Microsoft Defender para Ponto de Extremidade no Windows Server com SAP
Aplica-se a:
Se sua organização usa SAP, é essencial entender a compatibilidade e o suporte entre antivírus e EDR em Microsoft Defender para Ponto de Extremidade e seus aplicativos SAP. Este artigo ajuda você a entender o suporte fornecido pelo SAP para soluções de segurança de proteção de ponto de extremidade, como o Defender para Ponto de Extremidade e como eles interagem com aplicativos SAP.
Este artigo descreve como usar Microsoft Defender para Ponto de Extremidade no Windows Server ao lado de aplicativos SAP, como NetWeaver e S4 Hana, e mecanismos autônomos SAP, como o LiveCache. Neste artigo, focamos nos recursos antivírus e EDR no Defender para Ponto de Extremidade. Para obter uma visão geral de todos os recursos do Defender para Ponto de Extremidade, consulte Microsoft Defender para Ponto de Extremidade.
Este artigo não abrange o software cliente SAP, como SAPGUI ou Microsoft Defender Antivírus em dispositivos cliente Windows.
Segurança da empresa e sua equipe do SAP Basis
A segurança da empresa é uma função especializada e as atividades descritas neste artigo devem ser planejadas como uma atividade conjunta entre sua equipe de segurança corporativa e a equipe da BASE SAP. A equipe de segurança da empresa precisa coordenar com a equipe do SAP Basis e projetar conjuntamente a configuração do Defender para Ponto de Extremidade e analisar quaisquer exclusões.
Obter uma visão geral do Defender para Ponto de Extremidade
O Defender para Ponto de Extremidade é um componente do Microsoft Defender XDR e pode ser integrado à sua solução SIEM/SOAR.
Antes de começar a planejar ou implantar o Defender para Ponto de Extremidade no Windows Server com SAP, tire um momento para obter uma visão geral do Defender para Ponto de Extremidade. O vídeo a seguir fornece uma visão geral:
Para obter informações mais detalhadas sobre as ofertas de segurança do Defender para Ponto de Extremidade e da Microsoft, confira os seguintes recursos:
- Microsoft Defender para Ponto de Extremidade
- Documentação e treinamento da Microsoft Security – Documentação de segurança
O Defender para Ponto de Extremidade inclui recursos que estão além do escopo deste artigo. Neste artigo, nos concentramos em duas áreas de main:
- Proteção de próxima geração (que inclui proteção contra antivírus). A proteção de próxima geração é um produto antivírus como outras soluções antivírus para ambientes Windows.
- EDR (Detecção e Resposta de Ponto de Extremidade). As funcionalidades do EDR detectam atividades suspeitas e chamadas do sistema e fornecem uma camada extra de proteção contra ameaças que ignoraram a proteção antivírus.
A Microsoft e outros fornecedores de software de segurança acompanham ameaças e fornecem informações de tendência. Para obter informações, consulte Cyberthreats, vírus e malware – Inteligência de Segurança da Microsoft.
Observação
Para obter informações sobre Microsoft Defender para SAP no Linux, consulte Diretrizes de implantação para Microsoft Defender para Ponto de Extremidade no Linux para SAP. O Defender para Ponto de Extremidade no Linux é significativamente diferente da versão do Windows.
Instrução de suporte do SAP no Defender para Ponto de Extremidade e outras soluções de segurança
O SAP fornece documentação básica para soluções antivírus de verificação de arquivos convencionais. Soluções antivírus de verificação de arquivos convencionais comparam assinaturas de arquivo com um banco de dados de ameaças conhecidas. Quando um arquivo infectado é identificado, o software antivírus normalmente alerta e coloca o arquivo em quarentena. Os mecanismos e o comportamento das soluções antivírus de verificação de arquivos são razoavelmente bem conhecidos e previsíveis; Portanto, o suporte do SAP pode fornecer um nível básico de suporte para aplicativos SAP que interagem com o software antivírus de verificação de arquivos.
As ameaças baseadas em arquivo agora são apenas um vetor possível para software mal-intencionado. Malware sem arquivos e malware que vive fora da terra, ameaças altamente polimórficas que se transformam mais rapidamente do que as soluções tradicionais podem acompanhar, e ataques operados por humanos que se adaptam ao que os adversários encontram em dispositivos comprometidos. Soluções de segurança antivírus tradicionais não são suficientes para impedir esses ataques. Recursos com suporte para IA (inteligência artificial) e ML (aprendizado de dispositivo), como bloqueio comportamental e contenção são necessários. O software de segurança, como o Defender para Ponto de Extremidade, tem recursos avançados de proteção contra ameaças para mitigar ameaças modernas.
