適用於 SAP 的 Linux 上 適用於端點的 Microsoft Defender 部署指引
適用於:
- 適用於端點的 Microsoft Defender 伺服器
- 伺服器的 Microsoft Defender
本文提供Linux for SAP 上 適用於端點的 Microsoft Defender 的部署指引。 本文包含建議的 SAP OSS (Online Services 系統) 附注、系統需求、必要條件、重要組態設定、建議的防病毒軟體排除專案,以及排程防病毒軟體掃描的指引。
通常用來保護 SAP 系統的傳統安全性防禦,例如隔離防火牆背後的基礎結構,以及限制互動式作系統登入,已不再被視為足以降低新式複雜威脅。 部署新式防禦以即時偵測並包含威脅是不可或缺的。 不同於大部分其他工作負載的 SAP 應用程式在部署 適用於端點的 Microsoft Defender 之前需要基本評定和驗證。 企業安全性系統管理員應該先連絡 SAP 基礎小組,再部署適用於端點的 Defender。 SAP 基礎小組應該以適用於端點的 Defender 的基本知識層級進行交叉訓練。
建議的 SAP OSS 附註
- 2248916 - 哪些檔案和目錄應該從 Linux/Unix 中 SAP BusinessObjects Business Intelligence Platform 產品的防病毒軟體掃描中排除? - SAP ONE 支援啟動控制板
- 1984459 - 哪些檔案和目錄應該從 SAP Data Services 的防病毒軟體掃描中排除 - SAP ONE 支援啟動控制板
- 2808515 - 在 Linux 上執行的 SAP 伺服器上安裝安全性軟體 - SAP ONE 支援啟動控制板
- 1730930 - 在 SAP HANA 裝置中使用防病毒軟體 - SAP ONE 支援啟動控制板
- 1730997 - 防病毒軟體的未認可版本 - SAP ONE 支援啟動控制板
Linux 上的 SAP 應用程式
重要事項
當您在Linux上部署適用於端點的Defender時,強烈建議使用 eBPF。 如需詳細資訊,請 參閱 eBPF 檔。 適用於端點的Defender已增強為使用 eBPF 架構。
支援的發行版包含所有常見的Linux發行版,但不包含Suse 12.x。 建議 Suse 12.x 客戶升級至 Suse 15。 Suse 12.x 使用具有效能限制的舊 Audit.D
感測器。
如需支援散發套件的詳細資訊,請參閱在Linux上使用 eBPF 型感測器 適用於端點的 Microsoft Defender。
以下是 Linux 伺服器上 SAP 應用程式的一些重點:
- SAP 僅支援 Suse、Redhat 和 Oracle Linux。 SAP S4 或 NetWeaver 應用程式不支援其他散發套件。
- 強烈建議使用 Suse 15.x、Redhat 9.x 和 Oracle Linux 9.x。 支援的發行版包含所有常見的Linux發行版,但不包含Suse 12.x。
- 不支援 Suse 11.x、Redhat 6.x 和 Oracle Linux 6.x。
- 技術上支援 Redhat 7.x 和 8.x,以及 Oracle Linux 7.x 和 8.x,但不再與 SAP 軟體一起測試。
- Suse 和 Redhat 提供針對 SAP 量身打造的散發套件。 這些「適用於 SAP」版本的 Suse 和 Redhat 可能會預安裝不同的套件,而且可能有不同的核心。
- SAP 僅支援特定的 Linux 檔案系統。 一般而言,會使用 XFS 和 EXT3。 Oracle 自動記憶體管理 (ASM) 文件系統有時用於 Oracle DBMS,而且無法由適用於端點的 Defender 讀取。
- 某些 SAP 應用程式會使用獨立引擎,例如 TREX、Adobe 檔案伺服器、內容伺服器和 LiveCache。 這些引擎需要特定的組態和檔案排除。
