다음을 통해 공유

SAP를 사용하여 Windows Server 엔드포인트용 Microsoft Defender

  • 아티클

적용 대상:

organization SAP를 사용하는 경우 엔드포인트용 Microsoft Defender 및 SAP 애플리케이션에서 바이러스 백신EDR 간의 호환성 및 지원을 이해해야 합니다. 이 문서는 엔드포인트용 Defender와 같은 엔드포인트 보호 보안 솔루션에 대해 SAP에서 제공하는 지원과 SAP 애플리케이션과 상호 작용하는 방법을 이해하는 데 도움이 됩니다.

이 문서에서는 NetWeaver 및 S4 Hana와 같은 SAP 애플리케이션 및 LiveCache와 같은 SAP 독립 실행형 엔진과 함께 Windows Server 엔드포인트용 Microsoft Defender 사용하는 방법을 설명합니다. 이 문서에서는 엔드포인트용 Defender의 바이러스 백신 및 EDR 기능에 집중합니다. 모든 엔드포인트용 Defender 기능에 대한 개요는 엔드포인트용 Microsoft Defender 참조하세요.

이 문서에서는 SAPGUI 또는 Windows 클라이언트 디바이스의 Microsoft Defender 바이러스 백신과 같은 SAP 클라이언트 소프트웨어를 다루지 않습니다.

엔터프라이즈 보안 및 SAP Basis 팀

엔터프라이즈 보안은 전문가 역할이며 이 문서에 설명된 활동은 엔터프라이즈 보안 팀과 SAP Basis 팀 간의 공동 활동으로 계획되어야 합니다. 엔터프라이즈 보안 팀은 SAP Basis 팀과 협력하고 엔드포인트용 Defender 구성을 공동으로 설계하고 제외 사항을 분석해야 합니다.

엔드포인트용 Defender 개요 가져오기

엔드포인트용 Defender는 Microsoft Defender XDR 구성 요소이며 SIEM/SOAR 솔루션과 통합할 수 있습니다.

SAP를 사용하여 Windows Server 엔드포인트용 Defender를 계획하거나 배포하기 전에 잠시 시간을 내어 엔드포인트용 Defender에 대한 개요를 알아보세요. 다음 비디오에서는 개요를 제공합니다.

엔드포인트용 Defender 및 Microsoft 보안 제품에 대한 자세한 내용은 다음 리소스를 참조하세요.

엔드포인트용 Defender에는 이 문서의 scope 이외의 기능이 포함되어 있습니다. 이 문서에서는 두 가지 기본 영역에 중점을 두고 있습니다.

  • 차세대 보호 (바이러스 백신 보호 포함) 차세대 보호 는 Windows 환경에 대한 다른 바이러스 백신 솔루션과 같은 바이러스 백신 제품입니다.
  • EDR(엔드포인트 검색 및 응답). EDR 기능은 의심스러운 활동 및 시스템 호출을 감지하고 바이러스 백신 보호를 우회하는 위협에 대한 추가 보호 계층을 제공합니다.

Microsoft 및 기타 보안 소프트웨어 공급업체는 위협을 추적하고 추세 정보를 제공합니다. 자세한 내용은 사이버 위협, 바이러스 및 맬웨어 - Microsoft 보안 인텔리전스 참조하세요.

참고

Linux의 SAP에 대한 Microsoft Defender 대한 자세한 내용은 SAP용 Linux의 엔드포인트용 Microsoft Defender 대한 배포 지침을 참조하세요. Linux의 엔드포인트용 Defender는 Windows 버전과 크게 다릅니다.

엔드포인트용 Defender 및 기타 보안 솔루션에 대한 SAP 지원 설명

SAP는 기존 파일 검사 바이러스 백신 솔루션에 대한 기본 설명서를 제공합니다. 기존 파일 검사 바이러스 백신 솔루션은 파일 서명을 알려진 위협 데이터베이스와 비교합니다. 감염된 파일이 식별되면 바이러스 백신 소프트웨어는 일반적으로 파일을 경고하고 격리합니다. 파일 검사 바이러스 백신 솔루션의 메커니즘과 동작은 합리적으로 잘 알려져 있으며 예측 가능합니다. 따라서 SAP 지원은 파일 검사 바이러스 백신 소프트웨어와 상호 작용하는 SAP 애플리케이션에 대한 기본 수준의 지원을 제공할 수 있습니다.

