SAP NetWeaverとの統合

アーキテクチャ

1. SAPユーザ環境は、SAP NetWeaverプラットフォームのセキュリティコンポーネントであるSAP Virus Scan Interface (VSI) によって保護されます。 VSIは、ドキュメント、埋め込み画像、およびPDFやOfficeドキュメント内のJavaScriptやスクリプトを含むアクティブコンテンツなど、あらゆる形式のユーザコンテンツを保護するために使用されます。スキャナ機能は、SAP NetWeaverテクノロジおよびSAP HANA®プラットフォームとシームレスに連携します。
2. Server & Workload Protectionスキャナーは、SAP NetWeaverテクノロジープラットフォームにアップロードされたコンテンツをスキャンしてその真のタイプを判定し、NetWeaver VSIインターフェースを介してSAPシステムに報告します。コンテンツスキャンは、ドキュメント内に埋め込まれたり偽装されたりする可能性のある悪意のあるスクリプトコンテンツから保護します。
3. SAP管理者は、許可する実際のドキュメントタイプに応じてポリシーを設定できます。

Server & Workload Protection およびSAPコンポーネント

• Server & Workload Protection: 管理者がセキュリティポリシーを設定し、エージェントに保護を展開するために使用する集中型のウェブベースのマネジメントコンソール。
• エージェント: コンピュータに直接展開されたセキュリティエージェント。その保護の性質は、各エージェントがServer & Workload Protectionから受け取るルールとセキュリティ設定に依存します。
• SAP NetWeaver: SAP統合技術コンピューティングプラットフォーム。SAP NetWeaverウイルス検索インターフェース (NW-VSI) は、実際の検索を行うサードパーティ製品のためのウイルス検索機能を提供します。NW-VSIインターフェースは有効化する必要があります。
• SAP NetWeaver ABAP WinGUI: SAP NetWeaverに使用されるWindowsマネジメントコンソールです。このドキュメントでは、エージェントとSAP NetWeaverウイルス検索インターフェースの設定に使用されます。

Server & Workload Protection ScannerとSAP NetWeaverの統合の設定

1. プラットフォーム別のサポート機能を参照して、スキャナーをサポートするオペレーティングシステムに関する情報を取得してください。
2. サポートされているオペレーティングシステムのいずれかを実行しているSAPアプリケーションサーバにエージェントをインストールします。エージェントのインストールを参照してください。
3. SAPサーバを Server & Workload Protection に追加し、SAPサーバでエージェントを有効化します。参照SAPサーバを Server & Workload Protection に追加し、エージェントを有効化する。
4. [コンピュータエディタ] または [ポリシーエディタ]を開き、[設定] → [Scanner]に移動します。
5. SAP統合を有効にします。セキュリティプロファイルの割り当てを参照してください。
6. 次のトランザクションを呼び出して、SAPウイルス検索インターフェース (VSI) を構成します。
   • VSCANGROUP
   • VSCAN
   • VSCANPROFILE
   • VSCANTEST
   エージェントを使用するようにSAPを構成するを参照してください

Agentのインストール

1. Deep Securityソフトウェアのダウンロードページにアクセスし、お使いのOSに対応するエージェントパッケージをダウンロードしてください。
2. ターゲット システムにエージェントをインストールします。 OS に応じて、rpm または zypper を使用できます。この例では、次のように入力して rpm を使用します。rpm -ihv Agent-Core-SuSE_<version>.x86_64.rpm
3. 次のような出力を期待してください:
   
   これはエージェントのインストールが完了したことを示しています

SAPサーバを Server & Workload Protection に追加し、エージェントを有効化する

• -aは、エージェントを有効にするコマンドです。
• dsm://managerurl:443/は、エージェントが Server & Workload Protectionを指すパラメータです。 (「managerurl」は Server & Workload ProtectionのURLで、「443」はAgentからManagerへの初期設定の通信ポートです)。

1. Server & Workload Protection コンソールで、[コンピュータ] タブを選択します。
2. コンピュータ名をクリックし、[詳細]をクリックして、コンピュータのステータスが管理対象であることを確認してください。

セキュリティプロファイルを割り当てる‌

1. コンピュータエディタまたはポリシーエディタで、[不正プログラム検索] → [一般] 。
2. [不正プログラム対策]セクションで、[設定]を[オン](または[Inherited On]) に設定し、[保存]をクリックします。
   
3. [リアルタイム検索]、[手動検索]、または[予約検索]セクションで、[Malware Scan Configuration]と[予約]を設定するか、それらの設定を親ポリシーから継承することを許可します。
4. [保存]をクリックします。不正プログラム対策モジュールのステータスが[Off, installation pending]に変わります。これは、エージェントがServer & Workload Protectionから必要なモジュールを取得していることを意味します。これを機能させるには、クライアントがリレーのリスニングポート番号でリレーにアクセスする必要があります。しばらくすると、エージェントは不正プログラム対策パターンや検索エンジンなどのコンポーネントの更新をダウンロードし始めます。
5. コンピュータエディタで、[設定] → [Scanner] 。
6. [SAP]セクションで、[設定]を[オン](または[Inherited On]) に設定し、[保存]をクリックします。

