracle Linux 7.x 在技术上受支持,但未经过广泛测试。
- Suse 11.x、Redhat 6.x 和 Oracle Linux 6.x 可能不受支持且未经过测试。
- Suse 和 Redhat 为 SAP 提供定制的发行版。 这些“for SAP”版本的 Suse 和 Redhat 可能预安装了不同的包,并且可能具有不同的内核。
- SAP 仅支持某些 Linux 文件系统。 通常,使用 XFS 和 EXT3。 Oracle 自动存储管理 (ASM) 文件系统有时用于 Oracle DBMS,Defender for Endpoint 无法读取。
- 某些 SAP 应用程序使用“独立引擎”,例如 TREX、Adobe Document Server、Content Server 和 LiveCache。 这些引擎需要特定的配置和文件排除项。
- SAP 应用程序通常具有包含数千个小文件的传输和接口目录。 如果文件数大于 100,000,则可能会影响性能。 建议存档文件。
- 强烈建议在部署到生产环境之前,将 Defender for Endpoint 部署到非生产 SAP 环境数周。 SAP 基础团队应使用 、
KSAR和nmon等sysstat工具来验证 CPU 和其他性能参数是否受到影响。
在 Linux 上在 SAP VM 上部署Microsoft Defender for Endpoint的先决条件
- Microsoft Defender for Endpoint 版本>= 101.23082.0009 |版本:必须部署 30.123082.0009 或更高版本。
- Linux 上的Microsoft Defender for Endpoint支持 SAP 应用程序使用的所有 Linux 版本。
- Linux 上的Microsoft Defender for Endpoint需要从 VM 连接到特定 Internet 终结点,以更新防病毒定义。
- Linux 上的Microsoft Defender for Endpoint需要一些 crontab (或其他任务计划程序) 条目来计划扫描、日志轮换和Microsoft Defender for Endpoint更新。 企业安全团队通常管理这些条目。 请参阅如何在 Linux 上为Microsoft Defender for Endpoint计划更新。
部署为 Azure 防病毒扩展的默认配置选项是 被动模式。 这意味着,Microsoft Defender防病毒(Microsoft Defender for Endpoint的防病毒/反恶意软件组件)不会截获 IO 调用。 建议在所有 SAP 应用程序上以被动模式运行Microsoft Defender for Endpoint,并计划每天扫描一次。 在此模式下:
- 已关闭实时保护:Microsoft Defender防病毒无法修正威胁。
- 按需扫描已打开:仍使用终结点上的扫描功能。
- 自动威胁修正已关闭:不会移动任何文件,安全管理员应采取所需的操作。
- 安全智能更新已打开:警报可用于安全管理员的租户。
如果 Defender for Endpoint 正在运行,联机内核修补工具(如 Ksplice 或类似工具)可能会导致 OS 不稳定。 建议在执行联机内核修补之前暂时停止 Defender for Endpoint 守护程序。 更新内核后,可以安全地重启 Linux 上的 Defender for Endpoint。 这对于具有大量内存上下文的大型 SAP HANA VM 尤其重要。
Linux crontab 通常用于计划Microsoft Defender for Endpoint AV 扫描和日志轮换任务:如何使用 Microsoft Defender for Endpoint (Linux 计划扫描)
每当在 Linux 上安装Microsoft Defender for Endpoint时,终结点检测和响应 (EDR) 功能都处于活动状态。 没有简单的方法可以通过命令行或配置禁用 EDR 功能。 有关 EDR 疑难解答的详细信息,请参阅 有用的命令 和 有用链接部分。
Linux 上的 SAP 上Microsoft Defender for Endpoint的重要配置设置
建议使用 命令mdatp health检查 Defender for Endpoint 的安装和配置。
建议用于 SAP 应用程序的关键参数包括:
healthy = true-
release_ring = Production. 预发行和预览体验成员圈不应与 SAP 应用程序一起使用。 -
real_time_protection_enabled = false. 实时保护在被动模式下关闭,这是默认模式,可防止实时 IO 拦截。 automatic_definition_update_enabled = true-
definition_status = "up_to_date". 如果标识了新值,请运行手动更新。 -
edr_early_preview_enabled = "disabled". 如果在 SAP 系统上启用,可能会导致系统不稳定。 -
