Microsoft Defender for Endpoint on Windows Server with SAP

  • [アーティクル]

適用対象:

組織で SAP を使用している場合は、Microsoft Defender for Endpoint と SAP アプリケーションの ウイルス対策EDR の互換性とサポートを理解することが不可欠です。 この記事は、Defender for Endpoint などのエンドポイント保護セキュリティ ソリューションに対して SAP によって提供されるサポートと、それらが SAP アプリケーションとどのように対話するかを理解するのに役立ちます。

この記事では、Microsoft Defender for Endpoint on Windows Server を、NetWeaver や S4 Hana などの SAP アプリケーション、LiveCache などの SAP スタンドアロン エンジンと共に使用する方法について説明します。 この記事では、Defender for Endpoint のウイルス対策と EDR 機能について説明します。 Defender for Endpoint のすべての機能の概要については、「 Microsoft Defender for Endpoint」を参照してください。

この記事では、WINDOWS クライアント デバイス上の SAPGUI や Microsoft Defender ウイルス対策などの SAP クライアント ソフトウェアについては説明しません。

エンタープライズ セキュリティと SAP Basis チーム

エンタープライズ セキュリティは専門家の役割であり、この記事で説明されているアクティビティは、エンタープライズ セキュリティ チームと SAP Basis チームの共同アクティビティとして計画する必要があります。 エンタープライズ セキュリティ チームは、SAP Basis チームと連携し、Defender for Endpoint 構成を共同で設計し、除外を分析する必要があります。

Defender for Endpoint の概要を確認する

Defender for Endpoint は Microsoft Defender XDR のコンポーネントであり、SIEM/SOAR ソリューションと統合できます。

SAP を使用して Windows Server で Defender for Endpoint を計画または展開する前に、少し時間をかけて Defender for Endpoint の概要を確認してください。 次のビデオでは、概要について説明します。

Defender for Endpoint と Microsoft のセキュリティ オファリングの詳細については、次のリソースを参照してください。

Defender for Endpoint には、この記事の範囲外の機能が含まれています。 この記事では、次の 2 つの主な領域について説明します。

  • 次世代保護 (ウイルス対策保護を含む)。 次世代保護 は、Windows 環境向けの他のウイルス対策ソリューションのようなウイルス対策製品です。
  • エンドポイントの検出と応答 (EDR)。 EDR 機能は 、疑わしいアクティビティとシステム呼び出しを検出し、ウイルス対策保護をバイパスした脅威に対する保護の追加レイヤーを提供します。

Microsoft やその他のセキュリティ ソフトウェア ベンダーは、脅威を追跡し、傾向情報を提供します。 詳細については、「 サイバー脅威、ウイルス、マルウェア - Microsoft セキュリティ インテリジェンス」を参照してください。

注:

Microsoft Defender for SAP on Linux の詳細については、「Microsoft Defender for Endpoint on Linux for SAP のデプロイ ガイダンス」を参照してください。 Defender for Endpoint on Linux は、Windows バージョンとは大きく異なります。

Defender for Endpoint およびその他のセキュリティ ソリューションに関する SAP サポート ステートメント

SAP には、従来のファイル スキャン ウイルス対策ソリューションに関する基本的なドキュメントが用意されています。 従来のファイル スキャン ウイルス対策ソリューションは、既知の脅威のデータベースとファイル署名を比較します。 感染したファイルが特定されると、ウイルス対策ソフトウェアは通常、ファイルを警告して検疫します。 ファイル スキャン ウイルス対策ソリューションのメカニズムと動作は、かなりよく知られており、予測可能です。そのため、SAP サポートは、ファイル スキャンウイルス対策ソフトウェアと対話する SAP アプリケーションの基本的なレベルのサポートを提供できます。

