Üzembe helyezési útmutató az SAP-hoz készült Linuxon futó Végponthoz készült Microsoft Defender
Ez a cikk üzembe helyezési útmutatót nyújt az SAP-hoz készült Linuxon futó Végponthoz készült Microsoft Defender. Ez a cikk tartalmazza az SAP OSS (Online Services System) ajánlott megjegyzéseit, a rendszerkövetelményeket, az előfeltételeket, a fontos konfigurációs beállításokat, az ajánlott víruskereső kizárásokat, valamint útmutatást a víruskereső vizsgálatok ütemezéséhez.
Az SAP-rendszerek védelmére gyakran használt hagyományos biztonsági védelmi megoldások, például a tűzfalak mögötti infrastruktúra elkülönítése és az interaktív operációs rendszerek bejelentkezésének korlátozása, már nem tekinthetők elegendőnek a modern kifinomult fenyegetések mérsékléséhez. A fenyegetések valós idejű észleléséhez és tárolásához elengedhetetlen a modern védelem üzembe helyezése. A legtöbb más számítási feladattól eltérő SAP-alkalmazások alapszintű értékelést és ellenőrzést igényelnek a Végponthoz készült Microsoft Defender üzembe helyezése előtt. A vállalati biztonsági rendszergazdáknak kapcsolatba kell lépnie az SAP Basis csapatával a Végponthoz készült Defender üzembe helyezése előtt. Az SAP Alapcsapatot át kell tanítani a Végponthoz készült Defender alapszintű ismereteivel.
Ajánlott SAP OSS-megjegyzések
- 2248916 – Mely fájlokat és könyvtárakat kell kizárni az SAP BusinessObjects Üzletiintelligencia-platform termékeinek víruskereső vizsgálatából Linux/Unix rendszeren? – SAP ONE támogatási launchpad
- 1984459 – Mely fájlokat és könyvtárakat kell kizárni az SAP Data Services víruskereső vizsgálatából – SAP ONE támogatási kezdőpult
- 2808515 – Biztonsági szoftverek telepítése Linux rendszeren futó SAP-kiszolgálókra – SAP ONE támogatási indítópult
- 1730930 – Víruskereső szoftver használata SAP HANA-berendezésben – SAP ONE támogatási indítópult
- 1730997 – A víruskereső szoftver nem javasolt verziói – SAP ONE támogatási indítópult
SAP-alkalmazások Linuxon
- Az SAP csak a Suse, a Redhat és az Oracle Linux használatát támogatja. Más disztribúciók nem támogatottak SAP S4- vagy NetWeaver-alkalmazásokhoz.
- Erősen ajánlott a Suse 15.x, a Redhat 8.x vagy 9.x és az Oracle Linux 8.x használata.
- A Suse 12.x, a Redhat 7.x és az Oracle Linux 7.x technikailag támogatott, de nem tesztelték részletesen.
- Előfordulhat, hogy a Suse 11.x, a Redhat 6.x és az Oracle Linux 6.x nem támogatott, és nem lett tesztelve.
- A Suse és a Redhat testreszabott disztribúciókat kínál az SAP-hoz. A Suse és a Redhat "SAP" verziói különböző előre telepített csomagokkal és esetleg különböző kernelekkel rendelkezhetnek.
- Az SAP csak bizonyos Linux-fájlrendszereket támogat. Általában az XFS-t és az EXT3-at használják. Az Oracle Automatic Storage Management (ASM) fájlrendszerét néha az Oracle DBMS-hez használják, és a Végponthoz készült Defender nem tudja olvasni.
- Egyes SAP-alkalmazások olyan "önálló motorokat" használnak, mint a TREX, az Adobe Document Server, a Content Server és a LiveCache. Ezek a motorok speciális konfigurációt és fájlkizárásokat igényelnek.
- Az SAP-alkalmazások gyakran rendelkeznek átviteli és felületi könyvtárakkal, amelyekben sok ezer kis fájl található. Ha a fájlok száma meghaladja a 100 000-et, az hatással lehet a teljesítményre. Javasoljuk, hogy archiválja a fájlokat.
- Erősen ajánlott a Végponthoz készült Defendert több hétig nem éles SAP-környezetekben üzembe helyezni, mielőtt éles környezetben üzembe helyeznénk. Az SAP alapcsapatának olyan eszközöket kell használnia, mint
sysstat
a ,KSAR
a ésnmon
a, hogy ellenőrizze, hatással van-e a processzorra és más teljesítményparaméterekre.
A Végponthoz készült Microsoft Defender SAP virtuális gépeken linuxos üzembe helyezésének előfeltételei
- Végponthoz készült Microsoft Defender verzió>= 101.23082.0009 | Kiadási verzió: 30.123082.0009-es vagy újabb verziót kell telepíteni.
- Végponthoz készült Microsoft Defender Linuxon az SAP-alkalmazások által használt összes Linux-kiadást támogatja.
