Microsoft Defender para Endpoint no Windows Server com SAP

  • Artigo

Aplica-se a:

Se a sua organização utilizar o SAP, é essencial compreender a compatibilidade e o suporte entre o antivírus e o EDR no Microsoft Defender para Endpoint e as suas aplicações SAP. Este artigo ajuda-o a compreender o suporte fornecido pelo SAP para soluções de segurança de proteção de ponto final, como o Defender para Endpoint e como interagem com aplicações SAP.

Este artigo descreve como utilizar Microsoft Defender para Endpoint no Windows Server juntamente com aplicações SAP, como NetWeaver e S4 Hana, e motores autónomos SAP, como o LiveCache. Neste artigo, focamo-nos nas capacidades antivírus e EDR no Defender para Endpoint. Para obter uma descrição geral de todas as capacidades do Defender para Endpoint, veja Microsoft Defender para Endpoint.

Este artigo não abrange o software de cliente SAP, como o SAPGUI ou o Antivírus Microsoft Defender em dispositivos cliente Windows.

Segurança empresarial e a equipa sap basis

A segurança empresarial é uma função especializada e as atividades descritas neste artigo devem ser planeadas como uma atividade conjunta entre a sua equipa de segurança empresarial e a equipa sap basis. A equipa de segurança empresarial tem de se coordenar com a equipa sap Basis e estruturar conjuntamente a configuração do Defender para Endpoint e analisar quaisquer exclusões.

Obter uma descrição geral do Defender para Endpoint

O Defender para Endpoint é um componente do Microsoft Defender XDR e pode ser integrado na sua solução SIEM/SOAR.

Antes de começar a planear ou implementar o Defender para Endpoint no Windows Server com SAP, dedique algum tempo a obter uma descrição geral do Defender para Endpoint. O vídeo seguinte fornece uma descrição geral:

Para obter informações mais detalhadas sobre o Defender para Endpoint e as ofertas de segurança da Microsoft, consulte os seguintes recursos:

O Defender para Endpoint inclui capacidades que estão fora do âmbito deste artigo. Neste artigo, focamo-nos em duas áreas principais:

  • Proteção de próxima geração (que inclui proteção antivírus). A proteção de próxima geração é um produto antivírus como outras soluções antivírus para ambientes Windows.
  • Deteção e Resposta de Pontos Finais (EDR). As capacidades EDR detetam atividades suspeitas e chamadas de sistema e fornecem uma camada adicional de proteção contra ameaças que ignoraram a proteção antivírus.

A Microsoft e outros fornecedores de software de segurança monitorizam ameaças e fornecem informações sobre tendências. Para obter informações, consulte Ciberthreats, vírus e software maligno - Informações de Segurança da Microsoft.

Nota

Para obter informações sobre Microsoft Defender para SAP no Linux, veja Orientações de implementação para Microsoft Defender para Endpoint no Linux para SAP. O Defender para Endpoint no Linux é significativamente diferente da versão do Windows.

Declaração de suporte sap no Defender para Endpoint e outras soluções de segurança

O SAP fornece documentação básica para soluções convencionais de antivírus de análise de ficheiros. As soluções convencionais de antivírus de análise de ficheiros comparam assinaturas de ficheiros com uma base de dados de ameaças conhecidas. Quando um ficheiro infetado é identificado, o software antivírus normalmente alerta e coloca o ficheiro em quarentena. Os mecanismos e o comportamento das soluções antivírus de análise de ficheiros são razoavelmente conhecidos e previsíveis; Por conseguinte, o suporte sap pode fornecer um nível básico de suporte para aplicações SAP que interagem com software antivírus de análise de ficheiros.

