Conseils de déploiement pour Microsoft Defender pour point de terminaison sur Linux pour SAP

Cet article fournit des conseils de déploiement pour Microsoft Defender pour point de terminaison sur Linux pour SAP. Cet article inclut des notes sap OSS (Online Services System) recommandées, la configuration système requise, les prérequis, les paramètres de configuration importants, les exclusions antivirus recommandées et des conseils sur la planification des analyses antivirus.

Les défenses de sécurité conventionnelles couramment utilisées pour protéger les systèmes SAP, telles que l’isolation de l’infrastructure derrière des pare-feu et la limitation des ouvertures de session interactives des systèmes d’exploitation, ne sont plus considérées comme suffisantes pour atténuer les menaces sophistiquées modernes. Il est essentiel de déployer des défenses modernes pour détecter et contenir les menaces en temps réel. Contrairement à la plupart des autres charges de travail, les applications SAP nécessitent une évaluation et une validation de base avant de déployer Microsoft Defender pour point de terminaison. Les administrateurs de sécurité d’entreprise doivent contacter l’équipe SAP Basis avant de déployer Defender pour point de terminaison. L’équipe SAP Basis doit être formée avec un niveau de connaissances de base sur Defender pour point de terminaison.

Notes sap OSS recommandées

• 2248916 - Quels fichiers et répertoires doivent être exclus d’une analyse antivirus pour les produits SAP BusinessObjects Business Intelligence Platform dans Linux/Unix ? - Launchpad de support SAP ONE
• 1984459 - Quels fichiers et répertoires doivent être exclus d’une analyse antivirus pour SAP Data Services - Launchpad de support SAP ONE
• 2808515 - Installation d’un logiciel de sécurité sur des serveurs SAP s’exécutant sur Linux - Launchpad de support SAP ONE
• 1730930 - Utilisation d’un logiciel antivirus dans un Appliance SAP HANA - Sap ONE Support Launchpad
• 1730997 - Versions non recommandées des logiciels antivirus - Sap ONE Support Launchpad

Applications SAP sur Linux

• SAP prend uniquement en charge Suse, Redhat et Oracle Linux. Les autres distributions ne sont pas prises en charge pour les applications SAP S4 ou NetWeaver.
• Suse 15.x, Redhat 8.x ou 9.x et Oracle Linux 8.x sont fortement recommandés.
• Suse 12.x, Redhat 7.x et Oracle Linux 7.x sont techniquement pris en charge, mais n’ont pas été testés en grande partie.
• Suse 11.x, Redhat 6.x et Oracle Linux 6.x peuvent ne pas être pris en charge et n’ont pas été testés.
• Suse et Redhat offrent des distributions personnalisées pour SAP. Ces versions « pour SAP » de Suse et Redhat peuvent avoir différents packages préinstallés et éventuellement des noyaux différents.
• SAP prend uniquement en charge certains systèmes de fichiers Linux. En général, XFS et EXT3 sont utilisés. Le système de fichiers Oracle Automatic Storage Management (ASM) est parfois utilisé pour le SGBD Oracle et ne peut pas être lu par Defender pour point de terminaison.
• Certaines applications SAP utilisent des « moteurs autonomes », tels que TREX, Adobe Document Server, Content Server et LiveCache. Ces moteurs nécessitent une configuration et des exclusions de fichiers spécifiques.
• Les applications SAP ont souvent des répertoires de transport et d’interface avec plusieurs milliers de petits fichiers. Si le nombre de fichiers est supérieur à 100 000, cela peut et affecter les performances. Il est recommandé d’archiver les fichiers.
• Il est fortement recommandé de déployer Defender pour point de terminaison sur des paysages SAP non productifs pendant plusieurs semaines avant le déploiement en production. L’équipe SAP Basis doit utiliser des outils tels que sysstat, KSARet nmon pour vérifier si le processeur et d’autres paramètres de performances sont affectés.

Prérequis pour le déploiement de Microsoft Defender pour point de terminaison sur Linux sur des machines virtuelles SAP

• Microsoft Defender pour point de terminaison version>= 101.23082.0009 | Version de publication : 30.123082.0009 ou ultérieure doit être déployée.
• Microsoft Defender pour point de terminaison sur Linux prend en charge toutes les versions Linux utilisées par les applications SAP.
• Microsoft Defender pour point de terminaison sur Linux nécessite une connectivité à des points de terminaison Internet spécifiques à partir de machines virtuelles pour mettre à jour les définitions antivirus.
• Microsoft Defender pour point de terminaison sur Linux nécessite des entrées crontab (ou un autre planificateur de tâches) pour planifier des analyses, la rotation des journaux et Microsoft Defender pour point de terminaison mises à jour. Les équipes Enterprise Security gèrent normalement ces entrées. Reportez-vous à Comment planifier une mise à jour du Microsoft Defender pour point de terminaison (Linux).