파일 기반 위협은 이제 악성 소프트웨어에 대해 하나의 가능한 벡터일 뿐입니다. 이 땅에 사는 파일리스 맬웨어 및 맬웨어, 기존 솔루션보다 빠르게 변하는 고도의 다형성 위협, 악의적 사용자가 손상된 디바이스에서 발견한 내용에 적응하는 인간 운영 공격. 기존 바이러스 백신 보안 솔루션은 이러한 공격을 중지하기에 충분하지 않습니다. AI(인공 지능) 및 ML(디바이스 학습) 지원 기능(예: 동작 차단 및 포함)이 필요합니다. 엔드포인트용 Defender와 같은 보안 소프트웨어에는 최신 위협을 완화하기 위한 고급 위협 방지 기능이 있습니다.

엔드포인트용 Defender는 파일 읽기, 파일 쓰기, 소켓 만들기 및 기타 프로세스 수준 작업과 같은 운영 체제 호출을 지속적으로 모니터링합니다. 엔드포인트용 Defender EDR 센서는 로컬 NTFS 파일 시스템에 대한 기회 잠금을 획득하므로 애플리케이션에 영향을 주지 않을 수 있습니다. 원격 네트워크 파일 시스템에서는 기회 잠금을 사용할 수 없습니다. 드물게 잠금으로 인해 SAP 애플리케이션에서 액세스 거부 와 같은 일반적인 비특이적 오류가 발생할 수 있습니다.

SAP는 Microsoft Defender XDR 또는 엔드포인트용 Defender와 같은 EDR/XDR 소프트웨어에 대한 지원 수준을 제공할 수 없습니다. 이러한 솔루션의 메커니즘은 적응형입니다. 따라서 예측할 수 없습니다. 또한 문제는 잠재적으로 재현할 수 없습니다. 고급 보안 솔루션을 실행하는 시스템에서 문제가 확인되면 SAP는 보안 소프트웨어를 사용하지 않도록 설정한 다음 문제를 재현하는 것이 좋습니다. 그런 다음 보안 소프트웨어 공급업체를 통해 지원 사례를 제기할 수 있습니다.

SAP 지원 정책에 대한 자세한 내용은 3356389 - 바이러스 백신 또는 SAP 작업에 영향을 주는 기타 보안 소프트웨어를 참조하세요.

필요에 따라 사용할 수 있는 SAP 문서 목록은 다음과 같습니다.

Windows Server SAP 애플리케이션: 상위 10가지 권장 사항

  1. SAP 서버에 대한 액세스를 제한하고, 네트워크 포트를 차단하고, 다른 모든 일반적인 보안 보호 조치를 취합니다. 이 첫 번째 단계는 필수적입니다. 위협 환경은 파일 기반 바이러스에서 파일 없는 복잡하고 정교한 위협으로 발전했습니다. 포트 차단 및 VM에 대한 로그온/액세스 제한과 같은 작업은 더 이상 최신 위협을 완전히 완화하기에 충분하지 않습니다.

  2. 프로덕션 시스템에 배포하기 전에 먼저 비생산적 시스템에 엔드포인트용 Defender를 배포합니다. 테스트 없이 엔드포인트용 Defender를 프로덕션 시스템에 직접 배포하는 것은 매우 위험하며 가동 중지 시간으로 이어질 수 있습니다. 엔드포인트용 Defender를 프로덕션 시스템에 배포하는 것을 지연시킬 수 없는 경우 변조 방지실시간 보호를 일시적으로 사용하지 않도록 설정하는 것이 좋습니다.

  3. 실시간 보호는 기본적으로 Windows Server 사용하도록 설정되어 있습니다. 엔드포인트용 Defender와 관련된 문제가 확인되면 제외를 구성하거나 Microsoft Defender 포털을 통해 지원 사례를 여는 것이 좋습니다.

