Distribusjonsveiledning for Microsoft Defender for endepunkt på Linux for SAP

Artikkel
05/17/2024

Gjelder for:

Microsoft Defender for endepunkt plan 2

Denne artikkelen gir distribusjonsveiledning for Microsoft Defender for endepunkt på Linux for SAP. Denne artikkelen inneholder anbefalte NOTATER for SAP OSS (Online Services System), systemkrav, forutsetninger, viktige konfigurasjonsinnstillinger, anbefalte antivirusutelukkelser og veiledning om planlegging av antivirusskanninger.

Konvensjonelle sikkerhetsforsvar som ofte har blitt brukt til å beskytte SAP-systemer som å isolere infrastruktur bak brannmurer og begrense interaktive operativsystempålogginger, anses ikke lenger som tilstrekkelige til å redusere moderne sofistikerte trusler. Det er viktig å distribuere moderne forsvar for å oppdage og inneholde trusler i sanntid. SAP-programmer, i motsetning til de fleste andre arbeidsbelastninger, krever grunnleggende vurdering og validering før Microsoft Defender for endepunkt distribueres. Bedriftssikkerhetsadministratorene bør kontakte SAP Basis-teamet før de distribuerer Defender for Endpoint. SAP Basis-teamet bør være cross trained med et grunnleggende kunnskapsnivå om Defender for Endpoint.

Anbefalte SAP OSS-notater

SAP-programmer på Linux

SAP støtter bare Suse, Redhat og Oracle Linux. Andre distribusjoner støttes ikke for SAP S4- eller NetWeaver-programmer.
Suse 15.x, Redhat 8.x eller 9.x og Oracle Linux 8.x anbefales på det sterkeste.
Suse 12.x, Redhat 7.x og Oracle Linux 7.x støttes teknisk, men ble ikke grundig testet.
Suse 11.x, Redhat 6.x og Oracle Linux 6.x støttes kanskje ikke og ble ikke testet.
Suse og Redhat tilbyr skreddersydde distribusjoner for SAP. Disse "for SAP"-versjonene av Suse og Redhat kan ha forskjellige pakker forhåndsinstallert og muligens forskjellige kjerner.
SAP støtter bare visse Linux-filsystemer. Generelt brukes XFS og EXT3. Oracle Automatic Storage Management -filsystem (ASM) brukes noen ganger for Oracle DBMS og kan ikke leses av Defender for Endpoint.
Noen SAP-programmer bruker frittstående motorer, for eksempel TREX, Adobe Document Server, Content Server og LiveCache. Disse motorene krever spesifikke konfigurasjons- og filutelukkelser.
SAP-programmer har ofte transport- og grensesnittkataloger med mange tusen små filer. Hvis antall filer er større enn 100 000, kan det og påvirke ytelsen. Det anbefales å arkivere filer.
Det anbefales på det sterkeste å distribuere Defender for Endpoint til ikke-produktive SAP-landskap i flere uker før du distribuerer til produksjon. SAP Basis-teamet bør bruke verktøy som sysstat, KSAR og nmon for å bekrefte om CPU og andre ytelsesparametere påvirkes.

Forutsetninger for distribusjon av Microsoft Defender for endepunkt på Linux på VIRTUELLE SAP-er

Microsoft Defender for endepunkt versjon>= 101.23082.0009 | Versjon: 30.123082.0009 eller nyere må distribueres.
Microsoft Defender for endepunkt på Linux støtter alle Linux-utgivelsene som brukes av SAP-programmer.
Microsoft Defender for endepunkt på Linux krever tilkobling til bestemte Internett-endepunkter fra virtuelle maskiner for å oppdatere antivirusdefinisjoner.
Microsoft Defender for endepunkt på Linux krever noen crontab-oppføringer (eller andre oppgaveplanleggere) for å planlegge skanninger, loggrotasjon og Microsoft Defender for endepunkt oppdateringer. Virksomhetssikkerhetsteam administrerer vanligvis disse oppføringene. Se Hvordan du planlegger en oppdatering av Microsoft Defender for endepunkt (Linux).

Standardkonfigurasjonsalternativet for distribusjon som Azure Extension for AntiVirus (AV) er passiv modus. Dette betyr at AV-komponenten i Microsoft Defender for endepunkt ikke avskjærer IO-kall. Det anbefales å kjøre Microsoft Defender for endepunkt i passiv modus på alle SAP-programmer og planlegge en skanning én gang per dag. I denne modusen:

Sanntidsbeskyttelse er deaktivert: Trusler utbedres ikke av Microsoft Defender Antivirus.
Skanning ved behov er aktivert: Bruk likevel skannefunksjonene på endepunktet.
Automatisk utbedring av trusler er deaktivert: Ingen filer flyttes, og sikkerhetsadministratoren forventes å utføre nødvendige tiltak.
Sikkerhetsanalyseoppdateringer er aktivert: Varsler er tilgjengelige på sikkerhetsadministratorens leier.

Linux crontab brukes vanligvis til å planlegge Microsoft Defender for endepunkt AV-skanne- og loggrotasjonsoppgaver: Slik planlegger du skanninger med Microsoft Defender for endepunkt (Linux)

EDR-funksjonalitet (Endpoint Detection and Response) er aktiv når Microsoft Defender for endepunkt på Linux er installert. Det er ikke mulig å deaktivere EDR-funksjonalitet gjennom kommandolinje eller konfigurasjon. Hvis du vil ha mer informasjon om feilsøking av EDR, kan du se avsnittene Nyttige kommandoer og Nyttige koblinger.