O Defender para Ponto de Extremidade está monitorando continuamente as chamadas do sistema operacional, como leitura de arquivo, gravação de arquivo, soquete de criação e outras operações de nível de processo. O sensor EDR do Defender para Ponto de Extremidade adquire bloqueios oportunistas em sistemas de arquivos NTFS locais e, portanto, é improvável que impacte os aplicativos. Bloqueios oportunistas não são possíveis em sistemas de arquivos de rede remota. Em casos raros, um bloqueio pode causar erros gerais não específicos, como o Access Negado em aplicativos SAP.
O SAP não é capaz de fornecer nenhum nível de suporte para software EDR/XDR, como Microsoft Defender XDR ou Defender para Ponto de Extremidade. Os mecanismos nessas soluções são adaptáveis; portanto, eles não são previsíveis. Além disso, os problemas potencialmente não são reproduzidos. Quando os problemas são identificados em sistemas que executam soluções avançadas de segurança, o SAP recomenda desabilitar o software de segurança e tentar reproduzir o problema. Um caso de suporte pode ser gerado com o fornecedor de software de segurança.
Para obter mais informações sobre a política de suporte do SAP, consulte 3356389 - Antivírus ou outros softwares de segurança que afetam as operações SAP.
Notas recomendadas do SAP OSS
Aqui está uma lista de artigos sap que você pode usar conforme necessário:
- 3356389 – Antivírus ou outros softwares de segurança que afetam operações SAP – SAP para Mim
- 106267 – Software de scanner de vírus no Windows – SAP para Mim
- 690449 – Arquivo de bloqueio de buffer de transporte (. LOB) permanece bloqueado no Windows – SAP para Mim
- 2311946 – Erros de sistema de arquivos no Windows – SAP para mim
- 2496239 – Ransomware/malware no Windows – SAP para Mim
- 1497394 – Quais arquivos e diretórios devem ser excluídos de uma verificação antivírus para produtos SAP BusinessObjects Business Intelligence Platform no Windows? - SAP para mim
Aplicativos SAP no Windows Server: as 10 principais recomendações
Limite o acesso a servidores SAP, bloqueie portas de rede e tome todas as outras medidas comuns de proteção de segurança. Essa primeira etapa é essencial. O cenário de ameaças evoluiu de vírus baseados em arquivos para ameaças complexas e sofisticadas sem arquivos. Ações como bloquear portas e limitar o logon/acesso a VMs não são mais consideradas suficientes para atenuar totalmente as ameaças modernas.
Implante o Defender para Ponto de Extremidade em sistemas não produtivos primeiro antes de implantar em sistemas de produção. Implantar o Defender para Ponto de Extremidade diretamente em sistemas de produção sem testes é altamente arriscado e pode levar ao tempo de inatividade. Se você não puder atrasar a implantação do Defender para Ponto de Extremidade em seus sistemas de produção, considere desabilitar temporariamente a proteção contra adulteração e a proteção em tempo real.
Lembre-se de que a proteção em tempo real está habilitada por padrão no Windows Server. Se forem identificados problemas que possam estar relacionados ao Defender para Ponto de Extremidade, é recomendável configurar exclusões e/ou abrir um caso de suporte por meio do portal Microsoft Defender.
Faça com que a equipe do SAP Basis e sua equipe de segurança trabalhem juntas na implantação do Defender para Ponto de Extremidade. As duas equipes precisam criar conjuntamente um plano de implantação, teste e monitoramento em fases.
Use ferramentas como o PerfMon (Windows) para criar uma linha de base de desempenho antes de implantar e ativar o Defender para Ponto de Extremidade. Compare a utilização de desempenho antes e depois de ativar o Defender para Ponto de Extremidade. Consulte perfmon.
Implante a versão mais recente do Defender para Ponto de Extremidade e use as versões mais recentes do Windows, idealmente Windows Server 2019 ou mais recente. Consulte Requisitos mínimos para Microsoft Defender para Ponto de Extremidade.
Configure determinadas exclusões para Microsoft Defender Antivírus. Eles incluem:
- Arquivos de dados DBMS, arquivos de log e arquivos temporários, incluindo discos que contêm arquivos de backup
- O conteúdo inteiro do diretório SAPMNT
- O conteúdo inteiro do diretório SAPLOC
- O conteúdo inteiro do diretório TRANS
- Todo o conteúdo de diretórios para mecanismos autônomos, como TREX
Usuários avançados podem considerar o uso de exclusões de arquivos contextuais e pastas.