- SAP 應用程式通常會有具有數千個小型檔案的傳輸和介面目錄。 如果檔案數目大於 100,000,則可能會影響效能。 建議您封存盤案。
- 強烈建議您先將適用於端點的 Defender 部署至非生產 SAP 環境數周,再部署至生產環境。 SAP 基礎小組應該使用、
KSAR
nmon
和 等sysstat
工具來確認 CPU 和其他效能參數是否受到影響。 您也可以使用全域範圍參數來設定廣泛的排除範圍,然後以累加方式減少排除的目錄數目。
在 SAP VM 上在 Linux 上部署 適用於端點的 Microsoft Defender 的必要條件
- 適用於端點的 Microsoft Defender 組建:101.24082.0004 |版本:必須部署 30.124082.0004.0 或更新版本。
- Linux 上的 適用於端點的 Microsoft Defender 支援 SAP 應用程式所使用的 Linux 版本。
- Linux 上的 適用於端點的 Microsoft Defender 需要從 VM 連線到特定因特網端點,以更新防病毒軟體定義。
- Linux 上的 適用於端點的 Microsoft Defender 需要某些
crontab
(或其他工作排程器) 專案來排程掃描、記錄輪替,以及 適用於端點的 Microsoft Defender 更新。 企業安全性小組通常會管理這些專案。 如需詳細資訊,請參閱 How to schedule an update for 適用於端點的 Microsoft Defender on Linux。
自 2024 年 12 月起,Linux 上適用於端點的 Defender 可以安全地設定,並啟用即時保護。
部署為適用於防病毒軟體的 Azure 擴充功能的預設組態選項是 被動模式。 這表示 Microsoft Defender 防病毒軟體是 適用於端點的 Microsoft Defender 的防病毒軟體/反惡意代碼元件,不會攔截 IO 呼叫。 建議您在 中執行適用於端點的Defender,並在所有SAP應用程式上啟用即時保護。 因此:
- 已開啟即時保護:Microsoft Defender 防病毒軟體會即時攔截 IO 呼叫。
- 隨選掃描已開啟:您可以在端點上使用掃描功能。
- 自動威脅補救已開啟:檔案已移動,安全性系統管理員會收到警示。
- 安全性情報更新已開啟:Microsoft Defender 入口網站中提供警示。
如果適用於端點的 Defender 正在執行,在線核心修補工具,例如 Ksplice 或類似專案,可能會導致無法預測的 OS 穩定性。 建議您在執行在線核心修補之前,先暫時停止適用於端點的 Defender 精靈。 更新核心之後,可安全地重新啟動適用於Linux上的適用於端點的Defender。 對於具有大量記憶體內容的大型 SAP HANA VM 而言,此動作特別重要。
當 Microsoft Defender 防病毒軟體以即時保護執行時,就不再需要排程掃描。 您應該至少執行掃描一次,以設定基準。 然後,如有必要,通常會使用 Linux crontab 來排程 Microsoft Defender 防病毒軟體掃描和記錄輪替工作。 如需詳細資訊,請參閱如何使用 適用於端點的 Microsoft Defender (Linux) 排程掃描。
每次在Linux上安裝 適用於端點的 Microsoft Defender時,EDR) 功能 (端點偵測和響應都會作用中。 您可以使用 全域排除專案,透過命令行或組態停用EDR功能。 如需針對 EDR 進行疑難解答的詳細資訊,請參閱本文) 中的實用 命令 和 實用連結 (章節。
Linux 上 SAP 上 適用於端點的 Microsoft Defender 的重要組態設定
建議您使用 命令 mdatp health
來檢查適用於端點的 Defender 安裝和設定。
建議用於 SAP 應用程式的主要參數如下:
healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.)
