Megosztás a következőn keresztül:

Üzembe helyezési útmutató az SAP-hoz készült Linuxon futó Végponthoz készült Microsoft Defender

  • Cikk

Érintett szolgáltatás:

  • Végponthoz készült Microsoft Defender kiszolgálókhoz
  • Microsoft Defender 1. vagy 2. csomag kiszolgálókhoz

Ez a cikk üzembe helyezési útmutatót nyújt az SAP-hoz készült Linuxon futó Végponthoz készült Microsoft Defender. Ez a cikk tartalmazza az SAP OSS (Online Services System) ajánlott megjegyzéseit, a rendszerkövetelményeket, az előfeltételeket, a fontos konfigurációs beállításokat, az ajánlott víruskereső kizárásokat, valamint útmutatást a víruskereső vizsgálatok ütemezéséhez.

Az SAP-rendszerek védelmére gyakran használt hagyományos biztonsági védelmi megoldások, például a tűzfalak mögötti infrastruktúra elkülönítése és az interaktív operációs rendszerek bejelentkezésének korlátozása, már nem tekinthetők elegendőnek a modern kifinomult fenyegetések mérsékléséhez. A fenyegetések valós idejű észleléséhez és tárolásához elengedhetetlen a modern védelem üzembe helyezése. A legtöbb más számítási feladattól eltérő SAP-alkalmazások alapszintű értékelést és ellenőrzést igényelnek a Végponthoz készült Microsoft Defender üzembe helyezése előtt. A vállalati biztonsági rendszergazdáknak kapcsolatba kell lépnie az SAP Basis csapatával, mielőtt üzembe helyezik a Végponthoz készült Defendert. Az SAP Alapcsapatot át kell tanítani a Végponthoz készült Defender alapszintű ismereteivel.

SAP-alkalmazások Linuxon

Fontos

Ha a Végponthoz készült Defendert Linuxon helyezi üzembe, az eBPF használata erősen ajánlott. További információt az eBPF dokumentációjában talál. A Végponthoz készült Defender továbbfejlesztve lett az eBPF keretrendszer használatához.

A támogatott disztribúciók az összes gyakori Linux-disztribúciót tartalmazzák, a Suse 12.x-et azonban nem. A Suse 12.x ügyfeleinek javasoljuk, hogy frissítsenek a Suse 15-re. A Suse 12.x egy régi Audit.D alapú érzékelőt használ, amely teljesítménybeli korlátozásokkal rendelkezik.

További információ a támogatási disztribúciókról: EBPF-alapú érzékelő használata Végponthoz készült Microsoft Defender Linuxon.

Íme néhány fontos pont a Linux Serveren futó SAP-alkalmazásokkal kapcsolatban:

  • Az SAP csak a Suse, a Redhat és az Oracle Linux használatát támogatja. Más disztribúciók nem támogatottak SAP S4- vagy NetWeaver-alkalmazásokhoz.
  • Erősen ajánlott a Suse 15.x, a Redhat 9.x és az Oracle Linux 9.x használata. A támogatott disztribúciók az összes gyakori Linux-disztribúciót tartalmazzák, a Suse 12.x-et azonban nem.
  • A Suse 11.x, a Redhat 6.x és az Oracle Linux 6.x nem támogatott.
  • A Redhat 7.x és 8.x, valamint az Oracle Linux 7.x és 8.x technikailag támogatottak, de már nem tesztelik az SAP szoftverekkel együtt.
  • A Suse és a Redhat testreszabott disztribúciókat kínál az SAP-hoz. A Suse és a Redhat "SAP" verziói különböző előre telepített csomagokkal és esetleg különböző kernelekkel rendelkezhetnek.
  • Az SAP csak bizonyos Linux-fájlrendszereket támogat. Általában az XFS-t és az EXT3-at használják. Az Oracle Automatic Storage Management (ASM) fájlrendszerét néha az Oracle DBMS-hez használják, és a Végponthoz készült Defender nem tudja olvasni.
  • Egyes SAP-alkalmazások különálló motorokat használnak, például a TREX-et, az Adobe Document Servert, a Tartalomkiszolgálót és a LiveCache-t. Ezek a motorok speciális konfigurációt és fájlkizárásokat igényelnek.
  • Az SAP-alkalmazások gyakran rendelkeznek átviteli és felületi könyvtárakkal, amelyekben sok ezer kis fájl található. Ha a fájlok száma meghaladja a 100 000-et, az hatással lehet a teljesítményre. Javasoljuk, hogy archiválja a fájlokat.
  • Erősen ajánlott a Végponthoz készült Defendert több hétig nem éles SAP-környezetekben üzembe helyezni, mielőtt éles környezetben üzembe helyeznénk. Az SAP alapcsapatának olyan eszközöket kell használnia, mint a sysstat, KSARa és nmon a, hogy ellenőrizze, hatással van-e a processzorra és más teljesítményparaméterekre. Széles körű kizárásokat is konfigurálhat a globális hatókör paraméterrel, majd növekményesen csökkentheti a kizárt könyvtárak számát.

