Linux for SAP でのMicrosoft Defender for Endpointのデプロイ ガイダンス

適用対象:

• Microsoft Defender for Endpoint Plan 2

この記事では、Linux for SAP でのMicrosoft Defender for Endpointのデプロイ ガイダンスについて説明します。 この記事には、推奨される SAP OSS (オンライン サービス システム) に関する注意事項、システム要件、前提条件、重要な構成設定、推奨されるウイルス対策の除外、ウイルス対策スキャンのスケジュール設定に関するガイダンスが含まれています。

ファイアウォールの背後にあるインフラストラクチャの分離や対話型オペレーティング システムログオンの制限など、SAP システムを保護するために一般的に使用されていた従来のセキュリティ防御は、最新の高度な脅威を軽減するのに十分とは見なされなくなりました。 脅威をリアルタイムで検出して封じ込めるために、最新の防御を展開することが不可欠です。 他のほとんどのワークロードとは異なる SAP アプリケーションでは、Microsoft Defender for Endpointをデプロイする前に基本的な評価と検証が必要です。 エンタープライズ セキュリティ管理者は、Defender for Endpoint をデプロイする前に SAP Basis チームに問い合わせる必要があります。 SAP Basis Team は、Defender for Endpoint に関する基本的なレベルの知識を使用してクロストレーニングする必要があります。

推奨される SAP OSS ノート

• 2248916 - Linux/Unix の SAP BusinessObjects Business Intelligence Platform 製品のウイルス対策スキャンから除外する必要があるファイルとディレクトリはどれですか? - SAP ONE サポートスタートパッド
• 1984459 - SAP Data Services のウイルス対策スキャンから除外する必要があるファイルとディレクトリ - SAP ONE サポート スタート パッド
• 2808515 - Linux で実行されている SAP サーバーへのセキュリティ ソフトウェアのインストール - SAP ONE サポートスタートパッド
• 1730930 - SAP HANA アプライアンスでのウイルス対策ソフトウェアの使用 - SAP ONE サポートスタートパッド
• 1730997 - 非コミットバージョンのウイルス対策ソフトウェア - SAP ONE サポートスタートパッド

Linux 上の SAP アプリケーション

• SAP では、Suse、Redhat、Oracle Linux のみがサポートされています。 その他のディストリビューションは、SAP S4 または NetWeaver アプリケーションではサポートされていません。
• Suse 15.x、Redhat 8.x、または 9.x、Oracle Linux 8.x を強くお勧めします。
• Suse 12.x、Redhat 7.x、Oracle Linux 7.x は技術的にサポートされていますが、広範にテストされていませんでした。
• Suse 11.x、Redhat 6.x、Oracle Linux 6.x はサポートされておらず、テストされていない可能性があります。
• Suse と Redhat では、SAP 用にカスタマイズされたディストリビューションが提供されます。 これらの "for SAP" バージョンの Suse と Redhat には、さまざまなパッケージがプレインストールされていて、場合によっては異なるカーネルがインストールされている場合があります。
• SAP では、特定の Linux ファイル システムのみがサポートされます。 一般に、XFS と EXT3 が使用されます。 Oracle 自動ストレージ管理 (ASM) ファイルシステムは、Oracle DBMS で使用される場合があり、Defender for Endpoint で読み取ることはできません。
• 一部の SAP アプリケーションでは、TREX、Adobe Document Server、Content Server、LiveCache などの "スタンドアロン エンジン" が使用されます。 これらのエンジンには、特定の構成とファイルの除外が必要です。
• SAP アプリケーションには、多くの場合、何千もの小さなファイルを含むトランスポートディレクトリとインターフェイス ディレクトリがあります。 ファイルの数が 100,000 を超える場合は、パフォーマンスに影響を与える可能性があります。 ファイルをアーカイブすることをお勧めします。
• 運用環境にデプロイする前に、Defender for Endpoint を非生産的な SAP ランドスケープに数週間デプロイすることを強くお勧めします。 SAP Basis Team では、sysstat、KSAR、nmon などのツールを使用して、CPU やその他のパフォーマンス パラメーターが影響を受けるかどうかを確認する必要があります。

SAP VM 上の Linux にMicrosoft Defender for Endpointをデプロイするための前提条件

• Microsoft Defender for Endpoint バージョン>= 101.23082.0009 |リリース バージョン: 30.123082.0009 以降を展開する必要があります。
• Microsoft Defender for Endpoint on Linux では、SAP アプリケーションで使用されるすべての Linux リリースがサポートされます。
• Linux 上のMicrosoft Defender for Endpointでは、ウイルス対策の定義を更新するために、VM からの特定のインターネット エンドポイントへの接続が必要です。
• Linux 上のMicrosoft Defender for Endpointには、スキャン、ログローテーション、およびMicrosoft Defender for Endpoint更新をスケジュールするために、いくつかの crontab (またはその他のタスク スケジューラ) エントリが必要です。 エンタープライズ セキュリティ チームは通常、これらのエントリを管理します。 「Microsoft Defender for Endpoint (Linux)の更新をスケジュールする方法」を参照してください。

Azure Extension for AntiVirus (AV) としてのデプロイの既定の構成オプションはパッシブ モードになります。 これは、Microsoft Defender for Endpointの AV コンポーネントが IO 呼び出しをインターセプトしないことを意味します。 すべての SAP アプリケーションでパッシブ モードでMicrosoft Defender for Endpointを実行し、1 日に 1 回スキャンをスケジュールすることをお勧めします。 このモードでは、次の操作を行います。

• リアルタイム保護がオフになっている: 脅威は、Microsoft Defenderウイルス対策によって修復されません。
• オンデマンド スキャンが有効になっている: エンドポイントでスキャン機能を引き続き使用します。
• 脅威の自動修復がオフになっている: ファイルは移動されません。セキュリティ管理者は必要なアクションを実行する必要があります。
• セキュリティ インテリジェンスの更新が有効になっている: セキュリティ管理者のテナントでアラートを使用できます。

Linux crontab は、通常、Microsoft Defender for Endpoint AV スキャンとログ ローテーション タスクをスケジュールするために使用されます。Microsoft Defender for Endpointを使用してスキャンをスケジュールする方法 (Linux)

エンドポイント検出と応答 (EDR) 機能は、Linux 上のMicrosoft Defender for Endpointがインストールされるたびにアクティブになります。 コマンド ラインまたは構成を使用して EDR 機能を無効にする簡単な方法はありません。 EDR のトラブルシューティングの詳細については、「 便利なコマンド と 便利なリンク」セクションを参照してください。

SAP on Linux 上のMicrosoft Defender for Endpointの重要な構成設定

コマンド mdatp 正常性を使用して、Defender for Endpoint のインストールと構成をチェックすることをお勧めします。

SAP アプリケーションに推奨される主なパラメーターは次のとおりです。

• healthy = true
• release_ring = 運用。 SAP アプリケーションでは、プレリリースおよびインサイダー リングを使用しないでください。
• real_time_protection_enabled = false。 リアルタイム保護はパッシブ モードではオフです。これは既定のモードであり、リアルタイム IO インターセプトを防ぎます。
• automatic_definition_update_enabled = true
• definition_status = "up_to_date" 新しい値が特定された場合は、手動で更新を実行します。
• edr_early_preview_enabled = "disabled" SAP システムで有効にすると、システムが不安定になる可能性があります。
• conflicting_applications = [ ]。 クラムなどの VM にインストールされているその他の AV またはセキュリティ ソフトウェア。
• supplementary_events_subsystem = "ebpf" ebpf が表示されない場合は、続行しないでください。 セキュリティ管理チームに問い合わせてください。

この記事では、Microsoft Defender for Endpointのインストールに関する問題のトラブルシューティングに役立つヒントをいくつか示します。Linux でのMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング

Sap on Linux の推奨Microsoft Defender for Endpointウイルス対策の除外

エンタープライズ セキュリティ チームは、SAP 管理者 (通常は SAP Basis Team) からウイルス対策除外の完全な一覧を取得する必要があります。 最初に除外することをお勧めします。

