הדרכת פריסה עבור Microsoft Defender עבור נקודת קצה- Linux for SAP

מאמר זה מספק הדרכה בנושא פריסה עבור Microsoft Defender עבור נקודת קצה- Linux for SAP. מאמר זה כולל הערות מומלצות של SAP OSS (מערכת השירותים המקוונים), דרישות המערכת, דרישות מוקדמות, הגדרות תצורה חשובות, אי-הכללות מומלצות של אנטי-וירוס והדרכה לגבי תזמון סריקות אנטי-וירוס.

אמצעי הגנה קונבנציונליים לאבטחה שבהם נעשה שימוש נפוץ כדי להגן על מערכות SAP, כגון מבודד תשתית מאחורי חומות אש והגבלת כניסות אינטראקטיביות למערכת ההפעלה, אינן נחשבות עוד למספיקות לצמצום איומים מתוחכמים מודרניים. חיוני לפרוס את ההגנה המודרנית כדי לזהות ולהכיל איומים בזמן אמת. יישומי SAP שלא כמו רוב עומסי העבודה האחרים דורשים הערכה בסיסית ולאימות לפני פריסת Microsoft Defender עבור נקודת קצה. על מנהלי האבטחה הארגוניים לפנות לצוות SAP Basis לפני פריסת Defender for Endpoint. יש להדריך את צוות SAP Basis באמצעות רמה בסיסית של ידע לגבי Defender for Endpoint.

הערות SAP OSS מומלצות

• 2248916 - אילו קבצים ומדריכי כתובות יש להוציא מסריקה של אנטי-וירוס עבור מוצרי SAP BusinessObjects Business Intelligence Platform ב- Linux/Unix? - השקת תמיכה של SAP ONE
• 1984459 - אילו קבצים ומדריכי כתובות לא ייכללו בסריקה של אנטי-וירוס עבור SAP Data Services - LAUNCHpad התמיכה של SAP ONE
• 2808515 - התקנת תוכנת אבטחה בשרתי SAP הפועלים ב- Linux - הפעלת התמיכה של SAP ONE
• 1730930 - שימוש בתוכנת אנטי-וירוס במכשיר SAP HANA - SAP ONE Support Launchpad
• 1730997 - גירסאות לא קרובות של תוכנת אנטי-וירוס - הפעלת התמיכה של SAP ONE

יישומי SAP ב- Linux

חשוב

בעת פריסת Defender עבור נקודת קצה ב- Linux, מומלץ להשתמש ב- eBPF. לקבלת מידע נוסף, ראה תיעוד eBPF. Defender for Endpoint שופר כדי להשתמש במסגרת eBPF.

ההתפלגויות הנתמכות כוללות את כל ההתפלגויות הנפוצות של Linux, אך לא SUSE 12.x. מומלץ ללקוחות SUSE 12.x לשדרג ל- SUSE 15. SUSE 12.x משתמש חיישן Audit.D מבוסס ישן בעל מגבלות ביצועים.

לקבלת מידע נוסף אודות התפלגויות תמיכה, ראה שימוש בחיישנים מבוססי eBPF Microsoft Defender עבור נקודת קצה ב- Linux.

להלן נקודה חשובה לגבי יישומי SAP בשרת Linux:

• SAP תומך רק ב- SUSE, Redhat ו- Oracle Linux. התפלגויות אחרות אינן נתמכות עבור יישומי SAP S4 או NetWeaver.
• מומלץ להשתמש ב- SUSE 15.x, Redhat 9.x ו- Oracle Linux 9.x. ההתפלגויות הנתמכות כוללות את כל ההתפלגויות הנפוצות של Linux, אך לא SUSE 12.x.
• SUSE 11.x, Redhat 6.x ו- Oracle Linux 6.x אינם נתמכים.
• Redhat 7.x ו- 8.x, ו- Oracle Linux 7.x ו- 8.x נתמכים טכנית, אך אינם נבדקים עוד בשילוב עם תוכנת SAP.
• SUSE ו- Redhat מציעים התפלגויות מותאמות אישית ל- SAP. גירסאות אלה של SUSE ו- Redhat עשויות להכיל חבילות שונות מותקנות מראש וייתכן שלבתים שונים.
• SAP תומך רק במערכות קבצים מסוימות של Linux. באופן כללי, נעשה שימוש ב- XFS וב- EXT3. מערכת הקבצים של Oracle Automatic Storage Management (ASM) משמשת לעתים עבור Oracle DBMS ו- Defender for Endpoint אינו יכול לקרוא אותה.
• אפליקציות SAP מסוימות משתמשות במנועים עצמאיים, כגון TREX, Adobe Document Server, Content Server ו- LiveCache. מנועים אלה דורשים תצורה ספציפית ופריטים שאינם נכללים בקובץ.
• יישומי SAP כוללים לעתים קרובות ספריות תעבורה וממשק עם אלפי קבצים קטנים רבים. אם מספר הקבצים גדול מ- 100,000, הדבר עשוי להשפיע על הביצועים. מומלץ לאחסן קבצים בארכיון.
• מומלץ לפרוס את Defender for Endpoint לנופי SAP שאינם פרודוקטיביים במשך מספר שבועות לפני הפריסה לייצור. צוות SAP Basis צריך להשתמש בכלים, כגון sysstat, , KSARו כדי nmon לוודא אם ה- CPU פרמטרים אחרים של ביצועים מושפעים. ניתן גם לקבוע תצורה של אי-הכללות נרחבות עם פרמטר הטווח הכללי ולאחר מכן להקטין בהפרשים קבועים את מספר הספריות שלא ייכללו.

דרישות מוקדמות לפריסת Microsoft Defender עבור נקודת קצה ב- Linux במחשבים וירטואליים של SAP

• Microsoft Defender עבור נקודת קצה Build: 101.24082.0004 | יש לפרוס את גירסת ההפצה: 30.124082.0004.0 ואילך.
• Microsoft Defender עבור נקודת קצה ב- Linux תומך בהפצה של Linux המשמשות יישומי SAP.
• Microsoft Defender עבור נקודת קצה ב- Linux מחייב קישוריות ל נקודות קצה ספציפיות של אינטרנט ממחשבים וירטואליים כדי לעדכן הגדרות אנטי-וירוס. לקבלת מידע נוסף, ראה אימות שהתקנים יכולים להתחבר לשירותי הענן של Defender for Endpoint.
• Microsoft Defender עבור נקודת קצה ב- Linux crontab דורשים ערכים מסוימים (או ערכים אחרים של מתזמן המשימות) כדי לתזמן סריקות, סיבוב יומן Microsoft Defender עבור נקודת קצה עדכונים. צוותי אבטחה ארגוניים מנהלים בדרך כלל ערכים אלה. לקבלת מידע נוסף, ראה כיצד לתזמן עדכון עבור Microsoft Defender עבור נקודת קצה-Linux.

נכון לדצמבר 2024, ניתן להגדיר בבטחה את Defender for Endpoint on Linux עם הגנה בזמן אמת זמינה.

אפשרות קביעת התצורה המהווה ברירת מחדל עבור פריסה Azure 'הרחבה עבור אנטי-וירוס' היא מצב פאסיבי. משמעות הדבר היא Microsoft Defender האנטי-וירוס, רכיב האנטי-וירוס/נגד תוכנות זדוניות של Microsoft Defender עבור נקודת קצה, אינו מיירט שיחות קלט/קלט. אנו ממליצים להפעיל את Defender for Endpoint ב- עם הגנה בזמן אמת זמינה בכל יישומי SAP. כסוג זה:

• הגנה בזמן אמת מופעלת: Microsoft Defender אנטי-וירוס מיירט שיחות קלט/קלט בזמן אמת.
• סריקה לפי דרישה מופעלת: באפשרותך להשתמש ביכולות סריקה ב נקודת הקצה.
• תיקון איומים אוטומטי מופעל: הקבצים מועברים ומנהל האבטחה מוצג בהתראה.
• עדכוני בינת אבטחה מופעלים: התראות זמינות בפורטל Microsoft Defender.

כלי תיקון ליבה מקוונים, כגון Ksplice או דומים, יכולים להוביל ליציבות בלתי צפויה של מערכת ההפעלה אם Defender for Endpoint פועל. מומלץ להפסיק באופן זמני את ה- Daemon של נקודת הקצה של Defender for לפני ביצוע תיקון מקוון בליבה. לאחר עדכון הליבה, ניתן להפעיל מחדש בבטחה את Defender for Endpoint ב- Linux. פעולה זו חשובה במיוחד במחשבים וירטואליים גדולים של SAP HANA עם הקשרי זיכרון עצומים.

