Guía de implementación para Microsoft Defender para punto de conexión en Linux para SAP

Se aplica a:

• Microsoft Defender para punto de conexión Plan 2

En este artículo se proporcionan instrucciones de implementación para Microsoft Defender para punto de conexión en Linux para SAP. En este artículo se incluyen las notas recomendadas de SAP OSS (Online Services System), los requisitos del sistema, los requisitos previos, la configuración importante, las exclusiones de antivirus recomendadas y las instrucciones sobre la programación de exámenes antivirus.

Las defensas de seguridad convencionales que se han usado habitualmente para proteger sistemas SAP, como aislar la infraestructura detrás de firewalls y limitar los inicios de sesión interactivos del sistema operativo, ya no se consideran suficientes para mitigar las amenazas sofisticadas modernas. Es esencial implementar defensas modernas para detectar y contener amenazas en tiempo real. Las aplicaciones de SAP, a diferencia de la mayoría de las demás cargas de trabajo, requieren una evaluación y validación básicas antes de implementar Microsoft Defender para punto de conexión. Los administradores de seguridad empresarial deben ponerse en contacto con el equipo de SAP Basis antes de implementar Defender para punto de conexión. El equipo de base de SAP debe entrenarse de forma cruzada con un nivel básico de conocimiento sobre Defender para punto de conexión.

Notas recomendadas del sistema operativo SAP

• 2248916: ¿Qué archivos y directorios se deben excluir de un examen antivirus para los productos de sap BusinessObjects Business Intelligence Platform en Linux/Unix? - Launchpad de soporte técnico de SAP ONE
• 1984459: qué archivos y directorios deben excluirse de un examen antivirus para SAP Data Services - SAP ONE Support Launchpad
• 2808515: Instalación de software de seguridad en servidores SAP que se ejecutan en Linux: Launchpad de soporte técnico de SAP ONE
• 1730930: Uso de software antivirus en un dispositivo SAP HANA: Launchpad de soporte técnico de SAP ONE
• 1730997: versiones no modificadas del software antivirus: Sap One Support Launchpad

Aplicaciones sap en Linux

• SAP solo admite Suse, Redhat y Oracle Linux. No se admiten otras distribuciones para aplicaciones de SAP S4 o NetWeaver.
• Se recomienda encarecidamente Suse 15.x, Redhat 8.x o 9.x y Oracle Linux 8.x.
• Suse 12.x, Redhat 7.x y Oracle Linux 7.x son técnicamente compatibles, pero no se han probado exhaustivamente.
• Es posible que Suse 11.x, Redhat 6.x y Oracle Linux 6.x no se admitan y no se prueben.
• Suse y Redhat ofrecen distribuciones personalizadas para SAP. Estas versiones "para SAP" de Suse y Redhat podrían tener paquetes diferentes preinstalados y posiblemente kernels diferentes.
• SAP solo admite determinados sistemas de archivos Linux. En general, se usan XFS y EXT3. El sistema de archivos de Administración automática de almacenamiento (ASM) de Oracle a veces se usa para ORACLE DBMS y Defender para punto de conexión no puede leerlo.
• Algunas aplicaciones sap usan "motores independientes", como TREX, Adobe Document Server, Content Server y LiveCache. Estos motores requieren exclusiones específicas de archivos y configuración.
• Las aplicaciones SAP suelen tener directorios de transporte e interfaz con muchos miles de archivos pequeños. Si el número de archivos es mayor que 100 000, podría afectar al rendimiento. Se recomienda archivar archivos.
• Se recomienda encarecidamente implementar Defender para punto de conexión en entornos de SAP no productivos durante varias semanas antes de la implementación en producción. El equipo de base de SAP debe usar herramientas como sysstat, KSAR y nmon para comprobar si la CPU y otros parámetros de rendimiento se ven afectados.

