Руководство по развертыванию Microsoft Defender для конечной точки в Linux для SAP

Область применения:

В этой статье приводятся рекомендации по развертыванию для Microsoft Defender для конечной точки в Linux для SAP. В этой статье содержатся рекомендуемые заметки о SAP OSS (online Services System), требования к системе, предварительные требования, важные параметры конфигурации, рекомендуемые исключения антивирусной программы и рекомендации по планированию проверок антивирусной программы.

Обычные средства защиты безопасности, которые обычно используются для защиты систем SAP, такие как изоляция инфраструктуры за брандмауэрами и ограничение входа в интерактивные операционные системы, больше не считаются достаточными для устранения современных сложных угроз. Важно развернуть современные средства защиты для обнаружения и сдерживания угроз в режиме реального времени. Приложения SAP, в отличие от большинства других рабочих нагрузок, требуют базовой оценки и проверки перед развертыванием Microsoft Defender для конечной точки. Перед развертыванием Defender для конечной точки администраторы корпоративной безопасности должны обратиться к команде SAP Basis. Базовая группа SAP должна пройти кросс-обучение с базовым уровнем знаний о Defender для конечной точки.

Приложения SAP в Linux

  • SAP поддерживает только Suse, Redhat и Oracle Linux. Другие дистрибутивы не поддерживаются для приложений SAP S4 или NetWeaver.
  • Настоятельно рекомендуется использовать Suse 15.x, Redhat 8.x или 9.x и Oracle Linux 8.x.
  • Suse 12.x, Redhat 7.x и Oracle Linux 7.x технически поддерживаются, но не были тщательно протестированы.
  • Suse 11.x, Redhat 6.x и Oracle Linux 6.x могут не поддерживаться и не были протестированы.
  • Suse и Redhat предлагают специализированные дистрибутивы для SAP. Эти версии Suse и Redhat для SAP могут иметь разные предварительно установленные пакеты и, возможно, разные ядра.
  • SAP поддерживает только определенные файловые системы Linux. Как правило, используются XFS и EXT3. Файловая система Oracle Automatic Storage Management (ASM) иногда используется для СУБД Oracle и не может быть прочитана Defender для конечной точки.
  • Некоторые приложения SAP используют автономные подсистемы, такие как TREX, Adobe Document Server, Content Server и LiveCache. Для этих ядр требуются определенные исключения конфигурации и файлов.
  • Приложения SAP часто имеют каталоги транспорта и интерфейса со многими тысячами небольших файлов. Если количество файлов превышает 100 000, это может повлиять на производительность. Рекомендуется архивировать файлы.
  • Настоятельно рекомендуется развернуть Defender для конечной точки в непроизводственных ландшафтах SAP в течение нескольких недель перед развертыванием в рабочей среде. Команда sap Basis должна использовать такие средства, как sysstat, KSAR и nmon, чтобы проверить, влияют ли ЦП и другие параметры производительности.

Предварительные требования для развертывания Microsoft Defender для конечной точки в Linux на виртуальных машинах SAP

Параметром конфигурации по умолчанию для развертывания в качестве расширения Azure для AntiVirus (AV) будет пассивный режим. Это означает, что компонент AV Microsoft Defender для конечной точки не будет перехватывать вызовы ввода-вывода. Рекомендуется запускать Microsoft Defender для конечной точки в пассивном режиме для всех приложений SAP и планировать проверку один раз в день. В этом режиме:

  • Защита в режиме реального времени отключена: угрозы не устраняются Microsoft Defender антивирусной программой.
  • Сканирование по запросу включено. По-прежнему используйте возможности сканирования в конечной точке.
  • Автоматическое исправление угроз отключено: файлы не перемещаются, и администратор безопасности, как ожидается, примет необходимые меры.
  • Обновления аналитики безопасности включены: оповещения доступны в клиенте администратора безопасности.

Crontab Linux обычно используется для планирования Microsoft Defender для конечной точки задач проверки av и смены журналов: Планирование проверок с помощью Microsoft Defender для конечной точки (Linux)

Функция обнаружения и реагирования конечных точек (EDR) активна при установке Microsoft Defender для конечной точки в Linux. Простой способ отключить функции EDR с помощью командной строки или конфигурации не существует. Дополнительные сведения об устранении неполадок с EDR см. в разделах Полезные команды и Полезные ссылки.

Важные параметры конфигурации для Microsoft Defender для конечной точки в SAP на Linux

Рекомендуется проверка установку и настройку Defender для конечной точки с помощью команды mdatp health.

Для приложений SAP рекомендуется использовать следующие ключевые параметры:

  • healthy = true
  • release_ring = Рабочая среда. Предварительные и внутренние круги не должны использоваться с приложениями SAP.
  • real_time_protection_enabled = false. Защита в режиме реального времени отключена в пассивном режиме, который является режимом по умолчанию и предотвращает перехват операций ввода-вывода в режиме реального времени.
  • automatic_definition_update_enabled = true
  • definition_status = "up_to_date". Запустите обновление вручную при обнаружении нового значения.
  • edr_early_preview_enabled = "отключено". Если включить в системах SAP, это может привести к нестабильности системы.
  • conflicting_applications = [ ]. Другое антивирусное программное обеспечение или программное обеспечение безопасности, установленное на виртуальной машине, например Clam.
  • supplementary_events_subsystem = "ebpf". Не продолжайте, если ebpf не отображается. Обратитесь к группе администраторов безопасности.

В этой статье содержатся полезные указания по устранению неполадок с установкой для Microsoft Defender для конечной точки: Устранение неполадок с установкой для Microsoft Defender для конечной точки в Linux

Группа безопасности предприятия должна получить полный список исключений антивирусной программы от администраторов SAP (как правило, это sap Basis Team). Рекомендуется сначала исключить:

  • Файлы данных СУБД, файлы журналов и временные файлы, включая диски, содержащие файлы резервных копий
  • Все содержимое каталога SAPMNT
  • Все содержимое каталога SAPLOC
  • Все содержимое каталога TRANS
  • Все содержимое каталогов для автономных модулей, таких как TREX
  • Hana — исключение /hana/shared, /hana/data и /hana/log — см. примечание 1730930
  • SQL Server . Настройка антивирусной программы для работы с SQL Server — SQL Server
  • Oracle — см. инструкции по настройке антивирусной программы на сервере базы данных Oracle (идентификатор документа 782354.1)
  • DB2 — https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
  • SAP ASE — обращение в SAP
  • MaxDB — контакт с SAP

Системам Oracle ASM не требуются исключения, так как Microsoft Defender для конечной точки не могут читать диски ASM.

Клиенты с кластерами Pacemaker также должны настроить следующие исключения:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*

Клиенты, использующие политику безопасности Azure, могут активировать проверку с помощью решения freeware Clam AV. Рекомендуется отключить проверку Clam AV после защиты виртуальной машины с помощью Microsoft Defender для конечной точки с помощью следующих команд:

sudo azsecd config  -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status 

В следующих статьях описано, как настроить исключения av для процессов, файлов и папок для каждой отдельной виртуальной машины.

Планирование ежедневной проверки AV

Рекомендуемая конфигурация для приложений SAP отключает перехват вызовов ввода-вывода в режиме реального времени для сканирования AV. Рекомендуемый параметр — пассивный режим, в котором real_time_protection_enabled = false.

По следующей ссылке описано, как запланировать сканирование: Как запланировать сканирование с помощью Microsoft Defender для конечной точки (Linux).

Крупные системы SAP могут иметь более 20 серверов приложений SAP с подключением к общей папке SAPMNT NFS. Двадцать или более серверов приложений одновременное сканирование одного и того же сервера NFS, скорее всего, перегрузит сервер NFS. По умолчанию Defender для конечной точки в Linux не проверяет источники NFS.

Если требуется сканировать SAPMNT, эту проверку следует настроить только на одной или двух виртуальных машинах.

Запланированные проверки sap ECC, BW, CRM, SCM, диспетчера решений и других компонентов должны выполняться в разное время, чтобы избежать перегрузки всех компонентов SAP общего источника хранилища NFS, совместно используемого всеми компонентами SAP.

Полезные команды

Если во время ручной установки zypper на Suse возникает ошибка "Nothing предоставляет policycoreutils", см. статью Устранение проблем с установкой для Microsoft Defender для конечной точки в Linux.

Существует несколько команд командной строки, которые могут управлять операцией mdatp. Чтобы включить пассивный режим, можно использовать следующую команду:

mdatp config passive-mode --value enabled

Примечание.

пассивный режим — это режим по умолчанию при установке Defender для конечной точки в Linux.

Чтобы отключить защиту в режиме реального времени, можно использовать команду :

mdatp config real-time-protection --value disabled

Эта команда сообщает mdatp, чтобы получить последние определения из облака:

mdatp definitions update 

Эта команда проверяет, может ли mdatp подключаться к облачным конечным точкам через сеть:

mdatp connectivity test

При необходимости эти команды обновляют программное обеспечение mdatp:

yum update mdatp
zypper update mdatp

Так как mdatp выполняется как системная служба Linux, вы можете управлять mdatp с помощью команды службы, например:

service mdatp status 

Эта команда создает файл диагностики, который можно отправить в службу поддержки Майкрософт:

sudo mdatp diagnostic create