Viktige konfigurasjonsinnstillinger for Microsoft Defender for endepunkt på SAP på Linux

Det anbefales å kontrollere installasjonen og konfigurasjonen av Defender for Endpoint med mdatp-tilstanden for kommandoen.

Nøkkelparameterne som anbefales for SAP-programmer, er:

healthy = true
release_ring = Produksjon. Prerelease- og insider-ringer bør ikke brukes med SAP-programmer.
real_time_protection_enabled = usann. Sanntidsbeskyttelse er deaktivert i passiv modus, som er standardmodus og forhindrer IO-avskjæring i sanntid.
automatic_definition_update_enabled = sann
definition_status = "up_to_date". Kjør en manuell oppdatering hvis en ny verdi identifiseres.
edr_early_preview_enabled = "deaktivert". Hvis det er aktivert på SAP-systemer, kan det føre til systemustabilitet.
conflicting_applications = [ ]. Annen AV- eller sikkerhetsprogramvare installert på en virtuell maskin, for eksempel Clam.
supplementary_events_subsystem = "ebpf". Ikke fortsett hvis ebpf ikke vises. Kontakt sikkerhetsadministratorteamet.

Denne artikkelen inneholder noen nyttige tips om feilsøking av installasjonsproblemer for Microsoft Defender for endepunkt: Feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux

Anbefalte Microsoft Defender for endepunkt antivirusutelukkelser for SAP på Linux

Enterprise Security Team må få en fullstendig liste over antivirusutelukker fra SAP-administratorer (vanligvis SAP Basis Team). Det anbefales først å ekskludere:

DBMS-datafiler, loggfiler og midlertidige filer, inkludert disker som inneholder sikkerhetskopifiler
Hele innholdet i SAPMNT-katalogen
Hele innholdet i SAPLOC-katalogen
Hele innholdet i TRANS-katalogen
Hele innholdet i kataloger for frittstående motorer, for eksempel TREX
Hana – exclude /hana/shared, /hana/data, and /hana/log – se 1730930
SQL Server – konfigurere antivirusprogrammer til å fungere med SQL Server – SQL Server
Oracle – se hvordan du konfigurerer antivirus på Oracle Database Server (Doc ID 782354.1)
DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
SAP ASE – kontakt SAP
MaxDB – kontakt SAP

Oracle ASM-systemer trenger ikke utelukkelser fordi Microsoft Defender for endepunkt ikke kan lese ASM-disker.

Kunder med Pacemaker-klynger bør også konfigurere disse utelukkelsene:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Kunder som kjører sikkerhetspolicyen for Azure Security, kan utløse en skanning ved hjelp av Freeware Clam AV-løsningen. Det anbefales å deaktivere Clam AV-skanning etter at en virtuell maskin er beskyttet med Microsoft Defender for endepunkt ved hjelp av følgende kommandoer:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status

Følgende artikler beskriver hvordan du konfigurerer AV-utelatelser for prosesser, filer og mapper per individuelle VM:

Planlegge en daglig AV Scan

Den anbefalte konfigurasjonen for SAP-programmer deaktiverer avskjæring i sanntid av IO-kall for AV-skanning. Den anbefalte innstillingen er passiv modus der real_time_protection_enabled = usann.

Følgende kobling beskriver hvordan du planlegger en skanning: Slik planlegger du skanninger med Microsoft Defender for endepunkt (Linux).

Store SAP-systemer kan ha mer enn 20 SAP-programservere hver med en tilkobling til SAPMNT NFS-delingen. 20 eller flere programservere som skanner den samme NFS-serveren samtidig, vil sannsynligvis overbelaste NFS-serveren. Defender for Endpoint på Linux skanner som standard ikke NFS-kilder.

Hvis det er behov for å skanne SAPMNT, bør denne skanningen bare konfigureres på én eller to virtuelle maskiner.

Planlagte skanninger for SAP ECC, BW, CRM, SCM, Solution Manager og andre komponenter bør forskyves til forskjellige tider for å unngå at alle SAP-komponenter overbelaster en delt NFS-lagringskilde som deles av alle SAP-komponenter.

Nyttige kommandoer

Hvis det oppstår en feil under manuell zypper-installasjon ved bruk av «Ingenting gir policykorrektur» oppstår, kan du se: Feilsøke installasjonsproblemer for Microsoft Defender for endepunkt på Linux.

Det finnes flere kommandolinjekommandoer som kan styre operasjonen av mdatp. Hvis du vil aktivere passiv modus, kan du bruke følgende kommando:

mdatp config passive-mode --value enabled

Obs!

passiv modus er standardmodus for installasjon av defender for endepunkt på Linux.

Hvis du vil deaktivere sanntidsbeskyttelse, kan du bruke kommandoen:

mdatp config real-time-protection --value disabled

Denne kommandoen ber mdatp hente de nyeste definisjonene fra skyen:

mdatp definitions update

Denne kommandoen tester om mdatp kan koble til skybaserte endepunkter via nettverket:

mdatp connectivity test

Disse kommandoene oppdaterer mdatp-programvaren om nødvendig:

yum update mdatp

zypper update mdatp

Siden mdatp kjører som en linux-systemtjeneste, kan du kontrollere mdatp ved hjelp av tjenestekommandoen, for eksempel:

service mdatp status

Denne kommandoen oppretter en diagnosefil som kan lastes opp til Microsoft Kundestøtte:

sudo mdatp diagnostic create

Del via