Installationsvejledning til Microsoft Defender for Endpoint på Linux til SAP

Artikel
05/17/2024

Gælder for:

Microsoft Defender for Endpoint Plan 2

Denne artikel indeholder installationsvejledning til Microsoft Defender for Endpoint på Linux til SAP. Denne artikel indeholder anbefalede noter til SAP OSS (Online Services System), systemkrav, forudsætninger, vigtige konfigurationsindstillinger, anbefalede antivirusudeladelser og vejledning i planlægning af antivirusscanninger.

Konventionelle sikkerhedsforsvar, der ofte er blevet brugt til at beskytte SAP-systemer, f.eks. isolering af infrastruktur bag firewalls og begrænsning af logon på interaktive operativsystemer, anses ikke længere for at være tilstrækkelige til at afhjælpe moderne avancerede trusler. Det er vigtigt at udrulle moderne forsvar for at registrere og indeholde trusler i realtid. SAP-programmer kræver i modsætning til de fleste andre arbejdsbelastninger grundlæggende vurdering og validering, før du udruller Microsoft Defender for Endpoint. Virksomhedssikkerhedsadministratorer skal kontakte SAP Basis-teamet, før de udruller Defender for Endpoint. SAP-basisteamet skal på tværs oplæres med et grundlæggende vidensniveau om Defender for Endpoint.

Anbefalede SAP OSS-noter

SAP-programmer på Linux

SAP understøtter kun Suse, Redhat og Oracle Linux. Andre distributioner understøttes ikke for SAP S4- eller NetWeaver-programmer.
Suse 15.x, Redhat 8.x eller 9.x og Oracle Linux 8.x anbefales kraftigt.
Suse 12.x, Redhat 7.x og Oracle Linux 7.x understøttes teknisk, men blev ikke grundigt testet.
Suse 11.x, Redhat 6.x og Oracle Linux 6.x understøttes muligvis ikke og blev ikke testet.
Suse og Redhat tilbyder skræddersyede distributioner til SAP. Disse "til SAP"-versioner af Suse og Redhat kan have forskellige pakker forudinstalleret og muligvis forskellige kerner.
SAP understøtter kun visse Linux-filsystemer. Generelt bruges XFS og EXT3. ASM-filsystemet (Oracle Automatic Storage Management) bruges nogle gange til Oracle DBMS og kan ikke læses af Defender for Endpoint.
Nogle SAP-programmer bruger "separate programmer", f.eks. TREX, Adobe Document Server, Content Server og LiveCache. Disse motorer kræver specifik konfiguration og filudeladelser.
SAP-programmer har ofte transport- og grænseflademapper med mange tusinde små filer. Hvis antallet af filer er større end 100.000, kan det påvirke ydeevnen. Det anbefales at arkivere filer.
Det anbefales på det kraftigste at udrulle Defender for Endpoint til ikke-produktive SAP-landskaber i flere uger, før du udruller til produktion. SAP Basis Team skal bruge værktøjer som f.eks. sysstat, KSAR og nmon til at kontrollere, om CPU og andre ydeevneparametre påvirkes.

Forudsætninger for installation af Microsoft Defender for Endpoint på Linux på SAP VM'er

Microsoft Defender for Endpoint version>= 101.23082.0009 | Version: 30.123082.0009 eller nyere skal installeres.
Microsoft Defender for Endpoint på Linux understøtter alle de Linux-versioner, der bruges af SAP-programmer.
Microsoft Defender for Endpoint på Linux kræver forbindelse til bestemte internetslutpunkter fra VM'er for at opdatere antivirusdefinitioner.
Microsoft Defender for Endpoint på Linux kræver nogle crontab-poster (eller andre opgavestyringsposter) til planlægning af scanninger, logrotation og Microsoft Defender for Endpoint opdateringer. Enterprise Security-teams administrerer normalt disse poster. Se Sådan planlægger du en opdatering af Microsoft Defender for Endpoint (Linux).

Standardkonfigurationsindstillingen for udrulning som en Azure-udvidelse til AntiVirus (AV) vil være Passiv tilstand. Det betyder, at AV-komponenten i Microsoft Defender for Endpoint ikke opfanger IO-kald. Det anbefales at køre Microsoft Defender for Endpoint i passiv tilstand på alle SAP-programmer og planlægge en scanning én gang om dagen. I denne tilstand:

Beskyttelse i realtid er slået fra: Trusler afhjælpes ikke af Microsoft Defender Antivirus.
Scanning efter behov er slået til: Brug stadig scanningsfunktionerne på slutpunktet.
Automatisk afhjælpning af trusler er slået fra: Ingen filer flyttes, og sikkerhedsadministratoren forventes at udføre de nødvendige handlinger.
Opdateringer til sikkerhedsintelligens er slået til: Beskeder er tilgængelige i sikkerhedsadministratorens lejer.

Linux-crontab bruges typisk til at planlægge Microsoft Defender for Endpoint AV-scannings- og logrotationsopgaver: Sådan planlægges scanninger med Microsoft Defender for Endpoint (Linux)

EDR-funktionaliteten (Endpoint Detection and Response) er aktiv, når Microsoft Defender for Endpoint på Linux installeres. Der er ingen nem måde at deaktivere EDR-funktionalitet på via kommandolinjen eller konfigurationen. Du kan få flere oplysninger om fejlfinding af EDR i afsnittene Nyttige kommandoer og nyttige links.

