Udostępnij za pośrednictwem


Wskazówki dotyczące wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux dla systemu SAP

Ten artykuł zawiera wskazówki dotyczące wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux dla systemu SAP. Ten artykuł zawiera zalecane informacje o systemie SAP OSS (Online Services System), wymagania systemowe, wymagania wstępne, ważne ustawienia konfiguracji, zalecane wykluczenia antywirusowe i wskazówki dotyczące planowania skanowania antywirusowego.

Konwencjonalne mechanizmy zabezpieczeń, które były powszechnie używane do ochrony systemów SAP, takie jak izolowanie infrastruktury za zaporami i ograniczanie interakcyjnych logowania do systemu operacyjnego, nie są już uważane za wystarczające do wyeliminowania nowoczesnych zaawansowanych zagrożeń. Konieczne jest wdrożenie nowoczesnych mechanizmów obronnych w celu wykrywania zagrożeń i ich ograniczania w czasie rzeczywistym. Aplikacje SAP w przeciwieństwie do większości innych obciążeń wymagają podstawowej oceny i walidacji przed wdrożeniem Ochrona punktu końcowego w usłudze Microsoft Defender. Administratorzy zabezpieczeń przedsiębiorstwa powinni skontaktować się z zespołem SAP Basis przed wdrożeniem usługi Defender for Endpoint. Zespół SAP Basis Team powinien być przeszkolony krzyżowo z podstawowym poziomem wiedzy na temat usługi Defender for Endpoint.

Aplikacje SAP w systemie Linux

  • Oprogramowanie SAP obsługuje tylko systemy Suse, Redhat i Oracle Linux. Inne dystrybucje nie są obsługiwane w przypadku aplikacji SAP S4 lub NetWeaver.
  • Zdecydowanie zalecane są Suse 15.x, Redhat 8.x lub 9.x i Oracle Linux 8.x.
  • Suse 12.x, Redhat 7.x i Oracle Linux 7.x są technicznie obsługiwane, ale nie były szeroko testowane.
  • Suse 11.x, Redhat 6.x i Oracle Linux 6.x mogą nie być obsługiwane i nie były testowane.
  • Suse i Redhat oferują dostosowane dystrybucje dla oprogramowania SAP. Te wersje Suse i Redhat "for SAP" mogą mieć różne pakiety wstępnie zainstalowane i być może różne jądra.
  • System SAP obsługuje tylko niektóre systemy plików systemu Linux. Ogólnie rzecz biorąc, używane są platformy XFS i EXT3. System plików Oracle Automatic Storage Management (ASM) jest czasami używany w systemie Oracle DBMS i nie może być odczytywany przez usługę Defender for Endpoint.
  • Niektóre aplikacje SAP używają "aparatów autonomicznych", takich jak TREX, Adobe Document Server, Content Server i LiveCache. Aparaty te wymagają konkretnej konfiguracji i wykluczeń plików.
  • Aplikacje SAP często mają katalogi transportowe i interfejsowe z wieloma tysiącami małych plików. Jeśli liczba plików jest większa niż 100 000, może to mieć wpływ na wydajność. Zaleca się archiwizowanie plików.
  • Zdecydowanie zaleca się wdrożenie usługi Defender for Endpoint w nieproduktywnych środowiskach SAP przez kilka tygodni przed wdrożeniem w środowisku produkcyjnym. Zespół SAP Basis Team powinien używać narzędzi, takich jak sysstat, KSARi nmon w celu sprawdzenia, czy ma to wpływ na procesor CPU i inne parametry wydajności.