A Végponthoz készült Microsoft Defender SAP virtuális gépeken linuxos üzembe helyezésének előfeltételei

  • Végponthoz készült Microsoft Defender build: 101.24082.0004 | Kiadási verzió: 30.124082.0004.0 vagy újabb verziót kell telepíteni.
  • Végponthoz készült Microsoft Defender Linux rendszeren az SAP-alkalmazások által használt Linux-kiadásokat támogatja.
  • Végponthoz készült Microsoft Defender Linuxon a virtuális gépek adott internetes végpontjaihoz való csatlakozás szükséges a víruskereső definícióinak frissítéséhez. További információ: Hálózati kapcsolatok.
  • Végponthoz készült Microsoft Defender Linuxon a vizsgálatok, naplórotálás és Végponthoz készült Microsoft Defender frissítések ütemezéséhez szükség van néhány crontab (vagy más feladatütemező) bejegyzésre. Ezeket a bejegyzéseket általában a vállalati biztonsági csapatok kezelik. További információ: Frissítés ütemezése a linuxos Végponthoz készült Microsoft Defender-hez.

2024 decemberétől a Végponthoz készült Defender Linuxon biztonságosan konfigurálható úgy, hogy engedélyezve van a valós idejű védelem.

A víruskereső Azure-bővítményként való üzembe helyezésének alapértelmezett konfigurációs beállítása a passzív mód. Ez azt jelenti, hogy Microsoft Defender víruskereső, a Végponthoz készült Microsoft Defender víruskereső/kártevőirtó összetevője nem fogott I/O-hívásokat. Javasoljuk, hogy futtassa a Végponthoz készült Defendert úgy, hogy minden SAP-alkalmazáson engedélyezve van a valós idejű védelem. Ennek megfelelően:

  • A valós idejű védelem be van kapcsolva: Microsoft Defender víruskereső valós időben elfogja az I/O-hívásokat.
  • Az igény szerinti vizsgálat be van kapcsolva: A végponton használhatja a vizsgálati képességeket.
  • A fenyegetés automatikus szervizelése be van kapcsolva: A rendszer áthelyezi a fájlokat, és riasztást küld a biztonsági rendszergazdának.
  • A biztonságiintelligencia-frissítések be vannak kapcsolva: A riasztások a Microsoft Defender portálon érhetők el.

Az online kerneljavító eszközök, például a Ksplice vagy hasonló, kiszámíthatatlan operációsrendszer-stabilitáshoz vezethetnek, ha a Végponthoz készült Defender fut. Javasoljuk, hogy az online kerneljavítás végrehajtása előtt ideiglenesen állítsa le a Végponthoz készült Defender démont. A kernel frissítése után a Végponthoz készült Defender Linuxon biztonságosan újraindítható. Ez a művelet különösen fontos a nagy méretű, nagy memóriakörnyezettel rendelkező SAP HANA virtuális gépeken.

Ha Microsoft Defender víruskereső valós idejű védelemmel fut, már nincs szükség vizsgálatok ütemezésére. Az alapkonfiguráció beállításához legalább egyszer le kell futtatnia a vizsgálatot. Ezután szükség esetén a Linux crontab általában Microsoft Defender víruskereső vizsgálatainak és naplórotálási feladatainak ütemezésére szolgál. További információ: Vizsgálatok ütemezése Végponthoz készült Microsoft Defender (Linux) használatával.

A végpontészlelés és -válasz (EDR) funkció akkor aktív, ha a Linuxon Végponthoz készült Microsoft Defender telepítve van. Az EDR-funkciók a parancssoron vagy konfiguráción keresztül tilthatók le globális kizárások használatával. Az EDR hibaelhárításával kapcsolatos további információkért tekintse meg a Hasznos parancsok és hasznos hivatkozások című szakaszt (ebben a cikkben).

Fontos konfigurációs beállítások a Linuxon futó SAP-Végponthoz készült Microsoft Defender esetén

Javasoljuk, hogy ellenőrizze a Végponthoz készült Defender telepítését és konfigurációját a paranccsal mdatp health.

Az SAP-alkalmazásokhoz ajánlott fő paraméterek a következők:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

A telepítéssel kapcsolatos problémák elhárításával kapcsolatos információkért lásd: A linuxos Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása.