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)
如需針對安裝問題進行疑難解答的詳細資訊,請參閱針對Linux上 適用於端點的 Microsoft Defender的安裝問題進行疑難解答。
Linux 上 SAP 的建議 適用於端點的 Microsoft Defender 防病毒軟體排除專案
您的企業安全性小組必須從 SAP 系統管理員取得防病毒軟體 排除 專案的完整清單 (通常是 SAP 基礎小組) 。 建議您一開始排除:
- DBMS 資料檔、記錄檔和暫存盤,包括包含備份檔的磁碟
- SAPMNT 目錄的整個內容
- SAPLOC 目錄的整個內容
- TRANS 目錄的整個內容
- Hana – 排除 /hana/shared、/hana/data 和 /hana/log - 請參閱附注1730930
- SQL Server – 設定防病毒軟體以使用 SQL Server
- Oracle – 請參閱如何在 Oracle 資料庫伺服器上設定防病毒軟體 (文件識別碼 782354.1)
- DB2 – IBM 檔:要使用防病毒軟體排除哪些 DB2 目錄
- SAP ASE – 連絡 SAP
- MaxDB – 連絡 SAP
- Adobe Document Server、SAP 封存 Directories、TREX、LiveCache、Content Server 和其他獨立引擎都必須在非生產環境中仔細測試,才能在生產環境中部署適用於端點的 Defender
Oracle ASM 系統不需要排除專案,因為 適用於端點的 Microsoft Defender 無法讀取 ASM 磁碟。
具有 Pacemaker 叢集的客戶也應該設定下列排除專案:
mdatp exclusion folder add --path /usr/lib/pacemaker/ (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*
執行 Azure 安全性安全策略的客戶可能會使用 Freeware Clam AV 解決方案來觸發掃描。 建議您在使用下列命令 適用於端點的 Microsoft Defender 保護 VM 之後,停用 Clam AV 掃描:
sudo azsecd config -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status
下列文章詳細說明如何針對每個個別 VM 的進程、檔案和資料夾設定防病毒軟體排除專案:
排程每日防病毒軟體掃描 (選用)
SAP 應用程式的建議設定可讓您即時攔截 IO 呼叫以進行防病毒軟體掃描。 建議的設定是被動模式,其中 real_time_protection_enabled = true
。
在舊版 Linux 或多載硬體上執行的 SAP 應用程式可能會考慮使用 real_time_protection_enabled = false
。 在此情況下,應該排程防病毒軟體掃描。
如需詳細資訊,請參閱如何使用 適用於端點的 Microsoft Defender (Linux) 排程掃描。
大型 SAP 系統可能會有超過 20 部 SAP 應用程式伺服器,每個伺服器都具有 SAPMNT NFS 共用的連線。 同時掃描相同 NFS 伺服器的 20 部或多個應用程式伺服器可能會多載 NFS 伺服器。 根據預設,Linux 上適用於端點的 Defender 不會掃描 NFS 來源。
如果需要掃描 SAPMNT,則只能在一或兩部 VM 上設定此掃描。
SAP ECC、BW、CRM、SCM、解決方案管理員和其他元件的排程掃描應該在不同時間交錯,以避免所有 SAP 元件多載所有 SAP 元件共用的共用 NFS 記憶體來源。
有用的命令
如果在 Suse 上手動安裝 zypper 時發生錯誤「沒有提供 『policycoreutils』」,請參閱針對 Linux 上 適用於端點的 Microsoft Defender 的安裝問題進行疑難解答。
有數個命令行命令可以控制 mdatp 的作業。 若要啟用被動模式,您可以使用下列命令:
mdatp config passive-mode --value enabled
注意事項
在 Linux 上安裝適用於端點的 Defender 時,被動模式是預設模式。
若要開啟即時保護,您可以使用 命令:
mdatp config real-time-protection --value enabled
此指令會指示 mdatp 從雲端擷取最新的定義:
mdatp definitions update
此指令會測試 mdatp 是否可以連線到網路上的雲端端點:
mdatp connectivity test
這些命令會視需要更新 mdatp 軟體:
yum update mdatp
zypper update mdatp
由於 mdatp 會以 linux 系統服務執行,因此您可以使用服務命令來控制 mdatp,例如:
service mdatp status
此命令會建立可上傳至Microsoft支持的診斷檔案:
sudo mdatp diagnostic create
有用的連結
若要分析效能或其他問題,請參閱 在Linux上執行用戶端分析器。
Microsoft Intune 目前不支援Linux。 請參閱瞭解如何使用 Intune 端點安全策略來管理未向 Intune 註冊之裝置上的 適用於端點的 Microsoft Defender。
Microsoft Tech Community:適用於端點的 Microsoft Defender Linux - 設定和作業命令清單
Microsoft Tech Community:在Linux伺服器上部署 適用於端點的 Microsoft Defender