שתף באמצעות


הדרכת פריסה עבור Microsoft Defender עבור נקודת קצה- Linux for SAP

מאמר זה מספק הדרכה בנושא פריסה עבור Microsoft Defender עבור נקודת קצה- Linux for SAP. מאמר זה כולל הערות מומלצות של SAP OSS (מערכת השירותים המקוונים), דרישות המערכת, דרישות מוקדמות, הגדרות תצורה חשובות, אי-הכללות מומלצות של אנטי-וירוס והדרכה לגבי תזמון סריקות אנטי-וירוס.

אמצעי הגנה קונבנציונליים לאבטחה שבהם נעשה שימוש נפוץ כדי להגן על מערכות SAP, כגון מבודד תשתית מאחורי חומות אש והגבלת כניסות אינטראקטיביות למערכת ההפעלה, אינן נחשבות עוד למספיקות לצמצום איומים מתוחכמים מודרניים. חיוני לפרוס את ההגנה המודרנית כדי לזהות ולהכיל איומים בזמן אמת. יישומי SAP שלא כמו רוב עומסי העבודה האחרים דורשים הערכה בסיסית ולאימות לפני פריסת Microsoft Defender עבור נקודת קצה. מנהלי האבטחה הארגוניים צריכים לפנות לצוות SAP Basis לפני פריסת Defender for Endpoint. יש להדריך את צוות SAP Basis באמצעות רמה בסיסית של ידע לגבי Defender for Endpoint.

יישומי SAP ב- Linux

  • SAP תומך רק ב- Suse, Redhat ו- Oracle Linux. התפלגויות אחרות אינן נתמכות עבור יישומי SAP S4 או NetWeaver.
  • מומלץ מאוד להשתמש ב- Suse 15.x, Redhat 8.x או 9.x ו- Oracle Linux 8.x.
  • Suse 12.x, Redhat 7.x ו- Oracle Linux 7.x נתמכים טכנית, אך לא נבדקו בקפידה.
  • ייתכן ש- Suse 11.x, Redhat 6.x ו- Oracle Linux 6.x אינם נתמכים ולא נבדקו.
  • Suse ו- Redhat מציעים התפלגויות מותאמות אישית ל- SAP. גירסאות אלה של "for SAP" של Suse ו- Redhat עשויות לכלול חבילות שונות מותקנות מראש ואולי אף הליבה השונות.
  • SAP תומך רק במערכות קבצים מסוימות של Linux. באופן כללי, נעשה שימוש ב- XFS וב- EXT3. מערכת הקבצים של Oracle Automatic Storage Management (ASM) משמשת לעתים עבור Oracle DBMS ו- Defender for Endpoint אינו יכול לקרוא אותה.
  • אפליקציות SAP מסוימות משתמשות ב"מנועים עצמאיים" כגון TREX, Adobe Document Server, Content Server ו- LiveCache. מנועים אלה דורשים תצורה ספציפית ופריטים שאינם נכללים בקובץ.
  • יישומי SAP כוללים לעתים קרובות ספריות תעבורה וממשק עם אלפי קבצים קטנים רבים. אם מספר הקבצים גדול מ- 100,000, הדבר עשוי להשפיע על הביצועים. מומלץ לאחסן קבצים בארכיון.
  • מומלץ מאוד לפרוס את Defender for Endpoint לנופי SAP שאינם פרודוקטיביים במשך מספר שבועות לפני הפריסה לייצור. צוות SAP Basis צריך להשתמש בכלים כגון sysstat, KSAR, ו כדי nmon לוודא אם ה- CPU פרמטרים אחרים של ביצועים מושפעים.

דרישות מוקדמות לפריסת Microsoft Defender עבור נקודת קצה ב- Linux במחשבים וירטואליים של SAP

  • Microsoft Defender עבור נקודת קצה 101.23082.0009 >| יש לפרוס את גירסת ההפצה: 30.123082.0009 ואילך.
  • Microsoft Defender עבור נקודת קצה ב- Linux תומך בכל מהדורות Linux המשמשות את יישומי SAP.
  • Microsoft Defender עבור נקודת קצה ב- Linux מחייב קישוריות ל נקודות קצה ספציפיות של אינטרנט ממחשבים וירטואליים כדי לעדכן הגדרות אנטי-וירוס.
  • Microsoft Defender עבור נקודת קצה ב- Linux דורש ערכי crontab (או ערכים אחרים של מתזמן משימות) כדי לתזמן סריקות, סיבוב יומן Microsoft Defender עבור נקודת קצה עדכונים. צוותי אבטחה ארגונית מנהלים בדרך כלל ערכים אלה. ראה כיצד לתזמן עדכון של Microsoft Defender עבור נקודת קצה (Linux).

