Installationsvejledning til Microsoft Defender for Endpoint på Linux til SAP
Gælder for:
Denne artikel indeholder installationsvejledning til Microsoft Defender for Endpoint på Linux til SAP. Denne artikel indeholder anbefalede noter til SAP OSS (Online Services System), systemkrav, forudsætninger, vigtige konfigurationsindstillinger, anbefalede antivirusudeladelser og vejledning i planlægning af antivirusscanninger.
Konventionelle sikkerhedsforsvar, der ofte er blevet brugt til at beskytte SAP-systemer, f.eks. isolering af infrastruktur bag firewalls og begrænsning af logon på interaktive operativsystemer, anses ikke længere for at være tilstrækkelige til at afhjælpe moderne avancerede trusler. Det er vigtigt at udrulle moderne forsvar for at registrere og indeholde trusler i realtid. SAP-programmer kræver i modsætning til de fleste andre arbejdsbelastninger grundlæggende vurdering og validering, før du udruller Microsoft Defender for Endpoint. Virksomhedssikkerhedsadministratorer skal kontakte SAP Basis-teamet, før de udruller Defender for Endpoint. SAP-basisteamet skal på tværs oplæres med et grundlæggende vidensniveau om Defender for Endpoint.
Anbefalede SAP OSS-noter
- 2248916 – Hvilke filer og mapper skal udelukkes fra en antivirusscanning for SAP BusinessObjects Business Intelligence Platform-produkter i Linux/Unix? - SAP ONE Support Launchpad
- 1984459 – Hvilke filer og mapper der skal udelades fra en antivirusscanning for SAP Data Services – SAP ONE Support Launchpad
- 2808515 – Installation af sikkerhedssoftware på SAP-servere, der kører på Linux – SAP ONE Support Launchpad
- 1730930 – Brug af antivirussoftware i en SAP HANA-apparat – SAP ONE Support Launchpad
- 1730997 – Ikke-anbefalede versioner af antivirussoftware – SAP ONE Support Launchpad
SAP-programmer på Linux
- SAP understøtter kun Suse, Redhat og Oracle Linux. Andre distributioner understøttes ikke for SAP S4- eller NetWeaver-programmer.
- Suse 15.x, Redhat 8.x eller 9.x og Oracle Linux 8.x anbefales kraftigt.
- Suse 12.x, Redhat 7.x og Oracle Linux 7.x understøttes teknisk, men blev ikke grundigt testet.
- Suse 11.x, Redhat 6.x og Oracle Linux 6.x understøttes muligvis ikke og blev ikke testet.
- Suse og Redhat tilbyder skræddersyede distributioner til SAP. Disse "til SAP"-versioner af Suse og Redhat kan have forskellige pakker forudinstalleret og muligvis forskellige kerner.
- SAP understøtter kun visse Linux-filsystemer. Generelt bruges XFS og EXT3. ASM-filsystemet (Oracle Automatic Storage Management) bruges nogle gange til Oracle DBMS og kan ikke læses af Defender for Endpoint.
- Nogle SAP-programmer bruger "separate programmer", f.eks. TREX, Adobe Document Server, Content Server og LiveCache. Disse motorer kræver specifik konfiguration og filudeladelser.
- SAP-programmer har ofte transport- og grænseflademapper med mange tusinde små filer. Hvis antallet af filer er større end 100.000, kan det påvirke ydeevnen. Det anbefales at arkivere filer.
- Det anbefales på det kraftigste at udrulle Defender for Endpoint til ikke-produktive SAP-landskaber i flere uger, før du udruller til produktion. SAP Basis Team skal bruge værktøjer som f.eks. sysstat, KSAR og nmon til at kontrollere, om CPU og andre ydeevneparametre påvirkes.
Forudsætninger for installation af Microsoft Defender for Endpoint på Linux på SAP VM'er
- Microsoft Defender for Endpoint version>= 101.23082.0009 | Version: 30.123082.0009 eller nyere skal installeres.
- Microsoft Defender for Endpoint på Linux understøtter alle de Linux-versioner, der bruges af SAP-programmer.
- Microsoft Defender for Endpoint på Linux kræver forbindelse til bestemte internetslutpunkter fra VM'er for at opdatere antivirusdefinitioner.
- Microsoft Defender for Endpoint på Linux kræver nogle crontab-poster (eller andre opgavestyringsposter) til planlægning af scanninger, logrotation og Microsoft Defender for Endpoint opdateringer. Enterprise Security-teams administrerer normalt disse poster. Se Sådan planlægger du en opdatering af Microsoft Defender for Endpoint (Linux).
Standardkonfigurationsindstillingen for udrulning som en Azure-udvidelse til AntiVirus (AV) vil være Passiv tilstand. Det betyder, at AV-komponenten i Microsoft Defender for Endpoint ikke opfanger IO-kald. Det anbefales at køre Microsoft Defender for Endpoint i passiv tilstand på alle SAP-programmer og planlægge en scanning én gang om dagen. I denne tilstand:
- Beskyttelse i realtid er slået fra: Trusler afhjælpes ikke af Microsoft Defender Antivirus.
- Scanning efter behov er slået til: Brug stadig scanningsfunktionerne på slutpunktet.
- Automatisk afhjælpning af trusler er slået fra: Ingen filer flyttes, og sikkerhedsadministratoren forventes at udføre de nødvendige handlinger.
- Opdateringer til sikkerhedsintelligens er slået til: Beskeder er tilgængelige i sikkerhedsadministratorens lejer.
Linux-crontab bruges typisk til at planlægge Microsoft Defender for Endpoint AV-scannings- og logrotationsopgaver: Sådan planlægges scanninger med Microsoft Defender for Endpoint (Linux)
EDR-funktionaliteten (Endpoint Detection and Response) er aktiv, når Microsoft Defender for Endpoint på Linux installeres. Der er ingen nem måde at deaktivere EDR-funktionalitet på via kommandolinjen eller konfigurationen. Du kan få flere oplysninger om fejlfinding af EDR i afsnittene Nyttige kommandoer og nyttige links.
Vigtige konfigurationsindstillinger for Microsoft Defender for Endpoint på SAP på Linux
Det anbefales at kontrollere installationen og konfigurationen af Defender for Endpoint med kommandoen mdatp-tilstand.
De vigtigste parametre, der anbefales til SAP-programmer, er:
- sund = sand
- release_ring = Produktion. Prerelease- og insiderringe bør ikke bruges sammen med SAP-programmer.
- real_time_protection_enabled = falsk. Beskyttelse i realtid er slået fra i passiv tilstand, hvilket er standardtilstanden og forhindrer IO-opfangelse i realtid.
- automatic_definition_update_enabled = sand
- definition_status = "up_to_date". Kør en manuel opdatering, hvis der identificeres en ny værdi.
- edr_early_preview_enabled = "disabled". Hvis den er aktiveret på SAP-systemer, kan det medføre ustabile systemer.
- conflicting_applications = [ ]. Anden AV- eller sikkerhedssoftware, der er installeret på en VM, f.eks. Clam.
- supplementary_events_subsystem = "ebpf". Fortsæt ikke, hvis ebpf ikke vises. Kontakt sikkerhedsadministratorteamet.
Denne artikel indeholder nogle nyttige tip til fejlfinding af installationsproblemer for Microsoft Defender for Endpoint: Foretag fejlfinding af installationsproblemer i forbindelse med Microsoft Defender for Endpoint på Linux
Anbefalede Microsoft Defender for Endpoint antivirusudeladelser til SAP på Linux
Virksomhedssikkerhedsteamet skal have en komplet liste over antivirusudeladelser fra SAP-administratorer (typisk SAP Basis Team). Det anbefales, at du fra starten udelukker:
- DBMS-datafiler, logfiler og midlertidige filer, herunder diske, der indeholder sikkerhedskopifiler
- Hele indholdet af SAPMNT-mappen
- Hele indholdet af SAPLOC-mappen
- Hele indholdet af TRANS-mappen
- Hele indholdet af mapper for separate motorer såsom TREX
- Hana – udelad /hana/shared, /hana/data og /hana/log – se Note 1730930
- SQL Server – konfigurer antivirussoftware til at fungere sammen med SQL Server – SQL Server
- Oracle – se Sådan konfigurerer du antivirus på Oracle-databaseserver (doc-id 782354.1)
- DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
- SAP ASE – kontakt SAP
- MaxDB – kontakt SAP
Oracle ASM-systemer behøver ikke undtagelser, da Microsoft Defender for Endpoint ikke kan læse ASM-diske.
