Orientações de implementação para Microsoft Defender para Endpoint no Linux para SAP

Aplica-se a:

• Microsoft Defender para Endpoint Plano 2

Este artigo fornece orientações de implementação para Microsoft Defender para Endpoint no Linux para SAP. Este artigo inclui notas recomendadas do SAP OSS (Sistema de Serviços Online), os requisitos de sistema, os pré-requisitos, as definições de configuração importantes, as exclusões antivírus recomendadas e as orientações sobre o agendamento de análises antivírus.

As defesas de segurança convencionais que têm sido frequentemente utilizadas para proteger sistemas SAP, como isolar a infraestrutura atrás de firewalls e limitar inícios de sessão interativos do sistema operativo, já não são consideradas suficientes para mitigar ameaças sofisticadas modernas. É essencial implementar defesas modernas para detetar e conter ameaças em tempo real. As aplicações SAP, ao contrário da maioria das outras cargas de trabalho, requerem avaliação e validação básicas antes de implementar Microsoft Defender para Endpoint. Os administradores de segurança da empresa devem contactar a equipa sap basis antes de implementar o Defender para Endpoint. A Equipa de Base SAP deve ser preparada de forma cruzada com um nível básico de conhecimento sobre o Defender para Endpoint.

Notas recomendadas do SAP OSS

• 2248916 - Que ficheiros e diretórios devem ser excluídos de uma análise antivírus para produtos sap BusinessObjects Business Intelligence Platform no Linux/Unix? - Launchpad de Suporte do SAP ONE
• 1984459 – Que ficheiros e diretórios devem ser excluídos de uma análise antivírus dos Serviços de Dados SAP – Launchpad de Suporte do SAP ONE
• 2808515 – Instalar software de segurança em servidores SAP em execução no Linux – Launchpad de Suporte do SAP ONE
• 1730930 – Utilizar software antivírus numa aplicação SAP HANA – Launchpad de Suporte do SAP ONE
• 1730997 – Versões não recomendadas do software antivírus – Launchpad de Suporte do SAP ONE

Aplicações SAP no Linux

• O SAP só suporta Suse, Redhat e Oracle Linux. Outras distribuições não são suportadas para aplicações SAP S4 ou NetWeaver.
• Suse 15.x, Redhat 8.x ou 9.x e Oracle Linux 8.x são vivamente recomendados.
• Suse 12.x, Redhat 7.x e Oracle Linux 7.x são tecnicamente suportados, mas não foram amplamente testados.
• Suse 11.x, Redhat 6.x e Oracle Linux 6.x podem não ser suportados e não foram testados.
• O Suse e o Redhat oferecem distribuições personalizadas para SAP. Estas versões "para SAP" do Suse e redhat podem ter pacotes diferentes pré-instalados e, possivelmente, kernels diferentes.
• O SAP só suporta determinados sistemas de Ficheiros Linux. Em geral, são utilizados XFS e EXT3. Por vezes, o sistema de ficheiros oracle Automatic Storage Management (ASM) é utilizado para o Oracle DBMS e não pode ser lido pelo Defender para Endpoint.
• Algumas aplicações SAP utilizam "motores autónomos", como TREX, Adobe Document Server, Content Server e LiveCache. Estes motores requerem exclusões de ficheiros e configuração específicas.
• Muitas vezes, as aplicações SAP têm diretórios de Transporte e Interface com muitos milhares de ficheiros pequenos. Se o número de ficheiros for superior a 100 000, poderá afetar o desempenho. É recomendado arquivar ficheiros.
• Recomenda-se vivamente que implemente o Defender para Endpoint em paisagens SAP não produção durante várias semanas antes de implementar na produção. A Equipa de Base SAP deve utilizar ferramentas como sysstat, KSAR e nmon para verificar se a CPU e outros parâmetros de desempenho são afetados.