  4. SAP Basis 팀과 보안 팀이 엔드포인트용 Defender 배포에서 함께 작동하게 합니다. 두 팀은 단계적 배포, 테스트 및 모니터링 계획을 공동으로 만들어야 합니다.

  5. 엔드포인트용 Defender를 배포하고 활성화하기 전에 PerfMon(Windows)과 같은 도구를 사용하여 성능 기준을 만듭니다. 엔드포인트용 Defender 활성화 전후의 성능 사용률을 비교합니다. perfmon을 참조하세요.

  6. 최신 버전의 엔드포인트용 Defender를 배포하고 Windows의 최신 릴리스를 사용하는 것이 가장 Windows Server 2019 이상입니다. 엔드포인트용 Microsoft Defender 대한 최소 요구 사항을 참조하세요.

  7. Microsoft Defender 바이러스 백신에 대한 특정 제외를 구성합니다. 다음이 포함되어 있습니다.

    • 백업 파일이 포함된 디스크를 포함한 DBMS 데이터 파일, 로그 파일 및 임시 파일
    • SAPMNT 디렉터리의 전체 콘텐츠
    • SAPLOC 디렉터리의 전체 콘텐츠
    • TRANS 디렉터리의 전체 내용
    • TREX와 같은 독립 실행형 엔진에 대한 디렉터리 전체 내용

    고급 사용자는 컨텍스트 파일 및 폴더 제외 사용을 고려할 수 있습니다.

    DBMS 제외에 대한 자세한 내용은 다음 리소스를 사용합니다.

  8. 엔드포인트용 Defender 설정을 확인합니다. SAP 애플리케이션을 사용하는 Microsoft Defender 바이러스 백신에는 대부분의 경우 다음과 같은 설정이 있어야 합니다.

    • AntivirusEnabled : True
    • AntivirusSignatureAge : 0
    • BehaviorMonitorEnabled : True
    • DefenderSignaturesOutOfDate : False
    • IsTamperProtected : True
    • RealTimeProtectionEnabled : True

  9. Intune 또는 엔드포인트용 Defender 보안 설정 관리와 같은 도구를 사용하여 엔드포인트용 Defender를 설정합니다. 이러한 도구는 엔드포인트용 Defender가 올바르게 구성되고 균일하게 배포되도록 하는 데 도움이 될 수 있습니다.

    엔드포인트용 Defender 보안 설정 관리를 사용하려면 Microsoft Defender 포털에서 엔드포인트구성 관리>엔드포인트> 보안 정책으로 이동한 다음, 새 정책 만들기를 선택합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 엔드포인트 보안 정책 관리를 참조하세요.

  10. 엔드포인트용 Defender의 최신 릴리스를 사용합니다. Windows의 엔드포인트용 Defender에서 몇 가지 새로운 기능이 구현되고 있으며, 이러한 기능은 SAP 시스템에서 테스트되었습니다. 이러한 새로운 기능은 차단을 줄이고 CPU 사용량을 줄입니다. 새 기능에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 새로운 기능을 참조하세요.

배포 방법론

SAP와 Microsoft는 모든 개발, QAS 및 프로덕션 시스템에 Windows의 엔드포인트용 Defender를 동시에 배포하거나 신중한 테스트 및 모니터링 없이 배포하지 않는 것이 좋습니다. 결과적으로 적절한 테스트 경험 시스템 가동 중지 시간 없이 제어되지 않은 방식으로 엔드포인트용 Defender 및 기타 유사한 소프트웨어를 배포한 고객.

Windows의 엔드포인트용 Defender 및 기타 소프트웨어 또는 구성 변경 내용은 먼저 개발 시스템에 배포하고 QAS에서 유효성을 검사한 다음 프로덕션 환경에만 배포해야 합니다.

엔드포인트용 Defender 보안 설정 관리와 같은 도구를 사용하여 테스트 없이 엔드포인트용 Defender를 전체 SAP 환경에 배포하면 가동 중지 시간이 발생할 수 있습니다.

검사 항목 목록은 다음과 같습니다.

  1. 변조 방지를 사용하도록 설정된 엔드포인트용 Defender를 배포합니다. 문제가 발생하는 경우 문제 해결 모드를 사용하도록 설정하고 , 변조 방지를 사용하지 않도록 설정하고, 실시간 보호를 사용하지 않도록 설정하고, 예약된 검사를 구성합니다.

  2. DBMS 공급업체 권장 사항에 따라 DBMS 파일 및 실행 파일을 제외합니다.

  3. SAPMNT, SAP TRANS_DIR, Spool 및 작업 로그 디렉터리를 분석합니다. 파일이 100,000개 이상인 경우 보관하여 파일 수를 줄이는 것이 좋습니다.

  4. SAPMNT에 사용되는 공유 파일 시스템의 성능 제한 및 할당량을 확인합니다. SMB 공유 원본은 NetApp 어플라이언스, Windows Server 공유 디스크 또는 Azure Files SMB일 수 있습니다.

  5. 모든 SAP 애플리케이션 서버가 공유 스토리지 서버를 오버로드할 수 있으므로 SAPMNT 공유를 동시에 검사하지 않도록 제외를 구성합니다.

  6. 일반적으로 전용 비 SAP 파일 서버에서 인터페이스 파일을 호스트합니다. 인터페이스 파일은 공격 벡터로 인식됩니다. 이 전용 파일 서버에서 실시간 보호를 활성화해야 합니다. SAP 서버는 인터페이스 파일의 파일 서버로 사용하면 안 됩니다.

    참고

    일부 대형 SAP 시스템에는 각각 동일한 SAPMNT SMB 공유에 연결된 20개 이상의 SAP 애플리케이션 서버가 있습니다. 동일한 SMB 서버를 동시에 검사하는 20개 애플리케이션 서버는 SMB 서버를 오버로드할 수 있습니다. 일반 검사에서 SAPMNT를 제외하는 것이 좋습니다.

SAP를 사용하여 Windows Server 엔드포인트용 Defender에 대한 중요한 구성 설정

  1. 엔드포인트용 Microsoft Defender 대한 개요를 알아보세요. 특히 차세대 보호EDR에 대한 정보를 검토합니다.

    참고

    Defender라는 용어는 제품 및 솔루션의 전체 제품군을 참조하는 데 사용되는 경우가 있습니다. Microsoft Defender XDR?을 참조하세요. 이 문서에서는 엔드포인트용 Defender의 바이러스 백신 및 EDR 기능에 집중합니다.

  2. Microsoft Defender 바이러스 백신의 상태 확인합니다. 명령 프롬프트를 열고 다음 PowerShell 명령을 실행합니다.

    Get-MpComputerStatus는 다음과 같습니다.

    Get-MpPreference |Select-Object -Property  DisableCpuThrottleOnIdleScans, DisableRealtimeMonitoring, DisableScanningMappedNetworkDrivesForFullScan , DisableScanningNetworkFiles, ExclusionPath, MAPSReporting

    에 대한 예상 출력입니다.Get-MpComputerStatus

    DisableCpuThrottleOnIdleScans                 : True
DisableRealtimeMonitoring                     : False
DisableScanningMappedNetworkDrivesForFullScan : True
DisableScanningNetworkFiles                   : False
ExclusionPath                                 :   <<configured exclusions will show here>>
MAPSReporting                                 : 2

    Get-MpPreference는 다음과 같습니다.

    Get-MpComputerStatus |Select-Object -Property AMRunningMode, AntivirusEnabled, BehaviorMonitorEnabled, IsTamperProtected , OnAccessProtectionEnabled, RealTimeProtectionEnabled

    에 대한 예상 출력입니다.Get-MpPreference

    AMRunningMode             : Normal
AntivirusEnabled          : True
BehaviorMonitorEnabled    : True
IsTamperProtected         : True
OnAccessProtectionEnabled : True
RealTimeProtectionEnabled : True

  3. EDR의 상태 확인합니다. 명령 프롬프트를 열고 다음 명령을 실행합니다.

    PS C:\Windows\System32> Get-Service -Name sense | FL *

    다음 코드 조각과 유사한 출력이 표시됩니다.

    Name        : sense
RequiredServices  : {}
CanPauseAndContinue : False
CanShutdown     : False
CanStop       : False
DisplayName     : Windows Defender Advanced Threat Protection Service
DependentServices  : {}
MachineName     : .
ServiceName     : sense
ServicesDependedOn : {}
ServiceHandle    :
Status       : Running
ServiceType     : Win32OwnProcess
StartType      : Automatic
Site        :
Container      :

    보려는 값은 및 StartType: Automatic입니다Status: Running.

    출력에 대한 자세한 내용은 이벤트 뷰어 사용하여 이벤트 및 오류 검토를 참조하세요.

  4. Microsoft Defender 바이러스 백신이 최신 상태인지 확인합니다. 바이러스 백신 보호가 최신 상태인지 확인하는 가장 좋은 방법은 Windows 업데이트 사용하는 것입니다. 문제가 발생하거나 오류가 발생하면 보안 팀에 문의하세요.

    업데이트에 대한 자세한 내용은 바이러스 백신 보안 인텔리전스 및 제품 업데이트 Microsoft Defender 참조하세요.

  5. 동작 모니터링이 켜져 있는지 확인합니다. 변조 방지를 사용하도록 설정하면 동작 모니터링이 기본적으로 켜져 있습니다. 특정 문제가 식별되지 않는 한 변조 방지 사용, 동작 모니터링 사용 및 실시간 모니터링 사용의 기본 구성을 사용합니다.

    자세한 내용은 기본 제공 보호가 랜섬웨어로부터 보호하는 데 도움이 되는지를 참조하세요.

  6. 실시간 보호가 사용하도록 설정되어 있는지 확인합니다. Windows의 엔드포인트용 Defender에 대한 현재 권장 사항은 특정 문제가 확인되지 않는 한 변조 방지를 사용하도록 설정하고 동작 모니터링을 사용하도록 설정하고 실시간 모니터링을 사용하도록 설정하는 것입니다.

    자세한 내용은 기본 제공 보호가 랜섬웨어로부터 보호하는 데 도움이 되는지를 참조하세요.

  7. 검사가 네트워크 공유에서 작동하는 방식에 유의하세요. 기본적으로 Windows의 Microsoft Defender 바이러스 백신 구성 요소는 프로세스에서 이러한 파일에 액세스할 때 SMB 공유 네트워크 파일 시스템(예: Windows 서버 공유 또는 NetApp 공유\\server\smb-share)을 검사합니다.

    Windows의 엔드포인트용 Defender EDR은 SMB 공유 네트워크 파일 시스템을 검색할 수 있습니다. EDR 센서는 파일 수정, 삭제 및 이동 작업 중에 EDR 분석을 위해 흥미로운 것으로 식별되는 특정 파일을 검색합니다.

    Linux의 엔드포인트용 Defender는 예약된 검사 중에 NFS 파일 시스템을 검사하지 않습니다.

  8. 센스 상태 또는 안정성 문제를 해결합니다. 이러한 문제를 해결하려면 엔드포인트용 Defender 클라이언트 분석기 도구를 사용합니다. 엔드포인트용 Defender 클라이언트 분석기는 Windows, Linux 또는 macOS를 실행하는 온보딩된 디바이스에서 센서 상태 또는 안정성 문제를 진단할 때 유용할 수 있습니다. 엔드포인트용 Defender 클라이언트 분석기의 최신 버전을 여기에서 https://aka.ms/MDEAnalyzer가져옵니다.

  9. 도움이 필요한 경우 지원 사례를 엽니다. 엔드포인트용 Microsoft Defender 지원에 문의를 참조하세요.

  10. 클라우드용 Microsoft Defender 프로덕션 SAP VM을 사용하는 경우 클라우드용 Defender는 엔드포인트용 Defender 확장을 모든 VM에 배포한다는 점에 유의하세요. VM이 엔드포인트용 Defender에 온보딩되지 않은 경우 공격 벡터로 사용할 수 있습니다. 프로덕션 환경을 중단하기 전에 엔드포인트용 Defender를 테스트하는 데 더 많은 시간이 필요한 경우 지원에 문의하세요.

유용한 명령: Windows Server SAP로 엔드포인트용 Microsoft Defender

다음 섹션에서는 PowerShell 및 명령 프롬프트를 사용하여 엔드포인트용 Defender 설정을 확인하거나 구성하는 방법을 설명합니다.

수동으로 Microsoft Defender 바이러스 백신 정의 업데이트

Windows 업데이트 사용하거나 다음 명령을 실행합니다.

PS C:\Program Files\Windows Defender> .\MpCmdRun.exe -SignatureUpdate

다음 코드 조각과 유사한 출력이 표시됩니다.

Signature update started . . .
Service Version: 4.18.23050.9
Engine Version: 1.1.23060.1005
AntiSpyware Signature Version: 1.393.925.0
Antivirus Signature Version: 1.393.925.0
Signature update finished.
PS C:\Program Files\Windows Defender>

또 다른 옵션은 다음 명령을 사용하는 것입니다.

PS C:\Program Files\Windows Defender> Update-MpSignature

이러한 명령에 대한 자세한 내용은 다음 리소스를 참조하세요.

블록 모드의 EDR이 켜져 있는지 확인

블록 모드의 EDR은 Microsoft Defender 바이러스 백신이 기본 바이러스 백신 제품이 아니며 수동 모드에서 실행되는 경우 악성 아티팩트로부터 추가된 보호를 제공합니다. 다음 명령을 실행하여 블록 모드에서 EDR을 사용할 수 있는지 여부를 확인할 수 있습니다.

Get-MPComputerStatus|select AMRunningMode

기본 모드와 수동 모드의 두 가지 모드가 있습니다. SAP 시스템을 사용한 테스트는 SAP 시스템에 대해서만 AMRunningMode = Normal 수행되었습니다.

이 명령에 대한 자세한 내용은 Get-MpComputerStatus를 참조하세요.

바이러스 백신 제외 구성

제외를 구성하기 전에 SAP Basis 팀이 보안 팀과 조정해야 합니다. 제외는 VM 수준이 아니라 중앙에서 구성해야 합니다. 공유 SAPMNT 파일 시스템과 같은 제외는 Intune 관리 포털을 사용하는 정책을 통해 제외해야 합니다.

제외를 보려면 다음 명령을 사용합니다.

Get-MpPreference | Select-Object -Property ExclusionPath

이 명령에 대한 자세한 내용은 Get-MpComputerStatus를 참조하세요.

제외에 대한 자세한 내용은 다음 리소스를 참조하세요.

EDR 제외 구성

이러한 제외는 최신 비파일 기반 위협으로부터의 보호를 포함하므로 EDR에서 파일, 경로 또는 프로세스를 제외하는 것은 권장되지 않습니다. 필요한 경우 제외할 실행 파일 및/또는 경로를 지정하는 Microsoft Defender 포털을 통해 Microsoft 지원 지원 사례를 엽니다. 엔드포인트용 Microsoft Defender 지원에 문의를 참조하세요.

테스트 목적으로 Windows에서 엔드포인트용 Defender를 완전히 사용하지 않도록 설정

주의

문제를 해결하거나 격리할 대안이 없는 한 보안 소프트웨어를 사용하지 않도록 설정하는 것이 좋습니다.

엔드포인트용 Defender는 변조 방지 가 설정된 상태에서 구성해야 합니다. 문제를 격리하기 위해 엔드포인트용 Defender를 일시적으로 사용하지 않도록 설정하려면 문제 해결 모드를 사용합니다.

Microsoft Defender 바이러스 백신 솔루션의 다양한 하위 구성 요소를 종료하려면 다음 명령을 실행합니다.

Set-MPPreference -DisableTamperProtection $true
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -EnableNetworkProtection Disabled

이러한 명령에 대한 자세한 내용은 Set-MpPreference를 참조하세요.

중요

디바이스에서 EDR 하위 구성을 끌 수 없습니다. EDR을 끄는 유일한 방법은 디바이스를 오프보딩하는 것입니다.

클라우드 제공 보호(Microsoft Advanced Protection Service 또는 MAPS)를 해제하려면 다음 명령을 실행합니다.

PowerShell Set-MpPreference -MAPSReporting 0
PowerShell Set-MpPreference -MAPSReporting Disabled

클라우드 제공 보호에 대한 자세한 내용은 다음 리소스를 참조하세요.