Para obter mais informações sobre exclusões de DBMS, use os seguintes recursos:
- SQL Server: configurar o software antivírus para trabalhar com SQL Server
- Oracle: Como configurar o antivírus no Oracle Database Server (Doc ID 782354.1)
- DB2: quais diretórios DB2 excluir do software Antivírus do Linux (use os mesmos comandos no Windows Server)
- SAP ASE: entre em contato com o SAP
- MaxDB: entrar em contato com o SAP
Verifique as configurações do Defender para Ponto de Extremidade. Microsoft Defender Antivírus com aplicativos SAP deve ter as seguintes configurações na maioria dos casos:
AntivirusEnabled : True
AntivirusSignatureAge : 0
BehaviorMonitorEnabled : True
DefenderSignaturesOutOfDate : False
IsTamperProtected : True
RealTimeProtectionEnabled : True
Use ferramentas, como Intune ou gerenciamento de configurações de segurança do Defender para Ponto de Extremidade para configurar o Defender para Ponto de Extremidade. Essas ferramentas podem ajudar a garantir que o Defender para Ponto de Extremidade esteja configurado corretamente e uniformemente implantado.
Para usar o gerenciamento de configurações de segurança do Defender para Ponto de Extremidade, no portal Microsoft Defender, acesse Políticas> desegurança de ponto de extremidade degerenciamento> de configuração de pontos de extremidade e selecione Create nova Política. Para obter mais informações, consulte Gerenciar políticas de segurança de ponto de extremidade no Microsoft Defender para Ponto de Extremidade.
Use a versão mais recente do Defender para Ponto de Extremidade. Vários novos recursos estão sendo implementados no Defender para Ponto de Extremidade no Windows e esses recursos foram testados com sistemas SAP. Esses novos recursos reduzem o bloqueio e reduzem o consumo de CPU. Para obter mais informações sobre novos recursos, consulte Novidades no Microsoft Defender para Ponto de Extremidade.
Metodologia de implantação
O SAP e a Microsoft não recomendam implantar o Defender para Ponto de Extremidade no Windows diretamente em todos os sistemas de desenvolvimento, QAS e produção simultaneamente e/ou sem testes e monitoramento cuidadosos. Os clientes que implantaram o Defender para Ponto de Extremidade e outros softwares semelhantes de forma descontrolada sem o tempo de inatividade adequado do sistema foram testados como resultado.
O Defender para Ponto de Extremidade no Windows e qualquer outra alteração de software ou configuração deve ser implantado em sistemas de desenvolvimento primeiro, validado em QAS e, em seguida, implantado em ambientes de produção.
Usar ferramentas, como o gerenciamento de configurações de segurança do Defender para Ponto de Extremidade , para implantar o Defender para Ponto de Extremidade em um cenário sap inteiro sem testes, provavelmente causará tempo de inatividade.
Aqui está uma lista do que marcar:
Implantar o Defender para Ponto de Extremidade com a proteção contra adulteração habilitada. Se surgirem problemas, habilite o modo de solução de problemas, desabilite a proteção contra adulteração, desabilite a proteção em tempo real e configure as verificações agendadas.
Exclua arquivos DBMS e executáveis seguindo suas recomendações de fornecedor do DBMS.
Analise diretórios SAPMNT, SAP TRANS_DIR, Spool e Log de Trabalho. Se houver mais de 100.000 arquivos, considere o arquivamento para reduzir o número de arquivos.
Confirme os limites de desempenho e as cotas do sistema de arquivos compartilhados usado para SAPMNT. A fonte de compartilhamento SMB pode ser um dispositivo do NetApp, um disco compartilhado do Windows Server ou Arquivos do Azure SMB.
Configure exclusões para que todos os servidores de aplicativos SAP não estejam verificando o compartilhamento SAPMNT simultaneamente, pois ele pode sobrecarregar seu servidor de armazenamento compartilhado.
Em geral, arquivos de interface do host em um servidor de arquivo não SAP dedicado. Os arquivos de interface são reconhecidos como um vetor de ataque. A proteção em tempo real deve ser ativada neste servidor de arquivo dedicado. Os servidores SAP nunca devem ser usados como servidores de arquivo para arquivos de interface.
Observação
Alguns sistemas SAP grandes têm mais de 20 servidores de aplicativo SAP cada um com uma conexão com o mesmo compartilhamento de SMB SAPMNT. 20 servidores de aplicativo que verificam simultaneamente o mesmo servidor SMB podem sobrecarregar o servidor SMB. É recomendável excluir o SAPMNT das verificações regulares.