Pré-requisitos para implementar Microsoft Defender para Endpoint no Linux em VMs SAP

• Microsoft Defender para Endpoint versão>= 101.23082.0009 | Versão de versão: 30.123082.0009 ou superior tem de ser implementada.
• Microsoft Defender para Endpoint no Linux suporta todas as versões do Linux utilizadas pelas aplicações SAP.
• Microsoft Defender para Endpoint no Linux requer conectividade a pontos finais específicos da Internet a partir de VMs para atualizar definições de antivírus.
• Microsoft Defender para Endpoint no Linux requer algumas entradas crontab (ou outro agendador de tarefas) para agendar análises, rotação de registos e atualizações de Microsoft Defender para Endpoint. Normalmente, as equipas de Segurança Empresarial gerem estas entradas. Veja Como agendar uma atualização do Microsoft Defender para Endpoint (Linux).

A opção de configuração predefinida para implementação como uma Extensão do Azure para AntiVírus (AV) será o Modo Passivo. Isto significa que o componente AV do Microsoft Defender para Endpoint não interceta chamadas de E/S. É recomendado executar Microsoft Defender para Endpoint no Modo Passivo em todas as aplicações SAP e agendar uma análise uma vez por dia. Neste modo:

• A proteção em tempo real está desativada: as ameaças não são remediadas pelo Antivírus Microsoft Defender.
• A análise a pedido está ativada: utilize ainda as capacidades de análise no ponto final.
• A remediação automática de ameaças está desativada: não são movidos ficheiros e espera-se que o administrador de segurança tome as medidas necessárias.
• As atualizações de informações de segurança estão ativadas: os alertas estão disponíveis no inquilino do administrador de segurança.

Normalmente, o crontab do Linux é utilizado para agendar Microsoft Defender para Endpoint tarefas de rotação de registos e análise do AV: Como agendar análises com Microsoft Defender para Endpoint (Linux)

A funcionalidade de Deteção e Resposta de Pontos Finais (EDR) está ativa sempre que Microsoft Defender para Endpoint no Linux é instalada. Não existe uma forma simples de desativar a funcionalidade EDR através da linha de comandos ou da configuração. Para obter mais informações sobre a resolução de problemas do EDR, veja as secções Comandos Úteis e Ligações Úteis.

Definições de Configuração Importantes para Microsoft Defender para Endpoint no SAP no Linux

Recomenda-se que verifique a instalação e configuração do Defender para Endpoint com o estado de funcionamento do mdatp do comando.

Os parâmetros principais recomendados para aplicações SAP são:

• bom estado de funcionamento = verdadeiro
• release_ring = Produção. Os anéis de pré-lançamento e insider não devem ser utilizados com as Aplicações SAP.
• real_time_protection_enabled = falso. A proteção em tempo real está desativada no modo passivo, que é o modo predefinido e impede a intercepção de E/S em tempo real.
• automatic_definition_update_enabled = verdadeiro
• definition_status = "up_to_date". Execute uma atualização manual se for identificado um novo valor.
• edr_early_preview_enabled = "desativado". Se estiver ativada nos sistemas SAP, poderá originar instabilidade do sistema.
• conflicting_applications = [ ]. Outro AV ou software de segurança instalado numa VM, como o Clam.
• supplementary_events_subsystem = "ebpf". Não prossiga se o ebpf não for apresentado. Contacte a equipa de administrador de segurança.

Este artigo tem algumas sugestões úteis sobre a resolução de problemas de instalação para Microsoft Defender para Endpoint: Resolver problemas de instalação de Microsoft Defender para Endpoint no Linux

Exclusões recomendadas do Antivírus Microsoft Defender para Endpoint para SAP no Linux

A Equipa de Segurança Empresarial tem de obter uma lista completa das exclusões antivírus dos Administradores do SAP (normalmente, a Equipa de Base SAP). É recomendado excluir inicialmente:

• Ficheiros de dados do DBMS, ficheiros de registo e ficheiros temporários, incluindo discos que contêm ficheiros de cópia de segurança
• Todo o conteúdo do diretório SAPMNT
• Todo o conteúdo do diretório SAPLOC
• Todo o conteúdo do diretório TRANS
• Todo o conteúdo dos diretórios para motores autónomos, como TREX
• Hana – excluir /hana/partilhado, /hana/dados e /hana/log – consulte Nota 1730930
• SQL Server – Configurar software antivírus para trabalhar com SQL Server - SQL Server
• Oracle – veja Como Configurar o Antivírus no Servidor da Base de Dados Oracle (ID do Documento 782354.1)
• DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
• SAP ASE – contactar o SAP
• MaxDB – contactar o SAP

Os sistemas ASM oracle não precisam de exclusões, uma vez que Microsoft Defender para Endpoint não conseguem ler discos ASM.

