適用於 SAP 的 Linux 上 適用於端點的 Microsoft Defender 部署指引
本文提供適用於 SAP 之 Linux 上 適用於端點的 Microsoft Defender 的部署指引。 本文包含建議的 SAP OSS (Online Services 系統) 附注、系統需求、必要條件、重要組態設定、建議的防病毒軟體排除專案,以及排程防病毒軟體掃描的指引。
通常用來保護 SAP 系統的傳統安全性防禦,例如隔離防火牆背後的基礎結構,以及限制互動式作業系統登入,已不再被視為足以降低新式複雜威脅。 部署新式防禦以即時偵測並包含威脅是不可或缺的。 不同於大部分其他工作負載的 SAP 應用程式在部署 適用於端點的 Microsoft Defender 之前,都需要基本評定和驗證。 企業安全性系統管理員應該先連絡 SAP 基礎小組,再部署適用於端點的 Defender。 SAP 基礎小組應該以適用於端點的 Defender 的基本知識層級進行交叉訓練。
建議的 SAP OSS 附註
- 2248916 - 哪些檔案和目錄應該從 Linux/Unix 中 SAP BusinessObjects Business Intelligence Platform 產品的防病毒軟體掃描中排除? - SAP ONE 支援啟動控制板
- 1984459 - 哪些檔案和目錄應該從 SAP Data Services 的防病毒軟體掃描中排除 - SAP ONE 支援啟動控制板
- 2808515 - 在 Linux 上執行的 SAP 伺服器上安裝安全性軟體 - SAP ONE 支援啟動控制板
- 1730930 - 在 SAP HANA 裝置中使用防病毒軟體 - SAP ONE 支援啟動控制板
- 1730997 - 防病毒軟體的未認可版本 - SAP ONE 支援啟動控制板
Linux 上的 SAP 應用程式
- SAP 僅支援 Suse、Redhat 和 Oracle Linux。 SAP S4 或 NetWeaver 應用程式不支援其他散發套件。
- 強烈建議使用 Suse 15.x、Redhat 8.x 或 9.x 和 Oracle Linux 8.x。
- 技術上支援 Suse 12.x、Redhat 7.x 和 Oracle Linux 7.x,但未經過廣泛測試。
- 可能不支援 Suse 11.x、Redhat 6.x 和 Oracle Linux 6.x,而且未經過測試。
- Suse 和 Redhat 提供針對 SAP 量身打造的散發套件。 這些「適用於 SAP」版本的 Suse 和 Redhat 可能會預安裝不同的套件,而且可能有不同的核心。
- SAP 僅支援特定的 Linux 檔案系統。 一般而言,會使用 XFS 和 EXT3。 Oracle 自動記憶體管理 (ASM) 文件系統有時用於 Oracle DBMS,而且無法由適用於端點的 Defender 讀取。
- 某些 SAP 應用程式使用「獨立引擎」,例如 TREX、Adobe 檔案伺服器、內容伺服器和 LiveCache。 這些引擎需要特定的組態和檔案排除。
- SAP 應用程式通常會有具有數千個小型檔案的傳輸和介面目錄。 如果檔案數目大於 100,000,則可能會影響效能。 建議您封存盤案。
- 強烈建議您先將適用於端點的 Defender 部署至非生產 SAP 環境數周,再部署至生產環境。 SAP 基礎小組應該使用、
KSAR
和nmon
等sysstat
工具來確認 CPU 和其他效能參數是否受到影響。
在 SAP VM 上於 Linux 上部署 適用於端點的 Microsoft Defender 的必要條件
- 適用於端點的 Microsoft Defender 版本>= 101.23082.0009 |版本:必須部署 30.123082.0009 或更新版本。
- Linux 上的 適用於端點的 Microsoft Defender 支援 SAP 應用程式使用的所有 Linux 版本。
- Linux 上的 適用於端點的 Microsoft Defender 需要從 VM 連線到特定因特網端點,以更新防病毒軟體定義。
- Linux 上的 適用於端點的 Microsoft Defender 需要一些 crontab (或其他工作排程器) 專案來排程掃描、記錄輪替和 適用於端點的 Microsoft Defender 更新。 企業安全性小組通常會管理這些專案。 請參閱如何排程 適用於端點的 Microsoft Defender (Linux) 的更新。
部署為 Azure Extension for AntiVirus (AV) 的預設組態選項是被動模式。 這表示 Microsoft Defender 防病毒軟體是 適用於端點的 Microsoft Defender 的 AV 元件,不會攔截 IO 呼叫。 建議您在所有 SAP 應用程式上以被動模式執行 適用於端點的 Microsoft Defender,並每天排程掃描一次。 在這裡模式中:
- 實時保護已關閉:Microsoft Defender 防病毒軟體不會補救威脅。
- 隨選掃描已開啟:仍然使用端點上的掃描功能。
- 自動威脅補救已關閉:不會移動任何檔案,而且預期安全性系統管理員會採取必要的動作。
- 安全性情報更新已開啟:安全性系統管理員的租使用者上提供警示。
如果適用於端點的 Defender 正在執行,則 Ksplice 或類似等在線核心修補工具可能會導致無法預測的 OS 穩定性。 建議您在執行在線核心修補之前,先暫時停止適用於端點的 Defender 精靈。 更新核心之後,Linux 上適用於端點的 Defender 可以安全地重新啟動。 這在具有大量記憶體內容的大型SAP HANA VM上特別重要。
Linux crontab 通常用來排程 適用於端點的 Microsoft Defender AV 掃描和記錄輪替工作:如何使用 適用於端點的 Microsoft Defender 排程掃描 (Linux)
每次在Linux上安裝 適用於端點的 Microsoft Defender時,EDR (端點偵測和回應) 功能都會作用中。 沒有簡單的方法可透過命令行或組態停用 EDR 功能。 如需針對 EDR 進行疑難解答的詳細資訊,請參閱 有用的命令 和 有用的連結一節。
