Pokyny k nasazení pro Microsoft Defender for Endpoint v Linuxu pro SAP

Platí pro:

Tento článek obsahuje pokyny k nasazení pro Microsoft Defender for Endpoint v Linuxu pro SAP. Tento článek obsahuje doporučené poznámky k systému SAP OSS (Online Services System), požadavky na systém, požadavky, důležitá nastavení konfigurace, doporučená vyloučení antivirového softwaru a pokyny k plánování antivirových kontrol.

Konvenční bezpečnostní obrana, která se běžně používá k ochraně systémů SAP, jako je izolace infrastruktury za branami firewall a omezení interaktivních přihlášení k operačním systémům, se už nepovažuje za dostatečnou ke zmírnění moderních sofistikovaných hrozeb. Nasazení moderní obrany k detekci a omezování hrozeb v reálném čase je nezbytné. Aplikace SAP na rozdíl od většiny ostatních úloh vyžadují před nasazením Microsoft Defender for Endpoint základní posouzení a ověření. Podnikoví správci zabezpečení by měli před nasazením Defenderu for Endpoint kontaktovat tým SAP Basis. Základní tým SAP by měl být vytrénovaný se základní úrovní znalostí o Defenderu for Endpoint.

Aplikace SAP v Linuxu

  • SAP podporuje jenom Suse, Redhat a Oracle Linux. Jiné distribuce se nepodporují pro aplikace SAP S4 ani NetWeaver.
  • Důrazně doporučujeme Suse 15.x, Redhat 8.x nebo 9.x a Oracle Linux 8.x.
  • Suse 12.x, Redhat 7.x a Oracle Linux 7.x jsou technicky podporované, ale nebyly důkladně testovány.
  • Suse 11.x, Redhat 6.x a Oracle Linux 6.x nemusí být podporované a nebyly testovány.
  • Suse a Redhat nabízejí distribuce přizpůsobené pro SAP. Tyto verze Suse a Redhat pro SAP můžou mít předinstalované různé balíčky a možná i jiná jádra.
  • SAP podporuje pouze určité systémy souborů Linux. Obecně se používají XFS a EXT3. Systém souborů Oracle Automatic Storage Management (ASM) se někdy používá pro Oracle DBMS a defender for Endpoint ho nemůže číst.
  • Některé aplikace SAP používají "samostatné moduly", například TREX, Adobe Document Server, Content Server a LiveCache. Tyto moduly vyžadují specifickou konfiguraci a vyloučení souborů.
  • Aplikace SAP často mají adresáře transportu a rozhraní s mnoha tisíci malých souborů. Pokud je počet souborů větší než 100 000, může to mít vliv na výkon. Doporučujeme soubory archivovat.
  • Před nasazením do produkčního prostředí důrazně doporučujeme nasadit Defender for Endpoint na několik týdnů do neproduktivních prostředí SAP. Tým SAP Basis by měl používat nástroje, jako jsou sysstat, KSAR a nmon, k ověření, jestli jsou ovlivněné procesory a další parametry výkonu.

Požadavky pro nasazení Microsoft Defender for Endpoint v Linuxu na virtuálních počítačích SAP

  • Microsoft Defender for Endpoint verze>= 101.23082.0009 | Musí být nasazená verze 30.123082.0009 nebo novější.
  • Microsoft Defender for Endpoint v Linuxu podporuje všechny verze Linuxu používané aplikacemi SAP.
  • Microsoft Defender for Endpoint v Linuxu vyžaduje připojení ke konkrétním internetovým koncovým bodům z virtuálních počítačů kvůli aktualizaci definic antivirového softwaru.
  • Microsoft Defender for Endpoint v Linuxu vyžaduje některé položky crontab (nebo jiného plánovače úloh) pro plánování kontrol, obměny protokolů a Microsoft Defender for Endpoint aktualizací. Tyto položky obvykle spravují týmy podnikového zabezpečení. Další informace najdete v tématu Naplánování aktualizace Microsoft Defender for Endpoint (Linux).

Výchozí možností konfigurace pro nasazení jako rozšíření Azure for AntiVirus (AV) bude pasivní režim. To znamená, že komponenta AV Microsoft Defender for Endpoint nebude zachytávat vstupně-výstupní volání. Doporučujeme spustit Microsoft Defender for Endpoint v pasivním režimu na všech aplikacích SAP a naplánovat kontrolu jednou denně. V tomto režimu:

  • Ochrana v reálném čase je vypnutá: Microsoft Defender Antivirus nenapravuje hrozby.
  • Kontrola na vyžádání je zapnutá: Stále používejte možnosti kontroly v koncovém bodu.
  • Automatická náprava hrozeb je vypnutá: Nepřesouvají se žádné soubory a očekává se, že správce zabezpečení provede požadovanou akci.
  • Aktualizace bezpečnostních informací jsou zapnuté: Výstrahy jsou k dispozici v tenantovi správce zabezpečení.