A vállalati biztonsági csapatnak be kell szereznie a víruskereső kizárásainak teljes listáját az SAP-rendszergazdáktól (általában az SAP Alapcsapattól). Javasoljuk, hogy először zárja ki a következőket:

  • DBMS-adatfájlok, naplófájlok és ideiglenes fájlok, beleértve a biztonsági mentési fájlokat tartalmazó lemezeket is
  • Az SAPMNT-könyvtár teljes tartalma
  • Az SAPLOC-könyvtár teljes tartalma
  • A TRANS könyvtár teljes tartalma
  • Hana – a /hana/shared, a /hana/data és a /hana/log kizárása – lásd: Megjegyzés 1730930
  • SQL Server – Víruskereső szoftver konfigurálása a SQL Server
  • Oracle – Lásd: Víruskereső konfigurálása oracle adatbázis-kiszolgálón (dokumentumazonosító: 782354.1)
  • DB2 – IBM-dokumentáció: Mely DB2-könyvtárakat kell kizárni a víruskereső szoftverrel
  • SAP ASE – kapcsolatfelvétel az SAP-vel
  • MaxDB – kapcsolatfelvétel az SAP-vel
  • Az Adobe Document Servert, az SAP Archívum-címtárakat, a TREX-et, a LiveCache-t, a tartalomkiszolgálót és más önálló motorokat gondosan tesztelni kell a nem éles környezetekben, mielőtt üzembe helyeznénk a Végponthoz készült Defendert éles környezetben

Az Oracle ASM-rendszereknek nincs szükségük kizárásokra, mivel Végponthoz készült Microsoft Defender nem tudják olvasni az ASM-lemezeket.

A Pacemaker-fürtökkel rendelkező ügyfeleknek ezeket a kizárásokat is konfigurálnia kell:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Az Azure Security biztonsági szabályzatot futtató ügyfelek vizsgálatot indíthatnak a Freeware Clam AV megoldással. Javasoljuk, hogy tiltsa le a Clam AV-vizsgálatot, miután egy virtuális gépet védetté tett Végponthoz készült Microsoft Defender a következő parancsokkal:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

A következő cikkek részletesen ismertetik, hogyan konfigurálhatók a víruskereső kizárásai folyamatokhoz, fájlokhoz és mappákhoz az egyes virtuális gépeken:

Napi víruskereső vizsgálat ütemezése (nem kötelező)

Az SAP-alkalmazásokhoz ajánlott konfiguráció lehetővé teszi a víruskereső vizsgálatához szükséges I/O-hívások valós idejű elfogását. Az ajánlott beállítás a passzív mód, amelyben real_time_protection_enabled = true.

A Linux régebbi verzióin vagy a túlterhelt hardveren futó SAP-alkalmazások esetében érdemes megfontolni a használatát real_time_protection_enabled = false. Ebben az esetben a víruskereséseket ütemezni kell.

További információ: Vizsgálatok ütemezése Végponthoz készült Microsoft Defender (Linux) használatával.

A nagyméretű SAP-rendszerek több mint 20 SAP-alkalmazáskiszolgálóval rendelkezhetnek, amelyek mindegyike rendelkezik kapcsolattal az SAPMNT NFS-megosztáshoz. Húsz vagy több alkalmazáskiszolgáló egyidejűleg ugyanazt az NFS-kiszolgálót vizsgálva valószínűleg túlterheli az NFS-kiszolgálót. Alapértelmezés szerint a Végponthoz készült Defender Linuxon nem vizsgálja az NFS-forrásokat.

Ha követelmény az SAPMNT vizsgálata, akkor ezt a vizsgálatot csak egy vagy két virtuális gépen kell konfigurálni.

Az SAP ECC, BW, CRM, SCM, Solution Manager és más összetevők ütemezett vizsgálatait különböző időpontokban kell csoportosítani, hogy az összes SAP-összetevő ne terhelje túl az összes SAP-összetevő által megosztott NFS-tárolóforrást.

Hasznos parancsok

Ha a Suse manuális zypper-telepítése során "Semmi sem biztosít "policycoreutils" hibát, tekintse meg a Linuxon Végponthoz készült Microsoft Defender telepítési problémáinak elhárítását ismertető cikket.

Számos parancssori parancs vezérli az mdatp működését. A passzív mód engedélyezéséhez használja a következő parancsot:


mdatp config passive-mode --value enabled

Megjegyzés:

A Végponthoz készült Defender linuxos telepítésekor a passzív mód az alapértelmezett mód.

A valós idejű védelem bekapcsolásához használja a következő parancsot:


mdatp config real-time-protection --value enabled

Ez a parancs arra utasítja az mdatp-t, hogy kérje le a legújabb definíciókat a felhőből:


mdatp definitions update

Ez a parancs ellenőrzi, hogy az mdatp tud-e csatlakozni a hálózat felhőalapú végpontjaihoz:


mdatp connectivity test

Ezek a parancsok szükség esetén frissítik az mdatp szoftvert:


yum update mdatp



zypper update mdatp

Mivel az mdatp linuxos rendszerszolgáltatásként fut, az mdatp a szolgáltatás parancsával vezérelhető, például:


service mdatp status

Ez a parancs létrehoz egy diagnosztikai fájlt, amely feltölthető a Microsoft ügyfélszolgálatához:


sudo mdatp diagnostic create