Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приводятся рекомендации по развертыванию Microsoft Defender для конечной точки в среде Linux for SAP. В этой статье содержатся рекомендуемые заметки о SAP OSS (online Services System), требования к системе, предварительные требования, важные параметры конфигурации, рекомендуемые исключения антивирусной программы и рекомендации по планированию проверок антивирусной программы.
Обычные средства защиты безопасности, которые обычно используются для защиты систем SAP, такие как изоляция инфраструктуры за брандмауэрами и ограничение интерактивных входов в операционную систему, больше не считаются достаточными для устранения современных сложных угроз. Важно развернуть современные средства защиты для обнаружения и сдерживания угроз в режиме реального времени. Приложения SAP, в отличие от большинства других рабочих нагрузок, требуют базовой оценки и проверки перед развертыванием Microsoft Defender для конечной точки. Перед развертыванием Defender для конечной точки администраторы безопасности предприятия должны обратиться к команде SAP Basis. Команда SAP Basis должна пройти перекрёстное обучение, чтобы обладать базовыми знаниями о Defender for Endpoint.
Рекомендуемые заметки о SAP OSS
- 2248916 . Какие файлы и каталоги следует исключить из антивирусной проверки продуктов платформы бизнес-аналитики SAP BusinessObjects в Linux/Unix? — Панель запуска поддержки SAP ONE
- 1984459 — какие файлы и каталоги следует исключить из антивирусной проверки для sap Data Services — панель запуска поддержки SAP ONE
- 2808515 . Установка программного обеспечения безопасности на серверах SAP, работающих на Linux, — панель запуска поддержки SAP ONE
- 1730930 — Использование антивирусного программного обеспечения в устройстве SAP HANA — Панель запуска поддержки SAP ONE
- 1730997 — нерекомендуемые версии антивирусного программного обеспечения — панель запуска поддержки SAP ONE
Приложения SAP в Linux
Важно!
При развертывании Defender для конечной точки на Linux рекомендуется использовать eBPF. Дополнительные сведения см. в документации по eBPF. В Defender для конечной точки добавлена поддержка фреймворка eBPF.
Поддерживаемые дистрибутивы включают все распространенные дистрибутивы Linux, но не SUSE 12.x. Клиентам SUSE 12.x рекомендуется выполнить обновление до SUSE 15. В SUSE 12.x используется старый Audit.D датчик с ограничениями производительности.
Дополнительные сведения о дистрибутивах поддержки см. в статье Использование датчика на основе eBPF для Microsoft Defender для конечной точки на Linux.
Вот некоторые важные моменты о приложениях SAP на сервере Linux:
- SAP поддерживает только SUSE, Redhat и Oracle Linux. Другие дистрибутивы не поддерживаются для приложений SAP S4 или NetWeaver.
- Рекомендуется использовать SUSE 15.x, Redhat 9.x и Oracle Linux 9.x. Поддерживаемые дистрибутивы включают все распространенные дистрибутивы Linux, но не SUSE 12.x.
- SUSE 11.x, Redhat 6.x и Oracle Linux 6.x не поддерживаются.
- Redhat 7.x и 8.x, а также Oracle Linux 7.x и 8.x технически поддерживаются, но больше не тестируются в сочетании с программным обеспечением SAP.
- SUSE и Redhat предлагают специализированные дистрибутивы для SAP. Эти версии SUSE и Redhat "для SAP" могут иметь разные предварительно установленные пакеты и, возможно, разные ядра.
- SAP поддерживает только определенные Linux файловые системы. Как правило, используются XFS и EXT3. Файловая система Oracle Automatic Storage Management (ASM) иногда используется для СУБД Oracle, и Microsoft Defender для конечной точки не поддерживает её чтение.
- Некоторые приложения SAP используют автономные подсистемы, такие как TREX, Adobe Document Server, Content Server и LiveCache. Для этих механизмов требуются специальная конфигурация и исключения для файлов.
- Приложения SAP часто имеют каталоги транспорта и интерфейса со многими тысячами небольших файлов. Если количество файлов превышает 100 000, это может повлиять на производительность. Рекомендуется архивировать файлы.
- Рекомендуется развернуть Microsoft Defender for Endpoint в непроизводственных ландшафтах SAP за несколько недель до развертывания в продуктивной среде. Команда SAP Basis должна использовать такие инструменты, как
sysstat,KSARиnmon, чтобы проверить, затронуты ли ЦП и другие показатели производительности. Кроме того, можно настроить широкие исключения с помощью глобального параметра область, а затем постепенно уменьшать количество исключенных каталогов.
Предварительные требования для развертывания Microsoft Defender для конечной точки на Linux на виртуальных машинах SAP
- Необходимо развернуть Microsoft Defender для конечной точки сборки 101.24082.0004 | версия выпуска: 30.124082.0004.0 или более поздней версии.
- Microsoft Defender для конечных точек в Linux поддерживает выпуски Linux, используемые приложениями SAP.
- Для Microsoft Defender для конечной точки в Linux требуется возможность подключения виртуальных машин к определенным интернет-конечным точкам для обновления антивирусных сигнатур. Дополнительные сведения см. в статье Проверка возможности подключения устройств к облачным службам Defender для конечной точки.
- Для Microsoft Defender для конечной точки в Linux требуются некоторые записи
crontab(или другого планировщика задач) для планирования проверок, ротации журналов и обновлений Microsoft Defender для конечной точки. Команды корпоративной безопасности обычно управляют этими записями. Дополнительные сведения см. в статье Планирование обновления для Microsoft Defender для конечной точки в Linux.
С декабря 2024 года Defender для конечной точки на Linux можно безопасно настроить с включенной защитой в режиме реального времени.
Параметр конфигурации по умолчанию для развертывания в качестве расширения Azure для антивирусной программы является пассивным режимом. Это означает, что Microsoft Defender Antivirus — антивирусный компонент Microsoft Defender для конечной точки, предназначенный для защиты от вредоносных программ, — не перехватывает вызовы ввода-вывода. Мы рекомендуем использовать Defender for Endpoint с включенной защитой в режиме реального времени на всех приложениях SAP. Таким образом:
- Защита в режиме реального времени включена: Microsoft Defender антивирусная программа перехватывает вызовы ввода-вывода в режиме реального времени.
- Сканирование по запросу включено. Вы можете использовать возможности сканирования в конечной точке.
- Автоматическое устранение угроз включено: Файлы перемещаются, и администратор безопасности получает уведомление.
- Обновления аналитики безопасности включены: оповещения доступны на портале Microsoft Defender.
Средства оперативного исправления ядра, такие как Ksplice или аналогичные, могут привести к непредсказуемой нестабильности ОС, если работает Microsoft Defender for Endpoint. Рекомендуется временно остановить демон Defender for Endpoint перед выполнением оперативного исправления ядра. После обновления ядра можно безопасно перезапустить Defender for Endpoint в Linux. Это действие особенно важно на больших виртуальных машинах SAP HANA с большими контекстами памяти.
Если антивирус Microsoft Defender работает с защитой в режиме реального времени, планировать проверки больше не нужно. Следует выполнить сканирование хотя бы один раз, чтобы задать базовый уровень. Затем, при необходимости, crontab в Linux обычно используется для планирования проверок Microsoft Defender Antivirus и задач ротации журналов. Дополнительные сведения см. в статье Планирование проверок с помощью Microsoft Defender для конечной точки (Linux).
Функция обнаружения и реагирования конечных точек (EDR) активна при установке Microsoft Defender для конечной точки на Linux. Функции EDR можно отключить с помощью командной строки или настройки с помощью глобальных исключений. Дополнительные сведения об устранении неполадок с EDR см. в разделах Полезные команды и Полезные ссылки (в этой статье).
Важные параметры конфигурации для Microsoft Defender для конечной точки в SAP на Linux
Рекомендуется проверить установку и конфигурацию Defender для конечных точек с помощью команды mdatp health.
Ниже приведены ключевые параметры, рекомендуемые для приложений SAP.
healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.)
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)
Сведения об устранении неполадок с установкой см. в статье Устранение неполадок с установкой для Microsoft Defender для конечной точки на Linux.
Рекомендуемые исключения антивирусной программы Microsoft Defender для конечной точки для SAP в Linux
Группа обеспечения безопасности организации должна получить полный список исключений для антивирусного ПО от администраторов SAP (обычно от команды SAP Basis). Рекомендуется сначала исключить:
- Файлы данных СУБД, файлы журналов и временные файлы, включая диски, содержащие файлы резервных копий
- Все содержимое каталога SAPMNT
- Все содержимое каталога SAPLOC
- Все содержимое каталога TRANS
- Hana — исключение /hana/shared, /hana/data и /hana/log — см. примечание 1730930
- SQL Server — настройка антивирусного программного обеспечения для работы с SQL Server
- Oracle — см. инструкции по настройке антивирусной программы на сервере базы данных Oracle (идентификатор документа 782354.1)
- DB2 — документация IBM: какие каталоги DB2 следует исключить с помощью антивирусного программного обеспечения
- SAP ASE — обращение в SAP
- MaxDB — контакт с SAP
- Adobe Document Server, каталоги архива SAP, TREX, LiveCache, Content Server и другие автономные компоненты необходимо тщательно протестировать в непродуктивных ландшафтах перед развертыванием Defender for Endpoint в продуктивном ландшафте.
Системам Oracle ASM не требуются исключения, так как Microsoft Defender для конечной точки не может читать диски ASM.
Клиенты с кластерами Pacemaker также должны настроить следующие исключения:
mdatp exclusion folder add --path /usr/lib/pacemaker/ (for RedHat /var/lib/pacemaker/)
mdatp exclusion process add --name pacemakerd
mdatp exclusion process add --name crm_*
Клиенты, использующие политику безопасности Azure, могут запустить проверку с помощью решения freeware Clam AV. Рекомендуется отключить проверку Clam AV после защиты виртуальной машины с помощью Microsoft Defender для конечной точки с помощью следующих команд:
sudo azsecd config -s clamav -d "Disabled"
sudo service azsecd restart
sudo azsecd status
В следующих статьях подробно описано, как настроить исключения антивирусной программы для процессов, файлов и папок для каждой отдельной виртуальной машины.
- Настройка исключений для проверок антивируса Microsoft Defender
- Исключения, которых следует избегать в Антивирусе Microsoft Defender и Defender для конечных точек
Планирование ежедневной антивирусной проверки (необязательно)
Рекомендуемая конфигурация для приложений SAP позволяет в режиме реального времени перехватывать вызовы ввода-вывода для антивирусной проверки. Рекомендуемый параметр — пассивный режим, в котором используется real_time_protection_enabled = true.
Приложения SAP, работающие в более старых версиях Linux или на перегруженном оборудовании, могут использовать real_time_protection_enabled = false. В этом случае необходимо запланировать антивирусную проверку.
Дополнительные сведения см. в статье Планирование проверок с помощью Microsoft Defender для конечной точки (Linux).
Крупные системы SAP могут иметь более 20 серверов приложений SAP, каждый из которых имеет подключение к общей папке SAPMNT NFS. Если двадцать или более серверов приложений одновременно сканируют один и тот же NFS-сервер, это, скорее всего, приведёт к перегрузке NFS-сервера. По умолчанию Defender для конечной точки в Linux не сканирует источники NFS.
Если требуется сканировать SAPMNT, эту проверку следует настроить только на одной или двух виртуальных машинах.
Запланированные сканирования SAP ECC, BW, CRM, SCM, SAP Solution Manager и других компонентов следует распределить по разному времени, чтобы все компоненты SAP не перегружали общий источник хранения NFS, совместно используемый всеми компонентами SAP.
Полезные команды
Если при ручной установке zypper в SUSE возникает ошибка "Nothing provides 'policycoreutils'", см. Устранение неполадок при установке Microsoft Defender для конечной точки в Linux.
Существует несколько команд командной строки, которые могут управлять операцией mdatp. Чтобы включить пассивный режим, можно использовать следующую команду:
mdatp config passive-mode --value enabled
Примечание.
Пассивный режим — это режим по умолчанию при установке Defender для конечной точки на Linux.
Чтобы включить защиту в режиме реального времени, можно использовать команду :
mdatp config real-time-protection --value enabled
Эта команда указывает mdatp получить из облака актуальные определения:
mdatp definitions update
Эта команда проверяет, может ли mdatp подключаться к облачным конечным точкам в сети:
mdatp connectivity test
При необходимости эти команды обновляют программное обеспечение mdatp:
yum update mdatp
zypper update mdatp
Так как mdatp выполняется как системная служба Linux, вы можете управлять mdatp с помощью команды службы, например:
service mdatp status
Эта команда создает файл диагностики, который можно отправить в службу поддержки Майкрософт:
sudo mdatp diagnostic create
Полезные ссылки
Чтобы проанализировать производительность или другие проблемы, см. статью Запуск клиентского анализатора на Linux.
Microsoft Intune в настоящее время не поддерживает Linux. См. статью о том, как использовать политики безопасности конечных точек Intune для управления Microsoft Defender для конечной точки на устройствах, которые не зарегистрированы в Intune.
Microsoft Tech Community. Развертывание Microsoft Defender для конечной точки на серверах Linux
Устранение проблем с подключением к облаку для Microsoft Defender для конечной точки на Linux
Устранение проблем с производительностью Microsoft Defender для конечной точки в Linux