共用方式為

適用於端點的 Microsoft Defender on Linux for SAP 的部署指引

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

本文提供 Linux for SAP 上 適用於端點的 Microsoft Defender 的部署指引。 本文包含推薦的 SAP OSS (線上服務系統) 說明、系統需求、前置條件、重要設定、建議的防毒排除事項,以及排程防毒掃描的指引。

過去常用來保護 SAP 系統的傳統安全防禦措施,如將基礎設施隔離於防火牆後及限制互動作業系統的登入,如今已不足以有效緩解現代複雜的威脅。 部署現代防禦以即時偵測並控制威脅至關重要。 SAP 應用程式與大多數其他工作負載不同,部署 適用於端點的 Microsoft Defender 前需要基本評估與驗證。 企業資安管理員應在部署 Defender for Endpoint 前聯繫 SAP Basis 團隊。 SAP 基礎團隊應具備基本的 Defender for Endpoint 知識。

Linux 上的 SAP 應用程式

重要事項

在 Linux 上部署 Defender for Endpoint 時,建議使用 eBPF。 欲了解更多資訊,請參閱 eBPF 文件。 Defender for Endpoint 已增強以使用 eBPF 框架。

支援的發行版包含所有常見的 Linux 發行版,但不包含 SUSE 12.x。 建議 SUSE 12.x 用戶升級至 SUSE 15。 SUSE 12.x 使用 Audit.D 了舊式感測器,但有效能限制。

欲了解更多支援發行版資訊,請參閱 Linux 版 適用於端點的 Microsoft Defender 使用 eBPF 感測器

以下是關於 SAP 應用程式在 Linux Server 上的一些重要觀點:

  • SAP 僅支援 SUSE、Redhat 和 Oracle Linux。 其他發行版不支援 SAP S4 或 NetWeaver 應用程式。
  • 推薦使用 SUSE 15.x、Redhat 9.x 和 Oracle Linux 9.x。 支援的發行版包含所有常見的 Linux 發行版,但不包含 SUSE 12.x。
  • SUSE 11.x、Redhat 6.x 和 Oracle Linux 6.x 都不支援。
  • Redhat 7.x 和 8.x,以及 Oracle Linux 7.x 和 8.x 技術上都有支援,但現在已經不再與 SAP 軟體結合測試。
  • SUSE 和 Redhat 提供專為 SAP 量身打造的發行版。 這些「for SAP」版本的 SUSE 和 Redhat 可能預裝了不同的套件,甚至可能有不同的核心。
  • SAP 僅支援特定的 Linux 檔案系統。 一般而言,使用 XFS 與 EXT3。 Oracle 自動儲存管理 (ASM) 檔案系統有時用於 Oracle DBMS,且無法被 Defender for Endpoint 讀取。
  • 部分 SAP 應用程式使用獨立引擎,如 TREX、Adobe Document Server、Content Server 及 LiveCache。 這些引擎需要特定的設定與檔案排除。
  • SAP 應用程式通常有傳輸與介面目錄,內含數千個小型檔案。 如果檔案數量超過 100,000 個,可能會影響效能。 建議先歸檔檔案。
  • 建議在部署到生產環境前,先將 Defender for Endpoint 部署到非生產力的 SAP 環境數週。 SAP 基數團隊應使用工具,如 sysstatKSARnmon 來驗證 CPU 及其他效能參數是否受到影響。 也可以用全域範圍參數配置廣泛的排除,然後逐步減少被排除的目錄數量。

在 SAP 虛擬機上部署 適用於端點的 Microsoft Defender 於 Linux 的前提條件

截至 2024 年 12 月,Linux 上的 Defender for Endpoint 可安全設定並啟用即時保護。

作為 Azure 防毒擴充套件部署的預設設定選項是被動模式。 這表示 Microsoft Defender 防毒軟體,適用於端點的 Microsoft Defender 的防毒/防惡意軟體元件,不會攔截 IO 通話。 我們建議在所有 SAP 應用程式中啟用即時保護並啟用 Defender for Endpoint。 因此:

  • 即時防護已開啟:Microsoft Defender 防毒軟體能即時攔截 IO 通話。
  • 按需掃描已開啟:你可以在端點上使用掃描功能。
  • 自動威脅修復已開啟:檔案被移動,安全管理員會收到警報。
  • 安全情報更新已啟用:警示可在 Microsoft Defender 入口網站中取得。

線上核心修補工具,如 Ksplice 或類似工具,若執行 Defender for Endpoint,可能導致作業系統穩定性難以預測。 建議在進行線上核心修補前,暫時停止 Defender for Endpoint 守護程序。 核心更新後,Linux 上的 Defender for Endpoint 可以安全重新啟動。 此操作對於擁有龐大記憶體情境的大型 SAP HANA 虛擬機尤其重要。

當 Microsoft Defender 防毒軟體具備即時防護時,就不再需要排程掃描。 你至少應該做一次掃描來建立基準。 接著,必要時通常使用 Linux crontab 來排程 Microsoft Defender 防毒軟體掃描及日誌輪替任務。 欲了解更多資訊,請參閱如何使用 Linux) 適用於端點的 Microsoft Defender (排程掃描

只要安裝 Linux 適用於端點的 Microsoft Defender,端點偵測與回應 (EDR) 功能即會啟動。 EDR 功能可透過命令列或全 域排除設定來停用。 欲了解更多關於 EDR 故障排除的資訊,請參閱本文中的 「有用指令 」和 「有用連結 」 (章節) 。

Linux 上 SAP 適用於端點的 Microsoft Defender 的重要設定

建議用指令 mdatp health.