ファイルベースの脅威は、悪意のあるソフトウェアに対して可能なベクトルの 1 つだけになりました。 陸上に存在するファイルレスマルウェアとマルウェア、従来のソリューションよりも速く変化する非常にポリモーフィックな脅威、侵害されたデバイスで敵対者が見つけるものに適応する人間が操作する攻撃。 従来のウイルス対策セキュリティ ソリューションでは、このような攻撃を阻止するには十分ではありません。 行動ブロックや封じ込めなど、人工知能 (AI) とデバイス学習 (ML) に基づく機能が必要です。 Defender for Endpoint などのセキュリティ ソフトウェアには、最新の脅威を軽減するための高度な脅威保護機能があります。

Defender for Endpoint は、ファイルの読み取り、ファイル書き込み、ソケットの作成、その他のプロセス レベルの操作など、オペレーティング システムの呼び出しを継続的に監視しています。 Defender for Endpoint EDR センサーは、ローカル NTFS ファイル システムで日和見ロックを取得するため、アプリケーションに影響を与える可能性は低いです。 リモート ネットワーク ファイル システムでは、Opportunistic ロックを使用できません。 まれに、ロックによって、SAP アプリケーションで Access Denied などの一般的な非特定エラーが発生する可能性があります。

SAP では、 Microsoft Defender XDRDefender for Endpoint などの EDR/XDR ソフトウェアをサポートすることはできません。 このようなソリューションのメカニズムはアダプティブです。そのため、予測できません。 さらに、問題は再現できない可能性があります。 高度なセキュリティ ソリューションを実行しているシステムで問題が特定された場合、SAP では、セキュリティ ソフトウェアを無効にしてから、問題を再現することを推奨します。 その後、サポート ケースをセキュリティ ソフトウェア ベンダーと共に発生させることができます。

SAP サポート ポリシーの詳細については、「 3356389 - ウイルス対策または SAP 操作に影響を与えるその他のセキュリティ ソフトウェア」を参照してください。

必要に応じて使用できる SAP 記事の一覧を次に示します。

Windows Server 上の SAP アプリケーション: 上位 10 の推奨事項

  1. SAP サーバーへのアクセスを制限し、ネットワーク ポートをブロックし、他のすべての一般的なセキュリティ保護対策を講じるようにします。 この最初の手順は不可欠です。 脅威の状況は、ファイルベースのウイルスから、ファイルレスの複雑で洗練された脅威へと進化してきました。 ポートのブロックや VM へのログオン/アクセスの制限などのアクションは、最新の脅威を完全に軽減するのに十分とは見なされなくなりました

  2. 運用システムに展開する前に、まず非生産的なシステムに Defender for Endpoint を展開します。 テストを行わずに Defender for Endpoint を運用システムに直接デプロイすることは非常にリスクが高く、ダウンタイムにつながる可能性があります。 運用システムへの Defender for Endpoint の展開を遅らせることができない場合は、 改ざん防止リアルタイム保護を一時的に無効にすることを検討してください。

  3. Windows Server では、リアルタイム保護が既定で有効になっていることに注意してください。 Defender for Endpoint に関連する可能性がある問題が特定された場合は、 除外を構成 するか、Microsoft Defender ポータルから サポート ケースを開 くことをお勧めします。

  4. SAP Basis チームとセキュリティ チームが Defender for Endpoint デプロイで連携します。 2 つのチームは、段階的なデプロイ、テスト、監視計画を共同で作成する必要があります。

  5. Defender for Endpoint を展開してアクティブ化する前に、PerfMon (Windows) などのツールを使用してパフォーマンス ベースラインを作成します。 Defender for Endpoint をアクティブ化する前と後のパフォーマンス使用率を比較します。 「perfmon」を参照してください。

  6. 最新バージョンの Defender for Endpoint を展開し、Windows の最新リリース (理想的には Windows Server 2019 以降) を使用します。 「Microsoft Defender for Endpoint の最小要件」を参照してください。