As ameaças baseadas em ficheiros são agora apenas um vetor possível para software malicioso. Software maligno e malware sem ficheiros que reside fora do terreno, ameaças altamente polimórficas que sofrem uma mutação mais rápida do que as soluções tradicionais podem acompanhar e ataques operados por humanos que se adaptam ao que os adversários encontram em dispositivos comprometidos. As soluções de segurança antivírus tradicionais não são suficientes para parar esses ataques. São necessárias capacidades suportadas pela inteligência artificial (IA) e aprendizagem de dispositivos (ML), como o bloqueio comportamental e a contenção. O software de segurança, como o Defender para Endpoint, tem funcionalidades avançadas de proteção contra ameaças para mitigar ameaças modernas.

O Defender para Endpoint monitoriza continuamente as chamadas do sistema operativo, como a leitura de ficheiros, a escrita de ficheiros, a criação de sockets e outras operações ao nível do processo. O sensor EDR do Defender para Endpoint adquire bloqueios oportunistas em sistemas de ficheiros NTFS locais e é, portanto, pouco provável que tenha impacto nas aplicações. Os bloqueios oportunistas não são possíveis em sistemas de ficheiros de rede remota. Em casos raros, um bloqueio pode causar erros gerais não específicos, como Acesso Negado em aplicações SAP.

O SAP não consegue fornecer qualquer nível de suporte para software EDR/XDR, como o Microsoft Defender XDR ou o Defender para Endpoint. Os mecanismos nessas soluções são adaptáveis; portanto, não são previsíveis. Além disso, os problemas não são potencialmente reproduzíveis. Quando os problemas são identificados em sistemas que executam soluções de segurança avançadas, o SAP recomenda a desativação do software de segurança e, em seguida, a tentativa de reprodução do problema. Em seguida, pode ser gerado um pedido de suporte junto do fornecedor de software de segurança.

Para obter mais informações sobre a política de Suporte sap, veja 3356389 - Antivírus ou outro software de segurança que afete as operações SAP.

Eis uma lista de artigos SAP que pode utilizar conforme necessário:

Aplicações SAP no Windows Server: Principais 10 recomendações

  1. Limite o acesso a servidores SAP, bloqueie portas de rede e tome todas as outras medidas comuns de proteção de segurança. Este primeiro passo é essencial. O panorama das ameaças evoluiu de vírus baseados em ficheiros para ameaças complexas e sofisticadas sem ficheiros. As ações, como bloquear portas e limitar o início de sessão/acesso às VMs , já não são consideradas suficientes para mitigar totalmente as ameaças modernas.

  2. Implemente o Defender para Endpoint em sistemas não produtivos antes de implementar em sistemas de produção. Implementar o Defender para Endpoint diretamente em sistemas de produção sem testes é altamente arriscado e pode levar a um período de indisponibilidade. Se não conseguir atrasar a implementação do Defender para Endpoint nos seus sistemas de produção, considere desativar temporariamente a proteção contra adulteração e a proteção em tempo real.

  3. Lembre-se de que a proteção em tempo real está ativada por predefinição no Windows Server. Se forem identificados problemas que possam estar relacionados com o Defender para Endpoint, é recomendado configurar exclusões e/ou abrir um pedido de suporte através do portal do Microsoft Defender.

  4. Peça à equipa sap basis e à sua equipa de segurança que trabalhem em conjunto na implementação do Defender para Endpoint. As duas equipas precisam de criar em conjunto um plano de implementação, teste e monitorização faseado.

  5. Utilize ferramentas como o PerfMon (Windows) para criar uma linha de base de desempenho antes de implementar e ativar o Defender para Endpoint. Compare a utilização do desempenho antes e depois de ativar o Defender para Endpoint. Veja perfmon.

  6. Implemente a versão mais recente do Defender para Endpoint e utilize as versões mais recentes do Windows, idealmente o Windows Server 2019 ou mais recente. Veja Requisitos mínimos para Microsoft Defender para Endpoint.

