다음을 통해 공유

SAP용 Linux의 엔드포인트용 Microsoft Defender 대한 배포 지침

  • 아티클

적용 대상:

이 문서에서는 SAP용 Linux의 엔드포인트용 Microsoft Defender 대한 배포 지침을 제공합니다. 이 문서에는 권장 SAP OSS(온라인 서비스 시스템) 참고 사항, 시스템 요구 사항, 필수 구성 요소, 중요한 구성 설정, 권장되는 바이러스 백신 제외 및 바이러스 백신 검사 예약에 대한 지침이 포함되어 있습니다.

방화벽 뒤에서 인프라를 격리하고 대화형 운영 체제 로그온을 제한하는 등 SAP 시스템을 보호하는 데 일반적으로 사용되는 기존의 보안 방어는 더 이상 최신 정교한 위협을 완화하기에 충분하지 않습니다. 위협을 실시간으로 감지하고 포함하기 위해 최신 방어를 배포하는 것이 중요합니다. 대부분의 다른 워크로드와 달리 SAP 애플리케이션은 엔드포인트용 Microsoft Defender 배포하기 전에 기본 평가 및 유효성 검사가 필요합니다. 엔터프라이즈 보안 관리자는 엔드포인트용 Defender를 배포하기 전에 SAP Basis 팀에 문의해야 합니다. SAP 베이시스 팀은 엔드포인트용 Defender에 대한 기본 수준의 지식으로 교차 학습되어야 합니다.

Linux의 SAP 애플리케이션

  • SAP는 Suse, Redhat 및 Oracle Linux만 지원합니다. SAP S4 또는 NetWeaver 애플리케이션에는 다른 배포판이 지원되지 않습니다.
  • Suse 15.x, Redhat 8.x 또는 9.x 및 Oracle Linux 8.x를 사용하는 것이 좋습니다.
  • Suse 12.x, Redhat 7.x 및 Oracle Linux 7.x는 기술적으로 지원되지만 광범위하게 테스트되지는 않았습니다.
  • Suse 11.x, Redhat 6.x 및 Oracle Linux 6.x는 지원되지 않을 수 있으며 테스트되지 않았습니다.
  • Suse 및 Redhat은 SAP용 맞춤형 배포를 제공합니다. 이러한 "SAP용" 버전의 Suse 및 Redhat에는 미리 설치된 패키지와 커널이 다를 수 있습니다.
  • SAP는 특정 Linux 파일 시스템만 지원합니다. 일반적으로 XFS 및 EXT3이 사용됩니다. ORACLE ASM(자동 스토리지 관리) 파일 시스템은 Oracle DBMS에 사용되는 경우가 있으며 엔드포인트용 Defender에서 읽을 수 없습니다.
  • 일부 SAP 애플리케이션은 TREX, Adobe Document Server, Content Server 및 LiveCache와 같은 "독립 실행형 엔진"을 사용합니다. 이러한 엔진에는 특정 구성 및 파일 제외가 필요합니다.
  • SAP 애플리케이션에는 수천 개의 작은 파일이 있는 전송 및 인터페이스 디렉터리도 있는 경우가 많습니다. 파일 수가 100,000개보다 큰 경우 성능에 영향을 줄 수 있습니다. 파일을 보관하는 것이 좋습니다.
  • 프로덕션에 배포하기 전에 몇 주 동안 비생산적인 SAP 환경에 엔드포인트용 Defender를 배포하는 것이 좋습니다. SAP 베이시스 팀은 , 및 KSARnmon 와 같은 sysstat도구를 사용하여 CPU 및 기타 성능 매개 변수가 영향을 받는지 확인해야 합니다.

SAP VM의 Linux에 엔드포인트용 Microsoft Defender 배포하기 위한 필수 구성 요소

  • 엔드포인트용 Microsoft Defender 버전>= 101.23082.0009 | 릴리스 버전: 30.123082.0009 이상을 배포해야 합니다.
  • linux의 엔드포인트용 Microsoft Defender SAP 애플리케이션에서 사용하는 모든 Linux 릴리스를 지원합니다.
  • Linux의 엔드포인트용 Microsoft Defender 바이러스 백신 정의를 업데이트하려면 VM의 특정 인터넷 엔드포인트에 연결해야 합니다.
  • Linux에서 엔드포인트용 Microsoft Defender 검사, 로그 회전 및 엔드포인트용 Microsoft Defender 업데이트를 예약하려면 일부 crontab(또는 다른 작업 스케줄러) 항목이 필요합니다. Enterprise Security 팀은 일반적으로 이러한 항목을 관리합니다. Linux에서 엔드포인트용 Microsoft Defender 대한 업데이트를 예약하는 방법을 참조하세요.

바이러스 백신용 Azure 확장으로 배포하기 위한 기본 구성 옵션은 수동 모드입니다. 즉, 엔드포인트용 Microsoft Defender 바이러스 백신/맬웨어 방지 구성 요소인 Microsoft Defender 바이러스 백신은 IO 호출을 가로채지 않습니다. 모든 SAP 애플리케이션에서 수동 모드로 엔드포인트용 Microsoft Defender 실행하고 하루에 한 번 검사를 예약하는 것이 좋습니다. 이 모드에서는 다음을 수행합니다.

  • 실시간 보호가 꺼져 있습니다. 위협은 Microsoft Defender 바이러스 백신에 의해 수정되지 않습니다.
  • 주문형 검사가 켜져 있습니다. 엔드포인트에서 검사 기능을 계속 사용합니다.
  • 자동 위협 수정이 해제됨: 파일이 이동되지 않으며 보안 관리자가 필요한 조치를 취할 것으로 예상됩니다.
  • 보안 인텔리전스 업데이트가 켜져 있습니다. 경고는 보안 관리자의 테넌트에서 사용할 수 있습니다.

엔드포인트용 Defender가 실행 중인 경우 Ksplice 또는 이와 유사한 온라인 커널 패치 도구는 예측할 수 없는 OS 안정성을 초래할 수 있습니다. 온라인 커널 패치를 수행하기 전에 엔드포인트용 Defender 디먼을 일시적으로 중지하는 것이 좋습니다. 커널이 업데이트된 후 Linux의 엔드포인트용 Defender를 안전하게 다시 시작할 수 있습니다. 이는 거대한 메모리 컨텍스트가 있는 대형 SAP HANA VM에서 특히 중요합니다.

Linux crontab은 일반적으로 엔드포인트용 MICROSOFT DEFENDER AV 검사 및 로그 회전 작업을 예약하는 데 사용됩니다. 엔드포인트용 Microsoft Defender 사용하여 검사를 예약하는 방법(Linux)

Linux에서 엔드포인트용 Microsoft Defender 설치될 때마다 EDR(엔드포인트 검색 및 응답) 기능이 활성화됩니다. 명령줄 또는 구성을 통해 EDR 기능을 사용하지 않도록 설정하는 간단한 방법은 없습니다. EDR 문제 해결에 대한 자세한 내용은 유용한 명령유용한 링크 섹션을 참조하세요.

Linux의 SAP에서 엔드포인트용 Microsoft Defender 대한 중요 구성 설정

명령을 mdatp health사용하여 엔드포인트용 Defender의 설치 및 구성을 검사 것이 좋습니다.

SAP 애플리케이션에 권장되는 주요 매개 변수는 다음과 같습니다.

  • healthy = true
  • release_ring = Production. 시험판 및 내부 링은 SAP 애플리케이션과 함께 사용하면 안 됩니다.
  • real_time_protection_enabled = false. 실시간 보호는 기본 모드인 수동 모드에서 꺼져 있으며 실시간 IO 가로채기를 방지합니다.
  • automatic_definition_update_enabled = true
  • definition_status = "up_to_date". 새 값이 식별되면 수동 업데이트를 실행합니다.
  • edr_early_preview_enabled = "disabled". SAP 시스템에서 사용하도록 설정하면 시스템 불안정이 발생할 수 있습니다.
  • conflicting_applications = [ ]. 다른 AV 또는 VM에 설치된 보안 소프트웨어(예: Clam).
  • supplementary_events_subsystem = "ebpf". ebpf가 표시되지 않으면 진행하지 마세요. 보안 관리 팀에 문의하세요.

이 문서에는 엔드포인트용 Microsoft Defender 설치 문제 해결에 대한 몇 가지 유용한 힌트가 있습니다. Linux에서 엔드포인트용 Microsoft Defender 설치 문제 해결

엔터프라이즈 보안 팀은 SAP 관리자(일반적으로 SAP 베이시스 팀)로부터 바이러스 백신 제외의 전체 목록을 가져와야 합니다. 처음에는 다음을 제외하는 것이 좋습니다.

oracle ASM 시스템은 엔드포인트용 MICROSOFT DEFENDER ASM 디스크를 읽을 수 없기 때문에 제외가 필요하지 않습니다.

Pacemaker 클러스터를 사용하는 고객도 다음 제외를 구성해야 합니다.

mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)

mdatp exclusion process add --name pacemakerd

mdatp exclusion process add --name crm_*

Azure 보안 보안 정책을 실행하는 고객은 Freeware Clam AV 솔루션을 사용하여 검사를 트리거할 수 있습니다. 다음 명령을 사용하여 VM이 엔드포인트용 Microsoft Defender 보호된 후 Clam AV 검사를 사용하지 않도록 설정하는 것이 좋습니다.

sudo azsecd config  -s clamav -d "Disabled"

sudo service azsecd restart

sudo azsecd status

다음 문서에서는 개별 VM당 프로세스, 파일 및 폴더에 대한 AV 제외를 구성하는 방법을 자세히 설명합니다.

매일 AV 검사 예약

SAP 애플리케이션에 권장되는 구성은 AV 검사에 대한 IO 호출의 실시간 가로채기를 사용하지 않도록 설정합니다. 권장되는 설정은 real_time_protection_enabled = false인 수동 모드입니다.

다음 링크는 검사를 예약하는 방법을 자세히 설명합니다. 엔드포인트용 Microsoft Defender(Linux)를 사용하여 검사를 예약하는 방법입니다.

대형 SAP 시스템에는 각각 SAPMNT NFS 공유에 대한 연결이 있는 20개 이상의 SAP 애플리케이션 서버가 있을 수 있습니다. 동일한 NFS 서버를 동시에 검사하는 20개 이상의 애플리케이션 서버는 NFS 서버를 오버로드할 가능성이 높습니다. 기본적으로 Linux의 엔드포인트용 Defender는 NFS 원본을 검사하지 않습니다.

SAPMNT를 검사해야 하는 경우 이 검사는 하나 또는 두 개의 VM에서만 구성해야 합니다.

SAP ECC, BW, CRM, SCM, 솔루션 관리자 및 기타 구성 요소에 대한 예약된 검사는 모든 SAP 구성 요소가 모든 SAP 구성 요소에서 공유하는 공유 NFS 스토리지 원본을 오버로드하지 않도록 서로 다른 시간에 엇갈리게 해야 합니다.

유용한 명령

Suse에서 수동 zypper를 설치하는 동안 "아무 것도 'policycoreutils'를 제공하지 않습니다." 오류가 발생하는 경우 Linux에서 엔드포인트용 Microsoft Defender 설치 문제 해결을 참조하세요.

mdatp의 작업을 제어할 수 있는 몇 가지 명령줄 명령이 있습니다. 수동 모드를 사용하도록 설정하려면 다음 명령을 사용할 수 있습니다.

mdatp config passive-mode --value enabled

참고

수동 모드는 Linux에 엔드포인트용 Defender를 설치하는 기본 모드입니다.

실시간 보호를 해제하려면 다음 명령을 사용할 수 있습니다.

mdatp config real-time-protection --value disabled

이 명령은 mdatp에 클라우드에서 최신 정의를 검색하도록 지시합니다.

mdatp definitions update

이 명령은 mdatp가 네트워크를 통해 클라우드 기반 엔드포인트에 연결할 수 있는지 여부를 테스트합니다.

mdatp connectivity test

필요한 경우 이러한 명령은 mdatp 소프트웨어를 업데이트합니다.

yum update mdatp

zypper update mdatp

mdatp는 Linux 시스템 서비스로 실행되므로 서비스 명령을 사용하여 mdatp를 제어할 수 있습니다. 예를 들면 다음과 같습니다.

service mdatp status

이 명령은 Microsoft 지원에 업로드할 수 있는 진단 파일을 만듭니다.

sudo mdatp diagnostic create