Руководство по развертыванию Microsoft Defender для конечной точки на Linux для SAP

В этой статье приводятся рекомендации по развертыванию Microsoft Defender для конечной точки в среде Linux for SAP. В этой статье содержатся рекомендуемые заметки о SAP OSS (online Services System), требования к системе, предварительные требования, важные параметры конфигурации, рекомендуемые исключения антивирусной программы и рекомендации по планированию проверок антивирусной программы.

Обычные средства защиты безопасности, которые обычно используются для защиты систем SAP, такие как изоляция инфраструктуры за брандмауэрами и ограничение интерактивных входов в операционную систему, больше не считаются достаточными для устранения современных сложных угроз. Важно развернуть современные средства защиты для обнаружения и сдерживания угроз в режиме реального времени. Приложения SAP, в отличие от большинства других рабочих нагрузок, требуют базовой оценки и проверки перед развертыванием Microsoft Defender для конечной точки. Перед развертыванием Defender для конечной точки администраторы безопасности предприятия должны обратиться к команде SAP Basis. Команда SAP Basis должна пройти перекрёстное обучение, чтобы обладать базовыми знаниями о Defender for Endpoint.

Приложения SAP в Linux

Важно!

При развертывании Defender для конечной точки на Linux рекомендуется использовать eBPF. Дополнительные сведения см. в документации по eBPF. В Defender для конечной точки добавлена поддержка фреймворка eBPF.

Поддерживаемые дистрибутивы включают все распространенные дистрибутивы Linux, но не SUSE 12.x. Клиентам SUSE 12.x рекомендуется выполнить обновление до SUSE 15. В SUSE 12.x используется старый Audit.D датчик с ограничениями производительности.

Дополнительные сведения о дистрибутивах поддержки см. в статье Использование датчика на основе eBPF для Microsoft Defender для конечной точки на Linux.

Вот некоторые важные моменты о приложениях SAP на сервере Linux:

  • SAP поддерживает только SUSE, Redhat и Oracle Linux. Другие дистрибутивы не поддерживаются для приложений SAP S4 или NetWeaver.
  • Рекомендуется использовать SUSE 15.x, Redhat 9.x и Oracle Linux 9.x. Поддерживаемые дистрибутивы включают все распространенные дистрибутивы Linux, но не SUSE 12.x.
  • SUSE 11.x, Redhat 6.x и Oracle Linux 6.x не поддерживаются.
  • Redhat 7.x и 8.x, а также Oracle Linux 7.x и 8.x технически поддерживаются, но больше не тестируются в сочетании с программным обеспечением SAP.
  • SUSE и Redhat предлагают специализированные дистрибутивы для SAP. Эти версии SUSE и Redhat "для SAP" могут иметь разные предварительно установленные пакеты и, возможно, разные ядра.
  • SAP поддерживает только определенные Linux файловые системы. Как правило, используются XFS и EXT3. Файловая система Oracle Automatic Storage Management (ASM) иногда используется для СУБД Oracle, и Microsoft Defender для конечной точки не поддерживает её чтение.
  • Некоторые приложения SAP используют автономные подсистемы, такие как TREX, Adobe Document Server, Content Server и LiveCache. Для этих механизмов требуются специальная конфигурация и исключения для файлов.
  • Приложения SAP часто имеют каталоги транспорта и интерфейса со многими тысячами небольших файлов. Если количество файлов превышает 100 000, это может повлиять на производительность. Рекомендуется архивировать файлы.
  • Рекомендуется развернуть Microsoft Defender for Endpoint в непроизводственных ландшафтах SAP за несколько недель до развертывания в продуктивной среде. Команда SAP Basis должна использовать такие инструменты, как sysstat, KSAR и nmon, чтобы проверить, затронуты ли ЦП и другие показатели производительности. Кроме того, можно настроить широкие исключения с помощью глобального параметра область, а затем постепенно уменьшать количество исключенных каталогов.

Предварительные требования для развертывания Microsoft Defender для конечной точки на Linux на виртуальных машинах SAP

С декабря 2024 года Defender для конечной точки на Linux можно безопасно настроить с включенной защитой в режиме реального времени.

Параметр конфигурации по умолчанию для развертывания в качестве расширения Azure для антивирусной программы является пассивным режимом. Это означает, что Microsoft Defender Antivirus — антивирусный компонент Microsoft Defender для конечной точки, предназначенный для защиты от вредоносных программ, — не перехватывает вызовы ввода-вывода. Мы рекомендуем использовать Defender for Endpoint с включенной защитой в режиме реального времени на всех приложениях SAP. Таким образом:

  • Защита в режиме реального времени включена: Microsoft Defender антивирусная программа перехватывает вызовы ввода-вывода в режиме реального времени.
  • Сканирование по запросу включено. Вы можете использовать возможности сканирования в конечной точке.
  • Автоматическое устранение угроз включено: Файлы перемещаются, и администратор безопасности получает уведомление.
  • Обновления аналитики безопасности включены: оповещения доступны на портале Microsoft Defender.

Средства оперативного исправления ядра, такие как Ksplice или аналогичные, могут привести к непредсказуемой нестабильности ОС, если работает Microsoft Defender for Endpoint. Рекомендуется временно остановить демон Defender for Endpoint перед выполнением оперативного исправления ядра. После обновления ядра можно безопасно перезапустить Defender for Endpoint в Linux. Это действие особенно важно на больших виртуальных машинах SAP HANA с большими контекстами памяти.

Если антивирус Microsoft Defender работает с защитой в режиме реального времени, планировать проверки больше не нужно. Следует выполнить сканирование хотя бы один раз, чтобы задать базовый уровень. Затем, при необходимости, crontab в Linux обычно используется для планирования проверок Microsoft Defender Antivirus и задач ротации журналов. Дополнительные сведения см. в статье Планирование проверок с помощью Microsoft Defender для конечной точки (Linux).

Функция обнаружения и реагирования конечных точек (EDR) активна при установке Microsoft Defender для конечной точки на Linux. Функции EDR можно отключить с помощью командной строки или настройки с помощью глобальных исключений. Дополнительные сведения об устранении неполадок с EDR см. в разделах Полезные команды и Полезные ссылки (в этой статье).

Важные параметры конфигурации для Microsoft Defender для конечной точки в SAP на Linux

Рекомендуется проверить установку и конфигурацию Defender для конечных точек с помощью команды mdatp health.

Ниже приведены ключевые параметры, рекомендуемые для приложений SAP.


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

Сведения об устранении неполадок с установкой см. в статье Устранение неполадок с установкой для Microsoft Defender для конечной точки на Linux.

Группа обеспечения безопасности организации должна получить полный список исключений для антивирусного ПО от администраторов SAP (обычно от команды SAP Basis). Рекомендуется сначала исключить:

Системам Oracle ASM не требуются исключения, так как Microsoft Defender для конечной точки не может читать диски ASM.

Клиенты с кластерами Pacemaker также должны настроить следующие исключения:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)


mdatp exclusion process add --name pacemakerd


mdatp exclusion process add --name crm_*

Клиенты, использующие политику безопасности Azure, могут запустить проверку с помощью решения freeware Clam AV. Рекомендуется отключить проверку Clam AV после защиты виртуальной машины с помощью Microsoft Defender для конечной точки с помощью следующих команд:


sudo azsecd config  -s clamav -d "Disabled"


sudo service azsecd restart


sudo azsecd status 

В следующих статьях подробно описано, как настроить исключения антивирусной программы для процессов, файлов и папок для каждой отдельной виртуальной машины.

Планирование ежедневной антивирусной проверки (необязательно)

Рекомендуемая конфигурация для приложений SAP позволяет в режиме реального времени перехватывать вызовы ввода-вывода для антивирусной проверки. Рекомендуемый параметр — пассивный режим, в котором используется real_time_protection_enabled = true.

Приложения SAP, работающие в более старых версиях Linux или на перегруженном оборудовании, могут использовать real_time_protection_enabled = false. В этом случае необходимо запланировать антивирусную проверку.

Дополнительные сведения см. в статье Планирование проверок с помощью Microsoft Defender для конечной точки (Linux).

Крупные системы SAP могут иметь более 20 серверов приложений SAP, каждый из которых имеет подключение к общей папке SAPMNT NFS. Если двадцать или более серверов приложений одновременно сканируют один и тот же NFS-сервер, это, скорее всего, приведёт к перегрузке NFS-сервера. По умолчанию Defender для конечной точки в Linux не сканирует источники NFS.

Если требуется сканировать SAPMNT, эту проверку следует настроить только на одной или двух виртуальных машинах.

Запланированные сканирования SAP ECC, BW, CRM, SCM, SAP Solution Manager и других компонентов следует распределить по разному времени, чтобы все компоненты SAP не перегружали общий источник хранения NFS, совместно используемый всеми компонентами SAP.

Полезные команды

Если при ручной установке zypper в SUSE возникает ошибка "Nothing provides 'policycoreutils'", см. Устранение неполадок при установке Microsoft Defender для конечной точки в Linux.

Существует несколько команд командной строки, которые могут управлять операцией mdatp. Чтобы включить пассивный режим, можно использовать следующую команду:


mdatp config passive-mode --value enabled

Примечание.

Пассивный режим — это режим по умолчанию при установке Defender для конечной точки на Linux.

Чтобы включить защиту в режиме реального времени, можно использовать команду :


mdatp config real-time-protection --value enabled

Эта команда указывает mdatp получить из облака актуальные определения:


mdatp definitions update 

Эта команда проверяет, может ли mdatp подключаться к облачным конечным точкам в сети:


mdatp connectivity test

При необходимости эти команды обновляют программное обеспечение mdatp:


yum update mdatp


zypper update mdatp

Так как mdatp выполняется как системная служба Linux, вы можете управлять mdatp с помощью команды службы, например:


service mdatp status 

Эта команда создает файл диагностики, который можно отправить в службу поддержки Майкрософт:


sudo mdatp diagnostic create