אפשרות קביעת התצורה המהווה ברירת מחדל עבור פריסה כ- Azure Extension for AntiVirus (AV) היא מצב פאסיבי. משמעות הדבר היא Microsoft Defender האנטי-וירוס, רכיב ה- AV של Microsoft Defender עבור נקודת קצה, אינו מיירט שיחות קלט/קלט/קלט. מומלץ להפעיל את 'מצב Microsoft Defender עבור נקודת קצה' בכל יישומי SAP ולתזמן סריקה פעם ביום. במצב זה:

  • הגנה בזמן אמת מבוטלת: איומים אינם מותנים על-ידי Microsoft Defender אנטי-וירוס.
  • סריקה לפי דרישה מופעלת: עדיין להשתמש ביכולות הסריקה ב נקודת הקצה.
  • תיקון איומים אוטומטי מבוטל: לא מועברים קבצים ומנהל האבטחה צפוי לבצע פעולה נדרשת.
  • עדכוני בינת אבטחה מופעלים: התראות זמינות בדייר של מנהל אבטחה.

כלים מקוונים לתיקון ליבה, כגון Ksplice או דומים, יכולים להוביל ליציבות בלתי צפויה של מערכת ההפעלה אם Defender for Endpoint פועל. מומלץ להפסיק באופן זמני את Daemon של נקודת הקצה של Defender for לפני ביצוע תיקון מקוון בליבה. לאחר עדכון הליבה, ניתן להפעיל מחדש בבטחה את Defender for Endpoint ב- Linux. הדבר חשוב במיוחד במחשבים וירטואליים גדולים של SAP HANA עם הקשרי זיכרון עצומים.

ה- crontab של Linux משמש בדרך כלל לתזמון משימות Microsoft Defender עבור נקודת קצה AV וסבב יומן: כיצד לתזמן סריקות באמצעות Microsoft Defender עבור נקודת קצה (Linux)

פונקציונליות זיהוי נקודות קצה ותגובה (EDR) פעילה בכל Microsoft Defender עבור נקודת קצה ב- Linux מותקן. אין דרך פשוטה להפוך את פונקציונליות EDR ללא זמינה באמצעות שורת הפקודה או קביעת התצורה. לקבלת מידע נוסף על פתרון בעיות ב- EDR, עיין בסעיפים פקודות שימושיותוקישורים שימושיים.

הגדרות תצורה חשובות עבור Microsoft Defender עבור נקודת קצה- SAP ב- Linux

מומלץ לבדוק את ההתקנה והתצורה של Defender עבור נקודת קצה עם הפקודה mdatp health.

הפרמטרים העיקריים המומלצים עבור יישומי SAP הם:

  • healthy = true
  • release_ring = Production. אין להשתמש בטבעות קדם-הקדם והטבעות למשתתפי Insider עם יישומי SAP.
  • real_time_protection_enabled = false. הגנה בזמן אמת כבויה במצב פאסיבי, שהוא מצב ברירת המחדל ומונעת יירוט קלט/קלט-נתונים בזמן אמת.
  • automatic_definition_update_enabled = true
  • definition_status = "up_to_date". הפעל עדכון ידני אם מזוהה ערך חדש.
  • edr_early_preview_enabled = "disabled". אם אפשרות זו זמינה במערכות SAP, הדבר עלול להוביל לאי-יציבות המערכת.
  • conflicting_applications = [ ]. תוכנות AV או אבטחה אחרות המותקנות במחשב וירטואלי כגון Clam.
  • supplementary_events_subsystem = "ebpf". אל תמשיך אם ebpf אינו מוצג. פנה לצוות מנהל האבטחה.

