SAP için Linux'ta Uç Nokta için Microsoft Defender için dağıtım kılavuzu

Makale
05/17/2024

Şunlar için geçerlidir:

Uç Nokta için Microsoft Defender Planı 2

Bu makalede SAP için Linux'ta Uç Nokta için Microsoft Defender için dağıtım kılavuzu sağlanır. Bu makale önerilen SAP OSS (Online Services System) notlarını, sistem gereksinimlerini, önkoşulları, önemli yapılandırma ayarlarını, önerilen virüsten koruma dışlamalarını ve virüsten koruma taramalarını zamanlama yönergelerini içerir.

Altyapıyı güvenlik duvarlarının arkasında yalıtma ve etkileşimli işletim sistemi oturum açma işlemlerini sınırlama gibi SAP sistemlerini korumak için yaygın olarak kullanılan geleneksel güvenlik savunmaları artık modern karmaşık tehditleri azaltmak için yeterli kabul edilmez. Tehditleri gerçek zamanlı olarak algılamak ve içermek için modern savunmaların dağıtılması önemlidir. Diğer iş yüklerinin çoğundan farklı olarak SAP uygulamaları, Uç Nokta için Microsoft Defender dağıtmadan önce temel değerlendirme ve doğrulama gerektirir. Kurumsal güvenlik yöneticilerinin Uç Nokta için Defender'ı dağıtmadan önce SAP Temel ekibine başvurması gerekir. SAP Temel Ekibi, Uç Nokta için Defender hakkında temel düzeyde bilgiyle çapraz eğitilmelidir.

Önerilen SAP OSS Notları

Linux'ta SAP Uygulamaları

SAP yalnızca Suse, Redhat ve Oracle Linux'ı destekler. SAP S4 veya NetWeaver uygulamaları için diğer dağıtımlar desteklenmez.
Suse 15.x, Redhat 8.x veya 9.x ve Oracle Linux 8.x kesinlikle önerilir.
Suse 12.x, Redhat 7.x ve Oracle Linux 7.x teknik olarak desteklenir ancak kapsamlı olarak test edilmemektedir.
Suse 11.x, Redhat 6.x ve Oracle Linux 6.x desteklenmeyebilir ve test edilmeyebilir.
Suse ve Redhat, SAP için uyarlanmış dağıtımlar sunar. Suse ve Redhat'in bu "SAP için" sürümlerinde önceden yüklenmiş farklı paketler ve büyük olasılıkla farklı çekirdekler olabilir.
SAP yalnızca belirli Linux Dosya sistemlerini destekler. Genel olarak XFS ve EXT3 kullanılır. Oracle Otomatik Depolama Yönetimi (ASM) dosya sistemi bazen Oracle DBMS için kullanılır ve Uç Nokta için Defender tarafından okunamaz.
Bazı SAP uygulamaları TREX, Adobe Document Server, Content Server ve LiveCache gibi "tek başına altyapılar" kullanır. Bu altyapılar belirli yapılandırma ve dosya dışlamaları gerektirir.
SAP uygulamaları genellikle binlerce küçük dosya içeren Aktarım ve Arabirim dizinlerine sahiptir. Dosya sayısı 100.000'den büyükse, performansı etkileyebilir ve etkileyebilir. Dosyaları arşivlemen önerilir.
Üretime dağıtmadan önce uç nokta için Defender'ın üretim dışı SAP manzaralarına birkaç hafta dağıtılması kesinlikle önerilir. SAP Temel Ekibi, CPU ve diğer performans parametrelerinin etkilenip etkilenmediğini doğrulamak için sysstat, KSAR ve nmon gibi araçları kullanmalıdır.

SAP VM'lerinde Linux'ta Uç Nokta için Microsoft Defender dağıtma önkoşulları

Uç Nokta için Microsoft Defender sürüm>= 101.23082.0009 | Sürüm: 30.123082.0009 veya üzeri dağıtılmalıdır.
Linux'ta Uç Nokta için Microsoft Defender, SAP uygulamaları tarafından kullanılan tüm Linux sürümlerini destekler.
Linux'ta Uç Nokta için Microsoft Defender virüsten koruma tanımlarını güncelleştirmek için VM'lerden belirli İnternet uç noktalarına bağlantı gerektirir.
Linux'ta Uç Nokta için Microsoft Defender taramaları, günlük döndürmeyi ve Uç Nokta için Microsoft Defender güncelleştirmeleri zamanlamak için bazı crontab (veya diğer görev zamanlayıcı) girişleri gerektirir. Kurumsal Güvenlik ekipleri normalde bu girişleri yönetir. Uç Nokta için Microsoft Defender (Linux) güncelleştirmesini zamanlama bölümüne bakın.

