Share via

Microsoft Defender para Ponto de Extremidade no Windows Server com SAP

  • Artigo

Aplica-se a:

Se sua organização usa SAP, é essencial entender a compatibilidade e o suporte entre antivírus e EDR em Microsoft Defender para Ponto de Extremidade e seus aplicativos SAP. Este artigo ajuda você a entender o suporte fornecido pelo SAP para soluções de segurança de proteção de ponto de extremidade, como o Defender para Ponto de Extremidade e como eles interagem com aplicativos SAP.

Este artigo descreve como usar Microsoft Defender para Ponto de Extremidade no Windows Server ao lado de aplicativos SAP, como NetWeaver e S4 Hana, e mecanismos autônomos SAP, como o LiveCache. Neste artigo, focamos nos recursos antivírus e EDR no Defender para Ponto de Extremidade. Para obter uma visão geral de todos os recursos do Defender para Ponto de Extremidade, consulte Microsoft Defender para Ponto de Extremidade.

Este artigo não abrange o software cliente SAP, como SAPGUI ou Microsoft Defender Antivírus em dispositivos cliente Windows.

Segurança da empresa e sua equipe do SAP Basis

A segurança da empresa é uma função especializada e as atividades descritas neste artigo devem ser planejadas como uma atividade conjunta entre sua equipe de segurança corporativa e a equipe da BASE SAP. A equipe de segurança da empresa precisa coordenar com a equipe do SAP Basis e projetar conjuntamente a configuração do Defender para Ponto de Extremidade e analisar quaisquer exclusões.

Obter uma visão geral do Defender para Ponto de Extremidade

O Defender para Ponto de Extremidade é um componente do Microsoft Defender XDR e pode ser integrado à sua solução SIEM/SOAR.

Antes de começar a planejar ou implantar o Defender para Ponto de Extremidade no Windows Server com SAP, tire um momento para obter uma visão geral do Defender para Ponto de Extremidade. O vídeo a seguir fornece uma visão geral:

Para obter informações mais detalhadas sobre as ofertas de segurança do Defender para Ponto de Extremidade e da Microsoft, confira os seguintes recursos:

O Defender para Ponto de Extremidade inclui recursos que estão além do escopo deste artigo. Neste artigo, nos concentramos em duas áreas de main:

  • Proteção de próxima geração (que inclui proteção contra antivírus). A proteção de próxima geração é um produto antivírus como outras soluções antivírus para ambientes Windows.
  • EDR (Detecção e Resposta de Ponto de Extremidade). As funcionalidades do EDR detectam atividades suspeitas e chamadas do sistema e fornecem uma camada extra de proteção contra ameaças que ignoraram a proteção antivírus.

A Microsoft e outros fornecedores de software de segurança acompanham ameaças e fornecem informações de tendência. Para obter informações, consulte Cyberthreats, vírus e malware – Inteligência de Segurança da Microsoft.

Observação

Para obter informações sobre Microsoft Defender para SAP no Linux, consulte Diretrizes de implantação para Microsoft Defender para Ponto de Extremidade no Linux para SAP. O Defender para Ponto de Extremidade no Linux é significativamente diferente da versão do Windows.

Instrução de suporte do SAP no Defender para Ponto de Extremidade e outras soluções de segurança

O SAP fornece documentação básica para soluções antivírus de verificação de arquivos convencionais. Soluções antivírus de verificação de arquivos convencionais comparam assinaturas de arquivo com um banco de dados de ameaças conhecidas. Quando um arquivo infectado é identificado, o software antivírus normalmente alerta e coloca o arquivo em quarentena. Os mecanismos e o comportamento das soluções antivírus de verificação de arquivos são razoavelmente bem conhecidos e previsíveis; Portanto, o suporte do SAP pode fornecer um nível básico de suporte para aplicativos SAP que interagem com o software antivírus de verificação de arquivos.

