Üzembe helyezési útmutató az SAP-hoz készült Linuxon futó Végponthoz készült Microsoft Defender

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 2. csomag

Ez a cikk üzembe helyezési útmutatót nyújt az SAP-hoz készült Linuxon futó Végponthoz készült Microsoft Defender. Ez a cikk tartalmazza az SAP OSS (Online Services System) ajánlott megjegyzéseit, a rendszerkövetelményeket, az előfeltételeket, a fontos konfigurációs beállításokat, az ajánlott víruskereső kizárásokat, valamint útmutatást a víruskereső vizsgálatok ütemezéséhez.

Az SAP-rendszerek védelmére gyakran használt hagyományos biztonsági védelem, például az infrastruktúra tűzfalak mögötti elkülönítése és az interaktív operációs rendszerek bejelentkezésének korlátozása már nem tekinthető elegendőnek a modern, kifinomult fenyegetések mérsékléséhez. A fenyegetések valós idejű észleléséhez és tárolásához elengedhetetlen a modern védelem üzembe helyezése. A legtöbb más számítási feladattól eltérő SAP-alkalmazások alapszintű értékelést és ellenőrzést igényelnek a Végponthoz készült Microsoft Defender üzembe helyezése előtt. A vállalati biztonsági rendszergazdáknak kapcsolatba kell lépnie az SAP Basis csapatával a Végponthoz készült Defender üzembe helyezése előtt. Az SAP Alapcsapatot át kell tanítani a Végponthoz készült Defender alapszintű ismereteivel.

Ajánlott SAP OSS-megjegyzések

• 2248916 – Mely fájlokat és könyvtárakat kell kizárni az SAP BusinessObjects Üzletiintelligencia-platform termékeinek víruskereső vizsgálatából Linux/Unix rendszeren? – SAP ONE támogatási launchpad
• 1984459 – Mely fájlokat és könyvtárakat kell kizárni az SAP Data Services víruskereső vizsgálatából – SAP ONE támogatási kezdőpult
• 2808515 – Biztonsági szoftverek telepítése Linux rendszeren futó SAP-kiszolgálókra – SAP ONE támogatási indítópult
• 1730930 – Víruskereső szoftver használata SAP HANA-berendezésben – SAP ONE támogatási indítópult
• 1730997 – A víruskereső szoftver nem javasolt verziói – SAP ONE támogatási indítópult

SAP-alkalmazások Linuxon

• Az SAP csak a Suse, a Redhat és az Oracle Linux használatát támogatja. Más disztribúciók nem támogatottak SAP S4- vagy NetWeaver-alkalmazásokhoz.
• Erősen ajánlott a Suse 15.x, a Redhat 8.x vagy 9.x és az Oracle Linux 8.x használata.
• A Suse 12.x, a Redhat 7.x és az Oracle Linux 7.x technikailag támogatott, de nem tesztelték részletesen.
• Előfordulhat, hogy a Suse 11.x, a Redhat 6.x és az Oracle Linux 6.x nem támogatott, és nem lett tesztelve.
• A Suse és a Redhat testreszabott disztribúciókat kínál az SAP-hoz. A Suse és a Redhat "SAP" verziói különböző előre telepített csomagokkal és esetleg különböző kernelekkel rendelkezhetnek.
• Az SAP csak bizonyos Linux-fájlrendszereket támogat. Általában az XFS-t és az EXT3-at használják. Az Oracle Automatic Storage Management (ASM) fájlrendszerét néha az Oracle DBMS-hez használják, és a Végponthoz készült Defender nem tudja olvasni.
• Egyes SAP-alkalmazások olyan "önálló motorokat" használnak, mint a TREX, az Adobe Document Server, a Content Server és a LiveCache. Ezek a motorok speciális konfigurációt és fájlkizárásokat igényelnek.
• Az SAP-alkalmazások gyakran rendelkeznek átviteli és felületi könyvtárakkal, amelyekben sok ezer kis fájl található. Ha a fájlok száma meghaladja a 100 000-et, az hatással lehet a teljesítményre. Javasoljuk, hogy archiválja a fájlokat.
• Erősen ajánlott a Végponthoz készült Defendert több hétig nem éles SAP-környezetekben üzembe helyezni, mielőtt éles környezetben üzembe helyeznénk. Az SAP alapcsapatának olyan eszközöket kell használnia, mint a sysstat, a KSAR és az nmon, hogy ellenőrizze, hatással van-e a processzorra és más teljesítményparaméterekre.

A Végponthoz készült Microsoft Defender SAP virtuális gépeken linuxos üzembe helyezésének előfeltételei

• Végponthoz készült Microsoft Defender verzió>= 101.23082.0009 | Kiadási verzió: 30.123082.0009-es vagy újabb verziót kell telepíteni.
• Végponthoz készült Microsoft Defender Linuxon az SAP-alkalmazások által használt összes Linux-kiadást támogatja.
• Végponthoz készült Microsoft Defender Linuxon a virtuális gépek adott internetes végpontjaihoz való csatlakozás szükséges a víruskereső definícióinak frissítéséhez.
• Végponthoz készült Microsoft Defender Linuxon a vizsgálatok, naplórotálás és Végponthoz készült Microsoft Defender frissítések ütemezéséhez crontab (vagy más feladatütemező) bejegyzésre van szükség. Az Enterprise Security csapatai általában kezelik ezeket a bejegyzéseket. Lásd: A Végponthoz készült Microsoft Defender (Linux) frissítésének ütemezése.

Az Azure AntiVirus-bővítményként (AV) történő üzembe helyezés alapértelmezett konfigurációs beállítása passzív mód lesz. Ez azt jelenti, hogy a Végponthoz készült Microsoft Defender AV-összetevője nem fogja elfogni az I/O-hívásokat. Javasoljuk, hogy Végponthoz készült Microsoft Defender passzív módban futtassa az összes SAP-alkalmazáson, és naponta egyszer ütemezzen be egy vizsgálatot. Ebben a módban:

• A valós idejű védelem ki van kapcsolva: A fenyegetéseket nem orvosolja Microsoft Defender víruskereső.
• Az igény szerinti vizsgálat be van kapcsolva: Továbbra is használja a vizsgálati képességeket a végponton.
• A fenyegetés automatikus szervizelése ki van kapcsolva: A rendszer nem helyez át fájlokat, és a biztonsági rendszergazdának el kell végeznie a szükséges lépéseket.
• A biztonságiintelligencia-frissítések be vannak kapcsolva: A riasztások a biztonsági rendszergazda bérlőjén érhetők el.

A Linux crontab általában Végponthoz készült Microsoft Defender AV-vizsgálati és naplórotálási feladatok ütemezésére szolgál: Vizsgálatok ütemezése Végponthoz készült Microsoft Defender (Linux)

A Végpontészlelés és -válasz (EDR) funkció akkor aktív, ha a Linuxon Végponthoz készült Microsoft Defender van telepítve. Az EDR funkcióit nem lehet egyszerűen letiltani parancssorból vagy konfigurációból. Az EDR hibaelhárításával kapcsolatos további információkért tekintse meg a Hasznos parancsok és hasznos hivatkozások című szakaszt.

Fontos konfigurációs beállítások a Linuxon futó SAP-Végponthoz készült Microsoft Defender esetén

Javasoljuk, hogy ellenőrizze a Végponthoz készült Defender telepítését és konfigurációját az mdatp-állapot paranccsal.

Az SAP-alkalmazásokhoz ajánlott fő paraméterek a következők:

• egészséges = igaz
• release_ring = Éles. A prerelease és az insider körök nem használhatók SAP-alkalmazásokkal.
• real_time_protection_enabled = hamis. A valós idejű védelem passzív módban ki van kapcsolva, amely az alapértelmezett mód, és megakadályozza a valós idejű I/O-elfogást.
• automatic_definition_update_enabled = igaz
• definition_status = "up_to_date". Futtasson manuális frissítést, ha új érték van azonosítva.
• edr_early_preview_enabled = "disabled" (letiltva). Ha engedélyezve van az SAP-rendszereken, az a rendszer instabilitásához vezethet.
• conflicting_applications = [ ]. A virtuális gépre telepített egyéb AV- vagy biztonsági szoftverek, például a Clam.
• supplementary_events_subsystem = "ebpf". Ne folytassa, ha az ebpf nem jelenik meg. Lépjen kapcsolatba a biztonsági rendszergazdai csapattal.

Ez a cikk hasznos tippeket ad a Végponthoz készült Microsoft Defender telepítési problémáinak elhárításához: A linuxos Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása

Ajánlott Végponthoz készült Microsoft Defender víruskereső kizárásai linuxos SAP-hez

Az enterprise security csapatnak be kell szereznie a víruskereső kizárásainak teljes listáját az SAP-rendszergazdáktól (általában az SAP alapcsapatától). Javasoljuk, hogy először zárja ki a következőket:

• DBMS-adatfájlok, naplófájlok és ideiglenes fájlok, beleértve a biztonsági mentési fájlokat tartalmazó lemezeket is
• Az SAPMNT-könyvtár teljes tartalma
• Az SAPLOC-könyvtár teljes tartalma
• A TRANS könyvtár teljes tartalma
• Önálló motorok, például a TREX könyvtárainak teljes tartalma
• Hana – a /hana/shared, a /hana/data és a /hana/log kizárása – lásd: Megjegyzés 1730930
• SQL Server – Víruskereső szoftver konfigurálása SQL Server - SQL Server
• Oracle – Lásd: Víruskereső konfigurálása oracle adatbázis-kiszolgálón (dokumentumazonosító: 782354.1)
• DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
• SAP ASE – kapcsolatfelvétel az SAP-vel
• MaxDB – kapcsolatfelvétel az SAP-vel

Az Oracle ASM-rendszereknek nincs szükségük kizárásokra, mivel Végponthoz készült Microsoft Defender nem tudják olvasni az ASM-lemezeket.

A Pacemaker-fürtökkel rendelkező ügyfeleknek ezeket a kizárásokat is konfigurálnia kell:

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Az Azure Security biztonsági szabályzatot futtató ügyfelek vizsgálatot indíthatnak a Freeware Clam AV megoldással. Javasoljuk, hogy tiltsa le a Clam AV-vizsgálatot, miután egy virtuális gépet védetté tett Végponthoz készült Microsoft Defender a következő parancsokkal:

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status 

A következő cikkek részletesen ismertetik, hogyan konfigurálhatók AV-kizárások folyamatokhoz, fájlokhoz és mappákhoz az egyes virtuális gépeken:

• Kizárások beállítása Microsoft Defender víruskereső vizsgálatokhoz
• Gyakori hibák, amelyeket el kell kerülni a kizárások meghatározásakor

Napi AV-vizsgálat ütemezése

Az SAP-alkalmazásokhoz ajánlott konfiguráció letiltja az AV-vizsgálathoz szükséges I/O-hívások valós idejű elfogását. Az ajánlott beállítás a passzív mód, amelyben real_time_protection_enabled = hamis.

A következő hivatkozás részletesen ismerteti a vizsgálat ütemezését: Vizsgálatok ütemezése Végponthoz készült Microsoft Defender (Linux) használatával.

A nagyméretű SAP-rendszerek több mint 20 SAP-alkalmazáskiszolgálóval rendelkezhetnek, amelyek mindegyike rendelkezik kapcsolattal az SAPMNT NFS-megosztáshoz. Húsz vagy több alkalmazáskiszolgáló egyidejűleg ugyanazt az NFS-kiszolgálót vizsgálva valószínűleg túlterheli az NFS-kiszolgálót. Alapértelmezés szerint a Végponthoz készült Defender Linuxon nem vizsgálja az NFS-forrásokat.

Ha követelmény az SAPMNT vizsgálata, akkor ezt a vizsgálatot csak egy vagy két virtuális gépen kell konfigurálni.

Az SAP ECC, BW, CRM, SCM, Solution Manager és más összetevők ütemezett vizsgálatait különböző időpontokban kell csoportosítani, hogy az összes SAP-összetevő ne terhelje túl az összes SAP-összetevő által megosztott NFS-tárolóforrást.

Hasznos parancsok

Ha a Suse manuális zypper-telepítése során "Semmi sem biztosítja a "policycoreutils" hibát, tekintse meg a következőt: A linuxos Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása.

Számos parancssori parancs vezérli az mdatp működését. A passzív mód engedélyezéséhez használja a következő parancsot:

mdatp config passive-mode --value enabled

Megjegyzés:

A passzív mód az alapértelmezett mód a végponthoz készült Defender linuxos telepítésénél.

A valós idejű védelem kikapcsolásához használja a következő parancsot:

mdatp config real-time-protection --value disabled

Ez a parancs arra utasítja az mdatp-t, hogy kérje le a legújabb definíciókat a felhőből:

mdatp definitions update 

Ez a parancs ellenőrzi, hogy az mdatp képes-e csatlakozni a felhőalapú végpontokhoz a hálózaton keresztül:

mdatp connectivity test

Ezek a parancsok szükség esetén frissítik az mdatp szoftvert:

yum update mdatp

zypper update mdatp

Mivel az mdatp linuxos rendszerszolgáltatásként fut, az mdatp a szolgáltatás parancsával vezérelhető, például:

service mdatp status 

Ez a parancs létrehoz egy diagnosztikai fájlt, amely feltölthető a Microsoft ügyfélszolgálatához:

sudo mdatp diagnostic create

Hasznos hivatkozások

• A Microsoft Endpoint Manager jelenleg nem támogatja a Linuxot

• A Végponthoz készült Microsoft Defender konfigurációs beállításainak kezelése eszközökön a Microsoft Endpoint Manager használatával

• Microsoft Tech Community: Végponthoz készült Microsoft Defender Linux – Konfiguráció és művelet parancslistája

• Microsoft Tech Community: Végponthoz készült Microsoft Defender üzembe helyezése Linux-kiszolgálókon

• A linuxos Végponthoz készült Microsoft Defender felhőkapcsolati problémáinak elhárítása

• A Linuxon futó Végponthoz készült Microsoft Defender teljesítményproblémáinak elhárítása