Wskazówki dotyczące wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux dla systemu SAP

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)

Ten artykuł zawiera wskazówki dotyczące wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux dla systemu SAP. Ten artykuł zawiera zalecane informacje o systemie SAP OSS (Online Services System), wymagania systemowe, wymagania wstępne, ważne ustawienia konfiguracji, zalecane wykluczenia antywirusowe i wskazówki dotyczące planowania skanowania antywirusowego.

Konwencjonalne zabezpieczenia, które były często używane do ochrony systemów SAP, takich jak izolowanie infrastruktury za zaporami i ograniczanie interakcyjnych logowania do systemu operacyjnego, nie są już uważane za wystarczające do wyeliminowania nowoczesnych zaawansowanych zagrożeń. Konieczne jest wdrożenie nowoczesnych mechanizmów obronnych w celu wykrywania zagrożeń i ich ograniczania w czasie rzeczywistym. Aplikacje SAP w przeciwieństwie do większości innych obciążeń wymagają podstawowej oceny i walidacji przed wdrożeniem Ochrona punktu końcowego w usłudze Microsoft Defender. Administratorzy zabezpieczeń przedsiębiorstwa powinni skontaktować się z zespołem SAP Basis przed wdrożeniem usługi Defender for Endpoint. Zespół SAP Basis Team powinien być przeszkolony krzyżowo z podstawowym poziomem wiedzy na temat usługi Defender for Endpoint.

Zalecane uwagi dotyczące systemu operacyjnego SAP

• 2248916 — które pliki i katalogi powinny zostać wykluczone ze skanowania antywirusowego dla produktów SAP BusinessObjects Business Intelligence Platform w systemie Linux/Unix? — Launchpad pomocy technicznej sap one
• 1984459 — które pliki i katalogi powinny zostać wykluczone ze skanowania antywirusowego dla usług SAP Data Services — Launchpad pomocy technicznej SAP ONE
• 2808515 — instalowanie oprogramowania zabezpieczającego na serwerach SAP działających w systemie Linux — launchpad pomocy technicznej SAP ONE
• 1730930 — korzystanie z oprogramowania antywirusowego na urządzeniu SAP HANA — launchpad pomocy technicznej SAP ONE
• 1730997 — niezrekompensowane wersje oprogramowania antywirusowego — launchpad pomocy technicznej SAP ONE

Aplikacje SAP w systemie Linux

• Oprogramowanie SAP obsługuje tylko systemy Suse, Redhat i Oracle Linux. Inne dystrybucje nie są obsługiwane w przypadku aplikacji SAP S4 lub NetWeaver.
• Zdecydowanie zalecane są Suse 15.x, Redhat 8.x lub 9.x i Oracle Linux 8.x.
• Suse 12.x, Redhat 7.x i Oracle Linux 7.x są technicznie obsługiwane, ale nie były szeroko testowane.
• Suse 11.x, Redhat 6.x i Oracle Linux 6.x mogą nie być obsługiwane i nie były testowane.
• Suse i Redhat oferują dostosowane dystrybucje dla oprogramowania SAP. Te wersje Suse i Redhat "for SAP" mogą mieć różne pakiety wstępnie zainstalowane i być może różne jądra.
• System SAP obsługuje tylko niektóre systemy plików systemu Linux. Ogólnie rzecz biorąc, używane są platformy XFS i EXT3. System plików Oracle Automatic Storage Management (ASM) jest czasami używany w systemie Oracle DBMS i nie może być odczytywany przez usługę Defender for Endpoint.
• Niektóre aplikacje SAP używają "aparatów autonomicznych", takich jak TREX, Adobe Document Server, Content Server i LiveCache. Aparaty te wymagają konkretnej konfiguracji i wykluczeń plików.
• Aplikacje SAP często mają katalogi transportowe i interfejsowe z wieloma tysiącami małych plików. Jeśli liczba plików jest większa niż 100 000, może to mieć wpływ na wydajność. Zaleca się archiwizowanie plików.
• Zdecydowanie zaleca się wdrożenie usługi Defender for Endpoint w nieproduktywnych środowiskach SAP przez kilka tygodni przed wdrożeniem w środowisku produkcyjnym. Zespół sap basis powinien używać narzędzi, takich jak sysstat, KSAR i nmon, aby sprawdzić, czy ma to wpływ na procesor CPU i inne parametry wydajności.