As ameaças baseadas em arquivo agora são apenas um vetor possível para software mal-intencionado. Malware sem arquivos e malware que vive fora da terra, ameaças altamente polimórficas que se transformam mais rapidamente do que as soluções tradicionais podem acompanhar, e ataques operados por humanos que se adaptam ao que os adversários encontram em dispositivos comprometidos. Soluções de segurança antivírus tradicionais não são suficientes para impedir esses ataques. Recursos com suporte para IA (inteligência artificial) e ML (aprendizado de dispositivo), como bloqueio comportamental e contenção são necessários. O software de segurança, como o Defender para Ponto de Extremidade, tem recursos avançados de proteção contra ameaças para mitigar ameaças modernas.

O Defender para Ponto de Extremidade está monitorando continuamente as chamadas do sistema operacional, como leitura de arquivo, gravação de arquivo, soquete de criação e outras operações de nível de processo. O sensor EDR do Defender para Ponto de Extremidade adquire bloqueios oportunistas em sistemas de arquivos NTFS locais e, portanto, é improvável que impacte os aplicativos. Bloqueios oportunistas não são possíveis em sistemas de arquivos de rede remota. Em casos raros, um bloqueio pode causar erros gerais não específicos, como o Access Negado em aplicativos SAP.

O SAP não é capaz de fornecer nenhum nível de suporte para software EDR/XDR, como Microsoft Defender XDR ou Defender para Ponto de Extremidade. Os mecanismos nessas soluções são adaptáveis; portanto, eles não são previsíveis. Além disso, os problemas potencialmente não são reproduzidos. Quando os problemas são identificados em sistemas que executam soluções avançadas de segurança, o SAP recomenda desabilitar o software de segurança e tentar reproduzir o problema. Um caso de suporte pode ser gerado com o fornecedor de software de segurança.

Para obter mais informações sobre a política de suporte do SAP, consulte 3356389 - Antivírus ou outros softwares de segurança que afetam as operações SAP.

Aqui está uma lista de artigos sap que você pode usar conforme necessário:

Aplicativos SAP no Windows Server: as 10 principais recomendações

  1. Limite o acesso a servidores SAP, bloqueie portas de rede e tome todas as outras medidas comuns de proteção de segurança. Essa primeira etapa é essencial. O cenário de ameaças evoluiu de vírus baseados em arquivos para ameaças complexas e sofisticadas sem arquivos. Ações como bloquear portas e limitar o logon/acesso a VMs não são mais consideradas suficientes para atenuar totalmente as ameaças modernas.

  2. Implante o Defender para Ponto de Extremidade em sistemas não produtivos primeiro antes de implantar em sistemas de produção. Implantar o Defender para Ponto de Extremidade diretamente em sistemas de produção sem testes é altamente arriscado e pode levar ao tempo de inatividade. Se você não puder atrasar a implantação do Defender para Ponto de Extremidade em seus sistemas de produção, considere desabilitar temporariamente a proteção contra adulteração e a proteção em tempo real.

  3. Lembre-se de que a proteção em tempo real está habilitada por padrão no Windows Server. Se forem identificados problemas que possam estar relacionados ao Defender para Ponto de Extremidade, é recomendável configurar exclusões e/ou abrir um caso de suporte por meio do portal Microsoft Defender.

  4. Faça com que a equipe do SAP Basis e sua equipe de segurança trabalhem juntas na implantação do Defender para Ponto de Extremidade. As duas equipes precisam criar conjuntamente um plano de implantação, teste e monitoramento em fases.

  5. Use ferramentas como o PerfMon (Windows) para criar uma linha de base de desempenho antes de implantar e ativar o Defender para Ponto de Extremidade. Compare a utilização de desempenho antes e depois de ativar o Defender para Ponto de Extremidade. Consulte perfmon.

  6. Implante a versão mais recente do Defender para Ponto de Extremidade e use as versões mais recentes do Windows, idealmente Windows Server 2019 ou mais recente. Consulte Requisitos mínimos para Microsoft Defender para Ponto de Extremidade.

  7. Configure determinadas exclusões para Microsoft Defender Antivírus. Eles incluem:

    • Arquivos de dados DBMS, arquivos de log e arquivos temporários, incluindo discos que contêm arquivos de backup
    • O conteúdo inteiro do diretório SAPMNT
    • O conteúdo inteiro do diretório SAPLOC
    • O conteúdo inteiro do diretório TRANS
    • Todo o conteúdo de diretórios para mecanismos autônomos, como TREX

    Usuários avançados podem considerar o uso de exclusões de arquivos contextuais e pastas.