  7. Microsoft Defender ウイルス対策の特定の除外を構成します。 たとえば、次の環境です。:

    • バックアップ ファイルを含むディスクを含む DBMS データ ファイル、ログ ファイル、および一時ファイル
    • SAPMNT ディレクトリの内容全体
    • SAPLOC ディレクトリの内容全体
    • TRANS ディレクトリの内容全体
    • TREX などのスタンドアロン エンジンのディレクトリの内容全体

    上級ユーザーは、 コンテキスト ファイルとフォルダーの除外の使用を検討できます。

    DBMS の除外の詳細については、次のリソースを使用してください。

  8. Defender for Endpoint の設定を確認します。 SAP アプリケーションを使用する Microsoft Defender ウイルス対策には、ほとんどの場合、次の設定が必要です。

    • AntivirusEnabled : True
    • AntivirusSignatureAge : 0
    • BehaviorMonitorEnabled : True
    • DefenderSignaturesOutOfDate : False
    • IsTamperProtected : True
    • RealTimeProtectionEnabled : True

  9. IntuneDefender for Endpoint のセキュリティ設定管理などのツールを使用して、Defender for Endpoint を設定します。 このようなツールは、Defender for Endpoint が正しく構成され、均一に展開されていることを確認するのに役立ちます。

    Defender for Endpoint セキュリティ設定の管理を使用するには、Microsoft Defender ポータルで [エンドポイント]>、[構成の管理>Endpoint セキュリティ ポリシー] の順に移動し、[新しいポリシーの作成] を選択します。 詳細については、「 Microsoft Defender for Endpoint でのエンドポイント セキュリティ ポリシーの管理」を参照してください。

  10. Defender for Endpoint の最新リリースを使用します。 Windows 上の Defender for Endpoint にはいくつかの新機能が実装されており、これらの機能は SAP システムでテストされています。 これらの新機能により、ブロックが削減され、CPU 消費量が削減されます。 新機能の詳細については、「 Microsoft Defender for Endpoint の新機能」を参照してください。

デプロイ方法

SAP と Microsoft はどちらも、すべての開発、QAS、運用システムに Defender for Endpoint を Windows に直接展開すること、および/または慎重なテストと監視を行わずに同時に展開することはお勧めしません。 適切なテストを行わずに制御できない方法で Defender for Endpoint やその他の同様のソフトウェアを展開したお客様は、結果としてシステムのダウンタイムが発生しました。

Windows 上の Defender for Endpoint とその他のソフトウェアまたは構成の変更は、まず開発システムに展開し、QAS で検証してから、運用環境にのみデプロイする必要があります。

Defender for Endpoint セキュリティ設定管理などのツールを使用して、テストを行わずに Defender for Endpoint を SAP ランドスケープ全体にデプロイすると、ダウンタイムが発生する可能性があります。

確認する内容の一覧を次に示します。

  1. 改ざん防止が有効になっている Defender for Endpoint を展開します。 問題が発生した場合は、 トラブルシューティング モードを有効にし、 改ざん防止を無効にし、 リアルタイム保護を無効にして、 スケジュールされたスキャンを構成します。

  2. DBMS ベンダーの推奨事項に従って、DBMS ファイルと実行可能ファイルを除外します。

  3. SAPMNT、SAP TRANS_DIR、スプール、ジョブ ログの各ディレクトリを分析します。 100,000 を超えるファイルがある場合は、ファイルの数を減らすためにアーカイブを検討してください。

  4. SAPMNT に使用される共有ファイル システムのパフォーマンス制限とクォータを確認します。 SMB 共有ソースには、NetApp アプライアンス、Windows Server 共有ディスク、または Azure Files SMB があります。

  5. 共有ストレージ サーバーが過負荷になる可能性があるため、すべての SAP アプリケーション サーバーが SAPMNT 共有を同時にスキャンしないように除外を構成します。

  6. 一般に、ホスト インターフェイス ファイルは、SAP 以外の専用ファイル サーバー上にあります。 インターフェイス ファイルは、攻撃ベクトルとして認識されます。 この専用ファイル サーバーでリアルタイム保護をアクティブにする必要があります。 SAP サーバーは、インターフェイス ファイルのファイル サーバーとして使用しないでください。