Wymagania wstępne dotyczące wdrażania Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux na maszynach wirtualnych SAP

• Ochrona punktu końcowego w usłudze Microsoft Defender wersja>= 101.23082.0009 | Wersja wydania: 30.123082.0009 lub nowsza musi być wdrożona.
• Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux obsługuje wszystkie wersje systemu Linux używane przez aplikacje SAP.
• Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux wymaga łączności z określonymi internetowymi punktami końcowymi z maszyn wirtualnych w celu zaktualizowania definicji oprogramowania antywirusowego.
• Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux wymaga niektórych wpisów crontab (lub innego harmonogramu zadań) do planowania skanowania, rotacji dzienników i aktualizacji Ochrona punktu końcowego w usłudze Microsoft Defender. Zespoły zabezpieczeń przedsiębiorstwa zwykle zarządzają tymi wpisami. Zapoznaj się z tematem Jak zaplanować aktualizację Ochrona punktu końcowego w usłudze Microsoft Defender (Linux).

Domyślną opcją konfiguracji wdrożenia jako rozszerzenia platformy Azure dla programu AntiVirus (AV) będzie tryb pasywny. Oznacza to, że składnik AV Ochrona punktu końcowego w usłudze Microsoft Defender nie przechwytuje wywołań we/wy. Zaleca się uruchamianie Ochrona punktu końcowego w usłudze Microsoft Defender w trybie pasywnym we wszystkich aplikacjach SAP oraz zaplanowanie skanowania raz dziennie. W tym trybie:

• Ochrona w czasie rzeczywistym jest wyłączona: zagrożenia nie są korygowane przez program antywirusowy Microsoft Defender.
• Skanowanie na żądanie jest włączone: nadal używaj możliwości skanowania w punkcie końcowym.
• Automatyczne korygowanie zagrożeń jest wyłączone: żadne pliki nie są przenoszone, a administrator zabezpieczeń powinien podjąć wymagane działania.
• Aktualizacje analizy zabezpieczeń są włączone: alerty są dostępne w dzierżawie administratora zabezpieczeń.

Karta crontab systemu Linux jest zwykle używana do planowania zadań skanowania Ochrona punktu końcowego w usłudze Microsoft Defender av i rotacji dzienników: Jak zaplanować skanowanie za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender (Linux)

Funkcja wykrywania i reagowania punktów końcowych (EDR) jest aktywna za każdym razem, gdy Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux. Nie ma prostego sposobu wyłączania funkcji EDR za pośrednictwem wiersza polecenia lub konfiguracji. Aby uzyskać więcej informacji na temat rozwiązywania problemów z EDR, zobacz sekcje Przydatne polecenia i przydatne linki.

Ważne ustawienia konfiguracji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie SAP w systemie Linux

Zaleca się sprawdzenie instalacji i konfiguracji usługi Defender for Endpoint przy użyciu polecenia mdatp health.

Najważniejsze parametry zalecane dla aplikacji SAP to:

• healthy = true
• release_ring = produkcja. Pierścienie wstępne i wewnętrzne nie powinny być używane z aplikacjami SAP.
• real_time_protection_enabled = false. Ochrona w czasie rzeczywistym jest wyłączona w trybie pasywnym, który jest trybem domyślnym i uniemożliwia przechwytywanie operacji we/wy w czasie rzeczywistym.
• automatic_definition_update_enabled = true
• definition_status = "up_to_date". Jeśli zostanie zidentyfikowana nowa wartość, uruchom aktualizację ręczną.
• edr_early_preview_enabled = "disabled". Włączenie w systemach SAP może prowadzić do niestabilności systemu.
• conflicting_applications = [ ]. Inne oprogramowanie av lub zabezpieczające zainstalowane na maszynie wirtualnej, takie jak Clam.
• supplementary_events_subsystem = "ebpf". Nie kontynuuj, jeśli ebpf nie jest wyświetlany. Skontaktuj się z zespołem administratora zabezpieczeń.

Ten artykuł zawiera kilka przydatnych wskazówek dotyczących rozwiązywania problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender: Rozwiązywanie problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Zalecane Ochrona punktu końcowego w usłudze Microsoft Defender wykluczeń antywirusowych dla oprogramowania SAP w systemie Linux

Zespół ds. zabezpieczeń przedsiębiorstwa musi uzyskać pełną listę wykluczeń oprogramowania antywirusowego od administratorów SAP (zazwyczaj zespołu sapów). Zalecane jest, aby początkowo wykluczyć:

• Pliki danych DBMS, pliki dziennika i pliki tymczasowe, w tym dyski zawierające pliki kopii zapasowych
• Cała zawartość katalogu SAPMNT
• Cała zawartość katalogu SAPLOC
• Cała zawartość katalogu TRANS
• Cała zawartość katalogów dla silników autonomicznych, takich jak TREX
• Hana — wykluczanie /hana/shared, /hana/data i /hana/log — zobacz Uwaga 1730930
• SQL Server — konfigurowanie oprogramowania antywirusowego do pracy z SQL Server — SQL Server
• Oracle — zobacz jak skonfigurować ochronę antywirusową na serwerze Oracle Database Server (identyfikator dokumentu 782354.1)
• DB2 — https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
• SAP ASE — skontaktuj się z firmą SAP
• MaxDB — skontaktuj się z sapem

Systemy Oracle ASM nie wymagają wykluczeń, ponieważ Ochrona punktu końcowego w usłudze Microsoft Defender nie mogą odczytywać dysków ASM.

