Pokyny k nasazení pro Microsoft Defender for Endpoint v Linuxu pro SAP
Tento článek obsahuje pokyny k nasazení pro Microsoft Defender for Endpoint v Linuxu pro SAP. Tento článek obsahuje doporučené poznámky k systému SAP OSS (Online Services System), požadavky na systém, požadavky, důležitá nastavení konfigurace, doporučená vyloučení antivirového softwaru a pokyny k plánování antivirových kontrol.
Konvenční bezpečnostní obrana, která se běžně používá k ochraně systémů SAP, jako je izolace infrastruktury za branami firewall a omezení interaktivních přihlášení k operačním systémům, se už nepovažuje za dostatečnou ke zmírnění moderních sofistikovaných hrozeb. Nasazení moderní obrany k detekci a omezování hrozeb v reálném čase je nezbytné. Aplikace SAP na rozdíl od většiny ostatních úloh vyžadují před nasazením Microsoft Defender for Endpoint základní posouzení a ověření. Podnikoví správci zabezpečení by měli před nasazením Defenderu for Endpoint kontaktovat tým SAP Basis. Základní tým SAP by měl být vytrénovaný se základní úrovní znalostí o Defenderu for Endpoint.
Doporučené poznámky k operačnímu systému SAP
- 2248916 – které soubory a adresáře by měly být vyloučeny z antivirové kontroly produktů SAP BusinessObjects Business Intelligence Platform v Linuxu/Unixu? – SAP ONE Support Launchpad
- 1984459 – Které soubory a adresáře by se měly vyloučit z antivirové kontroly datových služeb SAP – SAP ONE Support Launchpad
- 2808515 – Instalace bezpečnostního softwaru na servery SAP spuštěné v Linuxu – SAP ONE Support Launchpad
- 1730930 – Používání antivirového softwaru na zařízení SAP HANA – SAP ONE Support Launchpad
- 1730997 – Nedoporuční verze antivirového softwaru – SAP ONE Support Launchpad
Aplikace SAP v Linuxu
- SAP podporuje jenom Suse, Redhat a Oracle Linux. Jiné distribuce se nepodporují pro aplikace SAP S4 ani NetWeaver.
- Důrazně doporučujeme Suse 15.x, Redhat 8.x nebo 9.x a Oracle Linux 8.x.
- Suse 12.x, Redhat 7.x a Oracle Linux 7.x jsou technicky podporované, ale nebyly důkladně testovány.
- Suse 11.x, Redhat 6.x a Oracle Linux 6.x nemusí být podporované a nebyly testovány.
- Suse a Redhat nabízejí distribuce přizpůsobené pro SAP. Tyto verze Suse a Redhat pro SAP můžou mít předinstalované různé balíčky a možná i jiná jádra.
- SAP podporuje pouze určité systémy souborů Linux. Obecně se používají XFS a EXT3. Systém souborů Oracle Automatic Storage Management (ASM) se někdy používá pro Oracle DBMS a defender for Endpoint ho nemůže číst.
- Některé aplikace SAP používají "samostatné moduly", například TREX, Adobe Document Server, Content Server a LiveCache. Tyto moduly vyžadují specifickou konfiguraci a vyloučení souborů.
- Aplikace SAP často mají adresáře transportu a rozhraní s mnoha tisíci malých souborů. Pokud je počet souborů větší než 100 000, může to mít vliv na výkon. Doporučujeme soubory archivovat.
- Před nasazením do produkčního prostředí důrazně doporučujeme nasadit Defender for Endpoint na několik týdnů do neproduktivních prostředí SAP. Tým SAP Basis by měl použít nástroje, jako
sysstat
jsou ,KSAR
anmon
k ověření, jestli jsou ovlivněné procesory a další parametry výkonu.
Požadavky pro nasazení Microsoft Defender for Endpoint v Linuxu na virtuálních počítačích SAP
- Microsoft Defender for Endpoint verze>= 101.23082.0009 | Musí být nasazená verze 30.123082.0009 nebo novější.
- Microsoft Defender for Endpoint v Linuxu podporuje všechny verze Linuxu používané aplikacemi SAP.
- Microsoft Defender for Endpoint v Linuxu vyžaduje připojení ke konkrétním internetovým koncovým bodům z virtuálních počítačů kvůli aktualizaci definic antivirového softwaru.