Wymagania wstępne dotyczące wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na maszynach wirtualnych SAP

  • Ochrona punktu końcowego w usłudze Microsoft Defender wersja>= 101.23082.0009 | Wersja wydania: 30.123082.0009 lub nowsza musi być wdrożona.
  • Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux obsługuje wszystkie wersje systemu Linux używane przez aplikacje SAP.
  • Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux wymaga łączności z określonymi internetowymi punktami końcowymi z maszyn wirtualnych w celu zaktualizowania definicji oprogramowania antywirusowego.
  • Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux wymaga niektórych wpisów crontab (lub innego harmonogramu zadań) do planowania skanowania, rotacji dzienników i aktualizacji Ochrona punktu końcowego w usłudze Microsoft Defender. Zespoły zabezpieczeń przedsiębiorstwa zwykle zarządzają tymi wpisami. Zapoznaj się z tematem Jak zaplanować aktualizację Ochrona punktu końcowego w usłudze Microsoft Defender (Linux).

Domyślną opcją konfiguracji wdrożenia jako rozszerzenia platformy Azure dla programu AntiVirus (AV) jest tryb pasywny. Oznacza to, że program antywirusowy Microsoft Defender, składnik av Ochrona punktu końcowego w usłudze Microsoft Defender, nie przechwytuje wywołań we/wy. Zaleca się uruchamianie Ochrona punktu końcowego w usłudze Microsoft Defender w trybie pasywnym we wszystkich aplikacjach SAP oraz zaplanowanie skanowania raz dziennie. W tym trybie:

  • Ochrona w czasie rzeczywistym jest wyłączona: zagrożenia nie są korygowane przez program antywirusowy Microsoft Defender.
  • Skanowanie na żądanie jest włączone: nadal używaj możliwości skanowania w punkcie końcowym.
  • Automatyczne korygowanie zagrożeń jest wyłączone: żadne pliki nie są przenoszone, a administrator zabezpieczeń powinien podjąć wymagane działania.
  • Aktualizacje analizy zabezpieczeń są włączone: alerty są dostępne w dzierżawie administratora zabezpieczeń.

Narzędzia do stosowania poprawek jądra online, takie jak Ksplice lub podobne, mogą prowadzić do nieprzewidywalnej stabilności systemu operacyjnego, jeśli usługa Defender for Endpoint jest uruchomiona. Zaleca się tymczasowe zatrzymanie demona usługi Defender for Endpoint przed wykonaniem poprawek jądra online. Po zaktualizowaniu jądra można bezpiecznie uruchomić ponownie usługę Defender for Endpoint w systemie Linux. Jest to szczególnie ważne w przypadku dużych maszyn wirtualnych SAP HANA z ogromnymi kontekstami pamięci.

Karta crontab systemu Linux jest zwykle używana do planowania zadań skanowania Ochrona punktu końcowego w usłudze Microsoft Defender av i rotacji dzienników: Jak zaplanować skanowanie za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender (Linux)

Funkcja wykrywania i reagowania punktów końcowych (EDR) jest aktywna za każdym razem, gdy Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. Nie ma prostego sposobu wyłączania funkcji EDR za pośrednictwem wiersza polecenia lub konfiguracji. Aby uzyskać więcej informacji na temat rozwiązywania problemów z EDR, zobacz sekcje Przydatne polecenia i przydatne linki.

Ważne ustawienia konfiguracji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie SAP w systemie Linux

Zaleca się sprawdzenie instalacji i konfiguracji usługi Defender for Endpoint za pomocą polecenia mdatp health.

Najważniejsze parametry zalecane dla aplikacji SAP to:

  • healthy = true
  • release_ring = Production. Pierścienie wstępne i wewnętrzne nie powinny być używane z aplikacjami SAP.
  • real_time_protection_enabled = false. Ochrona w czasie rzeczywistym jest wyłączona w trybie pasywnym, który jest trybem domyślnym i uniemożliwia przechwytywanie operacji we/wy w czasie rzeczywistym.
  • automatic_definition_update_enabled = true
  • definition_status = "up_to_date". Jeśli zostanie zidentyfikowana nowa wartość, uruchom aktualizację ręczną.
  • edr_early_preview_enabled = "disabled". Włączenie w systemach SAP może prowadzić do niestabilności systemu.
  • conflicting_applications = [ ]. Inne oprogramowanie av lub zabezpieczające zainstalowane na maszynie wirtualnej, takie jak Clam.
  • supplementary_events_subsystem = "ebpf". Nie kontynuuj, jeśli ebpf nie jest wyświetlany. Skontaktuj się z zespołem administratora zabezpieczeń.

