Freigeben über


Bereitstellungsleitfaden für Microsoft Defender for Endpoint unter Linux für SAP

Dieser Artikel enthält Bereitstellungsanleitungen für Microsoft Defender for Endpoint unter Linux für SAP. Dieser Artikel enthält empfohlene SAP OSS-Hinweise (Online Services System), die Systemanforderungen, Voraussetzungen, wichtige Konfigurationseinstellungen, empfohlene Antivirenausschlüsse und Anleitungen zum Planen von Antivirenscans.

Herkömmliche Sicherheitsschutzmaßnahmen, die häufig zum Schutz von SAP-Systemen verwendet werden, z. B. das Isolieren der Infrastruktur hinter Firewalls und das Einschränken interaktiver Betriebssystemanmeldungen, werden nicht mehr als ausreichend angesehen, um moderne komplexe Bedrohungen abzuwehren. Es ist wichtig, moderne Schutzmaßnahmen bereitzustellen, um Bedrohungen in Echtzeit zu erkennen und einzudämmen. SAP-Anwendungen erfordern im Gegensatz zu den meisten anderen Workloads eine grundlegende Bewertung und Überprüfung, bevor sie Microsoft Defender for Endpoint bereitstellen. Die Sicherheitsadministratoren des Unternehmens sollten sich vor der Bereitstellung von Defender für Endpunkt an das SAP Basis-Team wenden. Das SAP-Basisteam sollte mit einem grundlegenden Wissen über Defender für Endpunkt trainiert werden.

SAP-Anwendungen unter Linux

  • SAP unterstützt nur Suse, Redhat und Oracle Linux. Andere Distributionen werden für SAP S4- oder NetWeaver-Anwendungen nicht unterstützt.
  • Suse 15.x, Redhat 8.x oder 9.x und Oracle Linux 8.x werden dringend empfohlen.
  • Suse 12.x, Redhat 7.x und Oracle Linux 7.x werden technisch unterstützt, wurden aber nicht umfassend getestet.
  • Suse 11.x, Redhat 6.x und Oracle Linux 6.x werden möglicherweise nicht unterstützt und wurden nicht getestet.
  • Suse und Redhat bieten maßgeschneiderte Distributionen für SAP. Für diese "for SAP"-Versionen von Suse und Redhat sind möglicherweise verschiedene Pakete vorinstalliert und möglicherweise unterschiedliche Kernels.
  • SAP unterstützt nur bestimmte Linux-Dateisysteme. Im Allgemeinen werden XFS und EXT3 verwendet. Das Asm-Dateisystem (Oracle Automatic Storage Management) wird manchmal für Oracle DBMS verwendet und kann von Defender für Endpunkt nicht gelesen werden.
  • Einige SAP-Anwendungen verwenden "eigenständige Engines" wie TREX, Adobe Document Server, Content Server und LiveCache. Diese Engines erfordern bestimmte Konfigurationen und Dateiausschlüsse.
  • SAP-Anwendungen verfügen häufig über Transport- und Schnittstellenverzeichnisse mit vielen Tausenden von kleinen Dateien. Wenn die Anzahl der Dateien größer als 100.000 ist, kann dies die Leistung beeinträchtigen. Es wird empfohlen, Dateien zu archivieren.
  • Es wird dringend empfohlen, Defender für Endpunkt mehrere Wochen in nicht produktiven SAP-Landschaften bereitzustellen, bevor sie in der Produktion bereitgestellt werden. Das SAP-Basisteam sollte Tools wie sysstat, KSARund nmon verwenden, um zu überprüfen, ob cpu- und andere Leistungsparameter betroffen sind.

Voraussetzungen für die Bereitstellung von Microsoft Defender for Endpoint unter Linux auf SAP-VMs

  • Microsoft Defender for Endpoint Version>= 101.23082.0009 | Releaseversion: 30.123082.0009 oder höher muss bereitgestellt werden.
  • Microsoft Defender for Endpoint unter Linux unterstützt alle Linux-Releases, die von SAP-Anwendungen verwendet werden.
  • Microsoft Defender for Endpoint unter Linux erfordert eine Verbindung mit bestimmten Internetendpunkten von VMs, um Antivirendefinitionen zu aktualisieren.
  • Microsoft Defender for Endpoint unter Linux erfordert einige Crontabeinträge (oder andere Aufgabenplanungseinträge), um Überprüfungen, Protokollrotation und Microsoft Defender for Endpoint Updates zu planen. Unternehmenssicherheitsteams verwalten diese Einträge normalerweise. Weitere Informationen finden Sie unter Planen eines Updates des Microsoft Defender for Endpoint (Linux).