כאשר Microsoft Defender האנטי-וירוס פועל עם הגנה בזמן אמת, הוא אינו נדרש עוד לתזמון סריקות. עליך להפעיל סריקה לפחות פעם אחת כדי להגדיר תוכנית בסיסית. לאחר מכן, במידת הצורך, ה- crontab של Linux משמשת בדרך כלל לתזמון סריקות אנטי Microsoft Defender אנטי-וירוס ומשימות סיבוב יומן רישום. לקבלת מידע נוסף, ראה כיצד לתזמן סריקות באמצעות Microsoft Defender עבור נקודת קצה (Linux).

פונקציונליות זיהוי נקודות קצה ותגובה (EDR) פעילה בכל Microsoft Defender עבור נקודת קצה ב- Linux מותקן. ניתן להפוך את הפונקציונליות של EDR ללא זמינה באמצעות שורת הפקודה או קביעת התצורה באמצעות אי-הכללות כלליות. לקבלת מידע נוסף אודות פתרון בעיות ב- EDR, עיין בסעיפים פקודות שימושיותוקישורים שימושיים (במאמר זה).

הגדרות תצורה חשובות עבור Microsoft Defender עבור נקודת קצה- SAP ב- Linux

מומלץ לבדוק את ההתקנה והתצורה של Defender עבור נקודת קצה עם הפקודה mdatp health.

להלן הפרמטרים העיקריים המומלצים עבור יישומי SAP:

healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

לקבלת מידע אודות פתרון בעיות התקנה, ראה פתרון בעיות התקנה עבור Microsoft Defender עבור נקודת קצה ב- Linux.

פריטים Microsoft Defender עבור נקודת קצה אנטי-וירוס מומלצים עבור SAP on Linux

צוות האבטחה של הארגון שלך חייב לקבל רשימה מלאה של אי-הכללות של אנטי-וירוס ממנהלי SAP (בדרך כלל צוות SAP Basis). מומלץ לא לכלול תחילה:

• קבצי נתונים של DBMS, קבצי יומן רישום וקבצים זמניים, כולל דיסקים המכילים קבצי גיבוי
• כל התוכן של ספריית SAPMNT
• כל התוכן של ספריית SAPLOC
• כל התוכן של ספריית TRANS
• Hana – exclude /hana/shared, /hana/data, and /hana/log - see Note 1730930
• SQL Server – קביעת תצורה של תוכנת אנטי-וירוס כך שיפעלו עם SQL Server
• Oracle – ראה כיצד להגדיר אנטי-וירוס בשרת Oracle Database Server (מזהה מסמך 782354.1)
• DB2 – תיעוד IBM: אילו מדריכי DB2 לא לכלול בתוכנת אנטי-וירוס
• SAP ASE – צור קשר עם SAP
• MaxDB – צור קשר עם SAP
• יש לבדוק היטב את Adobe Document Server, SAP ארכיון Directories, TREX, LiveCache, Content Server ומנועים עצמאיים אחרים בזהירות בנוףים שאינם משוכללים לפני פריסת Defender עבור נקודת קצה בייצור

מערכות Oracle ASM אינן זקוקות לפריטים שאינם נכללים Microsoft Defender עבור נקודת קצה אין אפשרות לקרוא דיסקי ASM.

לקוחות בעלי אשכולות קוצב לב צריכים גם לקבוע את התצורה של אי הכללות אלה:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

לקוחות שמפעילים את Azure האבטחה עשוי להפעיל סריקה באמצעות פתרון Freeware Clam AV. מומלץ להפוך סריקת Clam AV ללא זמינה לאחר שמחשבים וירטואליים היו מוגנים באמצעות Microsoft Defender עבור נקודת קצה באמצעות הפקודות הבאות:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status 

המאמרים הבאים מסבירים כיצד להגדיר אי-הכללות של אנטי-וירוס עבור תהליכים, קבצים ותיקיות לכל מחשב וירטואלי:

• הגדרת פריטים שאינם נכללים בסריקה Microsoft Defender אנטי-וירוס
• שגיאות נפוצות להימנעות בעת הגדרת אי-הכללות

תזמון סריקת אנטי-וירוס יומית (אופציונלי)

התצורה המומלצת עבור יישומי SAP מאפשרת יירוט בזמן אמת של קריאות קלט/קלט/קלט לסריקת אנטי-וירוס. ההגדרה המומלצת היא מצב פאסיבי שבו real_time_protection_enabled = true.