AntiVirus (AV) için Azure Uzantısı olarak dağıtım için varsayılan yapılandırma seçeneği Pasif Mod olacaktır. Bu, Uç Nokta için Microsoft Defender AV bileşeninin GÇ çağrılarına müdahale etmeyeceği anlamına gelir. Tüm SAP uygulamalarında pasif modda Uç Nokta için Microsoft Defender çalıştırmanız ve günde bir kez tarama zamanlamanız önerilir. Bu modda:

Gerçek zamanlı koruma kapalı: Tehditler Microsoft Defender Virüsten Koruma tarafından düzeltilmemiştir.
İsteğe bağlı tarama açık: Uç noktadaki tarama özelliklerini kullanmaya devam edin.
Otomatik tehdit düzeltme kapalı: Hiçbir dosya taşınmaz ve güvenlik yöneticisinin gerekli eylemi gerçekleştirmesi beklenir.
Güvenlik bilgileri güncelleştirmeleri açıktır: Güvenlik yöneticisinin kiracısı üzerinde uyarılar sağlanır.

Linux crontab genellikle Uç Nokta için Microsoft Defender AV tarama ve günlük döndürme görevlerini zamanlamak için kullanılır: Uç Nokta için Microsoft Defender ile taramaları zamanlama (Linux)

Linux'ta Uç Nokta için Microsoft Defender yüklendiğinde Uç Nokta Algılama ve Yanıt (EDR) işlevi etkindir. Komut satırı veya yapılandırma aracılığıyla EDR işlevselliğini devre dışı bırakmanın basit bir yolu yoktur. EDR sorunlarını giderme hakkında daha fazla bilgi için Yararlı Komutlar ve Yararlı Bağlantılar bölümlerine bakın.

Linux üzerinde SAP'de Uç Nokta için Microsoft Defender için Önemli Yapılandırma Ayarları

Mdatp health komutuyla Uç Nokta için Defender yüklemesini ve yapılandırmasını denetlemenizi öneririz.

SAP uygulamaları için önerilen temel parametreler şunlardır:

healthy = true
release_ring = Üretim. SAP Uygulamaları ile yayın öncesi ve insider halkaları kullanılmamalıdır.
real_time_protection_enabled = false. Gerçek zamanlı koruma, varsayılan mod olan pasif modda kapalıdır ve gerçek zamanlı GÇ kesmesini önler.
automatic_definition_update_enabled = true
definition_status = "up_to_date". Yeni bir değer tanımlanırsa el ile güncelleştirme çalıştırın.
edr_early_preview_enabled = "disabled". SAP sistemlerinde etkinleştirilirse sistem dengesizliğe yol açabilir.
conflicting_applications = [ ]. Clam gibi bir VM'ye yüklenmiş diğer AV veya güvenlik yazılımları.
supplementary_events_subsystem = "ebpf". Ebpf görüntülenmiyorsa devam etmeyin. Güvenlik yöneticisi ekibine başvurun.

Bu makalede, Uç Nokta için Microsoft Defender yükleme sorunlarını giderme konusunda bazı yararlı ipuçları verilmiştir: Linux'ta Uç Nokta için Microsoft Defender yükleme sorunlarını giderme

Linux üzerinde SAP için Virüsten Koruma Dışlamaları Uç Nokta için Microsoft Defender Önerilir

Kurumsal Güvenlik Ekibi, SAP Yöneticilerinden (genellikle SAP Temel Ekibi) virüsten koruma dışlamalarının tam listesini almalıdır. Başlangıçta aşağıdakilerin hariç tutulması önerilir:

DbMS veri dosyaları, günlük dosyaları ve yedek dosyaları içeren diskler dahil geçici dosyalar
SAPMNT dizininin tüm içeriği
SAPLOC dizininin tüm içeriği
TRANS dizininin tüm içeriği
TREX gibi tek başına altyapılar için dizinlerin tüm içeriği
Hana – dışla /hana/shared, /hana/data ve /hana/log - bkz. Not 1730930
SQL Server – Virüsten koruma yazılımını SQL Server ile çalışacak şekilde yapılandırma - SQL Server
Oracle – Bkz. Oracle Database Server'da virüsten korumayı yapılandırma (Doc ID 782354.1)
DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
SAP ASE – SAP ile iletişime geçin
MaxDB – SAP ile iletişime geçin

Uç Nokta için Microsoft Defender ASM disklerini okuyamaması için Oracle ASM sistemlerinin dışlamalara ihtiyacı yoktur.

Pacemaker kümeleri olan müşteriler de şu dışlamaları yapılandırmalıdır:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Azure Güvenlik güvenlik ilkesini çalıştıran müşteriler, Freeware Clam AV çözümünü kullanarak bir tarama tetikleyebilir. Bir VM aşağıdaki komutlar kullanılarak Uç Nokta için Microsoft Defender ile korunduktan sonra Clam AV taramasını devre dışı bırakmanızı öneririz:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status

Aşağıdaki makalelerde tek tek VM başına işlemler, dosyalar ve klasörler için AV dışlamalarının nasıl yapılandırılıp yapılandırılması ayrıntılı olarak anlatılır:

Günlük AV Taraması Zamanlama

SAP uygulamaları için önerilen yapılandırma, AV taraması için GÇ çağrılarının gerçek zamanlı olarak kesilmesini devre dışı bırakır. Önerilen ayar, real_time_protection_enabled = false olan pasif moddur.

Aşağıdaki bağlantıda tarama zamanlama işlemi ayrıntılı olarak anlatılmaktadır: Uç Nokta için Microsoft Defender (Linux) ile tarama zamanlama.

Büyük SAP sistemleri, SAPMNT NFS paylaşımına bağlantısı olan 20'den fazla SAP uygulama sunucusuna sahip olabilir. Aynı NFS sunucusunu aynı anda taratan yirmi veya daha fazla uygulama sunucusu büyük olasılıkla NFS sunucusunu aşırı yükler. Varsayılan olarak, Linux'ta Uç Nokta için Defender NFS kaynaklarını taramaz.

SAPMNT'yi tarama gereksinimi varsa, bu tarama yalnızca bir veya iki VM'de yapılandırılmalıdır.

SAP bileşenlerinin tüm SAP bileşenleri tarafından paylaşılan bir NFS depolama kaynağını aşırı yüklemesini önlemek için SAP ECC, BW, CRM, SCM, Solution Manager ve diğer bileşenler için zamanlanmış taramalar farklı zamanlarda kademeli olarak yapılmalıdır.

Yararlı Komutlar

Suse'de el ile zypper yüklemesi sırasında "Hiçbir şey 'policycoreutils' sağlamaz" hatası oluşursa, bkz. Linux'ta Uç Nokta için Microsoft Defender yükleme sorunlarını giderme.

mdatp işlemini denetleyebilen çeşitli komut satırı komutları vardır. Pasif modu etkinleştirmek için aşağıdaki komutu kullanabilirsiniz:

mdatp config passive-mode --value enabled

Not

pasif mod, Linux'ta uç nokta için defender'ın yüklenmesinde varsayılan moddur.

Gerçek zamanlı korumayı kapatmak için şu komutu kullanabilirsiniz:

mdatp config real-time-protection --value disabled

Bu komut, mdatp'ye buluttan en son tanımları almasını söyler:

mdatp definitions update

Bu komut, mdatp'nin ağ üzerinden bulut tabanlı uç noktalara bağlanıp bağlanamayacağını test eder:

mdatp connectivity test

Bu komutlar gerekirse mdatp yazılımını güncelleştirir:

yum update mdatp

zypper update mdatp

mdatp bir linux sistem hizmeti olarak çalıştığından, mdatp'yi hizmet komutunu kullanarak denetleyebilirsiniz, örneğin:

service mdatp status

Bu komut, Microsoft desteğine yüklenebilecek bir tanılama dosyası oluşturur:

sudo mdatp diagnostic create

Share via