Die Standardkonfigurationsoption für die Bereitstellung als Azure-Erweiterung für AntiVirus (AV) ist der passive Modus. Dies bedeutet, dass Microsoft Defender Antivirus, die AV-Komponente von Microsoft Defender for Endpoint, keine E/A-Aufrufe abfängt. Es wird empfohlen, Microsoft Defender for Endpoint im passiven Modus für alle SAP-Anwendungen auszuführen und eine Überprüfung einmal pro Tag zu planen. In diesem Modus:

  • Echtzeitschutz ist deaktiviert: Bedrohungen werden nicht durch Microsoft Defender Antivirus behoben.
  • On-Demand-Überprüfung ist aktiviert: Verwenden Sie weiterhin die Scanfunktionen auf dem Endpunkt.
  • Die automatische Bedrohungsbehebung ist deaktiviert: Es werden keine Dateien verschoben, und der Sicherheitsadministrator muss die erforderlichen Maßnahmen ergreifen.
  • Security Intelligence-Updates sind aktiviert: Warnungen sind auf dem Mandanten des Sicherheitsadministrators verfügbar.

Online-Kernelpatchtools wie Ksplice oder ähnliches können zu unvorhersehbarer Betriebssystemstabilität führen, wenn Defender für Endpunkt ausgeführt wird. Es wird empfohlen, den Defender für Endpunkt-Daemon vor dem Online-Kernelpatching vorübergehend zu beenden. Nachdem der Kernel aktualisiert wurde, kann Defender für Endpunkt unter Linux sicher neu gestartet werden. Dies ist besonders wichtig für große SAP HANA-VMs mit großen Arbeitsspeicherkontexten.

Das Linux-Crontab wird in der Regel verwendet, um aufgaben Microsoft Defender for Endpoint AV-Überprüfung und Protokollrotation zu planen: Planen von Überprüfungen mit Microsoft Defender for Endpoint (Linux)

Die EDR-Funktionalität (Endpoint Detection and Response) ist immer aktiv, wenn Microsoft Defender for Endpoint unter Linux installiert ist. Es gibt keine einfache Möglichkeit, die EDR-Funktionalität über die Befehlszeile oder Konfiguration zu deaktivieren. Weitere Informationen zur Problembehandlung bei EDR finden Sie in den Abschnitten Nützliche Befehle und Nützliche Links.

Wichtige Konfigurationseinstellungen für Microsoft Defender for Endpoint unter SAP unter Linux

Es wird empfohlen, die Installation und Konfiguration von Defender für Endpunkt mit dem Befehl mdatp healthzu überprüfen.

Die wichtigsten Parameter, die für SAP-Anwendungen empfohlen werden, sind:

  • healthy = true
  • release_ring = Production. Vorabversions- und Insiderringe sollten nicht mit SAP-Anwendungen verwendet werden.
  • real_time_protection_enabled = false. Der Echtzeitschutz ist im passiven Modus deaktiviert. Dies ist der Standardmodus und verhindert das Abfangen von E/A in Echtzeit.
  • automatic_definition_update_enabled = true
  • definition_status = "up_to_date". Führen Sie ein manuelles Update aus, wenn ein neuer Wert identifiziert wird.
  • edr_early_preview_enabled = "disabled". Wenn dies auf SAP-Systemen aktiviert ist, kann dies zu Systeminstabilität führen.
  • conflicting_applications = [ ]. Andere AV- oder Sicherheitssoftware, die auf einem virtuellen Computer wie Clam installiert ist.
  • supplementary_events_subsystem = "ebpf". Fahren Sie nicht fort, wenn ebpf nicht angezeigt wird. Wenden Sie sich an das Sicherheitsadministratorteam.

