Share via

Diretrizes de implantação para Microsoft Defender para Ponto de Extremidade no Linux para SAP

  • Artigo

Aplica-se a:

Este artigo fornece diretrizes de implantação para Microsoft Defender para Ponto de Extremidade no Linux para SAP. Este artigo inclui anotações recomendadas do SAP OSS (Sistema de Serviços Online), os requisitos do sistema, pré-requisitos, configurações importantes, exclusões de antivírus recomendadas e diretrizes sobre o agendamento de exames antivírus.

Defesas de segurança convencionais que têm sido comumente usadas para proteger sistemas SAP, como isolar a infraestrutura atrás de firewalls e limitar logotipos interativos do sistema operacional, não são mais consideradas suficientes para mitigar ameaças modernas e sofisticadas. É essencial implantar defesas modernas para detectar e conter ameaças em tempo real. Os aplicativos SAP, ao contrário da maioria das outras cargas de trabalho, exigem avaliação e validação básicas antes de implantar Microsoft Defender para Ponto de Extremidade. Os administradores de segurança da empresa devem entrar em contato com a equipe do SAP Basis antes de implantar o Defender para Ponto de Extremidade. O SAP Basis Team deve ser treinado com um nível básico de conhecimento sobre o Defender para Ponto de Extremidade.

Aplicativos SAP no Linux

  • O SAP só dá suporte a Suse, Redhat e Oracle Linux. Não há suporte para outras distribuições para aplicativos SAP S4 ou NetWeaver.
  • Suse 15.x, Redhat 8.x ou 9.x e Oracle Linux 8.x são altamente recomendados.
  • O Suse 12.x, o Redhat 7.x e o Oracle Linux 7.x têm suporte tecnicamente, mas não foram amplamente testados.
  • O Suse 11.x, o Redhat 6.x e o Oracle Linux 6.x podem não ter suporte e não foram testados.
  • Suse e Redhat oferecem distribuições personalizadas para SAP. Essas versões "para SAP" de Suse e Redhat podem ter pacotes diferentes pré-instalados e, possivelmente, kernels diferentes.
  • O SAP só dá suporte a determinados sistemas de arquivos Linux. Em geral, XFS e EXT3 são usados. O sistema de arquivos ASM (Oracle Automatic Storage Management) às vezes é usado para o Oracle DBMS e não pode ser lido pelo Defender para Ponto de Extremidade.
  • Alguns aplicativos SAP usam "mecanismos autônomos", como TREX, Adobe Document Server, Content Server e LiveCache. Esses mecanismos exigem exclusões de arquivo e configuração específicas.
  • Os aplicativos SAP geralmente têm diretórios de Transporte e Interface com milhares de arquivos pequenos. Se o número de arquivos for maior que 100.000, ele poderá e afetará o desempenho. É recomendável arquivar arquivos.
  • É altamente recomendável implantar o Defender para Ponto de Extremidade em paisagens SAP não produtivas por várias semanas antes de implantar na produção. A equipe de base sap deve usar ferramentas como sysstat, KSAR e nmon para verificar se a CPU e outros parâmetros de desempenho são afetados.

Pré-requisitos para implantar Microsoft Defender para Ponto de Extremidade no Linux em VMs SAP

  • Microsoft Defender para Ponto de Extremidade versão>= 101.23082.0009 | Versão de versão: 30.123082.0009 ou superior deve ser implantado.
  • Microsoft Defender para Ponto de Extremidade no Linux dá suporte a todas as versões do Linux usadas por aplicativos SAP.
  • Microsoft Defender para Ponto de Extremidade no Linux requer conectividade com pontos de extremidade específicos da Internet de VMs para atualizar definições antivírus.
  • Microsoft Defender para Ponto de Extremidade no Linux requer algumas entradas crontab (ou outro agendador de tarefas) para agendar verificações, rotação de log e atualizações de Microsoft Defender para Ponto de Extremidade. Normalmente, as equipes de segurança corporativa gerenciam essas entradas. Consulte Como agendar uma atualização do Microsoft Defender para Ponto de Extremidade (Linux).

A opção de configuração padrão para implantação como uma Extensão do Azure para AntiVírus (AV) será o Modo Passivo. Isso significa que o componente AV do Microsoft Defender para Ponto de Extremidade não interceptará chamadas de E/S. É recomendável executar Microsoft Defender para Ponto de Extremidade no Modo Passivo em todos os aplicativos SAP e agendar uma verificação uma vez por dia. Neste modo:

  • A proteção em tempo real é desativada: as ameaças não são corrigidas por Microsoft Defender Antivírus.
  • A verificação sob demanda está ativada: ainda use os recursos de verificação no ponto de extremidade.
  • A correção automática de ameaças é desativada: nenhum arquivo é movido e espera-se que o administrador de segurança tome as medidas necessárias.
  • As atualizações de inteligência de segurança estão ativadas: os alertas estão disponíveis no locatário do administrador de segurança.

O crontab do Linux normalmente é usado para agendar tarefas de verificação e rotação de log Microsoft Defender para Ponto de Extremidade AV: como agendar verificações com Microsoft Defender para Ponto de Extremidade (Linux)

A funcionalidade EDR (Detecção e Resposta de Ponto de Extremidade) está ativa sempre que Microsoft Defender para Ponto de Extremidade no Linux é instalado. Não há uma maneira simples de desabilitar a funcionalidade do EDR por meio da linha de comando ou da configuração. Para obter mais informações sobre como solucionar problemas do EDR, confira as seções Comandos Úteis e Links Úteis.

Configurações importantes para Microsoft Defender para Ponto de Extremidade no SAP no Linux

É recomendável marcar a instalação e a configuração do Defender para Ponto de Extremidade com o comando mdatp health.

Os principais parâmetros recomendados para aplicativos SAP são:

  • healthy = true
  • release_ring = Produção. Anéis de pré-lançamento e insider não devem ser usados com aplicativos SAP.
  • real_time_protection_enabled = false. A proteção em tempo real está desativada no modo passivo, que é o modo padrão e impede a interceptação de E/S em tempo real.
  • automatic_definition_update_enabled = true
  • definition_status = "up_to_date". Execute uma atualização manual se um novo valor for identificado.
  • edr_early_preview_enabled = "desabilitado". Se habilitado em sistemas SAP, pode levar à instabilidade do sistema.
  • conflicting_applications = [ ]. Outros softwares de segurança ou AV instalados em uma VM, como o Clam.
  • supplementary_events_subsystem = "ebpf". Não prossiga se o ebpf não for exibido. Entre em contato com a equipe de administradores de segurança.

Este artigo tem algumas dicas úteis sobre como solucionar problemas de instalação para Microsoft Defender para Ponto de Extremidade: Solucionar problemas de instalação para Microsoft Defender para Ponto de Extremidade no Linux

A Equipe de Segurança Da Empresa deve obter uma lista completa de exclusões antivírus dos Administradores sap (normalmente a equipe de base sap). É recomendável excluir inicialmente:

Os sistemas ASM do Oracle não precisam de exclusões, pois Microsoft Defender para Ponto de Extremidade não podem ler discos ASM.

Os clientes com clusters pacemaker também devem configurar essas exclusões:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Os clientes que executam a política de segurança do Azure Security podem disparar uma verificação usando a solução AV do Freeware Clam. É recomendável desabilitar a verificação do Clam AV depois que uma VM tiver sido protegida com Microsoft Defender para Ponto de Extremidade usando os seguintes comandos:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status

Os artigos a seguir detalham como configurar exclusões de AV para processos, arquivos e pastas por VM individual:

Agendando uma verificação diária de AV

A configuração recomendada para aplicativos SAP desabilita a interceptação em tempo real de chamadas de E/S para verificação de AV. A configuração recomendada é o modo passivo no qual real_time_protection_enabled = false.

O link a seguir detalha como agendar uma verificação: como agendar verificações com Microsoft Defender para Ponto de Extremidade (Linux).

Sistemas SAP grandes podem ter mais de 20 servidores de aplicativo SAP cada um com uma conexão com o compartilhamento SAPMNT NFS. Vinte ou mais servidores de aplicativo que verificam simultaneamente o mesmo servidor NFS provavelmente sobrecarregarão o servidor NFS. Por padrão, o Defender para Ponto de Extremidade no Linux não verifica fontes NFS.

Se houver um requisito para verificar o SAPMNT, essa verificação deverá ser configurada apenas em uma ou duas VMs.

As verificações agendadas para SAP ECC, BW, CRM, SCM, Gerenciador de Soluções e outros componentes devem ser escalonadas em momentos diferentes para evitar que todos os componentes SAP sobrecarregem uma fonte de armazenamento NFS compartilhada por todos os componentes sap.

Comandos úteis

Se, durante a instalação do zypper manual no Suse ocorrer um erro "Nada fornece 'policycoreutils'", consulte: Solucionar problemas de instalação para Microsoft Defender para Ponto de Extremidade no Linux.

Há vários comandos de linha de comando que podem controlar a operação do mdatp. Para habilitar o modo passivo, você pode usar o seguinte comando:

mdatp config passive-mode --value enabled

Observação

o modo passivo é o modo padrão na instalação do Defender para ponto de extremidade no Linux.

Para desativar a proteção em tempo real, você pode usar o comando:

mdatp config real-time-protection --value disabled

Este comando informa ao mdatp para recuperar as definições mais recentes da nuvem:

mdatp definitions update

Este comando testa se o mdatp pode se conectar aos pontos de extremidade baseados em nuvem por meio da rede:

mdatp connectivity test

Esses comandos atualizam o software mdatp, se necessário:

yum update mdatp

zypper update mdatp

Como o mdatp é executado como um serviço do sistema linux, você pode controlar o mdatp usando o comando de serviço, por exemplo:

service mdatp status

Este comando cria um arquivo de diagnóstico que pode ser carregado no suporte da Microsoft:

sudo mdatp diagnostic create