- Microsoft Defender for Endpoint v Linuxu vyžaduje některé položky crontab (nebo jiného plánovače úloh) pro plánování kontrol, obměny protokolů a Microsoft Defender for Endpoint aktualizací. Tyto položky obvykle spravují týmy podnikového zabezpečení. Další informace najdete v tématu Naplánování aktualizace Microsoft Defender for Endpoint (Linux).
Výchozí možností konfigurace nasazení jako rozšíření Azure for AntiVirus (AV) je pasivní režim. To znamená, že Microsoft Defender Antivirus, součást AV Microsoft Defender for Endpoint, nezachytává vstupně-výstupní volání. Doporučujeme spustit Microsoft Defender for Endpoint v pasivním režimu na všech aplikacích SAP a naplánovat kontrolu jednou denně. V tomto režimu:
- Ochrana v reálném čase je vypnutá: Microsoft Defender Antivirus nenapravuje hrozby.
- Kontrola na vyžádání je zapnutá: Stále používejte možnosti kontroly v koncovém bodu.
- Automatická náprava hrozeb je vypnutá: Nepřesouvají se žádné soubory a očekává se, že správce zabezpečení provede požadovanou akci.
- Aktualizace bezpečnostních informací jsou zapnuté: Výstrahy jsou k dispozici v tenantovi správce zabezpečení.
Online nástroje pro opravy jádra, jako je Ksplice nebo podobné, můžou vést k nepředvídatelné stabilitě operačního systému, pokud je spuštěný Defender for Endpoint. Před provedením online oprav jádra doporučujeme dočasně zastavit démona Defenderu for Endpoint. Po aktualizaci jádra je možné Defender for Endpoint v Linuxu bezpečně restartovat. To je obzvláště důležité u velkých virtuálních počítačů SAP HANA s obrovskými kontexty paměti.
Linux crontab se obvykle používá k plánování Microsoft Defender for Endpoint úloh kontroly av a obměny protokolů: Jak naplánovat kontroly s Microsoft Defender for Endpoint (Linux)
Funkce detekce a odezvy koncových bodů (EDR) je aktivní při každé instalaci Microsoft Defender for Endpoint v Linuxu. Neexistuje jednoduchý způsob, jak zakázat funkce EDR prostřednictvím příkazového řádku nebo konfigurace. Další informace o řešení potíží s EDR najdete v částech Užitečné příkazy a užitečné odkazy.
Důležitá nastavení konfigurace pro Microsoft Defender for Endpoint v SAP v Linuxu
Doporučujeme zkontrolovat instalaci a konfiguraci Defenderu for Endpoint pomocí příkazu mdatp health
.
Klíčové parametry doporučené pro aplikace SAP:
healthy = true
-
release_ring = Production
. Předběžné verze a okruhy insider by se neměly používat s aplikacemi SAP. -
real_time_protection_enabled = false
. Ochrana v reálném čase je vypnutá v pasivním režimu, což je výchozí režim a zabraňuje zachycování vstupně-výstupních operací v reálném čase. automatic_definition_update_enabled = true
-
definition_status = "up_to_date"
. Pokud je identifikována nová hodnota, spusťte ruční aktualizaci. -
edr_early_preview_enabled = "disabled"
. Pokud je v systémech SAP povolená, může to vést k nestabilitě systému. -
conflicting_applications = [ ]
. Jiný AV nebo bezpečnostní software nainstalovaný na virtuálním počítači, jako je Clam. -
supplementary_events_subsystem = "ebpf"
. Pokud se nezobrazí ebpf, nepokračujte. Obraťte se na tým správce zabezpečení.
Tento článek obsahuje užitečné rady k řešení potíží s instalací pro Microsoft Defender for Endpoint: Řešení potíží s instalací pro Microsoft Defender for Endpoint v Linuxu
Doporučené Microsoft Defender for Endpoint vyloučení antivirové ochrany pro SAP v Linuxu
Tým zabezpečení podniku musí získat úplný seznam antivirových vyloučení od správců SAP (obvykle od týmu SAP Basis). Doporučujeme nejprve vyloučit:
- Datové soubory DBMS, soubory protokolů a dočasné soubory, včetně disků obsahujících záložní soubory
- Celý obsah adresáře SAPMNT
- Celý obsah adresáře SAPLOC
- Celý obsah adresáře TRANS
- Celý obsah adresářů pro samostatné moduly, jako je TREX
- Hana – vyloučení /hana/shared, /hana/data a /hana/log – viz poznámka 1730930
- SQL Server – Konfigurace antivirového softwaru pro práci s SQL Server – SQL Server
- Oracle – Viz Jak nakonfigurovat antivirový program na databázovém serveru Oracle (ID 782354.1)
- DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
- SAP ASE – kontaktujte SAP
- MaxDB – kontaktujte SAP
Systémy Oracle ASM nepotřebují vyloučení, protože Microsoft Defender for Endpoint neumí číst disky ASM.