    注:

    一部の大規模な SAP システムには、それぞれ 20 を超える SAP アプリケーション サーバーがあり、同じ SAPMNT SMB 共有に接続されています。 同じ SMB サーバーを同時にスキャンするアプリケーション サーバーが 20 台の場合、SMB サーバーが過負荷になる可能性があります。 通常のスキャンから SAPMNT を除外することをお勧めします。

Sap を使用した Windows Server 上の Defender for Endpoint の重要な構成設定

  1. Microsoft Defender for Endpoint の概要を確認します。 特に、 次世代の保護EDR に関する情報を確認してください。

    注:

    Defender という用語は、製品とソリューションのスイート全体を指すために使用される場合があります。 「Microsoft Defender XDR とは」を参照してください。 この記事では、Defender for Endpoint のウイルス対策と EDR 機能について説明します。

  2. Microsoft Defender ウイルス対策の状態を確認します。 コマンド プロンプトを開き、次の PowerShell コマンドを実行します。

    Get-MpComputerStatus は次のとおりです。

    Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    Get-MpComputerStatusの予想される出力:

    DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference:

    Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    Get-MpPreferenceの予想される出力:

    AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. EDR の状態を確認します。 コマンド プロンプトを開き、次のコマンドを実行します。

    PS C:\Windows\System32> Get-Service -Name sense | FL *

    次のコード スニペットのような出力が表示されます。

    Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    表示する値は、 Status: RunningStartType: Automaticです。

    出力の詳細については、「 イベント ビューアーを使用してイベントとエラーを確認する」を参照してください。

  4. Microsoft Defender ウイルス対策が最新の状態であることを確認します。 ウイルス対策保護を最新の状態に保つ最善の方法は、Windows Update を使用する方法です。 問題が発生した場合やエラーが発生した場合は、セキュリティ チームにお問い合わせください。

    更新プログラムの詳細については、「 Microsoft Defender ウイルス対策セキュリティ インテリジェンスと製品の更新プログラム」を参照してください。

  5. 動作の監視が有効になっていることを確認します。 改ざん防止が有効になっている場合、動作の監視は既定でオンになります。 特定の問題が特定されない限り、改ざん防止が有効になっている、動作の監視が有効になっている、リアルタイム監視が有効になっているという既定の構成を使用します。

    詳細については、「 組み込みの保護はランサムウェアからの保護に役立つ」を参照してください。

  6. リアルタイム保護が有効になっていることを確認します。 Windows 上の Defender for Endpoint の現在の推奨事項は、特定の問題が特定されない限り、改ざん防止を有効にし、動作監視を有効にし、リアルタイムの監視を有効にすることです。

    詳細については、「 組み込みの保護はランサムウェアからの保護に役立つ」を参照してください。

  7. スキャンがネットワーク共有でどのように機能するかに注意してください。 既定では、Windows 上の Microsoft Defender ウイルス対策コンポーネントは、これらのファイルがプロセスによってアクセスされるときに、SMB 共有ネットワーク ファイル システム (Windows サーバー共有 \\server\smb-share や NetApp 共有など) をスキャンします。

    Windows 上の Defender for Endpoint EDR は、SMB 共有ネットワーク ファイル システムをスキャンする可能性があります。 EDR センサーは、ファイルの変更、削除、および移動操作中に EDR 分析に関心があると特定された特定のファイルをスキャンします。

    Linux 上の Defender for Endpoint は、 スケジュールされたスキャン中に NFS ファイル システムをスキャンしません。

  8. センサーの正常性または信頼性に関する問題のトラブルシューティング。 このような問題のトラブルシューティングを行うには、 Defender for Endpoint Client Analyzer ツールを使用します。 Defender for Endpoint Client Analyzer は、Windows、Linux、または macOS を実行しているオンボード デバイスでセンサーの正常性または信頼性の問題を診断するときに役立ちます。 Defender for Endpoint クライアント アナライザーの最新バージョンについては、 https://aka.ms/MDEAnalyzerを参照してください。