L’option de configuration par défaut pour le déploiement en tant qu’extension Azure pour antivirus (AV) est le mode passif. Cela signifie que Microsoft Defender Antivirus, le composant AV de Microsoft Defender pour point de terminaison, n’intercepte pas les appels d’E/S. Il est recommandé d’exécuter Microsoft Defender pour point de terminaison en mode passif sur toutes les applications SAP et de planifier une analyse une fois par jour. Dans ce mode :

• La protection en temps réel est désactivée : les menaces ne sont pas corrigées par Microsoft Defender Antivirus.
• L’analyse à la demande est activée : utilisez toujours les fonctionnalités d’analyse sur le point de terminaison.
• La correction automatique des menaces est désactivée : aucun fichier n’est déplacé et l’administrateur de la sécurité est censé prendre les mesures nécessaires.
• Les mises à jour du renseignement de sécurité sont activées : les alertes sont disponibles sur le locataire de l’administrateur de sécurité.

Les outils de mise à jour corrective du noyau en ligne tels que Ksplice ou similaires peuvent entraîner une stabilité imprévisible du système d’exploitation si Defender pour point de terminaison est en cours d’exécution. Il est recommandé d’arrêter temporairement le démon Defender pour point de terminaison avant d’effectuer une mise à jour corrective du noyau en ligne. Une fois le noyau mis à jour, Defender pour point de terminaison sur Linux peut être redémarré en toute sécurité. Cela est particulièrement important sur les grandes machines virtuelles SAP HANA avec des contextes de mémoire énormes.

Le crontab Linux est généralement utilisé pour planifier Microsoft Defender pour point de terminaison tâches d’analyse av et de rotation des journaux : Comment planifier des analyses avec Microsoft Defender pour point de terminaison (Linux)

La fonctionnalité EDR (Endpoint Detection and Response) est active chaque fois que Microsoft Defender pour point de terminaison sur Linux est installé. Il n’existe aucun moyen simple de désactiver la fonctionnalité EDR via la ligne de commande ou la configuration. Pour plus d’informations sur la résolution des problèmes liés à EDR, consultez les sections Commandes utiles et Liens utiles.

Paramètres de configuration importants pour Microsoft Defender pour point de terminaison sur SAP sur Linux

Il est recommandé de case activée l’installation et la configuration de Defender pour point de terminaison avec la commande mdatp health.

Les paramètres clés recommandés pour les applications SAP sont les suivants :

• healthy = true
• release_ring = Production. Les anneaux de préversion et internes ne doivent pas être utilisés avec les applications SAP.
• real_time_protection_enabled = false. La protection en temps réel est désactivée en mode passif, qui est le mode par défaut et empêche l’interception d’E/S en temps réel.
• automatic_definition_update_enabled = true
• definition_status = "up_to_date". Exécutez une mise à jour manuelle si une nouvelle valeur est identifiée.
• edr_early_preview_enabled = "disabled". Si cette option est activée sur les systèmes SAP, elle peut entraîner une instabilité du système.
• conflicting_applications = [ ]. Autres logiciels AV ou de sécurité installés sur une machine virtuelle comme Clam.
• supplementary_events_subsystem = "ebpf". Ne continuez pas si ebpf n’est pas affiché. Contactez l’équipe d’administration de la sécurité.

Cet article contient quelques conseils utiles sur la résolution des problèmes d’installation pour Microsoft Defender pour point de terminaison : Résoudre les problèmes d’installation pour Microsoft Defender pour point de terminaison sur Linux

Exclusions d’antivirus Microsoft Defender pour point de terminaison recommandées pour SAP sur Linux

L’équipe de sécurité d’entreprise doit obtenir une liste complète des exclusions antivirus auprès des administrateurs SAP (généralement l’équipe de base SAP). Il est recommandé d’exclure initialement :

• Fichiers de données SGBD, fichiers journaux et fichiers temporaires, y compris les disques contenant des fichiers de sauvegarde
• Contenu entier du répertoire SAPMNT
• Tout le contenu du répertoire SAPLOC
• Tout le contenu du répertoire TRANS
• Tout le contenu des répertoires pour les moteurs autonomes tels que TREX
• Hana : excluez /hana/shared, /hana/data et /hana/log. Consultez remarque 1730930
• SQL Server - Configurer un logiciel antivirus pour qu’il fonctionne avec SQL Server - SQL Server
• Oracle : consultez Guide pratique pour configurer un antivirus sur Oracle Database Server (ID de document 782354.1)
• DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
• SAP ASE : contactez SAP
• MaxDB : contactez SAP

Les systèmes Oracle ASM n’ont pas besoin d’exclusions, car Microsoft Defender pour point de terminaison ne peuvent pas lire les disques ASM.