Ten artykuł zawiera kilka przydatnych wskazówek dotyczących rozwiązywania problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender: Rozwiązywanie problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Zespół ds. zabezpieczeń przedsiębiorstwa musi uzyskać pełną listę wykluczeń oprogramowania antywirusowego od administratorów SAP (zazwyczaj zespołu sapów). Zalecane jest, aby początkowo wykluczyć:

Systemy Oracle ASM nie wymagają wykluczeń, ponieważ Ochrona punktu końcowego w usłudze Microsoft Defender nie mogą odczytywać dysków ASM.

Klienci z klastrami Pacemaker powinni również skonfigurować następujące wykluczenia:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*

Klienci korzystający z zasad zabezpieczeń platformy Azure mogą wyzwolić skanowanie przy użyciu rozwiązania Freeware Clam AV. Zaleca się wyłączenie skanowania clam AV po tym, jak maszyna wirtualna została chroniona za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu następujących poleceń:

sudo azsecd config  -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status 

W poniższych artykułach szczegółowo opisano sposób konfigurowania wykluczeń av dla procesów, plików i folderów dla poszczególnych maszyn wirtualnych:

Planowanie codziennego skanowania av

Zalecana konfiguracja dla aplikacji SAP wyłącza przechwytywanie wywołań we/wy w czasie rzeczywistym na potrzeby skanowania av. Zalecane ustawienie to tryb pasywny, w którym real_time_protection_enabled = false.

Poniższy link zawiera szczegółowe informacje dotyczące planowania skanowania: Jak zaplanować skanowanie za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender (Linux).

Duże systemy SAP mogą mieć więcej niż 20 serwerów aplikacji SAP z połączeniem z udziałem systemu PLIKÓW NFS SAPMNT. Dwadzieścia lub więcej serwerów aplikacji jednocześnie skanujących ten sam serwer NFS prawdopodobnie przeciąża serwer NFS. Domyślnie usługa Defender dla punktu końcowego w systemie Linux nie skanuje źródeł NFS.

Jeśli istnieje wymóg skanowania oprogramowania SAPMNT, to skanowanie powinno być skonfigurowane tylko na jednej lub dwóch maszynach wirtualnych.

Zaplanowane skanowania dla systemów SAP ECC, BW, CRM, SCM, Solution Manager i innych składników powinny być rozłożone w różnym czasie, aby uniknąć przeciążenia udostępnionego źródła magazynu systemu plików NFS współużytkowanego przez wszystkie składniki sap.

Przydatne polecenia

Jeśli podczas ręcznej instalacji programu Zypper na urządzeniu Suse występuje błąd "Nic nie zawiera wartości "policycoreutils", zapoznaj się z tematem: Rozwiązywanie problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Istnieje kilka poleceń wiersza polecenia, które mogą kontrolować działanie mdatp. Aby włączyć tryb pasywny, możesz użyć następującego polecenia:

mdatp config passive-mode --value enabled

Uwaga

tryb pasywny to domyślny tryb instalowania usługi Defender dla punktu końcowego w systemie Linux.

Aby wyłączyć ochronę w czasie rzeczywistym, możesz użyć polecenia :

mdatp config real-time-protection --value disabled

To polecenie informuje narzędzie mdatp o pobraniu najnowszych definicji z chmury:

mdatp definitions update 

To polecenie sprawdza, czy program mdatp może łączyć się z punktami końcowymi opartymi na chmurze za pośrednictwem sieci:

mdatp connectivity test

Te polecenia aktualizują oprogramowanie mdatp w razie potrzeby:

yum update mdatp
zypper update mdatp

Ponieważ narzędzie mdatp działa jako usługa systemu Linux, możesz kontrolować mdatp przy użyciu polecenia usługi, na przykład:

service mdatp status 

To polecenie tworzy plik diagnostyczny, który można przekazać do pomocy technicznej firmy Microsoft:

sudo mdatp diagnostic create