מאמר זה כולל כמה רמזים שימושיים לפתרון בעיות התקנה עבור Microsoft Defender עבור נקודת קצה: פתרון בעיות התקנה עבור Microsoft Defender עבור נקודת קצה ב- Linux

צוות האבטחה הארגונית חייב לקבל רשימה מלאה של אי-הכללות של אנטי-וירוס ממנהלי SAP (בדרך כלל צוות SAP Basis). מומלץ לא לכלול תחילה:

מערכות Oracle ASM אינן זקוקות לפריטים שאינם נכללים Microsoft Defender עבור נקודת קצה אין אפשרות לקרוא דיסקי ASM.

לקוחות בעלי אשכולות קוצב לב צריכים גם לקבוע את התצורה של אי הכללות אלה:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*

לקוחות שמפעילים את מדיניות האבטחה של Azure Security עשויים להפעיל סריקה באמצעות פתרון Freeware Clam AV. מומלץ להפוך סריקת Clam AV ללא זמינה לאחר שמחשבים וירטואליים היו מוגנים באמצעות Microsoft Defender עבור נקודת קצה באמצעות הפקודות הבאות:

sudo azsecd config  -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status 

המאמרים הבאים מסבירים כיצד להגדיר אי-הכללות של AV עבור תהליכים, קבצים ותיקיות לכל מחשב וירטואלי:

תזמון סריקה יומית של AV

התצורה המומלצת עבור יישומי SAP מבטלת יירוט בזמן אמת של קריאות קלט/קלט/קלט לסריקת AV. ההגדרה המומלצת היא מצב פאסיבי שבו real_time_protection_enabled = false.

הקישור הבא מפרט כיצד לתזמן סריקה: כיצד לתזמן סריקות באמצעות Microsoft Defender עבור נקודת קצה (Linux).

מערכות SAP גדולות עשויות לכלול יותר מ- 20 שרתי יישומי SAP עם חיבור לשיתוף SAPMNT NFS. 20 שרתי יישומים או יותר סורקים בו-זמנית את אותו שרת NFS, ככל להניח שמעמסים על שרת ה- NFS. כברירת מחדל, Defender עבור נקודת קצה ב- Linux אינו סורק מקורות NFS.

אם יש דרישה לסרוק את SAPMNT, יש להגדיר סריקה זו במחשב וירטואלי אחד או שניים בלבד.

יש לתזמן סריקות עבור SAP ECC, BW, CRM, SCM, Solution Manager ורכיבים אחרים במועדים שונים כדי להימנע מהעמיסה על יתר של מקור אחסון משותף של NFS המשותף על-ידי כל רכיבי SAP.

פקודות שימושיות

אם במהלך התקנת zypper ידנית בעת שימוש בשגיאה "דבר לא מספק את השגיאה "policycoreutils", עיין בנושא: פתרון בעיות התקנה עבור Microsoft Defender עבור נקודת קצה ב- Linux.

קיימות כמה פקודות של שורת פקודה ה יכולות לשלוט בפעולה של mdatp. כדי להפוך מצב פאסיבי לזמין, באפשרותך להשתמש בפקודה הבאה:

mdatp config passive-mode --value enabled

הערה

מצב פאסיבי הוא מצב ברירת המחדל בהתקנת Defender עבור נקודת קצה ב- Linux.

כדי לבטל הגנה בזמן אמת, באפשרותך להשתמש בפקודה:

mdatp config real-time-protection --value disabled

פקודה זו מורה ל- mdatp לאחזר את ההגדרות העדכניות ביותר מהענן:

mdatp definitions update 

פקודה זו בודקת אם mdatp יכול להתחבר ל נקודות הקצה מבוססות הענן דרך הרשת:

mdatp connectivity test

פקודות אלה מעדכנת את תוכנת mdatp, במידת הצורך:

yum update mdatp
zypper update mdatp

מאחר ש- mdatp פועל כשירות מערכת של Linux, באפשרותך לשלוט ב- mdatp באמצעות פקודת השירות, לדוגמה:

service mdatp status 

פקודה זו יוצרת קובץ אבחון שניתן להעלות לתמיכה של Microsoft:

sudo mdatp diagnostic create