إرشادات التوزيع Microsoft Defender لنقطة النهاية على Linux ل SAP
ينطبق على:
- Microsoft Defender لنقطة النهاية للخوادم
- Microsoft Defender للخوادم الخطة 1 أو الخطة 2
توفر هذه المقالة إرشادات التوزيع Microsoft Defender لنقطة النهاية على Linux ل SAP. تتضمن هذه المقالة ملاحظات SAP OSS (نظام الخدمات عبر الإنترنت) الموصى بها ومتطلبات النظام والمتطلبات الأساسية وإعدادات التكوين المهمة واستبعادات مكافحة الفيروسات الموصى بها وإرشادات حول جدولة عمليات فحص مكافحة الفيروسات.
لم تعد الدفاعات الأمنية التقليدية التي تم استخدامها بشكل شائع لحماية أنظمة SAP، مثل عزل البنية الأساسية خلف جدران الحماية والحد من عمليات تسجيل الدخول التفاعلية لنظام التشغيل، كافية للتخفيف من التهديدات المتطورة الحديثة. من الضروري نشر دفاعات حديثة للكشف عن التهديدات واحتواءها في الوقت الحقيقي. تتطلب تطبيقات SAP على عكس معظم أحمال العمل الأخرى تقييما أساسيا والتحقق من الصحة قبل توزيع Microsoft Defender لنقطة النهاية. يجب على مسؤولي أمان المؤسسة الاتصال بفريق SAP Basis قبل نشر Defender لنقطة النهاية. يجب تدريب فريق SAP Basis عبر مستوى أساسي من المعرفة حول Defender لنقطة النهاية.
ملاحظات SAP OSS الموصى بها
- 2248916 - ما هي الملفات والدلائل التي يجب استبعادها من فحص مكافحة الفيروسات لمنتجات SAP BusinessObjects Business Intelligence Platform في Linux/Unix؟ - لوحة تشغيل دعم SAP ONE
- 1984459 - الملفات والدلائل التي يجب استبعادها من فحص مكافحة الفيروسات لخدمات بيانات SAP - لوحة تشغيل دعم SAP ONE
- 2808515 - تثبيت برامج الأمان على خوادم SAP التي تعمل على Linux - لوحة تشغيل دعم SAP ONE
- 1730930 - استخدام برنامج مكافحة الفيروسات في جهاز SAP HANA - لوحة تشغيل دعم SAP ONE
- 1730997 - الإصدارات غير الملتزم بها من برنامج الحماية من الفيروسات - لوحة تشغيل دعم SAP ONE
تطبيقات SAP على Linux
هام
عند توزيع Defender لنقطة النهاية على Linux، ينصح ب eBPF بشدة. لمزيد من المعلومات، راجع وثائق eBPF. تم تحسين Defender لنقطة النهاية لاستخدام إطار عمل eBPF.
تتضمن التوزيعات المدعومة جميع توزيعات Linux الشائعة ولكن ليس Suse 12.x. ينصح عملاء Suse 12.x بالترقية إلى Suse 15. يستخدم Suse 12.x مستشعرا قديما Audit.D يستند إلى قيود الأداء.
لمزيد من المعلومات حول توزيعات الدعم، راجع استخدام أداة الاستشعار المستندة إلى eBPF Microsoft Defender لنقطة النهاية على Linux.
فيما يلي بعض النقاط المهمة حول تطبيقات SAP على Linux Server:
- يدعم SAP فقط Suse وRedhat وOracle Linux. التوزيعات الأخرى غير مدعومة لتطبيقات SAP S4 أو NetWeaver.
- يوصى بشدة باستخدام Suse 15.x وRedhat 9.x وOracle Linux 9.x. تتضمن التوزيعات المدعومة جميع توزيعات Linux الشائعة ولكن ليس Suse 12.x.
- لا يتم دعم Suse 11.x وRedhat 6.x وOracle Linux 6.x.
- يتم دعم Redhat 7.x و8.x وOracle Linux 7.x و8.x تقنيا، ولكن لم يعد يتم اختبارهما مع برنامج SAP.
- تقدم Suse وRedhat توزيعات مخصصة ل SAP. قد تحتوي هذه الإصدارات "ل SAP" من Suse وRedhat على حزم مختلفة مثبتة مسبقا وربما نواة مختلفة.
- يدعم SAP أنظمة ملفات Linux معينة فقط. بشكل عام، يتم استخدام XFS وEXT3. يستخدم نظام ملفات Oracle Automatic Storage Management (ASM) أحيانا ل Oracle DBMS ولا يمكن قراءته بواسطة Defender لنقطة النهاية.
- تستخدم بعض تطبيقات SAP محركات مستقلة، مثل TREX و Adobe Document Server و Content Server و LiveCache. تتطلب هذه المحركات تكوينا محددا واستبعادات ملف.
- غالبا ما تحتوي تطبيقات SAP على دلائل النقل والواجهة مع العديد من الآلاف من الملفات الصغيرة. إذا كان عدد الملفات أكبر من 100,000، فقد يؤثر ذلك على الأداء. يوصى بأرشفة الملفات.
- يوصى بشدة بنشر Defender لنقطة النهاية إلى مناظر SAP الطبيعية غير المنتجة لعدة أسابيع قبل التوزيع إلى الإنتاج. يجب أن يستخدم فريق SAP Basis أدوات، مثل
sysstatوKSARوnmonللتحقق مما إذا كانت وحدة المعالجة المركزية ومعلمات الأداء الأخرى تتأثر. من الممكن أيضا تكوين استثناءات واسعة باستخدام معلمة النطاق العمومي ثم تقليل عدد الدلائل المستبعدة بشكل متزايد.
المتطلبات الأساسية لتوزيع Microsoft Defender لنقطة النهاية على Linux على أجهزة SAP الظاهرية
- Microsoft Defender لنقطة النهاية الإصدار: 101.24082.0004 | إصدار الإصدار: 30.124082.0004.0 أو أحدث يجب نشره.
- يدعم Microsoft Defender لنقطة النهاية على Linux إصدارات Linux المستخدمة من قبل تطبيقات SAP.
- يتطلب Microsoft Defender لنقطة النهاية على Linux الاتصال بنقاط نهاية إنترنت محددة من الأجهزة الظاهرية لتحديث تعريفات مكافحة الفيروسات. لمزيد من المعلومات، راجع اتصالات الشبكة.
- يتطلب Microsoft Defender لنقطة النهاية على Linux بعض
crontabالإدخالات (أو جدولة المهام الأخرى) لجدولة عمليات الفحص وتدارة السجل وتحديثات Microsoft Defender لنقطة النهاية. عادة ما تدير فرق أمان المؤسسة هذه الإدخالات. لمزيد من المعلومات، راجع كيفية جدولة تحديث Microsoft Defender لنقطة النهاية على Linux.
اعتبارا من ديسمبر 2024، يمكن تكوين Defender لنقطة النهاية على Linux بأمان مع تمكين الحماية في الوقت الحقيقي.
خيار التكوين الافتراضي للتوزيع كملحق Azure للحماية من الفيروسات هو الوضع السلبي. وهذا يعني أن Microsoft Defender مكافحة الفيروسات، مكون مكافحة الفيروسات/مكافحة البرامج الضارة في Microsoft Defender لنقطة النهاية، لا يعترض مكالمات IO. نوصي بتشغيل Defender لنقطة النهاية مع تمكين الحماية في الوقت الحقيقي على جميع تطبيقات SAP. على هذا النحو:
- يتم تشغيل الحماية في الوقت الحقيقي: Microsoft Defender يعترض برنامج الحماية من الفيروسات مكالمات الإدخال/الإخراج في الوقت الفعلي.
- يتم تشغيل الفحص عند الطلب: يمكنك استخدام إمكانات الفحص على نقطة النهاية.
- يتم تشغيل المعالجة التلقائية للمخاطر: يتم نقل الملفات ويتم تنبيه مسؤول الأمان.
- يتم تشغيل تحديثات التحليل الذكي للأمان: تتوفر التنبيهات في مدخل Microsoft Defender.
يمكن أن تؤدي أدوات تصحيح Kernel عبر الإنترنت، مثل Ksplice أو ما شابه ذلك، إلى استقرار نظام التشغيل غير المتوقع إذا كان Defender لنقطة النهاية قيد التشغيل. يوصى بإيقاف برنامج Defender for Endpoint الخفي مؤقتا قبل إجراء تصحيح Kernel عبر الإنترنت. بعد تحديث Kernel، يمكن إعادة تشغيل Defender لنقطة النهاية على Linux بأمان. هذا الإجراء مهم بشكل خاص على أجهزة SAP HANA الظاهرية الكبيرة ذات سياقات الذاكرة الضخمة.
عند تشغيل برنامج الحماية من الفيروسات Microsoft Defender مع الحماية في الوقت الحقيقي، لم يعد من الضروري جدولة عمليات الفحص. يجب تشغيل فحص مرة واحدة على الأقل لتعيين أساس. ثم، إذا لزم الأمر، يتم استخدام Linux crontab عادة لجدولة عمليات فحص برنامج الحماية من الفيروسات Microsoft Defender ومهام تدوير السجل. لمزيد من المعلومات، راجع كيفية جدولة عمليات الفحص باستخدام Microsoft Defender لنقطة النهاية (Linux).
تكون وظيفة الكشف عن نقطة النهاية والاستجابة لها (EDR) نشطة كلما تم تثبيت Microsoft Defender لنقطة النهاية على Linux. يمكن تعطيل وظيفة EDR من خلال سطر الأوامر أو التكوين باستخدام الاستثناءات العمومية. لمزيد من المعلومات حول استكشاف أخطاء EDR وإصلاحها، راجع المقاطع أوامر مفيدةوارتباطات مفيدة (في هذه المقالة).
إعدادات التكوين المهمة Microsoft Defender لنقطة النهاية على SAP على Linux
يوصى بالتحقق من تثبيت وتكوين Defender لنقطة النهاية باستخدام الأمر mdatp health.
المعلمات الرئيسية الموصى بها لتطبيقات SAP هي كما يلي:
healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.)
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)
للحصول على معلومات حول استكشاف مشكلات التثبيت وإصلاحها، راجع استكشاف مشكلات التثبيت وإصلاحها Microsoft Defender لنقطة النهاية على Linux.
استثناءات برنامج الحماية من الفيروسات Microsoft Defender لنقطة النهاية الموصى بها ل SAP على Linux
يجب أن يحصل فريق أمان المؤسسة على قائمة كاملة باستثناءات مكافحة الفيروسات من مسؤولي SAP (عادة فريق SAP Basis). يوصى باستبعاد:
- ملفات بيانات DBMS وملفات السجل والملفات المؤقتة، بما في ذلك الأقراص التي تحتوي على ملفات النسخ الاحتياطي
- محتويات دليل SAPMNT بالكامل
- محتويات دليل SAPLOC بالكامل
- محتويات دليل TRANS بالكامل
- Hana - استبعاد /hana/shared و/hana/data و/hana/log - راجع ملاحظة 1730930
- SQL Server - تكوين برنامج مكافحة الفيروسات للعمل مع SQL Server
- Oracle – راجع كيفية تكوين مكافحة الفيروسات على خادم قاعدة بيانات Oracle (معرف المستند 782354.1)
- DB2 – وثائق IBM: دلائل DB2 التي يجب استبعادها باستخدام برنامج الحماية من الفيروسات
- SAP ASE – اتصل ب SAP
- MaxDB – اتصل ب SAP
- يجب اختبار Adobe Document Server وSAP الأرشيف Directories و TREX و LiveCache و Content Server والمحركات المستقلة الأخرى بعناية في المناظر الطبيعية غير الإنتاجية قبل نشر Defender لنقطة النهاية في الإنتاج
لا تحتاج أنظمة Oracle ASM إلى استثناءات حيث لا يمكن Microsoft Defender لنقطة النهاية قراءة أقراص ASM.
يجب على العملاء الذين لديهم مجموعات Pacemaker أيضا تكوين هذه الاستثناءات:
mdatp exclusion folder add --path /usr/lib/pacemaker/ (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*
قد يقوم العملاء الذين يقومون بتشغيل نهج أمان Azure Security بتشغيل فحص باستخدام حل Freeware Clam AV. يوصى بتعطيل فحص Clam AV بعد حماية جهاز ظاهري باستخدام Microsoft Defender لنقطة النهاية باستخدام الأوامر التالية:
sudo azsecd config -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status
توضح المقالات التالية بالتفصيل كيفية تكوين استثناءات مكافحة الفيروسات للعمليات والملفات والمجلدات لكل جهاز ظاهري فردي:
- إعداد استثناءات Microsoft Defender عمليات فحص برنامج الحماية من الفيروسات
- الأخطاء الشائعة التي يجب تجنبها عند تحديد الاستثناءات
جدولة فحص يومي للحماية من الفيروسات (اختياري)
يتيح التكوين الموصى به لتطبيقات SAP اعتراض مكالمات IO في الوقت الحقيقي لفحص مكافحة الفيروسات. الإعداد الموصى به هو الوضع السلبي حيث real_time_protection_enabled = true.