SAP 應用建議的主要參數如下:


healthy = true
release_ring = Production (Prerelease and insider rings shouldn't be used with SAP Applications.)
real_time_protection_enabled = true  (Real-time protection can be enabled for SAP NetWeaver applications and enables real-time IO interception.) 
automatic_definition_update_enabled = true
definition_status = "up_to_date" (Run a manual update if a new value is identified.)
edr_early_preview_enabled = "disabled" (If enabled on SAP systems it might lead to system instability.)
conflicting_applications = [ ] (Other antivirus or security software installed on a VM such as Clam.)
supplementary_events_subsystem = "ebpf" (Don't proceed if ebpf isn't displayed. Contact the security admin team.)

有關安裝故障排除資訊,請參閱 Linux 上 適用於端點的 Microsoft Defender 安裝問題故障排除。

您的企業安全團隊必須從 SAP 管理員 (通常是 SAP Basis 團隊) 取得完整的防毒 排除 清單。 建議一開始排除:

  • DBMS 資料檔案、日誌檔案及暫存檔案,包括包含備份檔案的磁碟
  • SAPMNT 目錄的完整內容
  • SAPLOC 目錄的完整內容
  • TRANS 目錄的全部內容
  • Hana – 排除 /hana/shared、/hana/data 及 /hana/log - 詳見註解 1730930
  • SQL Server – 配置防毒軟體以配合 SQL Server 運作
  • Oracle – 請參閱如何在 Oracle 資料庫伺服器 (文件 ID 782354.1 上設定防毒軟體)
  • DB2 – IBM 文件:使用防毒軟體應排除哪些 DB2 目錄
  • SAP ASE – 聯絡 SAP
  • MaxDB – 聯絡 SAP
  • Adobe 文件伺服器、SAP 封存目錄、TREX、LiveCache、Content Server 及其他獨立引擎,必須在非生產環境中仔細測試,然後才會在正式環境中部署 Defender for Endpoint 於生產環境中

Oracle ASM 系統不需要排除,因為 適用於端點的 Microsoft Defender 無法讀取 ASM 磁碟。

擁有 Pacemaker 叢集的客戶也應設定以下排除事項:


mdatp exclusion folder add --path /usr/lib/pacemaker/  (for RedHat /var/lib/pacemaker/)



mdatp exclusion process add --name pacemakerd



mdatp exclusion process add --name crm_*

執行 Azure Security 安全政策的客戶可能會透過 Freeware Clam AV 解決方案觸發掃描。 建議在虛擬機被 適用於端點的 Microsoft Defender 保護後,使用以下指令停用 Clam 防毒軟體掃描:


sudo azsecd config  -s clamav -d "Disabled"



sudo service azsecd restart



sudo azsecd status

以下文章詳細說明如何針對每個虛擬機設定程序、檔案和資料夾的防毒排除功能:

安排每日防毒掃描 (可選)

SAP 應用程式的建議配置能即時攔截 IO 呼叫以進行防毒掃描。 建議的設定是被動模式,其中 real_time_protection_enabled = true

在舊版 Linux 或過載硬體上運行的 SAP 應用程式,可以考慮使用 real_time_protection_enabled = false。 這種情況下,應該安排防毒掃描。

欲了解更多資訊,請參閱如何使用 Linux) 適用於端點的 Microsoft Defender (排程掃描

大型 SAP 系統可能擁有超過 20 台 SAP 應用伺服器,每台伺服器都連接到 SAPMNT NFS 共享。 同時有二十台或更多應用程式伺服器掃描同一台 NFS 伺服器,可能會讓 NFS 伺服器過載。 預設情況下,Linux 上的 Defender for Endpoint 不會掃描 NFS 來源。

如果需要掃描 SAPMNT,那這個掃描應該只在一到兩台虛擬機上設定。

SAP ECC、BW、CRM、SCM、Solution Manager 及其他元件的排程掃描應錯開進行,以避免所有 SAP 元件在共用的 NFS 儲存來源上過載。

實用指令

如果在 SUSE 手動安裝 zypper 時出現錯誤「Nothing offers 'policycoreutils'」,請參見 Linux 上 適用於端點的 Microsoft Defender 安裝問題疑難排解

有幾個命令列指令可以控制 mdatp 的運作。 要啟用被動模式,您可以使用以下指令:


mdatp config passive-mode --value enabled

注意事項

在 Linux 上安裝 Defender for Endpoint 時,被動模式是預設模式。

要啟用即時保護,您可以使用以下指令:


mdatp config real-time-protection --value enabled

此指令告訴 mdatp 從雲端取得最新的定義:


mdatp definitions update

此指令測試 mdatp 是否能連接網路上的雲端端點:


mdatp connectivity test

這些指令可更新 mdatp 軟體(如有需要):


yum update mdatp



zypper update mdatp

由於 mdatp 是作為 Linux 系統服務執行,你可以使用 service 指令來控制 mdatp,例如:


service mdatp status

此指令會建立一個診斷檔案,可上傳至 Microsoft 支援:


sudo mdatp diagnostic create
  • Last updated on