Les clients disposant de clusters Pacemaker doivent également configurer ces exclusions :

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Les clients exécutant la stratégie de sécurité Azure Security peuvent déclencher une analyse à l’aide de la solution Freeware Clam AV. Il est recommandé de désactiver l’analyse Clam AV une fois qu’une machine virtuelle a été protégée avec Microsoft Defender pour point de terminaison à l’aide des commandes suivantes :

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status 

Les articles suivants expliquent en détail comment configurer les exclusions av pour les processus, fichiers et dossiers par machine virtuelle individuelle :

• Configurer des exclusions pour les analyses antivirus Microsoft Defender
• Erreurs courantes à éviter lors de la définition d’exclusions

Planification d’une analyse av quotidienne

La configuration recommandée pour les applications SAP désactive l’interception en temps réel des appels d’E/S pour l’analyse av. Le paramètre recommandé est le mode passif dans lequel real_time_protection_enabled = false.

Le lien suivant explique comment planifier une analyse : Comment planifier des analyses avec Microsoft Defender pour point de terminaison (Linux).

Les grands systèmes SAP peuvent avoir plus de 20 serveurs d’applications SAP avec chacun une connexion au partage NFS SAPMNT. Vingt serveurs d’applications ou plus qui analysent simultanément le même serveur NFS surchargeront probablement le serveur NFS. Par défaut, Defender pour point de terminaison sur Linux n’analyse pas les sources NFS.

S’il est nécessaire d’analyser SAPMNT, cette analyse doit être configurée sur une ou deux machines virtuelles uniquement.

Les analyses planifiées pour SAP ECC, BW, CRM, SCM, Solution Manager et d’autres composants doivent être échelonnées à des moments différents afin d’éviter que tous les composants SAP ne surchargent une source de stockage NFS partagée par tous les composants SAP.

Commandes utiles

Si, lors de l’installation manuelle de zypper sur Suse, une erreur « Rien ne fournit 'policycoreutils' » se produit, reportez-vous à : Résoudre les problèmes d’installation pour Microsoft Defender pour point de terminaison sur Linux.

Plusieurs commandes de ligne de commande peuvent contrôler le fonctionnement de mdatp. Pour activer le mode passif, vous pouvez utiliser la commande suivante :

mdatp config passive-mode --value enabled

Remarque

le mode passif est le mode par défaut lors de l’installation de Defender pour point de terminaison sur Linux.

Pour désactiver la protection en temps réel, vous pouvez utiliser la commande suivante :

mdatp config real-time-protection --value disabled

Cette commande indique à mdatp de récupérer les dernières définitions à partir du cloud :

mdatp definitions update 

Cette commande teste si mdatp peut se connecter aux points de terminaison cloud via le réseau :

mdatp connectivity test

Ces commandes mettent à jour le logiciel mdatp, si nécessaire :

yum update mdatp

zypper update mdatp

Étant donné que mdatp s’exécute en tant que service système Linux, vous pouvez contrôler mdatp à l’aide de la commande de service, par exemple :

service mdatp status 

Cette commande crée un fichier de diagnostic qui peut être chargé sur le support Microsoft :

sudo mdatp diagnostic create

Liens utiles

• Microsoft Endpoint Manager ne prend pas en charge Linux pour l’instant

• Gérer les paramètres de configuration de Microsoft Defender pour point de terminaison sur les appareils avec Microsoft Endpoint Manager

• Microsoft Tech Community : Microsoft Defender pour point de terminaison Linux - Liste des commandes de configuration et d’opération

• Microsoft Tech Community : Déploiement de Microsoft Defender pour point de terminaison sur des serveurs Linux

• Résoudre les problèmes de connectivité cloud pour Microsoft Defender pour point de terminaison sur Linux

• Résoudre les problèmes de performances pour Microsoft Defender pour point de terminaison sur Linux