• バックアップ ファイルを含むディスクを含む DBMS データ ファイル、ログ ファイル、一時ファイル
• SAPMNT ディレクトリの内容全体
• SAPLOC ディレクトリの内容全体
• TRANS ディレクトリの内容全体
• TREX などのスタンドアロン エンジンのディレクトリの内容全体
• Hana – /hana/shared、/hana/data、および /hana/log を除外する - 注 1730930
• SQL Server - SQL Serverで動作するようにウイルス対策ソフトウェアを構成する - SQL Server
• Oracle – Oracle データベース サーバーでウイルス対策を構成する方法を参照してください (Doc ID 782354.1)
• DB2 – https://www.ibm.com/support/pages/which-db2-directories-exclude-linux-anti-virus-software
• SAP ASE – SAP にお問い合わせください
• MaxDB – SAP にお問い合わせください

Microsoft Defender for Endpointは ASM ディスクを読み取ることができないので、Oracle ASM システムでは除外は必要ありません。

Pacemaker クラスターをお持ちのお客様は、次の除外も構成する必要があります。

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Azure セキュリティ セキュリティ ポリシーを実行しているお客様は、Freeware Clam AV ソリューションを使用してスキャンをトリガーする可能性があります。 次のコマンドを使用して VM がMicrosoft Defender for Endpointで保護された後で、Clam AV スキャンを無効にすることをお勧めします。

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status 

次の記事では、個々の VM ごとにプロセス、ファイル、フォルダーの AV 除外を構成する方法について詳しく説明します。

• Microsoft Defenderウイルス対策スキャンの除外を設定する
• 除外を定義する際に避ける必要のある一般的な間違い

毎日の AV スキャンのスケジュール設定

SAP アプリケーションに推奨される構成では、AV スキャンの IO 呼び出しのリアルタイムインターセプトが無効になります。 推奨される設定は、real_time_protection_enabled = false のパッシブ モードです。

次のリンクは、スキャンをスケジュールする方法の詳細です。Microsoft Defender for Endpoint (Linux) を使用してスキャンをスケジュールする方法。

大規模な SAP システムには、SAPMNT NFS 共有への接続を持つ SAP アプリケーション サーバーがそれぞれ 20 を超える場合があります。 同じ NFS サーバーを同時にスキャンする 20 台以上のアプリケーション サーバーが NFS サーバーを過負荷にする可能性があります。 既定では、Defender for Endpoint on Linux では NFS ソースはスキャンされません。

SAPMNT をスキャンする必要がある場合、このスキャンは 1 つまたは 2 つの VM でのみ構成する必要があります。

SAP ECC、BW、CRM、SCM、ソリューション マネージャー、およびその他のコンポーネントのスケジュールされたスキャンは、すべての SAP コンポーネントがすべての SAP コンポーネントによって共有されている共有 NFS ストレージ ソースをオーバーロードしないように、異なる時間にずらす必要があります。

便利なコマンド

Suse での zypper の手動インストール中にエラー "Nothing provides 'policycoreutils' が発生した場合は、「Linux でのMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング」を参照してください。

mdatp の操作を制御できるコマンド ライン コマンドがいくつかあります。 パッシブ モードを有効にするには、次のコマンドを使用します。

mdatp config passive-mode --value enabled

リアルタイム保護をオフにするには、次のコマンドを使用します。

mdatp config real-time-protection --value disabled

このコマンドは、クラウドから最新の定義を取得するように mdatp に指示します。

mdatp definitions update 

このコマンドは、mdatp がネットワーク経由でクラウドベースのエンドポイントに接続できるかどうかをテストします。

mdatp connectivity test

これらのコマンドは、必要に応じて mdatp ソフトウェアを更新します。

yum update mdatp

zypper update mdatp

mdatp は Linux システム サービスとして実行されるため、次のようにサービス コマンドを使用して mdatp を制御できます。

service mdatp status 

このコマンドは、Microsoft サポートにアップロードできる診断ファイルを作成します。

sudo mdatp diagnostic create

役に立つリンク

• 現時点では、Microsoft エンドポイント マネージャーは Linux をサポートしていません

• Microsoft エンドポイント マネージャーを使用してデバイス上の Microsoft Defender for Endpoint の構成設定を管理する

• Microsoft Tech Community: Microsoft Defender for Endpoint Linux - 構成と操作のコマンド 一覧

• Microsoft Tech Community: Linux サーバーへのMicrosoft Defender for Endpointのデプロイ

• Linux 上のMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング

• Linux でのMicrosoft Defender for Endpointのパフォーマンスに関する問題のトラブルシューティング