  7. Configure determinadas exclusões para o Antivírus Microsoft Defender. Estes incluem:

    • Ficheiros de dados do DBMS, ficheiros de registo e ficheiros temporários, incluindo discos que contêm ficheiros de cópia de segurança
    • Todo o conteúdo do diretório SAPMNT
    • Todo o conteúdo do diretório SAPLOC
    • Todo o conteúdo do diretório TRANS
    • Todo o conteúdo dos diretórios para motores autónomos, como TREX

    Os utilizadores avançados podem considerar a utilização de exclusões contextuais de ficheiros e pastas.

    Para obter mais informações sobre as exclusões do DBMS, utilize os seguintes recursos:

  8. Verifique as definições do Defender para Endpoint. Microsoft Defender Antivírus com aplicações SAP devem ter as seguintes definições na maioria dos casos:

    • AntivirusEnabled : True
    • AntivirusSignatureAge : 0
    • BehaviorMonitorEnabled : True
    • DefenderSignaturesOutOfDate : False
    • IsTamperProtected : True
    • RealTimeProtectionEnabled : True

  9. Utilize ferramentas, como Intune ou a gestão de definições de segurança do Defender para Endpoint para configurar o Defender para Endpoint. Estas ferramentas podem ajudar a garantir que o Defender para Endpoint está configurado corretamente e de forma uniforme.

    Para utilizar a gestão de definições de segurança do Defender para Endpoint, no portal Microsoft Defender, aceda a EndpointsGestão> de configuração Políticas > desegurança do Ponto final e, em seguida, selecione Create nova Política. Para obter mais informações, veja Gerir políticas de segurança de pontos finais no Microsoft Defender para Endpoint.

  10. Utilize a versão mais recente do Defender para Endpoint. Estão a ser implementadas várias novas funcionalidades no Defender para Endpoint no Windows e estas funcionalidades foram testadas com sistemas SAP. Estas novas funcionalidades reduzem o bloqueio e reduzem o consumo da CPU. Para obter mais informações sobre as novas funcionalidades, consulte Novidades no Microsoft Defender para Endpoint.

Metodologia de implementação

O SAP e a Microsoft não recomendam a implementação direta do Defender para Endpoint no Windows em todos os sistemas de desenvolvimento, QAS e produção em simultâneo e/ou sem testes e monitorização cuidadosos. Como resultado, os clientes que implementaram o Defender para Endpoint e outro software semelhante de forma não controlada, sem testes adequados, sofreram um período de indisponibilidade do sistema.

O Defender para Endpoint no Windows e qualquer outra alteração de software ou configuração devem ser implementados em sistemas de desenvolvimento primeiro, validados em QAS e apenas depois implementados em ambientes de produção.

A utilização de ferramentas, como a gestão de definições de segurança do Defender para Endpoint para implementar o Defender para Endpoint em todo o cenário do SAP sem testes, pode causar tempo de inatividade.

Eis uma lista do que deve verificar:

  1. Implemente o Defender para Endpoint com a proteção contra adulteração ativada. Se surgirem problemas, ative o modo de resolução de problemas, desative a proteção contra adulteração, desative a proteção em tempo real e configure as análises agendadas.

  2. Exclua ficheiros DBMS e executáveis ao seguir as recomendações do fornecedor do DBMS.

  3. Analise os diretórios SAPMNT, SAP TRANS_DIR, Spool e Registo de Tarefas. Se existirem mais de 100 000 ficheiros, considere arquivar para reduzir o número de ficheiros.

  4. Confirme os limites de desempenho e as quotas do sistema de ficheiros partilhado utilizado para SAPMNT. A origem de partilha SMB pode ser uma aplicação NetApp, um disco partilhado do Windows Server ou Ficheiros do Azure SMB.

  5. Configure exclusões para que todos os servidores de aplicações SAP não estejam a analisar a partilha SAPMNT em simultâneo, uma vez que pode sobrecarregar o servidor de armazenamento partilhado.

  6. Em geral, os ficheiros de interface de anfitrião num servidor de ficheiros não SAP dedicado. Os ficheiros de interface são reconhecidos como um vetor de ataque. A proteção em tempo real deve ser ativada neste servidor de ficheiros dedicado. Os servidores SAP nunca devem ser utilizados como servidores de ficheiros para ficheiros de interface.