Os clientes com clusters pacemaker também devem configurar estas exclusões:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Os clientes que executam a política de segurança de Segurança do Azure podem acionar uma análise com a solução AV do Freeware Clam. É recomendado desativar a análise AV da Amêijoa depois de uma VM ter sido protegida com Microsoft Defender para Endpoint através dos seguintes comandos:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status 

Os artigos seguintes detalham como configurar exclusões AV para processos, ficheiros e pastas por VM individual:

• Configurar exclusões para análises de Antivírus Microsoft Defender
• Erros comuns a evitar ao definir exclusões

Agendar uma Análise AV Diária

A configuração recomendada para aplicações SAP desativa a intercepção em tempo real de chamadas de E/S para análise av. A definição recomendada é o modo passivo no qual real_time_protection_enabled = falso.

A seguinte ligação detalha como agendar uma análise: Como agendar análises com Microsoft Defender para Endpoint (Linux).

Os grandes sistemas SAP podem ter mais de 20 servidores de aplicações SAP cada um com uma ligação à partilha SAPMNT NFS. Vinte ou mais servidores de aplicações que verificam simultaneamente o mesmo servidor NFS provavelmente sobrecarregarão o servidor NFS. Por predefinição, o Defender para Endpoint no Linux não analisa origens NFS.

Se existir um requisito para analisar o SAPMNT, esta análise deve ser configurada apenas numa ou duas VMs.

As análises agendadas para SAP ECC, BW, CRM, SCM, Gestor de Soluções e outros componentes devem ser escalonadas em alturas diferentes para evitar que todos os componentes SAP sobrecarreguem uma origem de armazenamento NFS partilhada partilhada por todos os componentes SAP.

Comandos Úteis

Se, durante a instalação manual do zypper no Suse, ocorrer um erro "Nada fornece 'policycoreutils'", veja: Resolver problemas de instalação do Microsoft Defender para Endpoint no Linux.

Existem vários comandos da linha de comandos que podem controlar a operação do mdatp. Para ativar o modo passivo, pode utilizar o seguinte comando:

mdatp config passive-mode --value enabled

Nota

O modo passivo é o modo predefinido para instalar o Defender para ponto final no Linux.

Para desativar a proteção em tempo real, pode utilizar o comando :

mdatp config real-time-protection --value disabled

Este comando indica ao mdatp para obter as definições mais recentes da cloud:

mdatp definitions update 

Este comando testa se o mdatp consegue ligar-se aos pontos finais baseados na cloud através da rede:

mdatp connectivity test

Estes comandos atualizam o software mdatp, se necessário:

yum update mdatp

zypper update mdatp

Uma vez que o mdatp é executado como um serviço de sistema linux, pode controlar o mdatp com o comando de serviço, por exemplo:

service mdatp status 

Este comando cria um ficheiro de diagnóstico que pode ser carregado para o suporte da Microsoft:

sudo mdatp diagnostic create

Ligações Úteis

• O Microsoft Endpoint Manager não suporta o Linux neste momento

• Gerir definições de configuração do Microsoft Defender para Endpoint em dispositivos com o Microsoft Endpoint Manager

• Microsoft Tech Community: Microsoft Defender para Endpoint Linux – Lista de Comandos de Configuração e Operação

• Microsoft Tech Community: Implementar Microsoft Defender para Endpoint em Servidores Linux

• Resolver problemas de conectividade da cloud para Microsoft Defender para Endpoint no Linux

• Resolver problemas de desempenho de Microsoft Defender para Endpoint no Linux