  9. ヘルプが必要な場合は、サポート ケースを開きます。 「 Microsoft Defender for Endpoint サポートに問い合わせる」を参照してください。

  10. Microsoft Defender for Cloud で運用環境の SAP VM を使用している場合は、Defender for Cloud によって Defender for Endpoint 拡張機能がすべての VM にデプロイされていることに注意してください。 VM が Defender for Endpoint にオンボードされていない場合は、攻撃ベクトルとして使用できます。 運用環境に移行する前に Defender for Endpoint のテストにさらに時間が必要な場合は、 サポートにお問い合わせください

便利なコマンド: Windows Server 上の SAP を使用した Microsoft Defender for Endpoint

次のセクションでは、PowerShell とコマンド プロンプトを使用して Defender for Endpoint 設定を確認または構成する方法について説明します。

Microsoft Defender ウイルス対策の定義を手動で更新する

Windows Update を使用するか、次のコマンドを実行します。

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

次のコード スニペットのような出力が表示されます。

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

もう 1 つのオプションは、次のコマンドを使用することです。

PS C:\Program Files\Windows Defender> Update-MpSignature

これらのコマンドの詳細については、次のリソースを参照してください。

ブロック モードの EDR がオンかどうかを判断する

ブロック モードの EDR は、Microsoft Defender ウイルス対策が主要なウイルス対策製品ではなく、パッシブ モードで実行されている場合に、悪意のあるアーティファクトからの保護を強化します。 ブロック モードの EDR が有効かどうかを判断するには、次のコマンドを実行します。

Get-MPComputerStatus|select AMRunningMode

通常モードとパッシブ モードの 2 つのモードがあります。 SAP システムでのテストは、SAP システムの AMRunningMode = Normal でのみ行われました。

このコマンドの詳細については、「 Get-MpComputerStatus」を参照してください。

ウイルス対策の除外を構成する

除外を構成する前に、SAP Basis チームがセキュリティ チームと調整していることを確認してください。 除外は、VM レベルではなく一元的に構成する必要があります。 共有 SAPMNT ファイル システムなどの除外は、 Intune 管理ポータルを使用してポリシーを使用して除外する必要があります。

除外を表示するには、次のコマンドを使用します。

Get-MpPreference | Select-Object -Property ExclusionPath

このコマンドの詳細については、「 Get-MpComputerStatus」を参照してください。

除外の詳細については、次のリソースを参照してください。

EDR 除外を構成する

EDR からファイル、パス、またはプロセスを除外することはお勧めしません。このような除外は、最新の非ファイル ベースの脅威からの保護を構成するためです。 必要に応じて、除外する実行可能ファイルやパスを指定する Microsoft Defender ポータルから Microsoft サポートでサポート ケースを開きます。 「 Microsoft Defender for Endpoint サポートに問い合わせる」を参照してください。

テスト目的で Windows で Defender for Endpoint を完全に無効にする

注意

問題を解決または分離する代替手段がない限り、セキュリティ ソフトウェアを無効にすることはお勧めしません。

Defender for Endpoint は、 改ざん防止 を有効にして構成する必要があります。 Defender for Endpoint を一時的に無効にして問題を特定するには、 トラブルシューティング モードを使用します。

Microsoft Defender ウイルス対策ソリューションのさまざまなサブコンポーネントをシャットダウンするには、次のコマンドを実行します。

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

これらのコマンドの詳細については、「 Set-MpPreference」を参照してください。

重要

デバイスで EDR サブコンポーネントをオフにすることはできません。 EDR をオフにする唯一の方法は、 デバイスをオフボードすることです

クラウド提供の保護 (Microsoft Advanced Protection Service、または MAPS) をオフにするには、次のコマンドを実行します。

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

クラウドによる保護の詳細については、次のリソースを参照してください。