Del via

Installationsvejledning til Microsoft Defender for Endpoint på Linux til SAP

  • Artikel

Gælder for:

  • Microsoft Defender for Endpoint til servere
  • Microsoft Defender til Servers Plan 1 eller Plan 2

Denne artikel indeholder installationsvejledning til Microsoft Defender for Endpoint på Linux til SAP. Denne artikel indeholder anbefalede noter til SAP OSS (Online Services System), systemkrav, forudsætninger, vigtige konfigurationsindstillinger, anbefalede antivirusudeladelser og vejledning i planlægning af antivirusscanninger.

Konventionelle sikkerhedsforsvar, der ofte er blevet brugt til at beskytte SAP-systemer, f.eks. isolering af infrastruktur bag firewalls og begrænsning af logon til interaktive operativsystemer, anses ikke længere for at være tilstrækkelige til at afhjælpe moderne sofistikerede trusler. Det er vigtigt at udrulle moderne forsvar for at registrere og indeholde trusler i realtid. SAP-programmer kræver i modsætning til de fleste andre arbejdsbelastninger grundlæggende vurdering og validering, før du udruller Microsoft Defender for Endpoint. Virksomhedssikkerhedsadministratorer skal kontakte SAP Basis-teamet, før de udruller Defender for Endpoint. SAP-basisteamet skal på tværs oplæres med et grundlæggende vidensniveau om Defender for Endpoint.

SAP-programmer på Linux

Vigtigt!

Når du installerer Defender for Endpoint på Linux, anbefales eBPF kraftigt. Du kan få flere oplysninger i dokumentationen til eBPF. Defender for Endpoint er blevet forbedret til at bruge eBPF-strukturen.

De understøttede distributioner omfatter alle almindelige Linux-distributioner, men ikke Suse 12.x. Suse 12.x-kunder rådes til at opgradere til Suse 15. Suse 12.x bruger en gammel Audit.D baseret sensor, der har begrænsninger for ydeevnen.

Du kan få flere oplysninger om supportdistributioner under Brug eBPF-baseret sensor til Microsoft Defender for Endpoint på Linux.

Her er nogle vigtige ting om SAP-programmer på Linux Server:

  • SAP understøtter kun Suse, Redhat og Oracle Linux. Andre distributioner understøttes ikke for SAP S4- eller NetWeaver-programmer.
  • Suse 15.x, Redhat 9.x og Oracle Linux 9.x anbefales kraftigt. De understøttede distributioner omfatter alle almindelige Linux-distributioner, men ikke Suse 12.x.
  • Suse 11.x, Redhat 6.x og Oracle Linux 6.x understøttes ikke.
  • Redhat 7.x og 8.x og Oracle Linux 7.x og 8.x understøttes teknisk, men testes ikke længere i kombination med SAP-software.
  • Suse og Redhat tilbyder skræddersyede distributioner til SAP. Disse "til SAP"-versioner af Suse og Redhat kan have forskellige pakker forudinstalleret og muligvis forskellige kerner.
  • SAP understøtter kun visse Linux-filsystemer. Generelt bruges XFS og EXT3. ASM-filsystemet (Oracle Automatic Storage Management) bruges nogle gange til Oracle DBMS og kan ikke læses af Defender for Endpoint.
  • Nogle SAP-programmer bruger separate programmer, f.eks. TREX, Adobe Document Server, Content Server og LiveCache. Disse motorer kræver specifik konfiguration og filudeladelser.
  • SAP-programmer har ofte transport- og grænseflademapper med mange tusinde små filer. Hvis antallet af filer er større end 100.000, kan det påvirke ydeevnen. Det anbefales at arkivere filer.
  • Det anbefales på det kraftigste at udrulle Defender for Endpoint til ikke-produktive SAP-landskaber i flere uger, før du udruller til produktion. SAP-basisteamet skal bruge værktøjer, f.eks sysstat. , KSARog nmon til at kontrollere, om CPU og andre ydeevneparametre påvirkes. Det er også muligt at konfigurere brede udeladelser med den globale områdeparameter og derefter reducere antallet af mapper, der udelades trinvist.

Forudsætninger for installation af Microsoft Defender for Endpoint på Linux på SAP VM'er

Fra og med december 2024 kan Defender for Endpoint på Linux konfigureres sikkert med realtidsbeskyttelse aktiveret.

Standardkonfigurationsindstillingen for udrulning som en Azure Extension for Antivirus er i passiv tilstand. Det betyder, at Microsoft Defender Antivirus, antivirus/antimalwarekomponenten i Microsoft Defender for Endpoint, ikke opfanger IO-kald. Vi anbefaler, at du kører Defender for Endpoint i , hvor beskyttelse i realtid er aktiveret for alle SAP-programmer. Som sådan:

  • Beskyttelse i realtid er slået til: Microsoft Defender Antivirus opfanger IO-kald i realtid.
  • Scanning efter behov er slået til: Du kan bruge scanningsfunktioner på slutpunktet.
  • Automatisk afhjælpning af trusler er slået til: Filer flyttes, og sikkerhedsadministratoren får besked.
  • Opdateringer til sikkerhedsintelligens er slået til: Beskeder er tilgængelige på Microsoft Defender-portalen.

Online værktøjer til reparation af kerner, f.eks. Ksplice eller lignende, kan føre til uforudsigelig stabilitet i operativsystemet, hvis Defender for Endpoint kører. Det anbefales, at du midlertidigt stopper Defender for Endpoint-daemon, før du udfører onlinerettelse af kerner. Når kernen er opdateret, kan Defender for Endpoint på Linux genstartes sikkert. Denne handling er især vigtig på store SAP HANA VM'er med store hukommelseskontekster.