Dieser Artikel enthält einige nützliche Hinweise zur Behandlung von Installationsproblemen für Microsoft Defender for Endpoint: Behandeln von Installationsproblemen für Microsoft Defender for Endpoint unter Linux

Das Unternehmenssicherheitsteam muss eine vollständige Liste der Antivirenausschlüsse von den SAP-Administratoren (in der Regel das SAP-Basisteam) abrufen. Es wird empfohlen, zunächst Folgendes auszuschließen:

Oracle ASM-Systeme benötigen keine Ausschlüsse, da Microsoft Defender for Endpoint asm-Datenträger nicht lesen können.

Kunden mit Pacemaker-Clustern sollten auch diese Ausschlüsse konfigurieren:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*

Kunden, die die Azure-Sicherheitsrichtlinie ausführen, können eine Überprüfung mithilfe der Freeware Clam AV-Lösung auslösen. Es wird empfohlen, die Clam-AV-Überprüfung zu deaktivieren, nachdem ein virtueller Computer mit Microsoft Defender for Endpoint mit den folgenden Befehlen geschützt wurde:

sudo azsecd config  -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status 

In den folgenden Artikeln wird beschrieben, wie Av-Ausschlüsse für Prozesse, Dateien und Ordner pro einzelnem virtuellen Computer konfiguriert werden:

Planen einer täglichen AV-Überprüfung

Die empfohlene Konfiguration für SAP-Anwendungen deaktiviert das Echtzeitabfangen von E/A-Aufrufen für AV-Überprüfungen. Die empfohlene Einstellung ist der passive Modus, in dem real_time_protection_enabled = false.

Der folgende Link enthält Details zum Planen einer Überprüfung: Planen von Überprüfungen mit Microsoft Defender for Endpoint (Linux).

Große SAP-Systeme verfügen möglicherweise über mehr als 20 SAP-Anwendungsserver mit jeweils einer Verbindung mit der SAPMNT NFS-Freigabe. Zwanzig oder mehr Anwendungsserver, die denselben NFS-Server gleichzeitig überprüfen, überlasten wahrscheinlich den NFS-Server. Standardmäßig überprüft Defender für Endpunkt unter Linux keine NFS-Quellen.

Wenn sapMNT überprüft werden muss, sollte diese Überprüfung nur auf einem oder zwei virtuellen Computern konfiguriert werden.

Geplante Überprüfungen für SAP ECC, BW, CRM, SCM, Solution Manager und andere Komponenten sollten zu unterschiedlichen Zeiten gestaffelt werden, um zu vermeiden, dass alle SAP-Komponenten eine freigegebene NFS-Speicherquelle überladen, die von allen SAP-Komponenten gemeinsam genutzt wird.

Nützliche Befehle

Wenn während der manuellen Zypper-Installation unter Suse der Fehler "Nothing provides 'policycoreutils'" auftritt, finden Sie weitere Informationen unter: Behandeln von Installationsproblemen für Microsoft Defender for Endpoint unter Linux.

Es gibt mehrere Befehlszeilenbefehle, die den Betrieb von mdatp steuern können. Um den passiven Modus zu aktivieren, können Sie den folgenden Befehl verwenden:

mdatp config passive-mode --value enabled

Hinweis

Der passive Modus ist der Standardmodus bei der Installation von Defender für Endpunkt unter Linux.

Um den Echtzeitschutz zu deaktivieren, können Sie den folgenden Befehl verwenden:

mdatp config real-time-protection --value disabled

Dieser Befehl weist mdatp an, die neuesten Definitionen aus der Cloud abzurufen:

mdatp definitions update 

Dieser Befehl testet, ob mdatp über das Netzwerk eine Verbindung mit den cloudbasierten Endpunkten herstellen kann:

mdatp connectivity test

Diese Befehle aktualisieren bei Bedarf die mdatp-Software:

yum update mdatp
zypper update mdatp

Da mdatp als Linux-Systemdienst ausgeführt wird, können Sie mdatp mithilfe des Dienstbefehls steuern, z. B.:

service mdatp status 

Dieser Befehl erstellt eine Diagnosedatei, die in den Microsoft-Support hochgeladen werden kann:

sudo mdatp diagnostic create