Linux crontab se obvykle používá k plánování Microsoft Defender for Endpoint úloh kontroly av a obměny protokolů: Jak naplánovat kontroly s Microsoft Defender for Endpoint (Linux)

Funkce detekce a odezvy koncových bodů (EDR) je aktivní při každé instalaci Microsoft Defender for Endpoint v Linuxu. Neexistuje jednoduchý způsob, jak zakázat funkce EDR prostřednictvím příkazového řádku nebo konfigurace. Další informace o řešení potíží s EDR najdete v částech Užitečné příkazy a užitečné odkazy.

Důležitá nastavení konfigurace pro Microsoft Defender for Endpoint v SAP v Linuxu

Doporučujeme zkontrolovat instalaci a konfiguraci Defenderu for Endpoint pomocí příkazu mdatp health.

Klíčové parametry doporučené pro aplikace SAP:

  • v pořádku = true
  • release_ring = Produkční. Předběžné verze a okruhy insider by se neměly používat s aplikacemi SAP.
  • real_time_protection_enabled = false. Ochrana v reálném čase je vypnutá v pasivním režimu, což je výchozí režim a zabraňuje zachycování vstupně-výstupních operací v reálném čase.
  • automatic_definition_update_enabled = true
  • definition_status = "up_to_date". Pokud je identifikována nová hodnota, spusťte ruční aktualizaci.
  • edr_early_preview_enabled = "zakázáno". Pokud je v systémech SAP povolená, může to vést k nestabilitě systému.
  • conflicting_applications = [ ]. Jiný AV nebo bezpečnostní software nainstalovaný na virtuálním počítači, jako je Clam.
  • supplementary_events_subsystem = "ebpf". Pokud se nezobrazí ebpf, nepokračujte. Obraťte se na tým správce zabezpečení.

Tento článek obsahuje užitečné rady k řešení potíží s instalací pro Microsoft Defender for Endpoint: Řešení potíží s instalací pro Microsoft Defender for Endpoint v Linuxu

Tým zabezpečení podniku musí získat úplný seznam antivirových vyloučení od správců SAP (obvykle od týmu SAP Basis). Doporučujeme nejprve vyloučit:

Systémy Oracle ASM nepotřebují vyloučení, protože Microsoft Defender for Endpoint neumí číst disky ASM.

Zákazníci s clustery Pacemaker by také měli nakonfigurovat tato vyloučení:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*

Zákazníci, kteří používají zásady zabezpečení Azure, můžou aktivovat kontrolu pomocí řešení Freeware Clam AV. Poté, co je virtuální počítač chráněný pomocí Microsoft Defender for Endpoint pomocí následujících příkazů, doporučujeme zakázat kontrolu Clam AV:

sudo azsecd config  -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status 

Následující články podrobně popisují, jak nakonfigurovat vyloučení av pro procesy, soubory a složky na jednotlivých virtuálních počítačích:

Plánování denní kontroly AV

Doporučená konfigurace pro aplikace SAP zakazuje zachytávání vstupně-výstupních volání pro kontrolu AV v reálném čase. Doporučené nastavení je pasivní režim, ve kterém real_time_protection_enabled = false.

Následující odkaz podrobně popisuje, jak naplánovat kontrolu: Jak naplánovat kontroly pomocí Microsoft Defender for Endpoint (Linux).

Velké systémy SAP mohou mít více než 20 aplikačních serverů SAP s připojením ke sdílené složce SAPMNT NFS. Dvacet nebo více aplikačních serverů současně kontrolujících stejný server NFS pravděpodobně přetíží server NFS. Defender for Endpoint v Linuxu ve výchozím nastavení neskenuje zdroje NFS.

Pokud existuje požadavek na kontrolu SAPMNT, měla by se tato kontrola nakonfigurovat jenom na jednom nebo dvou virtuálních počítačích.

Naplánované kontroly pro SAP ECC, BW, CRM, SCM, Solution Manager a další komponenty by měly být rozložené v různých časech, aby všechny komponenty SAP nepřetěžovaly sdílený zdroj úložiště NFS sdílený všemi komponentami SAP.

Užitečné příkazy

Pokud během ruční instalace zypperu na Suse dojde k chybě "Nothing provides 'policycoreutils'", projděte si: Řešení potíží s instalací pro Microsoft Defender for Endpoint v Linuxu.

Existuje několik příkazů příkazového řádku, které můžou řídit provoz mdatp. Pokud chcete povolit pasivní režim, můžete použít následující příkaz:

mdatp config passive-mode --value enabled

Poznámka

Pasivní režim je výchozím režimem při instalaci defenderu pro koncový bod v Linuxu.

Pokud chcete vypnout ochranu v reálném čase, můžete použít příkaz :

mdatp config real-time-protection --value disabled

Tento příkaz informuje mdatp, aby načetl nejnovější definice z cloudu:

mdatp definitions update 

Tento příkaz otestuje, jestli se mdatp může připojit ke cloudovým koncovým bodům přes síť:

mdatp connectivity test

V případě potřeby aktualizují software mdatp tyto příkazy:

yum update mdatp
zypper update mdatp

Vzhledem k tomu, že mdatp běží jako systémová služba linuxu, můžete mdatp řídit pomocí příkazu služby, například:

service mdatp status 

Tento příkaz vytvoří diagnostický soubor, který je možné nahrát do podpory Microsoftu:

sudo mdatp diagnostic create