conflicting_applications = [ ]. VM 上安装的其他 AV 或安全软件,例如 Clam。 -
supplementary_events_subsystem = "ebpf". 如果未显示 ebpf,请不要继续。 请联系安全管理团队。
本文提供了一些有关排查Microsoft Defender for Endpoint安装问题的有用提示:排查 Linux 上Microsoft Defender for Endpoint的安装问题
适用于 Linux 上的 SAP 的建议Microsoft Defender for Endpoint防病毒排除项
企业安全团队必须从 SAP 管理员 (通常为 SAP 基础团队) 获取防病毒排除的完整列表。 建议最初排除:
- DBMS 数据文件、日志文件和临时文件,包括包含备份文件的磁盘
- SAPMNT 目录的全部内容
- SAPLOC 目录的全部内容
- TRANS 目录的全部内容
- 独立引擎(如 TREX)的目录的全部内容
- Hana - 排除 /hana/shared、/hana/data 和 /hana/log - 请参阅注释1730930
- SQL Server – 配置防病毒软件以使用 SQL Server - SQL Server
- Oracle – 请参阅如何在 Oracle 数据库服务器上配置防病毒 (文档 ID 782354.1)
- DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
- SAP ASE - 联系 SAP
- MaxDB - 联系 SAP
Oracle ASM 系统不需要排除项,因为Microsoft Defender for Endpoint无法读取 ASM 磁盘。
使用 Pacemaker 群集的客户还应配置以下排除项:
mdatp exclusion folder add --path /usr/lib/pacemaker/ (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*
运行 Azure 安全策略的客户可能会使用免费软件 Clam AV 解决方案触发扫描。 建议在 VM 受Microsoft Defender for Endpoint保护后,使用以下命令禁用 Clam AV 扫描:
sudo azsecd config -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status
以下文章详细介绍了如何为每个 VM 配置进程、文件和文件夹的 AV 排除项:
计划每日 AV 扫描
SAP 应用程序的建议配置禁用对 AV 扫描的 IO 调用的实时拦截。 建议的设置是被动模式,其中real_time_protection_enabled = false。
以下链接详细介绍了如何计划扫描:如何使用 Microsoft Defender for Endpoint (Linux) 计划扫描。
大型 SAP 系统可能有 20 个以上的 SAP 应用程序服务器,每个服务器都连接到 SAPMNT NFS 共享。 同时扫描同一 NFS 服务器的 20 个或更多应用程序服务器可能会使 NFS 服务器过载。 默认情况下,Linux 上的 Defender for Endpoint 不会扫描 NFS 源。
如果要求扫描 SAPMNT,则应仅在一个或两个 VM 上配置此扫描。
SAP ECC、BW、CRM、SCM、解决方案管理器和其他组件的计划扫描应在不同时间错开,以避免所有 SAP 组件重载由所有 SAP 组件共享的共享 NFS 存储源。
有用的命令
如果在 Suse 上手动安装 zypper 期间出现错误“无任何提供'policycoreutils'”,请参阅:排查 Linux 上Microsoft Defender for Endpoint的安装问题。
有几个命令行命令可以控制 mdatp 的操作。 若要启用被动模式,可以使用以下命令:
mdatp config passive-mode --value enabled
注意
被动模式是在 Linux 上安装 defender for endpoint 时的默认模式。
若要关闭实时保护,可以使用 命令:
mdatp config real-time-protection --value disabled
此命令告知 mdatp 从云中检索最新定义:
mdatp definitions update
此命令测试 mdatp 是否可以通过网络连接到基于云的终结点:
mdatp connectivity test
如果需要,这些命令会更新 mdatp 软件:
yum update mdatp
zypper update mdatp
由于 mdatp 作为 linux 系统服务运行,因此可以使用 service 命令控制 mdatp,例如:
service mdatp status
此命令创建可上传到Microsoft支持的诊断文件:
sudo mdatp diagnostic create