    Nota

    Alguns grandes sistemas SAP têm mais de 20 servidores de aplicações SAP cada um com uma ligação à mesma partilha SMB SAPMNT. 20 servidores de aplicações que verificam simultaneamente o mesmo servidor SMB podem sobrecarregar o servidor SMB. Recomenda-se excluir SAPMNT de análises regulares.

Definições de configuração importantes para o Defender para Endpoint no Windows Server com SAP

  1. Obtenha uma descrição geral do Microsoft Defender para Endpoint. Em particular, reveja as informações sobre a proteção da próxima geração e a EDR.

    Nota

    Por vezes, o termo Defender é utilizado para se referir a um conjunto completo de produtos e soluções. Consulte O que é Microsoft Defender XDR?. Neste artigo, focamo-nos nas capacidades antivírus e EDR no Defender para Endpoint.

  2. Verifique o estado do Antivírus Microsoft Defender. Abra uma linha de comandos. Utilize os seguintes comandos do PowerShell:

    Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    Para saber mais sobre estes comandos, consulte os seguintes artigos:

  3. Verifique o estado do EDR. Abra a Linha de Comandos e, em seguida, execute o seguinte comando:

    PS C:\Windows\System32> Get-Service -Name sense | FL *

    Deverá ver um resultado semelhante ao seguinte fragmento de código:

    Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    Os valores que pretende ver são Status: Running e StartType: Automatic.

    Para obter mais informações sobre o resultado, veja Rever eventos e erros com Visualizador de Eventos.

  4. Certifique-se de que Microsoft Defender Antivírus está atualizado. A melhor forma de garantir que a proteção antivírus está atualizada é ao utilizar Windows Update. Se encontrar problemas ou receber um erro, contacte a equipa de segurança.

    Para obter mais informações sobre atualizações, veja Microsoft Defender Informações de segurança e atualizações de produtos do Antivírus.

  5. Certifique-se de que a monitorização de comportamento está ativada. Quando a proteção contra adulteração está ativada, a monitorização de comportamento é ativada por predefinição. Utilize a configuração predefinida da proteção contra adulteração ativada, monitorização de comportamento ativada e monitorização em tempo real ativada, a menos que seja identificado um problema específico.

    Para obter mais informações, veja A proteção incorporada ajuda a proteger contra ransomware.

  6. Certifique-se de que a proteção em tempo real está ativada. A recomendação atual do Defender para Endpoint no Windows é ativar a análise em tempo real, com a proteção contra adulteração ativada, a monitorização de comportamento ativada e a monitorização em tempo real ativada, a menos que seja identificado um problema específico.

    Para obter mais informações, veja A proteção incorporada ajuda a proteger contra ransomware.

  7. Tenha em atenção como as análises funcionam com partilhas de rede. Por predefinição, o componente Antivírus do Microsoft Defender no Windows analisa os sistemas de ficheiros de rede partilhados SMB (por exemplo, uma partilha \\server\smb-share de servidor do Windows ou uma partilha NetApp) quando estes ficheiros são acedidos por processos.

    O Defender para Endpoint EDR no Windows pode analisar sistemas de ficheiros de rede partilhados SMB. O sensor EDR analisa determinados ficheiros identificados como interessantes para análise EDR durante as operações de modificação, eliminação e movimentação de ficheiros.

    O Defender para Endpoint no Linux não analisa os sistemas de ficheiros NFS durante as análises agendadas.

  8. Resolver problemas de fiabilidade ou estado de funcionamento do sensor. Para resolver estes problemas, utilize a ferramenta Analisador de Cliente do Defender para Endpoint. O Analisador de Cliente do Defender para Endpoint pode ser útil ao diagnosticar problemas de fiabilidade ou estado de funcionamento do sensor em dispositivos integrados com Windows, Linux ou macOS. Obtenha a versão mais recente do Analisador de Cliente do Defender para Endpoint aqui: https://aka.ms/MDEAnalyzer.