Requisitos previos para implementar Microsoft Defender para punto de conexión en Linux en máquinas virtuales SAP

• Microsoft Defender para punto de conexión versión>= 101.23082.0009 | Versión de lanzamiento: 30.123082.0009 o posterior debe implementarse.
• Microsoft Defender para punto de conexión en Linux admite todas las versiones de Linux que usan las aplicaciones SAP.
• Microsoft Defender para punto de conexión en Linux requiere conectividad a puntos de conexión de Internet específicos desde máquinas virtuales para actualizar las definiciones de antivirus.
• Microsoft Defender para punto de conexión en Linux requiere algunas entradas de crontab (u otro programador de tareas) para programar exámenes, rotación de registros y actualizaciones de Microsoft Defender para punto de conexión. Normalmente, los equipos de seguridad empresarial administran estas entradas. Consulte Programación de una actualización de la Microsoft Defender para punto de conexión (Linux).

La opción de configuración predeterminada para la implementación como extensión de Azure para Antivirus (AV) será Modo pasivo. Esto significa que el componente av de Microsoft Defender para punto de conexión no interceptará las llamadas de E/S. Se recomienda ejecutar Microsoft Defender para punto de conexión en modo pasivo en todas las aplicaciones de SAP y programar un examen una vez al día. En este modo:

• La protección en tiempo real está desactivada: Microsoft Defender Antivirus no corrige las amenazas.
• El examen a petición está activado: siga usando las funcionalidades de examen en el punto de conexión.
• La corrección automática de amenazas está desactivada: no se mueven archivos y se espera que el administrador de seguridad realice las acciones necesarias.
• Las actualizaciones de inteligencia de seguridad están activadas: las alertas están disponibles en el inquilino del administrador de seguridad.

La crontab de Linux se usa normalmente para programar Microsoft Defender para punto de conexión tareas de rotación de registros y examen av: Programación de exámenes con Microsoft Defender para punto de conexión (Linux)

La funcionalidad de detección y respuesta de puntos de conexión (EDR) está activa cada vez que se instala Microsoft Defender para punto de conexión en Linux. No hay ninguna manera sencilla de deshabilitar la funcionalidad de EDR mediante la línea de comandos o la configuración. Para obtener más información sobre la solución de problemas de EDR, consulte las secciones Comandos útiles y Vínculos útiles.

Configuración importante para Microsoft Defender para punto de conexión en SAP en Linux

Se recomienda comprobar la instalación y configuración de Defender para punto de conexión con el comando mdatp health.

Los parámetros clave recomendados para las aplicaciones SAP son:

• healthy = true
• release_ring = Producción. Los anillos de versión preliminar e insider no deben usarse con aplicaciones sap.
• real_time_protection_enabled = false. La protección en tiempo real está desactivada en modo pasivo, que es el modo predeterminado y evita la interceptación de E/S en tiempo real.
• automatic_definition_update_enabled = true
• definition_status = "up_to_date". Ejecute una actualización manual si se identifica un nuevo valor.
• edr_early_preview_enabled = "disabled". Si está habilitado en sistemas SAP, podría provocar inestabilidad en el sistema.
• conflicting_applications = [ ]. Otro antivirus o software de seguridad instalado en una máquina virtual, como Clam.
• supplementary_events_subsystem = "ebpf". No continúe si no se muestra ebpf. Póngase en contacto con el equipo de administración de seguridad.

En este artículo se proporcionan algunas sugerencias útiles para solucionar problemas de instalación de Microsoft Defender para punto de conexión: Solución de problemas de instalación de Microsoft Defender para punto de conexión en Linux

Exclusiones de antivirus de Microsoft Defender para punto de conexión recomendadas para SAP en Linux

El equipo de seguridad empresarial debe obtener una lista completa de exclusiones de antivirus de los administradores de SAP (normalmente el equipo base de SAP). Se recomienda excluir inicialmente:

• Archivos de datos dbms, archivos de registro y archivos temporales, incluidos los discos que contienen archivos de copia de seguridad
• Todo el contenido del directorio SAPMNT
• Todo el contenido del directorio SAPLOC
• Todo el contenido del directorio TRANS
• Todo el contenido de los directorios para motores independientes como TREX
• Hana: excluir /hana/shared, /hana/data y /hana/log: consulte Nota 1730930
• SQL Server: configurar el software antivirus para que funcione con SQL Server: SQL Server
• Oracle: consulte Configuración del antivirus en Oracle Database Server (id. de documento 782354.1)
• DB2: https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
• SAP ASE: póngase en contacto con SAP
• MaxDB: póngase en contacto con SAP

Los sistemas ASM de Oracle no necesitan exclusiones, ya que Microsoft Defender para punto de conexión no pueden leer discos ASM.

Los clientes con clústeres de Pacemaker también deben configurar estas exclusiones:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Los clientes que ejecutan la directiva de seguridad de Azure security pueden desencadenar un examen mediante la solución Freeware Clam AV. Se recomienda deshabilitar el examen av de Clam después de que una máquina virtual se haya protegido con Microsoft Defender para punto de conexión mediante los siguientes comandos:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status 

En los artículos siguientes se detalla cómo configurar exclusiones de AV para procesos, archivos y carpetas por máquina virtual individual:

• Configuración de exclusiones para exámenes Microsoft Defender Antivirus
• Errores comunes para evitarlos cuando se definen exclusiones

Programación de un examen av diario

La configuración recomendada para las aplicaciones sap deshabilita la interceptación en tiempo real de llamadas de E/S para el examen de AV. La configuración recomendada es el modo pasivo en el que real_time_protection_enabled = false.

En el vínculo siguiente se detalla cómo programar un examen: Cómo programar exámenes con Microsoft Defender para punto de conexión (Linux).

Los sistemas SAP de gran tamaño pueden tener más de 20 servidores de aplicaciones SAP cada uno con una conexión al recurso compartido NFS de SAPMNT. Es probable que veinte o más servidores de aplicaciones que examinan simultáneamente el mismo servidor NFS sobrecarguen el servidor NFS. De forma predeterminada, Defender para punto de conexión en Linux no examina los orígenes NFS.

Si hay un requisito para examinar SAPMNT, este examen debe configurarse solo en una o dos máquinas virtuales.

Los exámenes programados de SAP ECC, BW, CRM, SCM, Solution Manager y otros componentes deben escalonarse en momentos diferentes para evitar que todos los componentes de SAP sobrecarguen un origen de almacenamiento NFS compartido compartido compartido por todos los componentes de SAP.

Comandos útiles

Si durante la instalación manual de zypper en Suse se produce un error "Nothing provides 'policycoreutils'", consulte: Solución de problemas de instalación para Microsoft Defender para punto de conexión en Linux.

Hay varios comandos de línea de comandos que pueden controlar el funcionamiento de mdatp. Para habilitar el modo pasivo, puede usar el siguiente comando:

mdatp config passive-mode --value enabled

Nota:

el modo pasivo es el modo predeterminado para instalar Defender para punto de conexión en Linux.

Para desactivar la protección en tiempo real, puede usar el comando :

mdatp config real-time-protection --value disabled

Este comando indica a mdatp que recupere las definiciones más recientes de la nube:

mdatp definitions update 

Este comando comprueba si mdatp puede conectarse a los puntos de conexión basados en la nube a través de la red:

mdatp connectivity test

Estos comandos actualizan el software mdatp, si es necesario:

yum update mdatp

zypper update mdatp

Dado que mdatp se ejecuta como un servicio del sistema Linux, puede controlar mdatp mediante el comando service, por ejemplo:

service mdatp status 

Este comando crea un archivo de diagnóstico que se puede cargar en el soporte técnico de Microsoft:

sudo mdatp diagnostic create

Vínculos útiles

• Microsoft Endpoint Manager no admite Linux en este momento

• Administrar las opciones de configuración de Microsoft Defender para punto de conexión en dispositivos con Microsoft Endpoint Manager

• Microsoft Tech Community: Microsoft Defender para punto de conexión Linux: lista de comandos de configuración y operación

• Microsoft Tech Community: Implementación de Microsoft Defender para punto de conexión en servidores Linux

• Solución de problemas de conectividad en la nube para Microsoft Defender para punto de conexión en Linux

• Solución de problemas de rendimiento para Microsoft Defender para punto de conexión en Linux