إرشادات التوزيع Microsoft Defender لنقطة النهاية على Linux ل SAP

ينطبق على:

• Defender for Endpoint الخطة 2

توفر هذه المقالة إرشادات التوزيع Microsoft Defender لنقطة النهاية على Linux ل SAP. تتضمن هذه المقالة ملاحظات SAP OSS (نظام الخدمات عبر الإنترنت) الموصى بها ومتطلبات النظام والمتطلبات الأساسية وإعدادات التكوين المهمة واستبعادات مكافحة الفيروسات الموصى بها وإرشادات حول جدولة عمليات فحص مكافحة الفيروسات.

الدفاعات الأمنية التقليدية التي تم استخدامها بشكل شائع لحماية أنظمة SAP مثل عزل البنية الأساسية خلف جدران الحماية والحد من عمليات تسجيل الدخول التفاعلية لنظام التشغيل لم تعد كافية للتخفيف من التهديدات المتطورة الحديثة. من الضروري نشر دفاعات حديثة للكشف عن التهديدات واحتواءها في الوقت الحقيقي. تتطلب تطبيقات SAP على عكس معظم أحمال العمل الأخرى تقييما أساسيا والتحقق من الصحة قبل توزيع Microsoft Defender لنقطة النهاية. يجب على مسؤولي أمان المؤسسة الاتصال بفريق SAP Basis قبل نشر Defender لنقطة النهاية. يجب تدريب فريق SAP Basis عبر مستوى أساسي من المعرفة حول Defender لنقطة النهاية.

ملاحظات SAP OSS الموصى بها

• 2248916 - ما هي الملفات والدلائل التي يجب استبعادها من فحص مكافحة الفيروسات لمنتجات SAP BusinessObjects Business Intelligence Platform في Linux/Unix؟ - لوحة تشغيل دعم SAP ONE
• 1984459 - الملفات والدلائل التي يجب استبعادها من فحص مكافحة الفيروسات لخدمات بيانات SAP - لوحة تشغيل دعم SAP ONE
• 2808515 - تثبيت برامج الأمان على خوادم SAP التي تعمل على Linux - لوحة تشغيل دعم SAP ONE
• 1730930 - استخدام برنامج مكافحة الفيروسات في جهاز SAP HANA - لوحة تشغيل دعم SAP ONE
• 1730997 - الإصدارات غير الملتزم بها من برنامج الحماية من الفيروسات - لوحة تشغيل دعم SAP ONE

تطبيقات SAP على Linux

• يدعم SAP فقط Suse وRedhat وOracle Linux. التوزيعات الأخرى غير مدعومة لتطبيقات SAP S4 أو NetWeaver.
• يوصى بشدة باستخدام Suse 15.x وRedhat 8.x أو 9.x وOracle Linux 8.x.
• يتم دعم Suse 12.x وRedhat 7.x وOracle Linux 7.x تقنيا ولكن لم يتم اختبارها على نطاق واسع.
• قد لا يتم دعم Suse 11.x وRedhat 6.x وOracle Linux 6.x ولم يتم اختبارها.
• تقدم Suse وRedhat توزيعات مخصصة ل SAP. قد تحتوي هذه الإصدارات "ل SAP" من Suse وRedhat على حزم مختلفة مثبتة مسبقا وربما نواة مختلفة.
• يدعم SAP أنظمة ملفات Linux معينة فقط. بشكل عام، يتم استخدام XFS وEXT3. يستخدم نظام ملفات Oracle Automatic Storage Management (ASM) أحيانا ل Oracle DBMS ولا يمكن قراءته بواسطة Defender لنقطة النهاية.
• تستخدم بعض تطبيقات SAP "محركات مستقلة" مثل TREX و Adobe Document Server و Content Server و LiveCache. تتطلب هذه المحركات تكوينا محددا واستبعادات ملف.
• غالبا ما تحتوي تطبيقات SAP على دلائل النقل والواجهة مع العديد من الآلاف من الملفات الصغيرة. إذا كان عدد الملفات أكبر من 100,000، فقد يؤثر ذلك على الأداء. يوصى بأرشفة الملفات.
• يوصى بشدة بنشر Defender لنقطة النهاية إلى مناظر SAP الطبيعية غير المنتجة لعدة أسابيع قبل التوزيع إلى الإنتاج. يجب أن يستخدم فريق SAP Basis أدوات مثل sysstat وKSAR وnmon للتحقق مما إذا كانت وحدة المعالجة المركزية ومعلمات الأداء الأخرى تتأثر.