    Para obter mais informações sobre exclusões de DBMS, use os seguintes recursos:

  8. Verifique as configurações do Defender para Ponto de Extremidade. Microsoft Defender Antivírus com aplicativos SAP deve ter as seguintes configurações na maioria dos casos:

    • AntivirusEnabled : True
    • AntivirusSignatureAge : 0
    • BehaviorMonitorEnabled : True
    • DefenderSignaturesOutOfDate : False
    • IsTamperProtected : True
    • RealTimeProtectionEnabled : True

  9. Use ferramentas, como Intune ou gerenciamento de configurações de segurança do Defender para Ponto de Extremidade para configurar o Defender para Ponto de Extremidade. Essas ferramentas podem ajudar a garantir que o Defender para Ponto de Extremidade esteja configurado corretamente e uniformemente implantado.

    Para usar o gerenciamento de configurações de segurança do Defender para Ponto de Extremidade, no portal Microsoft Defender, acesse Políticas> desegurança de ponto de extremidade degerenciamento> de configuração de pontos de extremidade e selecione Create nova Política. Para obter mais informações, consulte Gerenciar políticas de segurança de ponto de extremidade no Microsoft Defender para Ponto de Extremidade.

  10. Use a versão mais recente do Defender para Ponto de Extremidade. Vários novos recursos estão sendo implementados no Defender para Ponto de Extremidade no Windows e esses recursos foram testados com sistemas SAP. Esses novos recursos reduzem o bloqueio e reduzem o consumo de CPU. Para obter mais informações sobre novos recursos, consulte Novidades no Microsoft Defender para Ponto de Extremidade.

Metodologia de implantação

O SAP e a Microsoft não recomendam implantar o Defender para Ponto de Extremidade no Windows diretamente em todos os sistemas de desenvolvimento, QAS e produção simultaneamente e/ou sem testes e monitoramento cuidadosos. Os clientes que implantaram o Defender para Ponto de Extremidade e outros softwares semelhantes de forma descontrolada sem o tempo de inatividade adequado do sistema foram testados como resultado.

O Defender para Ponto de Extremidade no Windows e qualquer outra alteração de software ou configuração deve ser implantado em sistemas de desenvolvimento primeiro, validado em QAS e, em seguida, implantado em ambientes de produção.

Usar ferramentas, como o gerenciamento de configurações de segurança do Defender para Ponto de Extremidade , para implantar o Defender para Ponto de Extremidade em um cenário sap inteiro sem testes, provavelmente causará tempo de inatividade.

Aqui está uma lista do que marcar:

  1. Implantar o Defender para Ponto de Extremidade com a proteção contra adulteração habilitada. Se surgirem problemas, habilite o modo de solução de problemas, desabilite a proteção contra adulteração, desabilite a proteção em tempo real e configure as verificações agendadas.

  2. Exclua arquivos DBMS e executáveis seguindo suas recomendações de fornecedor do DBMS.

  3. Analise diretórios SAPMNT, SAP TRANS_DIR, Spool e Log de Trabalho. Se houver mais de 100.000 arquivos, considere o arquivamento para reduzir o número de arquivos.

  4. Confirme os limites de desempenho e as cotas do sistema de arquivos compartilhados usado para SAPMNT. A fonte de compartilhamento SMB pode ser um dispositivo do NetApp, um disco compartilhado do Windows Server ou Arquivos do Azure SMB.

  5. Configure exclusões para que todos os servidores de aplicativos SAP não estejam verificando o compartilhamento SAPMNT simultaneamente, pois ele pode sobrecarregar seu servidor de armazenamento compartilhado.

  6. Em geral, arquivos de interface do host em um servidor de arquivo não SAP dedicado. Os arquivos de interface são reconhecidos como um vetor de ataque. A proteção em tempo real deve ser ativada neste servidor de arquivo dedicado. Os servidores SAP nunca devem ser usados como servidores de arquivo para arquivos de interface.

    Observação

    Alguns sistemas SAP grandes têm mais de 20 servidores de aplicativo SAP cada um com uma conexão com o mesmo compartilhamento de SMB SAPMNT. 20 servidores de aplicativo que verificam simultaneamente o mesmo servidor SMB podem sobrecarregar o servidor SMB. É recomendável excluir o SAPMNT das verificações regulares.

Configurações importantes do Defender para Ponto de Extremidade no Windows Server com SAP

  1. Obtenha uma visão geral do Microsoft Defender para Ponto de Extremidade. Em particular, examine as informações sobre a proteção de próxima geração e o EDR.

    Observação

    Às vezes, o termo Defender é usado para se referir a um conjunto inteiro de produtos e soluções. Veja O que é Microsoft Defender XDR?. Neste artigo, focamos nos recursos antivírus e EDR no Defender para Ponto de Extremidade.

  2. Verifique o status de Microsoft Defender Antivírus. Abra o Prompt de Comando e execute os seguintes comandos do PowerShell:

    Get-MpComputerStatus, da seguinte maneira:

    Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    Saída esperada para Get-MpComputerStatus:

    DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference, da seguinte maneira:

    Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    Saída esperada para Get-MpPreference:

    AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. Verifique a status do EDR. Abra o Prompt de Comando e execute o seguinte comando:

    PS C:\Windows\System32> Get-Service -Name sense | FL *

    Você deve ver uma saída que se assemelha ao seguinte snippet de código:

    Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    Os valores que você deseja ver são Status: Running e StartType: Automatic.

    Para obter mais informações sobre a saída, consulte Revisar eventos e erros usando Visualizador de Eventos.

  4. Verifique se Microsoft Defender Antivírus está atualizado. A melhor maneira de garantir que a proteção contra antivírus esteja atualizada é usando Windows Update. Se você encontrar problemas ou receber um erro, entre em contato com sua equipe de segurança.

    Para obter mais informações sobre atualizações, consulte Microsoft Defender inteligência de segurança antivírus e atualizações de produtos.

  5. Verifique se o monitoramento de comportamento está ativado. Quando a proteção contra adulteração está habilitada, o monitoramento de comportamento é ativado por padrão. Use a configuração padrão de proteção contra adulteração habilitada, monitoramento de comportamento habilitado e monitoramento em tempo real habilitado, a menos que um problema específico seja identificado.

    Para obter mais informações, consulte Proteção interna ajuda a proteger contra ransomware.

  6. Verifique se a proteção em tempo real está habilitada. A recomendação atual do Defender para Ponto de Extremidade no Windows é habilitar a verificação em tempo real, com a proteção contra adulteração habilitada, o monitoramento de comportamento habilitado e o monitoramento em tempo real habilitado, a menos que um problema específico seja identificado.

    Para obter mais informações, consulte Proteção interna ajuda a proteger contra ransomware.

  7. Tenha em mente como as verificações funcionam com compartilhamentos de rede. Por padrão, o componente Microsoft Defender Antivírus no Windows verifica sistemas de arquivos de rede compartilhada SMB (por exemplo, um compartilhamento \\server\smb-share de servidor windows ou um compartilhamento do NetApp) quando esses arquivos são acessados por processos.

    O EDR do Defender para Ponto de Extremidade no Windows pode verificar sistemas de arquivos de rede compartilhada SMB. O sensor EDR verifica determinados arquivos que são identificados como interessantes para a análise do EDR durante as operações de modificação, exclusão e movimentação do arquivo.

    O Defender para Ponto de Extremidade no Linux não verifica sistemas de arquivos NFS durante as verificações agendadas.

  8. Solucionar problemas de integridade ou confiabilidade do senso. Para solucionar esses problemas, use a ferramenta Analisador de Clientes do Defender para Ponto de Extremidade. O Analisador de Clientes do Defender para Ponto de Extremidade pode ser útil ao diagnosticar problemas de integridade ou confiabilidade do sensor em dispositivos integrados que executam Windows, Linux ou macOS. Obtenha a versão mais recente do Analisador de Clientes do Defender para Ponto de Extremidade aqui: https://aka.ms/MDEAnalyzer.