  9. Abra um pedido de suporte se precisar de ajuda. Consulte Contactar Microsoft Defender para Endpoint suporte.

  10. Se estiver a utilizar VMs SAP de produção com Microsoft Defender para a Cloud, tenha em atenção que o Defender para Cloud implementa a extensão defender para ponto final em todas as VMs. Se uma VM não estiver integrada no Defender para Endpoint, pode ser utilizada como um vetor de ataque. Se precisar de mais tempo para testar o Defender para Endpoint antes de deplying para o seu ambiente de produção, contacte o suporte.

Comandos Úteis: Microsoft Defender para Endpoint com SAP no Windows Server

As secções seguintes descrevem como confirmar ou configurar as definições do Defender para Endpoint com o PowerShell e a Linha de Comandos:

Atualizar manualmente as definições do Antivírus do Microsoft Defender

Utilize Windows Update ou execute o seguinte comando:

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

Deverá ver uma saída semelhante ao seguinte fragmento de código:

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

Outra opção é utilizar este comando:

PS C:\Program Files\Windows Defender> Update-MpSignature

Para obter mais informações sobre estes comandos, veja os seguintes recursos:

Determinar se o EDR no modo de bloco está ativado

O EDR no modo de bloqueio fornece proteção adicional contra artefactos maliciosos quando Microsoft Defender Antivírus não é o produto antivírus principal e está em execução no modo passivo. Pode determinar se o EDR no modo de bloco está ativado ao executar o seguinte comando:

Get-MPComputerStatus|select AMRunningMode

Existem dois modos: Modo Normal e Passivo. Os testes com sistemas SAP foram feitos apenas com AMRunningMode = Normal para sistemas SAP.

Para obter mais informações sobre este comando, veja Get-MpComputerStatus.

Configurar exclusões de antivírus

Antes de configurar as exclusões, certifique-se de que a equipa sap basis coordena com a sua equipa de segurança. As exclusões devem ser configuradas centralmente e não ao nível da VM. As exclusões, como o sistema de ficheiros SAPMNT partilhado, devem ser excluídas através de uma política com a ferramenta de administração Intune.

Para ver exclusões, utilize o seguinte comando:

Get-MpPreference | Select-Object -Property ExclusionPath

Para obter mais informações sobre este comando, veja Get-MpComputerStatus.

Para obter mais informações sobre exclusões, veja os seguintes recursos:

Configurar exclusões EDR

Não é recomendado excluir ficheiros, caminhos ou processos do EDR, uma vez que tais exclusões incluem a proteção contra ameaças modernas não baseadas em ficheiros. Se necessário, abra um pedido de suporte com Suporte da Microsoft através do portal Microsoft Defender especificando executáveis e/ou caminhos a excluir. Consulte Contactar Microsoft Defender para Endpoint suporte.

Desativar completamente o Defender para Endpoint no Windows para fins de teste

Atenção

Não é recomendado desativar o software de segurança, a menos que não exista alternativa para resolver ou isolar um problema.

O Defender para Endpoint deve ser configurado com a proteção contra adulteração ativada. Para desativar temporariamente o Defender para Ponto Final para isolar problemas, utilize o modo de resolução de problemas.

Para encerrar vários subcomponentes da solução antivírus Microsoft Defender, execute os seguintes comandos:

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

Para obter mais informações sobre estes comandos, consulte Set-MpPreference.

Importante

Não pode desativar os subcomponentes EDR num dispositivo. A única forma de desativar o EDR é desativar o dispositivo.

Para desativar a proteção fornecida pela cloud (Serviço de Proteção Avançada da Microsoft ou MAPS), execute os seguintes comandos:

PowerShell Set-MpPreference -MAPSReporting 0​
PowerShell Set-MpPreference -MAPSReporting Disabled​

Para obter mais informações sobre a proteção fornecida pela cloud, veja os seguintes recursos: