다음을 통해 공유

SAP용 Linux의 엔드포인트용 Microsoft Defender 대한 배포 지침

  • 아티클

적용 대상:

이 문서에서는 SAP용 Linux의 엔드포인트용 Microsoft Defender 대한 배포 지침을 제공합니다. 이 문서에는 권장 SAP OSS(온라인 서비스 시스템) 참고 사항, 시스템 요구 사항, 필수 구성 요소, 중요한 구성 설정, 권장되는 바이러스 백신 제외 및 바이러스 백신 검사 예약에 대한 지침이 포함되어 있습니다.

방화벽 뒤에서 인프라를 격리하고 대화형 운영 체제 로그온을 제한하는 등 SAP 시스템을 보호하는 데 일반적으로 사용되는 기존의 보안 방어는 더 이상 최신 정교한 위협을 완화하기에 충분하지 않습니다. 위협을 실시간으로 감지하고 포함하기 위해 최신 방어를 배포하는 것이 중요합니다. 대부분의 다른 워크로드와 달리 SAP 애플리케이션은 엔드포인트용 Microsoft Defender 배포하기 전에 기본 평가 및 유효성 검사가 필요합니다. 엔터프라이즈 보안 관리자는 엔드포인트용 Defender를 배포하기 전에 SAP Basis 팀에 문의해야 합니다. SAP 베이시스 팀은 엔드포인트용 Defender에 대한 기본 수준의 지식으로 교차 학습되어야 합니다.

Linux의 SAP 애플리케이션

중요

Linux에서 엔드포인트용 Defender를 배포하는 경우 eBPF를 사용하는 것이 좋습니다. 자세한 내용은 eBPF 설명서를 참조하세요. 엔드포인트용 Defender가 eBPF 프레임워크를 사용하도록 향상되었습니다.

지원되는 배포판에는 Suse 12.x가 아닌 모든 일반적인 Linux 배포판이 포함됩니다. Suse 12.x 고객은 Suse 15로 업그레이드하는 것이 좋습니다. Suse 12.x는 성능 제한이 있는 이전 Audit.D 기반 센서를 사용합니다.

지원 배포에 대한 자세한 내용은 Linux에서 엔드포인트용 Microsoft Defender eBPF 기반 센서 사용을 참조하세요.

Linux Server의 SAP 애플리케이션에 대한 몇 가지 중요한 사항은 다음과 같습니다.

  • SAP는 Suse, Redhat 및 Oracle Linux만 지원합니다. SAP S4 또는 NetWeaver 애플리케이션에는 다른 배포판이 지원되지 않습니다.
  • Suse 15.x, Redhat 9.x 및 Oracle Linux 9.x를 사용하는 것이 좋습니다. 지원되는 배포판에는 Suse 12.x가 아닌 모든 일반적인 Linux 배포판이 포함됩니다.
  • Suse 11.x, Redhat 6.x 및 Oracle Linux 6.x는 지원되지 않습니다.
  • Redhat 7.x 및 8.x 및 Oracle Linux 7.x 및 8.x는 기술적으로 지원되지만 SAP 소프트웨어와 함께 더 이상 테스트되지 않습니다.
  • Suse 및 Redhat은 SAP용 맞춤형 배포를 제공합니다. 이러한 "SAP용" 버전의 Suse 및 Redhat에는 미리 설치된 패키지와 커널이 다를 수 있습니다.
  • SAP는 특정 Linux 파일 시스템만 지원합니다. 일반적으로 XFS 및 EXT3이 사용됩니다. ORACLE ASM(자동 스토리지 관리) 파일 시스템은 Oracle DBMS에 사용되는 경우가 있으며 엔드포인트용 Defender에서 읽을 수 없습니다.
  • 일부 SAP 애플리케이션은 TREX, Adobe Document Server, Content Server 및 LiveCache와 같은 독립 실행형 엔진을 사용합니다. 이러한 엔진에는 특정 구성 및 파일 제외가 필요합니다.
  • SAP 애플리케이션에는 수천 개의 작은 파일이 있는 전송 및 인터페이스 디렉터리도 있는 경우가 많습니다. 파일 수가 100,000개보다 큰 경우 성능에 영향을 줄 수 있습니다. 파일을 보관하는 것이 좋습니다.
  • 프로덕션에 배포하기 전에 몇 주 동안 비생산적인 SAP 환경에 엔드포인트용 Defender를 배포하는 것이 좋습니다. SAP 베이시스 팀은 , 및 KSARnmon 와 같은 sysstat도구를 사용하여 CPU 및 기타 성능 매개 변수에 영향을 미치는지 확인해야 합니다. 전역 scope 매개 변수를 사용하여 광범위한 제외를 구성한 다음, 제외되는 디렉터리 수를 점진적으로 줄일 수도 있습니다.

SAP VM의 Linux에 엔드포인트용 Microsoft Defender 배포하기 위한 필수 구성 요소

2024년 12월부터 Linux의 엔드포인트용 Defender를 실시간 보호를 사용하도록 설정하여 안전하게 구성할 수 있습니다.

바이러스 백신용 Azure 확장으로 배포하기 위한 기본 구성 옵션은 수동 모드입니다. 즉, 엔드포인트용 Microsoft Defender 바이러스 백신/맬웨어 방지 구성 요소인 바이러스 백신 Microsoft Defender IO 호출을 가로채지 않습니다. 모든 SAP 애플리케이션에서 실시간 보호를 사용하도록 설정하여 엔드포인트용 Defender를 실행하는 것이 좋습니다. 다음과 같습니다.

  • 실시간 보호가 켜져 있습니다. Microsoft Defender 바이러스 백신은 실시간으로 IO 호출을 가로채는 것입니다.
  • 주문형 검사가 켜져 있습니다. 엔드포인트에서 검사 기능을 사용할 수 있습니다.
  • 자동 위협 수정이 켜져 있습니다. 파일이 이동되고 보안 관리자에게 경고가 표시됩니다.
  • 보안 인텔리전스 업데이트가 켜져 있습니다. 경고는 Microsoft Defender 포털에서 사용할 수 있습니다.

Ksplice 또는 이와 유사한 온라인 커널 패치 도구는 엔드포인트용 Defender가 실행되는 경우 예측할 수 없는 OS 안정성을 초래할 수 있습니다. 온라인 커널 패치를 수행하기 전에 엔드포인트용 Defender 디먼을 일시적으로 중지하는 것이 좋습니다. 커널이 업데이트되면 Linux의 엔드포인트용 Defender를 안전하게 다시 시작할 수 있습니다. 이 작업은 대규모 메모리 컨텍스트가 있는 대형 SAP HANA VM에서 특히 중요합니다.

Microsoft Defender 바이러스 백신이 실시간 보호로 실행되는 경우 더 이상 검사를 예약할 필요가 없습니다. 기준을 설정하려면 검사를 한 번 이상 실행해야 합니다. 그런 다음 필요한 경우 Linux crontab은 일반적으로 바이러스 백신 검사 및 로그 회전 작업을 Microsoft Defender 예약하는 데 사용됩니다. 자세한 내용은 엔드포인트용 Microsoft Defender(Linux)를 사용하여 검사를 예약하는 방법을 참조하세요.

Linux에서 엔드포인트용 Microsoft Defender 설치될 때마다 EDR(엔드포인트 검색 및 응답) 기능이 활성화됩니다. EDR 기능은 전역 제외를 사용하여 명령줄 또는 구성을 통해 사용하지 않도록 설정할 수 있습니다. EDR 문제 해결에 대한 자세한 내용은 유용한 명령유용한 링크 섹션(이 문서)을 참조하세요.

Linux의 SAP에서 엔드포인트용 Microsoft Defender 대한 중요한 구성 설정

명령을 mdatp health사용하여 엔드포인트용 Defender의 설치 및 구성을 검사 것이 좋습니다.

SAP 애플리케이션에 권장되는 주요 매개 변수는 다음과 같습니다.


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

설치 문제 해결에 대한 자세한 내용은 Linux의 엔드포인트용 Microsoft Defender 설치 문제 해결을 참조하세요.

엔터프라이즈 보안 팀은 SAP 관리자(일반적으로 SAP 베이시스 팀)로부터 바이러스 백신 제외 의 전체 목록을 가져와야 합니다. 처음에는 다음을 제외하는 것이 좋습니다.

  • 백업 파일이 포함된 디스크를 포함한 DBMS 데이터 파일, 로그 파일 및 임시 파일
  • SAPMNT 디렉터리의 전체 콘텐츠
  • SAPLOC 디렉터리의 전체 콘텐츠
  • TRANS 디렉터리의 전체 내용
  • Hana – /hana/shared, /hana/data 및 /hana/log 제외 - 참고 1730930
  • SQL Server – SQL Server 작동하도록 바이러스 백신 소프트웨어 구성
  • Oracle – Oracle 데이터베이스 서버에서 바이러스 백신을 구성하는 방법 참조(Doc ID 782354.1)
  • DB2 – IBM 설명서: 바이러스 백신 소프트웨어로 제외할 DB2 디렉터리
  • SAP ASE – SAP에 문의
  • MaxDB – SAP에 문의
  • Adobe Document Server, SAP Archive Directories, TREX, LiveCache, Content Server 및 기타 독립 실행형 엔진은 프로덕션 환경에서 엔드포인트용 Defender를 배포하기 전에 비프로덕션 환경에서 신중하게 테스트해야 합니다.

oracle ASM 시스템은 엔드포인트용 MICROSOFT DEFENDER ASM 디스크를 읽을 수 없기 때문에 제외가 필요하지 않습니다.

Pacemaker 클러스터를 사용하는 고객도 다음 제외를 구성해야 합니다.


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

Azure 보안 보안 정책을 실행하는 고객은 Freeware Clam AV 솔루션을 사용하여 검사를 트리거할 수 있습니다. 다음 명령을 사용하여 VM이 엔드포인트용 Microsoft Defender 보호된 후 Clam AV 검사를 사용하지 않도록 설정하는 것이 좋습니다.


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

다음 문서에서는 개별 VM당 프로세스, 파일 및 폴더에 대한 바이러스 백신 제외를 구성하는 방법을 자세히 설명합니다.

매일 바이러스 백신 검사 예약(선택 사항)

SAP 애플리케이션에 권장되는 구성을 사용하면 바이러스 백신 검사를 위한 IO 호출을 실시간으로 차단할 수 있습니다. 권장되는 설정은 의 수동 모드입니다 real_time_protection_enabled = true.

이전 버전의 Linux 또는 오버로드된 하드웨어에서 실행되는 SAP 애플리케이션은 를 사용하는 real_time_protection_enabled = false것이 좋습니다. 이 경우 바이러스 백신 검사를 예약해야 합니다.

자세한 내용은 엔드포인트용 Microsoft Defender(Linux)를 사용하여 검사를 예약하는 방법을 참조하세요.

대형 SAP 시스템에는 각각 SAPMNT NFS 공유에 연결된 20개 이상의 SAP 애플리케이션 서버가 있을 수 있습니다. 동일한 NFS 서버를 동시에 검사하는 20개 이상의 애플리케이션 서버는 NFS 서버를 오버로드할 가능성이 높습니다. 기본적으로 Linux의 엔드포인트용 Defender는 NFS 원본을 검사하지 않습니다.

SAPMNT를 검사해야 하는 경우 이 검사는 하나 또는 두 개의 VM에서만 구성해야 합니다.

SAP ECC, BW, CRM, SCM, 솔루션 관리자 및 기타 구성 요소에 대한 예약된 검사는 모든 SAP 구성 요소가 모든 SAP 구성 요소에서 공유하는 공유 NFS 스토리지 원본을 오버로드하지 않도록 서로 다른 시간에 엇갈리게 해야 합니다.

유용한 명령

Suse에서 수동 zypper를 설치하는 동안 "아무 것도 'policycoreutils'를 제공하지 않습니다." 오류가 발생하는 경우 Linux의 엔드포인트용 Microsoft Defender 설치 문제 해결을 참조하세요.

mdatp의 작업을 제어할 수 있는 몇 가지 명령줄 명령이 있습니다. 수동 모드를 사용하도록 설정하려면 다음 명령을 사용할 수 있습니다.


mdatp config passive-mode --value enabled

참고

수동 모드는 Linux에 엔드포인트용 Defender를 설치할 때 기본 모드입니다.

실시간 보호를 켜려면 다음 명령을 사용할 수 있습니다.


mdatp config real-time-protection --value enabled

이 명령은 mdatp에 클라우드에서 최신 정의를 검색하도록 지시합니다.


mdatp definitions update

이 명령은 mdatp가 네트워크의 클라우드 기반 엔드포인트에 연결할 수 있는지 여부를 테스트합니다.


mdatp connectivity test

필요한 경우 이러한 명령은 mdatp 소프트웨어를 업데이트합니다.


yum update mdatp



zypper update mdatp

mdatp는 Linux 시스템 서비스로 실행되므로 서비스 명령을 사용하여 mdatp를 제어할 수 있습니다. 예를 들면 다음과 같습니다.


service mdatp status

이 명령은 Microsoft 지원에 업로드할 수 있는 진단 파일을 만듭니다.


sudo mdatp diagnostic create