  9. Abra um caso de suporte se precisar de ajuda. Consulte Suporte ao Contact Microsoft Defender para Ponto de Extremidade.

  10. Se você estiver usando VMs SAP de produção com Microsoft Defender para Nuvem, tenha em mente que o Defender para Nuvem implanta a extensão defender para ponto de extremidade em todas as VMs. Se uma VM não estiver integrada ao Defender para Ponto de Extremidade, ela poderá ser usada como um vetor de ataque. Se você precisar de mais tempo para testar o Defender para Ponto de Extremidade antes de desativar o ambiente de produção, entre em contato com o suporte.

Comandos úteis: Microsoft Defender para Ponto de Extremidade com o SAP no Windows Server

As seções a seguir descrevem como confirmar ou configurar as configurações do Defender para Ponto de Extremidade usando o PowerShell e o Prompt de Comando:

Atualizar as definições Microsoft Defender Antivírus manualmente

Use Windows Update ou execute o seguinte comando:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

Você deve ver uma saída que se assemelha ao seguinte snippet de código:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Outra opção é usar este comando:

PS C:\Program Files\Windows Defender> Update-MpSignature

Para obter mais informações sobre esses comandos, confira os seguintes recursos:

Determinar se o EDR no modo de bloco está ativado

O EDR no modo de bloco fornece proteção adicional contra artefatos mal-intencionados quando Microsoft Defender Antivírus não é o produto antivírus primário e está em execução no modo passivo. Você pode determinar se o EDR no modo de bloco está habilitado executando o seguinte comando:

Get-MPComputerStatus|select AMRunningMode

Há dois modos: modo normal e passivo. O teste com sistemas SAP foi feito apenas com AMRunningMode = Normal para sistemas SAP.

Para obter mais informações sobre esse comando, consulte Get-MpComputerStatus.

Configurar exclusões de antivírus

Antes de configurar exclusões, certifique-se de que a equipe do SAP Basis coordene com sua equipe de segurança. As exclusões devem ser configuradas centralmente e não no nível da VM. Exclusões como o sistema de arquivos SAPMNT compartilhado devem ser excluídas por meio de uma política usando o portal de administração Intune.

Para exibir exclusões, use o seguinte comando:

Get-MpPreference | Select-Object -Property ExclusionPath

Para obter mais informações sobre esse comando, consulte Get-MpComputerStatus.

Para obter mais informações sobre exclusões, confira os seguintes recursos:

Configurar exclusões do EDR

Não é recomendável excluir arquivos, caminhos ou processos do EDR, pois essas exclusões compõem a proteção contra ameaças modernas não baseadas em preenchimento. Se necessário, abra um caso de suporte com Suporte da Microsoft por meio do portal Microsoft Defender especificando executáveis e/ou caminhos a serem excluídos. Consulte Suporte ao Contact Microsoft Defender para Ponto de Extremidade.

Desabilitar completamente o Defender para Ponto de Extremidade no Windows para fins de teste

Cuidado

Não é recomendável desabilitar o software de segurança, a menos que não haja alternativa para resolver ou isolar um problema.

O Defender para Ponto de Extremidade deve ser configurado com a proteção contra adulteração ativada. Para desabilitar temporariamente o Defender para Ponto de Extremidade para isolar problemas, use o modo de solução de problemas.

Para desligar vários subcomponentes da solução Microsoft Defender Antivírus, execute os seguintes comandos:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Para obter mais informações sobre esses comandos, consulte Set-MpPreference.

Importante

Você não pode desativar subcomponentes EDR em um dispositivo. A única maneira de desativar o EDR é desativar o dispositivo.

Para desativar a proteção fornecida pela nuvem (Serviço de Proteção Avançada da Microsoft ou MAPS), execute os seguintes comandos:

PowerShell Set-MpPreference -MAPSReporting 0​
PowerShell Set-MpPreference -MAPSReporting Disabled​

Para obter mais informações sobre a proteção fornecida pela nuvem, confira os seguintes recursos: