Руководство по развертыванию Microsoft Defender для конечной точки в Linux для SAP

В этой статье приводятся рекомендации по развертыванию для Microsoft Defender для конечной точки в Linux для SAP. В этой статье содержатся рекомендуемые заметки о SAP OSS (online Services System), требования к системе, предварительные требования, важные параметры конфигурации, рекомендуемые исключения антивирусной программы и рекомендации по планированию проверок антивирусной программы.

Обычные средства защиты безопасности, которые обычно используются для защиты систем SAP, такие как изоляция инфраструктуры за брандмауэрами и ограничение интерактивных входов в операционную систему, больше не считаются достаточными для устранения современных сложных угроз. Важно развернуть современные средства защиты для обнаружения и сдерживания угроз в режиме реального времени. Приложения SAP, в отличие от большинства других рабочих нагрузок, требуют базовой оценки и проверки перед развертыванием Microsoft Defender для конечной точки. Перед развертыванием Defender для конечной точки администраторы корпоративной безопасности должны обратиться к команде SAP Basis. Базовая группа SAP должна пройти кросс-обучение с базовым уровнем знаний о Defender для конечной точки.

Рекомендуемые заметки о SAP OSS

• 2248916 . Какие файлы и каталоги следует исключить из антивирусной проверки продуктов SAP BusinessObjects Business Intelligence Platform в Linux/Unix? — Панель запуска поддержки SAP ONE
• 1984459 — какие файлы и каталоги следует исключить из антивирусной проверки для sap Data Services — панель запуска поддержки SAP ONE
• 2808515 . Установка программного обеспечения безопасности на серверах SAP под управлением Linux — панель запуска поддержки SAP ONE
• 1730930 . Использование антивирусного программного обеспечения в (модуль) SAP HANA — панель запуска поддержки SAP ONE
• 1730997 — нерекомендуемые версии антивирусного программного обеспечения — панель запуска поддержки SAP ONE

Приложения SAP в Linux

• SAP поддерживает только Suse, Redhat и Oracle Linux. Другие дистрибутивы не поддерживаются для приложений SAP S4 или NetWeaver.
• Настоятельно рекомендуется использовать Suse 15.x, Redhat 8.x или 9.x и Oracle Linux 8.x.
• Suse 12.x, Redhat 7.x и Oracle Linux 7.x технически поддерживаются, но не были тщательно протестированы.
• Suse 11.x, Redhat 6.x и Oracle Linux 6.x могут не поддерживаться и не были протестированы.
• Suse и Redhat предлагают специализированные дистрибутивы для SAP. Эти версии Suse и Redhat для SAP могут иметь разные предварительно установленные пакеты и, возможно, разные ядра.
• SAP поддерживает только определенные файловые системы Linux. Как правило, используются XFS и EXT3. Файловая система Oracle Automatic Storage Management (ASM) иногда используется для СУБД Oracle и не может быть прочитана Defender для конечной точки.
• Некоторые приложения SAP используют автономные подсистемы, такие как TREX, Adobe Document Server, Content Server и LiveCache. Для этих ядр требуются определенные исключения конфигурации и файлов.
• Приложения SAP часто имеют каталоги транспорта и интерфейса со многими тысячами небольших файлов. Если количество файлов превышает 100 000, это может повлиять на производительность. Рекомендуется архивировать файлы.
• Настоятельно рекомендуется развернуть Defender для конечной точки в непроизводственных ландшафтах SAP в течение нескольких недель перед развертыванием в рабочей среде. Базисная группа SAP должна использовать такие средства, как sysstat, KSARи nmon для проверки влияния ЦП и других параметров производительности.

Предварительные требования для развертывания Microsoft Defender для конечной точки в Linux на виртуальных машинах SAP

• Microsoft Defender для конечной точки версия>= 101.23082.0009 | Версия выпуска: 30.123082.0009 или более поздняя.
• Microsoft Defender для конечной точки в Linux поддерживает все выпуски Linux, используемые приложениями SAP.
• Microsoft Defender для конечной точки в Linux требуется подключение к определенным конечным точкам Интернета из виртуальных машин для обновления определений антивирусной программы.
• Microsoft Defender для конечной точки в Linux требуются некоторые записи crontab (или другого планировщика задач) для планирования проверок, смены журналов и Microsoft Defender для конечной точки обновлений. Команды корпоративной безопасности обычно управляют этими записями. См. статью Планирование обновления Microsoft Defender для конечной точки (Linux).

Параметр конфигурации по умолчанию для развертывания в качестве расширения Azure для AntiVirus (AV) — пассивный режим. Это означает, что антивирусная программа Microsoft Defender компонент Microsoft Defender для конечной точки не перехватывает вызовы ввода-вывода. Рекомендуется запускать Microsoft Defender для конечной точки в пассивном режиме для всех приложений SAP и планировать проверку один раз в день. В этом режиме:

• Защита в режиме реального времени отключена: угрозы не устраняются Microsoft Defender антивирусной программой.
• Сканирование по запросу включено. По-прежнему используйте возможности сканирования в конечной точке.
• Автоматическое исправление угроз отключено: файлы не перемещаются, и администратор безопасности, как ожидается, примет необходимые меры.
• Обновления аналитики безопасности включены: оповещения доступны в клиенте администратора безопасности.

Сетевые средства установки исправлений ядра, такие как Ksplice или аналогичные, могут привести к непредсказуемой стабильности ОС, если Defender для конечной точки запущен. Рекомендуется временно остановить управляющую программу Defender для конечной точки перед выполнением оперативного исправления ядра. После обновления ядра Defender для конечной точки в Linux можно безопасно перезапустить. Это особенно важно для больших виртуальных машин SAP HANA с огромными контекстами памяти.

Crontab Linux обычно используется для планирования Microsoft Defender для конечной точки задач проверки av и смены журналов: Планирование проверок с помощью Microsoft Defender для конечной точки (Linux)

Функция обнаружения и реагирования конечных точек (EDR) активна при установке Microsoft Defender для конечной точки в Linux. Простой способ отключить функции EDR с помощью командной строки или конфигурации не существует. Дополнительные сведения об устранении неполадок с EDR см. в разделах Полезные команды и Полезные ссылки.

Важные параметры конфигурации для Microsoft Defender для конечной точки в SAP на Linux

Рекомендуется проверка установку и настройку Defender для конечной точки с помощью команды mdatp health.

Для приложений SAP рекомендуется использовать следующие ключевые параметры:

• healthy = true
• release_ring = Production. Предварительные и внутренние круги не должны использоваться с приложениями SAP.
• real_time_protection_enabled = false. Защита в режиме реального времени отключена в пассивном режиме, который является режимом по умолчанию и предотвращает перехват операций ввода-вывода в режиме реального времени.
• automatic_definition_update_enabled = true
• definition_status = "up_to_date". Запустите обновление вручную при обнаружении нового значения.
• edr_early_preview_enabled = "disabled". Если включить в системах SAP, это может привести к нестабильности системы.
• conflicting_applications = [ ]. Другое антивирусное программное обеспечение или программное обеспечение безопасности, установленное на виртуальной машине, например Clam.
• supplementary_events_subsystem = "ebpf". Не продолжайте, если ebpf не отображается. Обратитесь к группе администраторов безопасности.

В этой статье содержатся полезные указания по устранению неполадок с установкой для Microsoft Defender для конечной точки: Устранение неполадок с установкой для Microsoft Defender для конечной точки в Linux

Рекомендуемые исключения антивирусной программы Microsoft Defender для конечной точки для SAP в Linux

Группа безопасности предприятия должна получить полный список исключений антивирусной программы от администраторов SAP (как правило, это sap Basis Team). Рекомендуется сначала исключить:

• Файлы данных СУБД, файлы журналов и временные файлы, включая диски, содержащие файлы резервных копий
• Все содержимое каталога SAPMNT
• Все содержимое каталога SAPLOC
• Все содержимое каталога TRANS
• Все содержимое каталогов для автономных модулей, таких как TREX
• Hana — исключение /hana/shared, /hana/data и /hana/log — см. примечание 1730930
• SQL Server . Настройка антивирусной программы для работы с SQL Server — SQL Server
• Oracle — см. инструкции по настройке антивирусной программы на сервере базы данных Oracle (идентификатор документа 782354.1)
• DB2 — https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
• SAP ASE — обращение в SAP
• MaxDB — контакт с SAP

Системам Oracle ASM не требуются исключения, так как Microsoft Defender для конечной точки не могут читать диски ASM.

Клиенты с кластерами Pacemaker также должны настроить следующие исключения:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Клиенты, использующие политику безопасности Azure, могут активировать проверку с помощью решения freeware Clam AV. Рекомендуется отключить проверку Clam AV после защиты виртуальной машины с помощью Microsoft Defender для конечной точки с помощью следующих команд:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status 

В следующих статьях описано, как настроить исключения av для процессов, файлов и папок для каждой отдельной виртуальной машины.

• Настройка исключений для проверок антивирусной Microsoft Defender
• Распространенные ошибки, которых следует избегать при определении исключений

Планирование ежедневной проверки AV

Рекомендуемая конфигурация для приложений SAP отключает перехват вызовов ввода-вывода в режиме реального времени для сканирования AV. Рекомендуемый параметр — пассивный режим, в котором real_time_protection_enabled = false.

По следующей ссылке описано, как запланировать сканирование: Как запланировать сканирование с помощью Microsoft Defender для конечной точки (Linux).

Крупные системы SAP могут иметь более 20 серверов приложений SAP с подключением к общей папке SAPMNT NFS. Двадцать или более серверов приложений одновременное сканирование одного и того же сервера NFS, скорее всего, перегрузит сервер NFS. По умолчанию Defender для конечной точки в Linux не проверяет источники NFS.

Если требуется сканировать SAPMNT, эту проверку следует настроить только на одной или двух виртуальных машинах.

Запланированные проверки sap ECC, BW, CRM, SCM, диспетчера решений и других компонентов должны выполняться в разное время, чтобы избежать перегрузки всех компонентов SAP общего источника хранилища NFS, совместно используемого всеми компонентами SAP.

Полезные команды

Если во время ручной установки zypper на Suse возникает ошибка "Nothing предоставляет policycoreutils", см. статью Устранение проблем с установкой для Microsoft Defender для конечной точки в Linux.

Существует несколько команд командной строки, которые могут управлять операцией mdatp. Чтобы включить пассивный режим, можно использовать следующую команду:

mdatp config passive-mode --value enabled

Примечание.

пассивный режим — это режим по умолчанию при установке Defender для конечной точки в Linux.

Чтобы отключить защиту в режиме реального времени, можно использовать команду :

mdatp config real-time-protection --value disabled

Эта команда сообщает mdatp, чтобы получить последние определения из облака:

mdatp definitions update 

Эта команда проверяет, может ли mdatp подключаться к облачным конечным точкам через сеть:

mdatp connectivity test

При необходимости эти команды обновляют программное обеспечение mdatp:

yum update mdatp

zypper update mdatp

Так как mdatp выполняется как системная служба Linux, вы можете управлять mdatp с помощью команды службы, например:

service mdatp status 

Эта команда создает файл диагностики, который можно отправить в службу поддержки Майкрософт:

sudo mdatp diagnostic create

Полезные ссылки

• Microsoft Endpoint Manager в настоящее время не поддерживает Linux

• Управление параметрами конфигурации Microsoft Defender для конечной точки на устройствах с помощью Microsoft Endpoint Manager

• Microsoft Tech Community: Microsoft Defender для конечной точки Linux — список команд конфигурации и операций

• Microsoft Tech Community. Развертывание Microsoft Defender для конечной точки на серверах Linux

• Устранение проблем с подключением к облаку для Microsoft Defender для конечной точки в Linux

• Устранение проблем с производительностью Microsoft Defender для конечной точки в Linux