Configurações importantes do Defender para Ponto de Extremidade no Windows Server com SAP
Obtenha uma visão geral do Microsoft Defender para Ponto de Extremidade. Em particular, examine as informações sobre a proteção de próxima geração e o EDR.
Observação
Às vezes, o termo Defender é usado para se referir a um conjunto inteiro de produtos e soluções. Veja O que é Microsoft Defender XDR?. Neste artigo, focamos nos recursos antivírus e EDR no Defender para Ponto de Extremidade.
Verifique o status de Microsoft Defender Antivírus. Abra o Prompt de Comando e execute os seguintes comandos do PowerShell:
Get-MpComputerStatus, da seguinte maneira:
Get-MpPreference |Select-Object -Property DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting
Saída esperada para
Get-MpComputerStatus
:DisableCpuThrottleOnIdleScans : True DisableRealtimeMonitoring : False DisableScanningMappedNetworkDrivesForFullScan : True DisableScanningNetworkFiles : False ExclusionPath : <<configured exclusions will show here>> MAPSReporting : 2
Get-MpPreference, da seguinte maneira:
Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled
Saída esperada para
Get-MpPreference
:AMRunningMode : Normal AntivirusEnabled : True BehaviorMonitorEnabled : True IsTamperProtected : True OnAccessProtectionEnabled : True RealTimeProtectionEnabled : True
Verifique a status do EDR. Abra o Prompt de Comando e execute o seguinte comando:
PS C:\Windows\System32> Get-Service -Name sense | FL *
Você deve ver uma saída que se assemelha ao seguinte snippet de código:
Name : sense RequiredServices : {} CanPauseAndContinue : False CanShutdown : False CanStop : False DisplayName : Windows Defender Advanced Threat Protection Service DependentServices : {} MachineName : . ServiceName : sense ServicesDependedOn : {} ServiceHandle : Status : Running ServiceType : Win32OwnProcess StartType : Automatic Site : Container :
Os valores que você deseja ver são
Status: Running
eStartType: Automatic
.Para obter mais informações sobre a saída, consulte Revisar eventos e erros usando Visualizador de Eventos.
Verifique se Microsoft Defender Antivírus está atualizado. A melhor maneira de garantir que a proteção contra antivírus esteja atualizada é usando Windows Update. Se você encontrar problemas ou receber um erro, entre em contato com sua equipe de segurança.
Para obter mais informações sobre atualizações, consulte Microsoft Defender inteligência de segurança antivírus e atualizações de produtos.
Verifique se o monitoramento de comportamento está ativado. Quando a proteção contra adulteração está habilitada, o monitoramento de comportamento é ativado por padrão. Use a configuração padrão de proteção contra adulteração habilitada, monitoramento de comportamento habilitado e monitoramento em tempo real habilitado, a menos que um problema específico seja identificado.
Para obter mais informações, consulte Proteção interna ajuda a proteger contra ransomware.
Verifique se a proteção em tempo real está habilitada. A recomendação atual do Defender para Ponto de Extremidade no Windows é habilitar a verificação em tempo real, com a proteção contra adulteração habilitada, o monitoramento de comportamento habilitado e o monitoramento em tempo real habilitado, a menos que um problema específico seja identificado.
Para obter mais informações, consulte Proteção interna ajuda a proteger contra ransomware.
Tenha em mente como as verificações funcionam com compartilhamentos de rede. Por padrão, o componente Microsoft Defender Antivírus no Windows verifica sistemas de arquivos de rede compartilhada SMB (por exemplo, um compartilhamento
\\server\smb-share
de servidor windows ou um compartilhamento do NetApp) quando esses arquivos são acessados por processos.O EDR do Defender para Ponto de Extremidade no Windows pode verificar sistemas de arquivos de rede compartilhada SMB. O sensor EDR verifica determinados arquivos que são identificados como interessantes para a análise do EDR durante as operações de modificação, exclusão e movimentação do arquivo.
O Defender para Ponto de Extremidade no Linux não verifica sistemas de arquivos NFS durante as verificações agendadas.
Solucionar problemas de integridade ou confiabilidade do senso. Para solucionar esses problemas, use a ferramenta Analisador de Clientes do Defender para Ponto de Extremidade. O Analisador de Clientes do Defender para Ponto de Extremidade pode ser útil ao diagnosticar problemas de integridade ou confiabilidade do sensor em dispositivos integrados que executam Windows, Linux ou macOS. Obtenha a versão mais recente do Analisador de Clientes do Defender para Ponto de Extremidade aqui: https://aka.ms/MDEAnalyzer.
Abra um caso de suporte se precisar de ajuda. Consulte Suporte ao Contact Microsoft Defender para Ponto de Extremidade.
Se você estiver usando VMs SAP de produção com Microsoft Defender para Nuvem, tenha em mente que o Defender para Nuvem implanta a extensão defender para ponto de extremidade em todas as VMs. Se uma VM não estiver integrada ao Defender para Ponto de Extremidade, ela poderá ser usada como um vetor de ataque. Se você precisar de mais tempo para testar o Defender para Ponto de Extremidade antes de desativar o ambiente de produção, entre em contato com o suporte.
Comandos úteis: Microsoft Defender para Ponto de Extremidade com o SAP no Windows Server
As seções a seguir descrevem como confirmar ou configurar as configurações do Defender para Ponto de Extremidade usando o PowerShell e o Prompt de Comando:
Atualizar as definições Microsoft Defender Antivírus manualmente
Use Windows Update ou execute o seguinte comando:
PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate
Você deve ver uma saída que se assemelha ao seguinte snippet de código:
Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>
Outra opção é usar este comando:
PS C:\Program Files\Windows Defender> Update-MpSignature
Para obter mais informações sobre esses comandos, confira os seguintes recursos:
Determinar se o EDR no modo de bloco está ativado
O EDR no modo de bloco fornece proteção adicional contra artefatos mal-intencionados quando Microsoft Defender Antivírus não é o produto antivírus primário e está em execução no modo passivo. Você pode determinar se o EDR no modo de bloco está habilitado executando o seguinte comando:
Get-MPComputerStatus|select AMRunningMode
Há dois modos: modo normal e passivo. O teste com sistemas SAP foi feito apenas com AMRunningMode = Normal
para sistemas SAP.
Para obter mais informações sobre esse comando, consulte Get-MpComputerStatus.
Configurar exclusões de antivírus
Antes de configurar exclusões, certifique-se de que a equipe do SAP Basis coordene com sua equipe de segurança. As exclusões devem ser configuradas centralmente e não no nível da VM. Exclusões como o sistema de arquivos SAPMNT compartilhado devem ser excluídas por meio de uma política usando o portal de administração Intune.
Para exibir exclusões, use o seguinte comando:
Get-MpPreference | Select-Object -Property ExclusionPath
Para obter mais informações sobre esse comando, consulte Get-MpComputerStatus.
Para obter mais informações sobre exclusões, confira os seguintes recursos:
- Gerenciar exclusões para antivírus Microsoft Defender para Ponto de Extremidade e Microsoft Defender
- Configurar exclusões personalizadas para Microsoft Defender Antivírus
- Exclusões de arquivos e pastas contextuais
Configurar exclusões do EDR
Não é recomendável excluir arquivos, caminhos ou processos do EDR, pois essas exclusões compõem a proteção contra ameaças modernas não baseadas em preenchimento. Se necessário, abra um caso de suporte com Suporte da Microsoft por meio do portal Microsoft Defender especificando executáveis e/ou caminhos a serem excluídos. Consulte Suporte ao Contact Microsoft Defender para Ponto de Extremidade.
Desabilitar completamente o Defender para Ponto de Extremidade no Windows para fins de teste
Cuidado
Não é recomendável desabilitar o software de segurança, a menos que não haja alternativa para resolver ou isolar um problema.
O Defender para Ponto de Extremidade deve ser configurado com a proteção contra adulteração ativada. Para desabilitar temporariamente o Defender para Ponto de Extremidade para isolar problemas, use o modo de solução de problemas.
Para desligar vários subcomponentes da solução Microsoft Defender Antivírus, execute os seguintes comandos:
Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled
Para obter mais informações sobre esses comandos, consulte Set-MpPreference.
Importante
Você não pode desativar subcomponentes EDR em um dispositivo. A única maneira de desativar o EDR é desativar o dispositivo.
Para desativar a proteção fornecida pela nuvem (Serviço de Proteção Avançada da Microsoft ou MAPS), execute os seguintes comandos:
PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled
Para obter mais informações sobre a proteção fornecida pela nuvem, confira os seguintes recursos:
- Proteção na nuvem e Microsoft Defender Antivírus
- Proteção de nuvem e envio de exemplo no Microsoft Defender Antivírus (se você estiver considerando se deve usar o envio automático de exemplo com suas políticas de segurança)
Artigos relacionados
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de