- Végponthoz készült Microsoft Defender Linuxon a virtuális gépek adott internetes végpontjaihoz való csatlakozás szükséges a víruskereső definícióinak frissítéséhez.
- Végponthoz készült Microsoft Defender Linuxon a vizsgálatok, naplórotálás és Végponthoz készült Microsoft Defender frissítések ütemezéséhez crontab (vagy más feladatütemező) bejegyzésre van szükség. Az Enterprise Security csapatai általában kezelik ezeket a bejegyzéseket. Lásd: A Végponthoz készült Microsoft Defender (Linux) frissítésének ütemezése.
Az Azure AntiVirus -bővítményként (AV) történő üzembe helyezés alapértelmezett konfigurációs beállítása a passzív mód. Ez azt jelenti, hogy Microsoft Defender víruskereső, a Végponthoz készült Microsoft Defender AV összetevője nem fogott I/O-hívásokat. Javasoljuk, hogy Végponthoz készült Microsoft Defender passzív módban futtassa az összes SAP-alkalmazáson, és naponta egyszer ütemezzen be egy vizsgálatot. Ebben a módban:
- A valós idejű védelem ki van kapcsolva: A fenyegetéseket nem orvosolja Microsoft Defender víruskereső.
- Az igény szerinti vizsgálat be van kapcsolva: Továbbra is használja a vizsgálati képességeket a végponton.
- A fenyegetés automatikus szervizelése ki van kapcsolva: A rendszer nem helyez át fájlokat, és a biztonsági rendszergazdának el kell végeznie a szükséges lépéseket.
- A biztonságiintelligencia-frissítések be vannak kapcsolva: A riasztások a biztonsági rendszergazda bérlőjén érhetők el.
Az olyan online kerneljavítási eszközök, mint a Ksplice vagy hasonló, kiszámíthatatlan operációsrendszer-stabilitáshoz vezethetnek, ha a Végponthoz készült Defender fut. Javasoljuk, hogy az online kerneljavítás végrehajtása előtt ideiglenesen állítsa le a Végponthoz készült Defender démont. A kernel frissítése után a Végponthoz készült Defender biztonságosan újraindítható Linux rendszeren. Ez különösen fontos a nagy méretű, nagy memóriakörnyezettel rendelkező SAP HANA virtuális gépeken.
A Linux crontab általában Végponthoz készült Microsoft Defender AV-vizsgálati és naplórotálási feladatok ütemezésére szolgál: Vizsgálatok ütemezése Végponthoz készült Microsoft Defender (Linux)
A Végpontészlelés és -válasz (EDR) funkció akkor aktív, ha a Linuxon Végponthoz készült Microsoft Defender van telepítve. Az EDR funkcióit nem lehet egyszerűen letiltani parancssorból vagy konfigurációból. Az EDR hibaelhárításával kapcsolatos további információkért tekintse meg a Hasznos parancsok és hasznos hivatkozások című szakaszt.
Fontos konfigurációs beállítások a Linuxon futó SAP-Végponthoz készült Microsoft Defender esetén
Javasoljuk, hogy ellenőrizze a Végponthoz készült Defender telepítését és konfigurációját a paranccsal mdatp health
.
Az SAP-alkalmazásokhoz ajánlott fő paraméterek a következők:
healthy = true
-
release_ring = Production
. A prerelease és az insider körök nem használhatók SAP-alkalmazásokkal. -
real_time_protection_enabled = false
. A valós idejű védelem passzív módban ki van kapcsolva, amely az alapértelmezett mód, és megakadályozza a valós idejű I/O-elfogást. automatic_definition_update_enabled = true
-
definition_status = "up_to_date"
. Futtasson manuális frissítést, ha új érték van azonosítva. -
edr_early_preview_enabled = "disabled"
. Ha engedélyezve van az SAP-rendszereken, az a rendszer instabilitásához vezethet. -
conflicting_applications = [ ]
. A virtuális gépre telepített egyéb AV- vagy biztonsági szoftverek, például a Clam. -
supplementary_events_subsystem = "ebpf"
. Ne folytassa, ha az ebpf nem jelenik meg. Lépjen kapcsolatba a biztonsági rendszergazdai csapattal.