Zákazníci s clustery Pacemaker by také měli nakonfigurovat tato vyloučení:
mdatp exclusion folder add --path /usr/lib/pacemaker/ (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*
Zákazníci, kteří používají zásady zabezpečení Azure, můžou aktivovat kontrolu pomocí řešení Freeware Clam AV. Poté, co je virtuální počítač chráněný pomocí Microsoft Defender for Endpoint pomocí následujících příkazů, doporučujeme zakázat kontrolu Clam AV:
sudo azsecd config -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status
Následující články podrobně popisují, jak nakonfigurovat vyloučení av pro procesy, soubory a složky na jednotlivých virtuálních počítačích:
- Nastavení vyloučení pro kontroly Microsoft Defender Antivirové ochrany
- Běžné chyby, kterým je třeba se vyhnout při definování vyloučení
Plánování denní kontroly AV
Doporučená konfigurace pro aplikace SAP zakazuje zachytávání vstupně-výstupních volání pro kontrolu AV v reálném čase. Doporučené nastavení je pasivní režim, ve kterém real_time_protection_enabled = false.
Následující odkaz podrobně popisuje, jak naplánovat kontrolu: Jak naplánovat kontroly pomocí Microsoft Defender for Endpoint (Linux).
Velké systémy SAP mohou mít více než 20 aplikačních serverů SAP s připojením ke sdílené složce SAPMNT NFS. Dvacet nebo více aplikačních serverů současně kontrolujících stejný server NFS pravděpodobně přetíží server NFS. Defender for Endpoint v Linuxu ve výchozím nastavení neskenuje zdroje NFS.
Pokud existuje požadavek na kontrolu SAPMNT, měla by se tato kontrola nakonfigurovat jenom na jednom nebo dvou virtuálních počítačích.
Naplánované kontroly pro SAP ECC, BW, CRM, SCM, Solution Manager a další komponenty by měly být rozložené v různých časech, aby všechny komponenty SAP nepřetěžovaly sdílený zdroj úložiště NFS sdílený všemi komponentami SAP.
Užitečné příkazy
Pokud během ruční instalace zypperu na Suse dojde k chybě "Nothing provides 'policycoreutils'", projděte si: Řešení potíží s instalací pro Microsoft Defender for Endpoint v Linuxu.
Existuje několik příkazů příkazového řádku, které můžou řídit provoz mdatp. Pokud chcete povolit pasivní režim, můžete použít následující příkaz:
mdatp config passive-mode --value enabled
Poznámka
Pasivní režim je výchozím režimem při instalaci defenderu pro koncový bod v Linuxu.
Pokud chcete vypnout ochranu v reálném čase, můžete použít příkaz :
mdatp config real-time-protection --value disabled
Tento příkaz informuje mdatp, aby načetl nejnovější definice z cloudu:
mdatp definitions update
Tento příkaz otestuje, jestli se mdatp může připojit ke cloudovým koncovým bodům přes síť:
mdatp connectivity test
V případě potřeby aktualizují software mdatp tyto příkazy:
yum update mdatp
zypper update mdatp
Vzhledem k tomu, že mdatp běží jako systémová služba linuxu, můžete mdatp řídit pomocí příkazu služby, například:
service mdatp status
Tento příkaz vytvoří diagnostický soubor, který je možné nahrát do podpory Microsoftu:
sudo mdatp diagnostic create
Užitečné odkazy
Microsoft Endpoint Manager v současnosti nepodporuje Linux.
Microsoft Tech Community: Nasazení Microsoft Defender for Endpoint na servery s Linuxem
Řešení potíží s připojením ke cloudu pro Microsoft Defender for Endpoint v Linuxu
Řešení potíží s výkonem Microsoft Defender for Endpoint v Linuxu