Linux 上 SAP 上 適用於端點的 Microsoft Defender 的重要組態設定
建議您使用 命令 mdatp health
來檢查適用於端點的 Defender 安裝和設定。
建議用於 SAP 應用程式的主要參數如下:
healthy = true
-
release_ring = Production
. 發行前版本和測試人員通道不應該與 SAP 應用程式搭配使用。 -
real_time_protection_enabled = false
. 實時保護會在被動模式中關閉,這是預設模式,可防止即時 IO 攔截。 automatic_definition_update_enabled = true
-
definition_status = "up_to_date"
. 如果識別出新的值,請執行手動更新。 -
edr_early_preview_enabled = "disabled"
. 如果在 SAP 系統上啟用,可能會導致系統不穩定。 -
conflicting_applications = [ ]
. 安裝在 VM 上的其他 AV 或安全性軟體,例如 Clam。 -
supplementary_events_subsystem = "ebpf"
. 如果未顯示 ebpf,請勿繼續。 請連絡安全性系統管理小組。
本文提供針對 適用於端點的 Microsoft Defender 安裝問題進行疑難解答的一些實用提示:針對 Linux 上 適用於端點的 Microsoft Defender 的安裝問題進行疑難解答
Linux 上 SAP 的建議 適用於端點的 Microsoft Defender 防病毒軟體排除專案
企業安全性小組必須從 SAP 系統管理員取得防病毒軟體排除專案的完整清單 (通常是 SAP 基礎小組) 。 建議您一開始排除:
- DBMS 資料檔、記錄檔和暫存盤,包括包含備份檔的磁碟
- SAPMNT 目錄的整個內容
- SAPLOC 目錄的整個內容
- TRANS 目錄的整個內容
- 獨立引擎的整個目錄內容,例如 TREX
- Hana – 排除 /hana/shared、/hana/data 和 /hana/log - 請參閱附注1730930
- SQL Server – 設定防病毒軟體以使用 SQL Server - SQL Server
- Oracle – 請參閱如何在 Oracle 資料庫伺服器上設定防病毒軟體 (文件識別碼 782354.1)
- DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
- SAP ASE – 連絡 SAP
- MaxDB – 連絡 SAP
Oracle ASM 系統不需要排除專案,因為 適用於端點的 Microsoft Defender 無法讀取 ASM 磁碟。
具有 Pacemaker 叢集的客戶也應該設定下列排除專案:
mdatp exclusion folder add --path /usr/lib/pacemaker/ (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*
執行 Azure 安全性安全策略的客戶可能會使用 Freeware Clam AV 解決方案來觸發掃描。 建議您在使用下列命令 適用於端點的 Microsoft Defender 保護 VM 之後,停用 Clam AV 掃描:
sudo azsecd config -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status
下列文章詳細說明如何針對每個個別 VM 的進程、檔案和資料夾設定 AV 排除專案:
排程每日防 V 掃描
建議的 SAP 應用程式設定會停用 IO 呼叫的實時攔截,以進行防病毒軟體掃描。 建議的設定是被動模式,其中real_time_protection_enabled = false。
下列連結詳細說明如何排程掃描:如何使用 linux) (適用於端點的 Microsoft Defender 排程掃描。
大型 SAP 系統可能會有超過 20 部 SAP 應用程式伺服器,每個伺服器都具有 SAPMNT NFS 共用的連線。 同時掃描相同 NFS 伺服器的 20 部或多個應用程式伺服器可能會多載 NFS 伺服器。 根據預設,Linux 上適用於端點的 Defender 不會掃描 NFS 來源。
如果需要掃描 SAPMNT,則此掃描應該只在一或兩部 VM 上設定。
SAP ECC、BW、CRM、SCM、解決方案管理員和其他元件的排程掃描應該在不同時間交錯,以避免所有 SAP 元件多載所有 SAP 元件共用的共用 NFS 記憶體來源。
有用的命令
如果在 Suse 上手動安裝 zypper 時發生錯誤「沒有提供 『policycoreutils』」,請參閱:針對 Linux 上 適用於端點的 Microsoft Defender 的安裝問題進行疑難解答。
有數個命令行命令可以控制 mdatp 的作業。 若要啟用被動模式,您可以使用下列命令:
mdatp config passive-mode --value enabled
注意事項
被動模式是在Linux上安裝適用於端點的Defender時的預設模式。
若要關閉即時保護,您可以使用 命令:
mdatp config real-time-protection --value disabled
此指令會指示 mdatp 從雲端擷取最新的定義:
mdatp definitions update
此命令會測試 mdatp 是否可以透過網路連線到雲端端點:
mdatp connectivity test
這些命令會視需要更新 mdatp 軟體:
yum update mdatp
zypper update mdatp
由於 mdatp 會以 linux 系統服務執行,因此您可以使用服務命令來控制 mdatp,例如:
service mdatp status
此命令會建立可上傳至Microsoft支持的診斷檔案:
sudo mdatp diagnostic create