Vigtige konfigurationsindstillinger for Microsoft Defender for Endpoint på SAP på Linux

Det anbefales at kontrollere installationen og konfigurationen af Defender for Endpoint med kommandoen mdatp-tilstand.

De vigtigste parametre, der anbefales til SAP-programmer, er:

sund = sand
release_ring = Produktion. Prerelease- og insiderringe bør ikke bruges sammen med SAP-programmer.
real_time_protection_enabled = falsk. Beskyttelse i realtid er slået fra i passiv tilstand, hvilket er standardtilstanden og forhindrer IO-opfangelse i realtid.
automatic_definition_update_enabled = sand
definition_status = "up_to_date". Kør en manuel opdatering, hvis der identificeres en ny værdi.
edr_early_preview_enabled = "disabled". Hvis den er aktiveret på SAP-systemer, kan det medføre ustabile systemer.
conflicting_applications = [ ]. Anden AV- eller sikkerhedssoftware, der er installeret på en VM, f.eks. Clam.
supplementary_events_subsystem = "ebpf". Fortsæt ikke, hvis ebpf ikke vises. Kontakt sikkerhedsadministratorteamet.

Denne artikel indeholder nogle nyttige tip til fejlfinding af installationsproblemer for Microsoft Defender for Endpoint: Foretag fejlfinding af installationsproblemer i forbindelse med Microsoft Defender for Endpoint på Linux

Anbefalede Microsoft Defender for Endpoint antivirusudeladelser til SAP på Linux

Virksomhedssikkerhedsteamet skal have en komplet liste over antivirusudeladelser fra SAP-administratorer (typisk SAP Basis Team). Det anbefales, at du fra starten udelukker:

DBMS-datafiler, logfiler og midlertidige filer, herunder diske, der indeholder sikkerhedskopifiler
Hele indholdet af SAPMNT-mappen
Hele indholdet af SAPLOC-mappen
Hele indholdet af TRANS-mappen
Hele indholdet af mapper for separate motorer såsom TREX
Hana – udelad /hana/shared, /hana/data og /hana/log – se Note 1730930
SQL Server – konfigurer antivirussoftware til at fungere sammen med SQL Server – SQL Server
Oracle – se Sådan konfigurerer du antivirus på Oracle-databaseserver (doc-id 782354.1)
DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
SAP ASE – kontakt SAP
MaxDB – kontakt SAP

Oracle ASM-systemer behøver ikke undtagelser, da Microsoft Defender for Endpoint ikke kan læse ASM-diske.

Kunder med Pacemaker-klynger skal også konfigurere disse undtagelser:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Kunder, der kører Azure Security-sikkerhedspolitik, kan udløse en scanning ved hjælp af Freeware Clam AV-løsningen. Det anbefales at deaktivere Clam AV-scanning, når en VM er beskyttet med Microsoft Defender for Endpoint ved hjælp af følgende kommandoer:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status

I følgende artikler beskrives det, hvordan du konfigurerer AV-udeladelser for processer, filer og mapper pr. individuel VM:

Planlægning af en daglig AV-scanning

Den anbefalede konfiguration for SAP-programmer deaktiverer opfangelse i realtid af IO-kald til AV-scanning. Den anbefalede indstilling er passiv tilstand, hvor real_time_protection_enabled = falsk.

Følgende link indeholder oplysninger om, hvordan du planlægger en scanning: Sådan planlægges scanninger med Microsoft Defender for Endpoint (Linux).

Store SAP-systemer kan have mere end 20 SAP-programservere, der hver har en forbindelse til SAPMNT NFS-sharet. Tyve eller flere programservere, der scanner den samme NFS-server samtidig, overbelaster sandsynligvis NFS-serveren. Som standard scanner Defender for Endpoint på Linux ikke NFS-kilder.

Hvis der er et krav om at scanne SAPMNT, skal denne scanning kun konfigureres på en eller to VM'er.

Planlagte scanninger for SAP ECC, BW, CRM, SCM, Solution Manager og andre komponenter skal forskudes på forskellige tidspunkter for at undgå, at alle SAP-komponenter overbelaster en delt NFS-lagerkilde, der deles af alle SAP-komponenter.

Nyttige kommandoer

Hvis der under den manuelle zypperinstallation på Suse opstår en fejl "Intet indeholder "policycoreutils", skal du se: Foretag fejlfinding af installationsproblemer for Microsoft Defender for Endpoint på Linux.

Der er flere kommandolinjekommandoer, der kan styre mdatp-handlingen. Hvis du vil aktivere passiv tilstand, kan du bruge følgende kommando:

mdatp config passive-mode --value enabled

Bemærk!

passiv tilstand er standardtilstanden for installation af defender for slutpunkt på Linux.

Hvis du vil slå beskyttelse i realtid fra, kan du bruge kommandoen :

mdatp config real-time-protection --value disabled

Denne kommando beder mdatp om at hente de nyeste definitioner fra cloudmiljøet:

mdatp definitions update

Denne kommando tester, om mdatp kan oprette forbindelse til de cloudbaserede slutpunkter via netværket:

mdatp connectivity test

Disse kommandoer opdaterer mdatp-softwaren, hvis det er nødvendigt:

yum update mdatp

zypper update mdatp

Da mdatp kører som en Linux-systemtjeneste, kan du styre mdatp ved hjælp af tjenestekommandoen, f.eks.:

service mdatp status

Denne kommando opretter en diagnosticeringsfil, der kan uploades til Microsoft Support:

sudo mdatp diagnostic create

Del via