قد تفكر تطبيقات SAP التي تعمل على الإصدارات القديمة من Linux أو على الأجهزة التي تم تحميلها بشكل زائد في استخدام real_time_protection_enabled = false. في هذه الحالة، يجب جدولة عمليات فحص مكافحة الفيروسات.
لمزيد من المعلومات، راجع كيفية جدولة عمليات الفحص باستخدام Microsoft Defender لنقطة النهاية (Linux).
قد تحتوي أنظمة SAP الكبيرة على أكثر من 20 خادم تطبيق SAP، لكل منها اتصال بمشاركة SAPMNT NFS. من المحتمل أن يؤدي فحص 20 خادم تطبيق أو أكثر في وقت واحد لنفس خادم NFS إلى التحميل الزائد لخادم NFS. بشكل افتراضي، لا يقوم Defender لنقطة النهاية على Linux بمسح مصادر NFS ضوئيا.
إذا كان هناك شرط لمسح SAPMNT ضوئيا، فيجب تكوين هذا الفحص على جهاز ظاهري واحد أو جهازين ظاهريين فقط.
يجب أن تكون عمليات الفحص المجدولة ل SAP ECC وBW وCRM وSCM و Solution Manager والمكونات الأخرى متداخلة في أوقات مختلفة لتجنب جميع مكونات SAP من التحميل الزائد لمصدر تخزين NFS مشترك مشترك مشترك من قبل جميع مكونات SAP.
أوامر مفيدة
إذا حدث خطأ أثناء تثبيت zypper اليدوي على Suse "لا شيء يوفر "policycoreutils"، فراجع استكشاف مشكلات التثبيت وإصلاحها Microsoft Defender لنقطة النهاية على Linux.
هناك العديد من أوامر سطر الأوامر التي يمكنها التحكم في تشغيل mdatp. لتمكين الوضع السلبي، يمكنك استخدام الأمر التالي:
mdatp config passive-mode --value enabled
ملاحظة
الوضع السلبي هو الوضع الافتراضي عند تثبيت Defender لنقطة النهاية على Linux.
لتشغيل الحماية في الوقت الحقيقي، يمكنك استخدام الأمر :
mdatp config real-time-protection --value enabled
يخبر هذا الأمر mdatp باسترداد أحدث التعريفات من السحابة:
mdatp definitions update
يختبر هذا الأمر ما إذا كان بإمكان mdatp الاتصال بنقاط النهاية المستندة إلى السحابة على الشبكة:
mdatp connectivity test
تحدث هذه الأوامر برنامج mdatp، إذا لزم الأمر:
yum update mdatp
zypper update mdatp
نظرا لأن mdatp يعمل كخدمة نظام Linux، يمكنك التحكم في mdatp باستخدام أمر الخدمة، على سبيل المثال:
service mdatp status
ينشئ هذا الأمر ملف تشخيص يمكن تحميله إلى دعم Microsoft:
sudo mdatp diagnostic create
ارتباطات مفيدة
لتحليل الأداء أو مشكلات أخرى، راجع تشغيل محلل العميل على Linux.
لا يدعم Microsoft Intune Linux في الوقت الحالي. راجع التعرف على كيفية استخدام نهج أمان نقطة النهاية Intune لإدارة Microsoft Defender لنقطة النهاية على الأجهزة غير المسجلة في Intune.
Microsoft Tech Community: Microsoft Defender لنقطة النهاية Linux - قائمة أوامر التكوين والتشغيل
Microsoft Tech Community: نشر Microsoft Defender لنقطة النهاية على خوادم Linux
استكشاف مشكلات الاتصال السحابي وإصلاحها Microsoft Defender لنقطة النهاية على Linux
استكشاف مشكلات الأداء Microsoft Defender لنقطة النهاية على Linux وإصلاحها