Ez a cikk hasznos tippeket ad a Végponthoz készült Microsoft Defender telepítési problémáinak elhárításához: A linuxos Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása
Ajánlott Végponthoz készült Microsoft Defender víruskereső kizárásai linuxos SAP-hez
Az enterprise security csapatnak be kell szereznie a víruskereső kizárásainak teljes listáját az SAP-rendszergazdáktól (általában az SAP alapcsapatától). Javasoljuk, hogy először zárja ki a következőket:
- DBMS-adatfájlok, naplófájlok és ideiglenes fájlok, beleértve a biztonsági mentési fájlokat tartalmazó lemezeket is
- Az SAPMNT-könyvtár teljes tartalma
- Az SAPLOC-könyvtár teljes tartalma
- A TRANS könyvtár teljes tartalma
- Önálló motorok, például a TREX könyvtárainak teljes tartalma
- Hana – a /hana/shared, a /hana/data és a /hana/log kizárása – lásd: Megjegyzés 1730930
- SQL Server – Víruskereső szoftver konfigurálása SQL Server - SQL Server
- Oracle – Lásd: Víruskereső konfigurálása oracle adatbázis-kiszolgálón (dokumentumazonosító: 782354.1)
- DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
- SAP ASE – kapcsolatfelvétel az SAP-vel
- MaxDB – kapcsolatfelvétel az SAP-vel
Az Oracle ASM-rendszereknek nincs szükségük kizárásokra, mivel Végponthoz készült Microsoft Defender nem tudják olvasni az ASM-lemezeket.
A Pacemaker-fürtökkel rendelkező ügyfeleknek ezeket a kizárásokat is konfigurálnia kell:
mdatp exclusion folder add --path /usr/lib/pacemaker/ (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*
Az Azure Security biztonsági szabályzatot futtató ügyfelek vizsgálatot indíthatnak a Freeware Clam AV megoldással. Javasoljuk, hogy tiltsa le a Clam AV-vizsgálatot, miután egy virtuális gépet védetté tett Végponthoz készült Microsoft Defender a következő parancsokkal:
sudo azsecd config -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status
A következő cikkek részletesen ismertetik, hogyan konfigurálhatók AV-kizárások folyamatokhoz, fájlokhoz és mappákhoz az egyes virtuális gépeken:
- Kizárások beállítása Microsoft Defender víruskereső vizsgálatokhoz
- Gyakori hibák, amelyeket el kell kerülni a kizárások meghatározásakor
Napi AV-vizsgálat ütemezése
Az SAP-alkalmazásokhoz ajánlott konfiguráció letiltja az AV-vizsgálathoz szükséges I/O-hívások valós idejű elfogását. Az ajánlott beállítás a passzív mód, amelyben real_time_protection_enabled = hamis.
A következő hivatkozás részletesen ismerteti a vizsgálat ütemezését: Vizsgálatok ütemezése Végponthoz készült Microsoft Defender (Linux) használatával.
A nagyméretű SAP-rendszerek több mint 20 SAP-alkalmazáskiszolgálóval rendelkezhetnek, amelyek mindegyike rendelkezik kapcsolattal az SAPMNT NFS-megosztáshoz. Húsz vagy több alkalmazáskiszolgáló egyidejűleg ugyanazt az NFS-kiszolgálót vizsgálva valószínűleg túlterheli az NFS-kiszolgálót. Alapértelmezés szerint a Végponthoz készült Defender Linuxon nem vizsgálja az NFS-forrásokat.
Ha követelmény az SAPMNT vizsgálata, akkor ezt a vizsgálatot csak egy vagy két virtuális gépen kell konfigurálni.
Az SAP ECC, BW, CRM, SCM, Solution Manager és más összetevők ütemezett vizsgálatait különböző időpontokban kell csoportosítani, hogy az összes SAP-összetevő ne terhelje túl az összes SAP-összetevő által megosztott NFS-tárolóforrást.
Hasznos parancsok
Ha a Suse manuális zypper-telepítése során "Semmi sem biztosítja a "policycoreutils" hibát, tekintse meg a következőt: A linuxos Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása.
Számos parancssori parancs vezérli az mdatp működését. A passzív mód engedélyezéséhez használja a következő parancsot:
mdatp config passive-mode --value enabled
Megjegyzés:
A passzív mód az alapértelmezett mód a végponthoz készült Defender linuxos telepítésénél.
A valós idejű védelem kikapcsolásához használja a következő parancsot:
mdatp config real-time-protection --value disabled
Ez a parancs arra utasítja az mdatp-t, hogy kérje le a legújabb definíciókat a felhőből:
mdatp definitions update
Ez a parancs ellenőrzi, hogy az mdatp képes-e csatlakozni a felhőalapú végpontokhoz a hálózaton keresztül:
mdatp connectivity test
Ezek a parancsok szükség esetén frissítik az mdatp szoftvert:
yum update mdatp
zypper update mdatp
Mivel az mdatp linuxos rendszerszolgáltatásként fut, az mdatp a szolgáltatás parancsával vezérelhető, például:
service mdatp status
Ez a parancs létrehoz egy diagnosztikai fájlt, amely feltölthető a Microsoft ügyfélszolgálatához:
sudo mdatp diagnostic create
Hasznos hivatkozások
A Microsoft Endpoint Manager jelenleg nem támogatja a Linuxot
Microsoft Tech Community: Végponthoz készült Microsoft Defender üzembe helyezése Linux-kiszolgálókon
A linuxos Végponthoz készült Microsoft Defender felhőkapcsolati problémáinak elhárítása
A Linuxon futó Végponthoz készült Microsoft Defender teljesítményproblémáinak elhárítása