Klienci z klastrami Pacemaker powinni również skonfigurować następujące wykluczenia:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Klienci korzystający z zasad zabezpieczeń platformy Azure mogą wyzwolić skanowanie przy użyciu rozwiązania Freeware Clam AV. Zaleca się wyłączenie skanowania clam AV po tym, jak maszyna wirtualna została chroniona za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu następujących poleceń:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status 

W poniższych artykułach szczegółowo opisano sposób konfigurowania wykluczeń av dla procesów, plików i folderów dla poszczególnych maszyn wirtualnych:

• Konfigurowanie wykluczeń dla skanowania programu antywirusowego Microsoft Defender
• Typowe błędy, których należy unikać podczas definiowania wykluczeń

Planowanie codziennego skanowania av

Zalecana konfiguracja dla aplikacji SAP wyłącza przechwytywanie wywołań we/wy w czasie rzeczywistym na potrzeby skanowania av. Zalecane ustawienie to tryb pasywny, w którym real_time_protection_enabled = false.

Poniższy link zawiera szczegółowe informacje dotyczące planowania skanowania: Jak zaplanować skanowanie za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender (Linux).

Duże systemy SAP mogą mieć więcej niż 20 serwerów aplikacji SAP z połączeniem z udziałem systemu PLIKÓW NFS SAPMNT. Dwadzieścia lub więcej serwerów aplikacji jednocześnie skanujących ten sam serwer NFS prawdopodobnie przeciąża serwer NFS. Domyślnie usługa Defender dla punktu końcowego w systemie Linux nie skanuje źródeł NFS.

Jeśli istnieje wymóg skanowania oprogramowania SAPMNT, to skanowanie powinno być skonfigurowane tylko na jednej lub dwóch maszynach wirtualnych.

Zaplanowane skanowania dla systemów SAP ECC, BW, CRM, SCM, Solution Manager i innych składników powinny być rozłożone w różnym czasie, aby uniknąć przeciążenia udostępnionego źródła magazynu systemu plików NFS współużytkowanego przez wszystkie składniki sap.

Przydatne polecenia

Jeśli podczas ręcznej instalacji programu Zypper na urządzeniu Suse występuje błąd "Nic nie zawiera wartości "policycoreutils", zapoznaj się z tematem: Rozwiązywanie problemów z instalacją Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux.

Istnieje kilka poleceń wiersza polecenia, które mogą kontrolować działanie mdatp. Aby włączyć tryb pasywny, możesz użyć następującego polecenia:

mdatp config passive-mode --value enabled

Uwaga

tryb pasywny to domyślny tryb instalowania usługi Defender dla punktu końcowego w systemie Linux.

Aby wyłączyć ochronę w czasie rzeczywistym, możesz użyć polecenia :

mdatp config real-time-protection --value disabled

To polecenie informuje narzędzie mdatp o pobraniu najnowszych definicji z chmury:

mdatp definitions update 

To polecenie sprawdza, czy program mdatp może łączyć się z punktami końcowymi opartymi na chmurze za pośrednictwem sieci:

mdatp connectivity test

Te polecenia aktualizują oprogramowanie mdatp w razie potrzeby:

yum update mdatp

zypper update mdatp

Ponieważ narzędzie mdatp działa jako usługa systemu Linux, możesz kontrolować mdatp przy użyciu polecenia usługi, na przykład:

service mdatp status 

To polecenie tworzy plik diagnostyczny, który można przekazać do pomocy technicznej firmy Microsoft:

sudo mdatp diagnostic create

Przydatne linki

• Obecnie program Microsoft Endpoint Manager nie obsługuje systemu Linux

• Zarządzaj ustawieniami konfiguracji usługi ochrony punktu końcowego w usłudze Microsoft Defender na urządzeniach z programem Microsoft Endpoint Manager

• Microsoft Tech Community: Ochrona punktu końcowego w usłudze Microsoft Defender Linux — konfiguracja i lista poleceń operacji

• Microsoft Tech Community: Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender na serwerach z systemem Linux

• Rozwiązywanie problemów z łącznością w chmurze dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

• Rozwiązywanie problemów z wydajnością Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux