Share via


Üzembe helyezési útmutató az SAP-hoz készült Linuxon futó Végponthoz készült Microsoft Defender

Érintett szolgáltatás:

Ez a cikk üzembe helyezési útmutatót nyújt az SAP-hoz készült Linuxon futó Végponthoz készült Microsoft Defender. Ez a cikk tartalmazza az SAP OSS (Online Services System) ajánlott megjegyzéseit, a rendszerkövetelményeket, az előfeltételeket, a fontos konfigurációs beállításokat, az ajánlott víruskereső kizárásokat, valamint útmutatást a víruskereső vizsgálatok ütemezéséhez.

Az SAP-rendszerek védelmére gyakran használt hagyományos biztonsági védelem, például az infrastruktúra tűzfalak mögötti elkülönítése és az interaktív operációs rendszerek bejelentkezésének korlátozása már nem tekinthető elegendőnek a modern, kifinomult fenyegetések mérsékléséhez. A fenyegetések valós idejű észleléséhez és tárolásához elengedhetetlen a modern védelem üzembe helyezése. A legtöbb más számítási feladattól eltérő SAP-alkalmazások alapszintű értékelést és ellenőrzést igényelnek a Végponthoz készült Microsoft Defender üzembe helyezése előtt. A vállalati biztonsági rendszergazdáknak kapcsolatba kell lépnie az SAP Basis csapatával a Végponthoz készült Defender üzembe helyezése előtt. Az SAP Alapcsapatot át kell tanítani a Végponthoz készült Defender alapszintű ismereteivel.

SAP-alkalmazások Linuxon

  • Az SAP csak a Suse, a Redhat és az Oracle Linux használatát támogatja. Más disztribúciók nem támogatottak SAP S4- vagy NetWeaver-alkalmazásokhoz.
  • Erősen ajánlott a Suse 15.x, a Redhat 8.x vagy 9.x és az Oracle Linux 8.x használata.
  • A Suse 12.x, a Redhat 7.x és az Oracle Linux 7.x technikailag támogatott, de nem tesztelték részletesen.
  • Előfordulhat, hogy a Suse 11.x, a Redhat 6.x és az Oracle Linux 6.x nem támogatott, és nem lett tesztelve.
  • A Suse és a Redhat testreszabott disztribúciókat kínál az SAP-hoz. A Suse és a Redhat "SAP" verziói különböző előre telepített csomagokkal és esetleg különböző kernelekkel rendelkezhetnek.
  • Az SAP csak bizonyos Linux-fájlrendszereket támogat. Általában az XFS-t és az EXT3-at használják. Az Oracle Automatic Storage Management (ASM) fájlrendszerét néha az Oracle DBMS-hez használják, és a Végponthoz készült Defender nem tudja olvasni.
  • Egyes SAP-alkalmazások olyan "önálló motorokat" használnak, mint a TREX, az Adobe Document Server, a Content Server és a LiveCache. Ezek a motorok speciális konfigurációt és fájlkizárásokat igényelnek.
  • Az SAP-alkalmazások gyakran rendelkeznek átviteli és felületi könyvtárakkal, amelyekben sok ezer kis fájl található. Ha a fájlok száma meghaladja a 100 000-et, az hatással lehet a teljesítményre. Javasoljuk, hogy archiválja a fájlokat.
  • Erősen ajánlott a Végponthoz készült Defendert több hétig nem éles SAP-környezetekben üzembe helyezni, mielőtt éles környezetben üzembe helyeznénk. Az SAP alapcsapatának olyan eszközöket kell használnia, mint a sysstat, a KSAR és az nmon, hogy ellenőrizze, hatással van-e a processzorra és más teljesítményparaméterekre.

A Végponthoz készült Microsoft Defender SAP virtuális gépeken linuxos üzembe helyezésének előfeltételei

  • Végponthoz készült Microsoft Defender verzió>= 101.23082.0009 | Kiadási verzió: 30.123082.0009-es vagy újabb verziót kell telepíteni.
  • Végponthoz készült Microsoft Defender Linuxon az SAP-alkalmazások által használt összes Linux-kiadást támogatja.
  • Végponthoz készült Microsoft Defender Linuxon a virtuális gépek adott internetes végpontjaihoz való csatlakozás szükséges a víruskereső definícióinak frissítéséhez.
  • Végponthoz készült Microsoft Defender Linuxon a vizsgálatok, naplórotálás és Végponthoz készült Microsoft Defender frissítések ütemezéséhez crontab (vagy más feladatütemező) bejegyzésre van szükség. Az Enterprise Security csapatai általában kezelik ezeket a bejegyzéseket. Lásd: A Végponthoz készült Microsoft Defender (Linux) frissítésének ütemezése.

Az Azure AntiVirus-bővítményként (AV) történő üzembe helyezés alapértelmezett konfigurációs beállítása passzív mód lesz. Ez azt jelenti, hogy a Végponthoz készült Microsoft Defender AV-összetevője nem fogja elfogni az I/O-hívásokat. Javasoljuk, hogy Végponthoz készült Microsoft Defender passzív módban futtassa az összes SAP-alkalmazáson, és naponta egyszer ütemezzen be egy vizsgálatot. Ebben a módban:

  • A valós idejű védelem ki van kapcsolva: A fenyegetéseket nem orvosolja Microsoft Defender víruskereső.
  • Az igény szerinti vizsgálat be van kapcsolva: Továbbra is használja a vizsgálati képességeket a végponton.
  • A fenyegetés automatikus szervizelése ki van kapcsolva: A rendszer nem helyez át fájlokat, és a biztonsági rendszergazdának el kell végeznie a szükséges lépéseket.
  • A biztonságiintelligencia-frissítések be vannak kapcsolva: A riasztások a biztonsági rendszergazda bérlőjén érhetők el.

A Linux crontab általában Végponthoz készült Microsoft Defender AV-vizsgálati és naplórotálási feladatok ütemezésére szolgál: Vizsgálatok ütemezése Végponthoz készült Microsoft Defender (Linux)

A Végpontészlelés és -válasz (EDR) funkció akkor aktív, ha a Linuxon Végponthoz készült Microsoft Defender van telepítve. Az EDR funkcióit nem lehet egyszerűen letiltani parancssorból vagy konfigurációból. Az EDR hibaelhárításával kapcsolatos további információkért tekintse meg a Hasznos parancsok és hasznos hivatkozások című szakaszt.

Fontos konfigurációs beállítások a Linuxon futó SAP-Végponthoz készült Microsoft Defender esetén

Javasoljuk, hogy ellenőrizze a Végponthoz készült Defender telepítését és konfigurációját az mdatp-állapot paranccsal.

Az SAP-alkalmazásokhoz ajánlott fő paraméterek a következők:

  • egészséges = igaz
  • release_ring = Éles. A prerelease és az insider körök nem használhatók SAP-alkalmazásokkal.
  • real_time_protection_enabled = hamis. A valós idejű védelem passzív módban ki van kapcsolva, amely az alapértelmezett mód, és megakadályozza a valós idejű I/O-elfogást.
  • automatic_definition_update_enabled = igaz
  • definition_status = "up_to_date". Futtasson manuális frissítést, ha új érték van azonosítva.
  • edr_early_preview_enabled = "disabled" (letiltva). Ha engedélyezve van az SAP-rendszereken, az a rendszer instabilitásához vezethet.
  • conflicting_applications = [ ]. A virtuális gépre telepített egyéb AV- vagy biztonsági szoftverek, például a Clam.
  • supplementary_events_subsystem = "ebpf". Ne folytassa, ha az ebpf nem jelenik meg. Lépjen kapcsolatba a biztonsági rendszergazdai csapattal.

Ez a cikk hasznos tippeket ad a Végponthoz készült Microsoft Defender telepítési problémáinak elhárításához: A linuxos Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása

Az enterprise security csapatnak be kell szereznie a víruskereső kizárásainak teljes listáját az SAP-rendszergazdáktól (általában az SAP alapcsapatától). Javasoljuk, hogy először zárja ki a következőket:

  • DBMS-adatfájlok, naplófájlok és ideiglenes fájlok, beleértve a biztonsági mentési fájlokat tartalmazó lemezeket is
  • Az SAPMNT-könyvtár teljes tartalma
  • Az SAPLOC-könyvtár teljes tartalma
  • A TRANS könyvtár teljes tartalma
  • Önálló motorok, például a TREX könyvtárainak teljes tartalma
  • Hana – a /hana/shared, a /hana/data és a /hana/log kizárása – lásd: Megjegyzés 1730930
  • SQL Server – Víruskereső szoftver konfigurálása SQL Server - SQL Server
  • Oracle – Lásd: Víruskereső konfigurálása oracle adatbázis-kiszolgálón (dokumentumazonosító: 782354.1)
  • DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
  • SAP ASE – kapcsolatfelvétel az SAP-vel
  • MaxDB – kapcsolatfelvétel az SAP-vel

Az Oracle ASM-rendszereknek nincs szükségük kizárásokra, mivel Végponthoz készült Microsoft Defender nem tudják olvasni az ASM-lemezeket.

A Pacemaker-fürtökkel rendelkező ügyfeleknek ezeket a kizárásokat is konfigurálnia kell:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*

Az Azure Security biztonsági szabályzatot futtató ügyfelek vizsgálatot indíthatnak a Freeware Clam AV megoldással. Javasoljuk, hogy tiltsa le a Clam AV-vizsgálatot, miután egy virtuális gépet védetté tett Végponthoz készült Microsoft Defender a következő parancsokkal:

sudo azsecd config  -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status 

A következő cikkek részletesen ismertetik, hogyan konfigurálhatók AV-kizárások folyamatokhoz, fájlokhoz és mappákhoz az egyes virtuális gépeken:

Napi AV-vizsgálat ütemezése

Az SAP-alkalmazásokhoz ajánlott konfiguráció letiltja az AV-vizsgálathoz szükséges I/O-hívások valós idejű elfogását. Az ajánlott beállítás a passzív mód, amelyben real_time_protection_enabled = hamis.

A következő hivatkozás részletesen ismerteti a vizsgálat ütemezését: Vizsgálatok ütemezése Végponthoz készült Microsoft Defender (Linux) használatával.

A nagyméretű SAP-rendszerek több mint 20 SAP-alkalmazáskiszolgálóval rendelkezhetnek, amelyek mindegyike rendelkezik kapcsolattal az SAPMNT NFS-megosztáshoz. Húsz vagy több alkalmazáskiszolgáló egyidejűleg ugyanazt az NFS-kiszolgálót vizsgálva valószínűleg túlterheli az NFS-kiszolgálót. Alapértelmezés szerint a Végponthoz készült Defender Linuxon nem vizsgálja az NFS-forrásokat.

Ha követelmény az SAPMNT vizsgálata, akkor ezt a vizsgálatot csak egy vagy két virtuális gépen kell konfigurálni.

Az SAP ECC, BW, CRM, SCM, Solution Manager és más összetevők ütemezett vizsgálatait különböző időpontokban kell csoportosítani, hogy az összes SAP-összetevő ne terhelje túl az összes SAP-összetevő által megosztott NFS-tárolóforrást.

Hasznos parancsok

Ha a Suse manuális zypper-telepítése során "Semmi sem biztosítja a "policycoreutils" hibát, tekintse meg a következőt: A linuxos Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása.

Számos parancssori parancs vezérli az mdatp működését. A passzív mód engedélyezéséhez használja a következő parancsot:

mdatp config passive-mode --value enabled

Megjegyzés:

A passzív mód az alapértelmezett mód a végponthoz készült Defender linuxos telepítésénél.

A valós idejű védelem kikapcsolásához használja a következő parancsot:

mdatp config real-time-protection --value disabled

Ez a parancs arra utasítja az mdatp-t, hogy kérje le a legújabb definíciókat a felhőből:

mdatp definitions update 

Ez a parancs ellenőrzi, hogy az mdatp képes-e csatlakozni a felhőalapú végpontokhoz a hálózaton keresztül:

mdatp connectivity test

Ezek a parancsok szükség esetén frissítik az mdatp szoftvert:

yum update mdatp
zypper update mdatp

Mivel az mdatp linuxos rendszerszolgáltatásként fut, az mdatp a szolgáltatás parancsával vezérelhető, például:

service mdatp status 

Ez a parancs létrehoz egy diagnosztikai fájlt, amely feltölthető a Microsoft ügyfélszolgálatához:

sudo mdatp diagnostic create