Kunder med Pacemaker-klynger skal også konfigurere disse undtagelser:
mdatp exclusion folder add --path /usr/lib/pacemaker/ (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*
Kunder, der kører Azure Security-sikkerhedspolitik, kan udløse en scanning ved hjælp af Freeware Clam AV-løsningen. Det anbefales at deaktivere Clam AV-scanning, når en VM er beskyttet med Microsoft Defender for Endpoint ved hjælp af følgende kommandoer:
sudo azsecd config -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status
I følgende artikler beskrives det, hvordan du konfigurerer AV-udeladelser for processer, filer og mapper pr. individuel VM:
- Konfigurer udeladelser for Microsoft Defender Antivirus-scanninger
- Almindelige fejl, der skal undgås, når du definerer udeladelser
Planlægning af en daglig AV-scanning
Den anbefalede konfiguration for SAP-programmer deaktiverer opfangelse i realtid af IO-kald til AV-scanning. Den anbefalede indstilling er passiv tilstand, hvor real_time_protection_enabled = falsk.
Følgende link indeholder oplysninger om, hvordan du planlægger en scanning: Sådan planlægges scanninger med Microsoft Defender for Endpoint (Linux).
Store SAP-systemer kan have mere end 20 SAP-programservere, der hver har en forbindelse til SAPMNT NFS-sharet. Tyve eller flere programservere, der scanner den samme NFS-server samtidig, overbelaster sandsynligvis NFS-serveren. Som standard scanner Defender for Endpoint på Linux ikke NFS-kilder.
Hvis der er et krav om at scanne SAPMNT, skal denne scanning kun konfigureres på en eller to VM'er.
Planlagte scanninger for SAP ECC, BW, CRM, SCM, Solution Manager og andre komponenter skal forskudes på forskellige tidspunkter for at undgå, at alle SAP-komponenter overbelaster en delt NFS-lagerkilde, der deles af alle SAP-komponenter.
Nyttige kommandoer
Hvis der under den manuelle zypperinstallation på Suse opstår en fejl "Intet indeholder "policycoreutils", skal du se: Foretag fejlfinding af installationsproblemer for Microsoft Defender for Endpoint på Linux.
Der er flere kommandolinjekommandoer, der kan styre mdatp-handlingen. Hvis du vil aktivere passiv tilstand, kan du bruge følgende kommando:
mdatp config passive-mode --value enabled
Bemærk!
passiv tilstand er standardtilstanden for installation af defender for slutpunkt på Linux.
Hvis du vil slå beskyttelse i realtid fra, kan du bruge kommandoen :
mdatp config real-time-protection --value disabled
Denne kommando beder mdatp om at hente de nyeste definitioner fra cloudmiljøet:
mdatp definitions update
Denne kommando tester, om mdatp kan oprette forbindelse til de cloudbaserede slutpunkter via netværket:
mdatp connectivity test
Disse kommandoer opdaterer mdatp-softwaren, hvis det er nødvendigt:
yum update mdatp
zypper update mdatp
Da mdatp kører som en Linux-systemtjeneste, kan du styre mdatp ved hjælp af tjenestekommandoen, f.eks.:
service mdatp status
Denne kommando opretter en diagnosticeringsfil, der kan uploades til Microsoft Support:
sudo mdatp diagnostic create
Nyttige links
Microsoft Endpoint Manager understøtter i øjeblikket ikke Linux
Microsoft Tech Community: Udrulning af Microsoft Defender for Endpoint på Linux-servere
Foretag fejlfinding af problemer med cloudforbindelsen for Microsoft Defender for Endpoint på Linux
Fejlfinding af problemer med ydeevnen for Microsoft Defender for Endpoint på Linux
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under:Indsend og få vist feedback om