Når Microsoft Defender Antivirus kører med beskyttelse i realtid, er det ikke længere nødvendigt at planlægge scanninger. Du skal køre en scanning mindst én gang for at angive en oprindelig plan. Derefter bruges Linux-crontabet om nødvendigt til at planlægge Microsoft Defender Antivirus scanninger og logrotationsopgaver. Du kan få flere oplysninger under Sådan planlægger du scanninger med Microsoft Defender for Endpoint (Linux).

EDR-funktionaliteten (Endpoint Detection and Response) er aktiv, når Microsoft Defender for Endpoint på Linux installeres. EDR-funktionalitet kan deaktiveres via kommandolinjen eller konfigurationen ved hjælp af globale udeladelser. Du kan få flere oplysninger om fejlfinding af EDR i afsnittene Nyttige kommandoer og Nyttige links (i denne artikel).

Vigtige konfigurationsindstillinger for Microsoft Defender for Endpoint på SAP på Linux

Det anbefales at kontrollere installationen og konfigurationen af Defender for Endpoint med kommandoen mdatp health.

De vigtigste parametre, der anbefales til SAP-programmer, er som følger:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Du kan finde oplysninger om fejlfinding af installationsproblemer under Fejlfinding af installationsproblemer for Microsoft Defender for Endpoint på Linux.

Virksomhedssikkerhedsteamet skal have en komplet liste over antivirusudeladelser fra SAP-administratorer (typisk SAP Basis Team). Det anbefales, at du fra starten udelukker:

  • DBMS-datafiler, logfiler og midlertidige filer, herunder diske, der indeholder sikkerhedskopifiler
  • Hele indholdet af SAPMNT-mappen
  • Hele indholdet af SAPLOC-mappen
  • Hele indholdet af TRANS-mappen
  • Hana – udelad /hana/shared, /hana/data og /hana/log – se Note 1730930
  • SQL Server – konfigurer antivirussoftware til at fungere sammen med SQL Server
  • Oracle – se Sådan konfigurerer du antivirus på Oracle-databaseserver (doc-id 782354.1)
  • DB2 – IBM-dokumentation: Hvilke DB2-mapper der skal udelades med antivirussoftware
  • SAP ASE – kontakt SAP
  • MaxDB – kontakt SAP
  • Adobe Document Server, SAP Arkiv Directories, TREX, LiveCache, Content Server og andre separate programmer skal testes omhyggeligt i ikke-produktionslandskaber, før der installeres Defender for Endpoint i produktion

Oracle ASM-systemer behøver ikke undtagelser, da Microsoft Defender for Endpoint ikke kan læse ASM-diske.

Kunder med Pacemaker-klynger skal også konfigurere disse undtagelser:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Kunder, der kører Azure Security-sikkerhedspolitik, kan udløse en scanning ved hjælp af Freeware Clam AV-løsningen. Det anbefales at deaktivere Clam AV-scanning, når en VM er beskyttet med Microsoft Defender for Endpoint ved hjælp af følgende kommandoer:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

I følgende artikler beskrives det, hvordan du konfigurerer antivirusudeladelser for processer, filer og mapper pr. individuel VM:

Planlægning af en daglig antivirusscanning (valgfrit)

Den anbefalede konfiguration for SAP-programmer muliggør opfangelse i realtid af IO-kald til antivirusscanning. Den anbefalede indstilling er passiv tilstand, hvor real_time_protection_enabled = true.

SAP-programmer, der kører på ældre versioner af Linux eller på hardware, der er overbelastet, kan overveje at bruge real_time_protection_enabled = false. I dette tilfælde skal der planlægges antivirusscanninger.

Du kan få flere oplysninger under Sådan planlægger du scanninger med Microsoft Defender for Endpoint (Linux).

Store SAP-systemer kan have mere end 20 SAP-programservere, hver med en forbindelse til SAPMNT NFS-sharet. Tyve eller flere programservere, der scanner den samme NFS-server samtidig, overbelaster sandsynligvis NFS-serveren. Som standard scanner Defender for Endpoint på Linux ikke NFS-kilder.

Hvis der er et krav om at scanne SAPMNT, skal denne scanning kun konfigureres på en eller to VM'er.

Planlagte scanninger for SAP ECC, BW, CRM, SCM, Solution Manager og andre komponenter skal forskudes på forskellige tidspunkter for at undgå, at alle SAP-komponenter overbelaster en delt NFS-lagerkilde, der deles af alle SAP-komponenter.

Nyttige kommandoer

Hvis der under den manuelle installation af zypper på Suse opstår en fejl "Intet indeholder "policycoreutils", skal du se Fejlfinding af installationsproblemer for Microsoft Defender for Endpoint på Linux.

Der er flere kommandolinjekommandoer, der kan styre mdatp-handlingen. Hvis du vil aktivere passiv tilstand, kan du bruge følgende kommando:


mdatp config passive-mode --value enabled

Bemærk!

Passiv tilstand er standardtilstanden, når Defender for Endpoint installeres på Linux.

Hvis du vil aktivere beskyttelse i realtid, kan du bruge kommandoen :


mdatp config real-time-protection --value enabled

Denne kommando beder mdatp om at hente de nyeste definitioner fra cloudmiljøet:


mdatp definitions update

Denne kommando tester, om mdatp kan oprette forbindelse til de cloudbaserede slutpunkter på netværket:


mdatp connectivity test

Disse kommandoer opdaterer mdatp-softwaren, hvis det er nødvendigt:


yum update mdatp



zypper update mdatp

Da mdatp kører som en Linux-systemtjeneste, kan du styre mdatp ved hjælp af tjenestekommandoen, f.eks.:


service mdatp status

Denne kommando opretter en diagnosticeringsfil, der kan uploades til Microsoft Support:


sudo mdatp diagnostic create