المتطلبات الأساسية لتوزيع Microsoft Defender لنقطة النهاية على Linux على أجهزة SAP الظاهرية

• Microsoft Defender لنقطة النهاية الإصدار>= 101.23082.0009 | إصدار الإصدار: 30.123082.0009 أو أعلى يجب نشره.
• يدعم Microsoft Defender لنقطة النهاية على Linux جميع إصدارات Linux المستخدمة من قبل تطبيقات SAP.
• يتطلب Microsoft Defender لنقطة النهاية على Linux الاتصال بنقاط نهاية إنترنت محددة من الأجهزة الظاهرية لتحديث تعريفات مكافحة الفيروسات.
• يتطلب Microsoft Defender لنقطة النهاية على Linux بعض إدخالات crontab (أو جدولة مهام أخرى) لجدولة عمليات الفحص وتدارة السجل وتحديثات Microsoft Defender لنقطة النهاية. عادة ما تدير فرق أمان المؤسسة هذه الإدخالات. راجع كيفية جدولة تحديث Microsoft Defender لنقطة النهاية (Linux).

سيكون خيار التكوين الافتراضي للتوزيع كملحق Azure ل AntiVirus (AV) هو الوضع السلبي. وهذا يعني أن مكون AV Microsoft Defender لنقطة النهاية لن يعترض استدعاءات الإدخال/الإخراج. يوصى بتشغيل Microsoft Defender لنقطة النهاية في الوضع السلبي على جميع تطبيقات SAP وجدولة الفحص مرة واحدة في اليوم. في هذا الوضع:

• تم إيقاف تشغيل الحماية في الوقت الحقيقي: لا تتم معالجة التهديدات بواسطة برنامج الحماية من الفيروسات Microsoft Defender.
• تم تشغيل الفحص عند الطلب: لا يزال استخدام إمكانات الفحص على نقطة النهاية.
• تم إيقاف تشغيل المعالجة التلقائية للمخاطر: لا يتم نقل أي ملفات ومن المتوقع أن يتخذ مسؤول الأمان الإجراء المطلوب.
• يتم تشغيل تحديثات التحليل الذكي للأمان: تتوفر التنبيهات على مستأجر مسؤول الأمان.

عادة ما يتم استخدام Linux crontab لجدولة Microsoft Defender لنقطة النهاية مهام فحص AV واستدارة السجل: كيفية جدولة عمليات الفحص باستخدام Microsoft Defender لنقطة النهاية (Linux)

تكون وظيفة Endpoint Detection and Response (EDR) نشطة كلما تم تثبيت Microsoft Defender لنقطة النهاية على Linux. لا توجد طريقة بسيطة لتعطيل وظيفة EDR من خلال سطر الأوامر أو التكوين. لمزيد من المعلومات حول استكشاف أخطاء EDR وإصلاحها، راجع المقاطع أوامر مفيدةوارتباطات مفيدة.

إعدادات التكوين المهمة Microsoft Defender لنقطة النهاية على SAP على Linux

يوصى بالتحقق من تثبيت وتكوين Defender لنقطة النهاية باستخدام الأمر mdatp health.

المعلمات الرئيسية الموصى بها لتطبيقات SAP هي:

• صحي = صحيح
• release_ring = الإنتاج. لا ينبغي استخدام الحلقات التجريبية والمشتركة مع تطبيقات SAP.
• real_time_protection_enabled = خطأ. الحماية في الوقت الحقيقي متوقفة عن التشغيل في الوضع السلبي، وهو الوضع الافتراضي ويمنع اعتراض الإدخال/الإخراج في الوقت الحقيقي.
• automatic_definition_update_enabled = صحيح
• definition_status = "up_to_date". قم بتشغيل تحديث يدوي إذا تم تحديد قيمة جديدة.
• edr_early_preview_enabled = "معطل". إذا تم تمكينه على أنظمة SAP، فقد يؤدي ذلك إلى عدم استقرار النظام.
• conflicting_applications = [ ]. AV أو برنامج أمان آخر مثبت على جهاز ظاهري مثل Clam.
• supplementary_events_subsystem = "ebpf". لا تتابع إذا لم يتم عرض ebpf. اتصل بفريق مسؤول الأمان.

تحتوي هذه المقالة على بعض التلميحات المفيدة حول استكشاف مشكلات التثبيت وإصلاحها Microsoft Defender لنقطة النهاية: استكشاف مشكلات التثبيت وإصلاحها Microsoft Defender لنقطة النهاية على Linux

استثناءات برنامج الحماية من الفيروسات Microsoft Defender لنقطة النهاية الموصى بها ل SAP على Linux

يجب أن يحصل فريق أمان المؤسسة على قائمة كاملة باستثناءات مكافحة الفيروسات من مسؤولي SAP (عادة فريق SAP Basis). يوصى باستبعاد:

• ملفات بيانات DBMS وملفات السجل والملفات المؤقتة، بما في ذلك الأقراص التي تحتوي على ملفات النسخ الاحتياطي
• محتويات دليل SAPMNT بالكامل
• محتويات دليل SAPLOC بالكامل
• محتويات دليل TRANS بالكامل
• محتويات الأدلة بالكامل للمحركات المستقلة مثل TREX
• Hana - استبعاد /hana/shared و/hana/data و/hana/log - راجع ملاحظة 1730930
• SQL Server - تكوين برنامج مكافحة الفيروسات للعمل مع SQL Server - SQL Server
• Oracle – راجع كيفية تكوين مكافحة الفيروسات على خادم قاعدة بيانات Oracle (معرف المستند 782354.1)
• DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
• SAP ASE – اتصل ب SAP
• MaxDB – اتصل ب SAP

لا تحتاج أنظمة Oracle ASM إلى استثناءات حيث لا يمكن Microsoft Defender لنقطة النهاية قراءة أقراص ASM.

يجب على العملاء الذين لديهم مجموعات Pacemaker أيضا تكوين هذه الاستثناءات:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

قد يقوم العملاء الذين يقومون بتشغيل نهج أمان Azure Security بتشغيل فحص باستخدام حل Freeware Clam AV. يوصى بتعطيل فحص Clam AV بعد حماية جهاز ظاهري باستخدام Microsoft Defender لنقطة النهاية باستخدام الأوامر التالية:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status 

توضح المقالات التالية بالتفصيل كيفية تكوين استثناءات AV للعمليات والملفات والمجلدات لكل جهاز ظاهري فردي:

• إعداد استثناءات Microsoft Defender عمليات فحص برنامج الحماية من الفيروسات
• الأخطاء الشائعة التي يجب تجنبها عند تحديد الاستثناءات

جدولة فحص AV اليومي

يعطل التكوين الموصى به لتطبيقات SAP اعتراض مكالمات IO في الوقت الحقيقي لفحص AV. الإعداد الموصى به هو الوضع السلبي الذي real_time_protection_enabled = false.

يوضح الارتباط التالي تفاصيل كيفية جدولة الفحص: كيفية جدولة عمليات الفحص باستخدام Microsoft Defender لنقطة النهاية (Linux).

قد تحتوي أنظمة SAP الكبيرة على أكثر من 20 خادم تطبيق SAP لكل منها اتصال بمشاركة SAPMNT NFS. من المحتمل أن يؤدي فحص 20 خادم تطبيق أو أكثر في وقت واحد لنفس خادم NFS إلى التحميل الزائد لخادم NFS. بشكل افتراضي، لا يقوم Defender لنقطة النهاية على Linux بمسح مصادر NFS ضوئيا.

إذا كان هناك شرط لفحص SAPMNT، فيجب تكوين هذا الفحص على جهاز ظاهري واحد أو جهازين ظاهريين فقط.

يجب أن تكون عمليات الفحص المجدولة ل SAP ECC وBW وCRM وSCM و Solution Manager والمكونات الأخرى متداخلة في أوقات مختلفة لتجنب جميع مكونات SAP من التحميل الزائد لمصدر تخزين NFS مشترك مشترك مشترك من قبل جميع مكونات SAP.

أوامر مفيدة

إذا حدث خطأ أثناء تثبيت zypper اليدوي على Suse "لا شيء يوفر "policycoreutils"، فراجع: استكشاف مشكلات التثبيت وإصلاحها Microsoft Defender لنقطة النهاية على Linux.

هناك العديد من أوامر سطر الأوامر التي يمكنها التحكم في تشغيل mdatp. لتمكين الوضع السلبي، يمكنك استخدام الأمر التالي:

mdatp config passive-mode --value enabled

ملاحظة

الوضع السلبي هو الوضع الافتراضي لتثبيت defender لنقطة النهاية على Linux.

لإيقاف تشغيل الحماية في الوقت الحقيقي، يمكنك استخدام الأمر :

mdatp config real-time-protection --value disabled

يخبر هذا الأمر mdatp باسترداد أحدث التعريفات من السحابة:

mdatp definitions update 

يختبر هذا الأمر ما إذا كان بإمكان mdatp الاتصال بنقاط النهاية المستندة إلى السحابة عبر الشبكة:

mdatp connectivity test

تحدث هذه الأوامر برنامج mdatp، إذا لزم الأمر:

yum update mdatp

zypper update mdatp

نظرا لأن mdatp يعمل كخدمة نظام Linux، يمكنك التحكم في mdatp باستخدام أمر الخدمة، على سبيل المثال:

service mdatp status 

ينشئ هذا الأمر ملف تشخيص يمكن تحميله إلى دعم Microsoft:

sudo mdatp diagnostic create

ارتباطات مفيدة

• لا يدعم Microsoft Endpoint Manager Linux في الوقت الحالي

• قم بإدارة Microsoft Defender لإعدادات تكوين نقطة النهاية على الأجهزة باستخدام دارة نقاط النهاية في Microsoft

• Microsoft Tech Community: Microsoft Defender لنقطة النهاية Linux - قائمة أوامر التكوين والتشغيل

• Microsoft Tech Community: نشر Microsoft Defender لنقطة النهاية على خوادم Linux

• استكشاف مشكلات الاتصال السحابي وإصلاحها Microsoft Defender لنقطة النهاية على Linux

• استكشاف مشكلات الأداء Microsoft Defender لنقطة النهاية على Linux وإصلاحها