אפליקציות SAP הפועלות בגירסאות קודמות של Linux או בחומרה שייתכן שתשקול להשתמש ב- real_time_protection_enabled = false. במקרה זה, יש לתזמן סריקות אנטי-וירוס.

לקבלת מידע נוסף, ראה כיצד לתזמן סריקות באמצעות Microsoft Defender עבור נקודת קצה (Linux).

מערכות SAP גדולות עשויות לכלול יותר מ- 20 שרתי יישומים של SAP, שכל אחד מהם כולל חיבור לשיתוף של SAPMNT NFS. 20 שרתי יישומים או יותר סורקים בו-זמנית את אותו שרת NFS, ככל להניח שמעמסים על שרת ה- NFS. כברירת מחדל, Defender עבור נקודת קצה ב- Linux אינו סורק מקורות NFS.

אם יש דרישה לסרוק את SAPMNT, יש להגדיר סריקה זו במחשב וירטואלי אחד או שניים בלבד.

יש לתזמן סריקות עבור SAP ECC, BW, CRM, SCM, Solution Manager ורכיבים אחרים במועדים שונים כדי להימנע מהעמיסה על יתר של מקור אחסון משותף של NFS המשותף על-ידי כל רכיבי SAP.

פקודות שימושיות

אם במהלך התקנת zypper ידנית ב- SUSE מתרחשת שגיאה 'מדיניותcoreutils' לא מספקת דבר, ראה פתרון בעיות התקנה עבור Microsoft Defender עבור נקודת קצה ב- Linux.

קיימות כמה פקודות של שורת פקודה ה יכולות לשלוט בפעולה של mdatp. כדי להפוך מצב פאסיבי לזמין, באפשרותך להשתמש בפקודה הבאה:

mdatp config passive-mode --value enabled

הערה

מצב פאסיבי הוא מצב ברירת המחדל בעת התקנת Defender for Endpoint ב- Linux.

כדי להפעיל הגנה בזמן אמת, באפשרותך להשתמש בפקודה:

mdatp config real-time-protection --value enabled

פקודה זו מורה ל- mdatp לאחזר את ההגדרות העדכניות ביותר מהענן:

mdatp definitions update 

פקודה זו בודקת אם mdatp יכול להתחבר ל נקודות הקצה מבוססות הענן ברשת:

mdatp connectivity test

פקודות אלה מעדכנת את תוכנת mdatp, במידת הצורך:

yum update mdatp

zypper update mdatp

מאחר ש- mdatp פועל כשירות מערכת של Linux, באפשרותך לשלוט ב- mdatp באמצעות פקודת השירות, לדוגמה:

service mdatp status 

פקודה זו יוצרת קובץ אבחון שניתן להעלות לתמיכה של Microsoft:

sudo mdatp diagnostic create

קישורים שימושיים

• כדי לנתח ביצועים או בעיות אחרות, ראה הפעלת מנתח הלקוח ב- Linux.

• Microsoft Intune אינו תומך ב- Linux בשלב זה. ראה למד כיצד להשתמש Intune אבטחה של נקודות קצה כדי לנהל Microsoft Defender עבור נקודת קצה במכשירים שאינם רשומים ל- Intune.

• Microsoft Tech Community: Microsoft Defender עבור נקודת קצה Linux - רשימת פקודות תצורה ופעולה

• Microsoft Tech Community: פריסת Microsoft Defender עבור נקודת קצה בשרתי Linux

• פתרון בעיות קישוריות בענן עבור Microsoft Defender עבור נקודת קצה ב- Linux

• פתרון בעיות ביצועים עבור Microsoft Defender עבור נקודת קצה ב- Linux

מאמרים קשורים

• קלוט שרתים Microsoft Defender עבור נקודת קצה
• Microsoft Defender עבור נקודת קצה ב Windows Server עם SAP