エージェントを使用するようにSAPを設定する

1. スキャナーグループを設定する
2. ウイルス検索プロバイダを設定する
3. ウイルス検索プロファイルを設定する
4. ウイルス検索インタフェースのテスト

スキャナーグループを設定します

1. SAP WinGUIで[VSCANGROUP]トランザクションを実行します。編集モードで[New Entries]をクリックします。
   
2. [Scanner Group]領域にグループ名を指定し、[Group Text]領域にスキャナーグループの説明を入力して、新しいスキャナーグループを作成します。
   
3. [保存] をクリックするか、編集モードを終了します。
   [Prompt for Workbench request]という名前のダイアログが表示されます。次の例では、すべてのVSI関連の変更を追跡するために新しいワークベンチリクエストが作成されます。
   

ウイルス検索プロバイダの設定

1. SAP WinGUIで[VSCAN]トランザクションを実行します。編集モードで[New Entries]をクリックします。
   
2. VSI認定ソリューションの設定を入力します。
   次の例では、いくつかの構成パラメータが設定されています。
   

   設定	値	説明
   Provider Type	ADAPTER (Virus Scan Adapter)	自動的に設定されます (初期設定)。
   Provider Name	VSA_<host name>	自動的に設定され、エイリアスとして機能します。
   Scanner Group	前の手順で設定したグループを選択します。	入力ヘルプを使用して、以前に作成されたすべてのスキャナグループを表示できます。
   ステータス	Active (Application Server)	自動的に設定されます (初期設定)。
   サーバ	nplhost_NPL_42	自動的に設定されるホスト名です。
   Reinit. Interv.	8 Hours	ウイルススキャンアダプタが再初期化されて新しいウイルス定義がロードされるまでの時間を指定します。
   Adapter Path (Linux)	/lib64/libsapvsa.so	初期設定のパスです。
   Adapter Path (Windows)	C:\Program Files\TrendAI™\Deep Security Agent\lib\dsvsa.dll	初期設定のパスです。

3. [保存] をクリックするか、編集モードを終了します。
   これをワークベンチ要求にパックするよう求めるプロンプトが表示されます。
4. リクエストを確認し、[開始] をクリックします。
   [ステータス]ライトが緑色に点灯すると、アダプターがロードされてアクティブになっていることを意味します。
   

ウイルス検索プロファイルを設定

1. SAP WinGUIで[VSCANPROFILE]トランザクションを実行し、ウイルス検索が必要なSAP操作を選択してください。
   例えば、[/SCET/GUI_UPLOAD]または[/SCET/GUI_DOWNLOAD]のために[アクティブ]を選択し、[保存]をクリックします。
   
2. 編集モードで、[New Entries]をクリックします。
   ウイルス検索プロファイルでは、特定のトランザクション (ファイルのアップロード、ファイルのダウンロードなど) をウイルス検索インタフェースに応じて処理する方法を定義します。アプリケーションサーバで設定済みのウイルス検索アダプタを使用するには、新しいウイルス検索プロファイルを作成する必要があります。
3. [Scan Profile]でZ_TMProfileを入力し、[アクティブ]、[デフォルトプロファイル]、[Evaluate Profile Configuration Param]を選択します。
   
4. 編集モードのまま、[手順]をダブルクリックしてステップを設定します。
   
5. [New Entries]をクリックします。
   ステップは、プロファイルがトランザクションから呼び出されたときの動作を定義します。
6. [位置]を0に設定し、[種類]をグループに設定し、[Scanner Group]を以前に設定したグループ名に設定します。
7. [保存] をクリックするか、編集モードを終了します。
   既存のウイルス検索プロファイル[/SCET/DP_VS_ENABLED]についての通知が最終的に表示されます。
8. プロファイルはアクティブではなく、使用されていないため、既存のプロファイルに関する通知は無視してください。
   この通知を確認すると、この設定をカスタマイズ要求に含めるように求められます。新しい要求を作成すると、加えられた変更を追跡できます。
   
9. 手順の構成パラメータを作成するには、[Profile Configuration Parameters]をダブルクリックし、[New Entries]をクリックしてパラメータを設定します。

   パラメータ	種類	説明
   CUST_ACTIVE_CONTENT	BOOL	ファイルにスクリプト (JavaScript、PHP、ASPスクリプト) が含まれているか確認し、ブロックします。
   CUST_CHECK_MIME_TYPE	BOOL	ファイル拡張子名がそのMIMEタイプと一致するか確認してください。一致しない場合、ファイルはブロックされます。すべてのMIMEタイプと拡張子名は正確に一致させることができます。例えば: Wordファイルは.docまたは.dotである必要があります JPEGファイルは.jpgである必要があります テキストファイルとバイナリファイルは任意の拡張子である可能性があります (ブロックしないでください) 組み込みのマッピングテーブルについては、サポートされているMIMEタイプを参照してください。組み込みテーブルに含まれていないMIMEタイプやファイル拡張子をスキャナーが認識するように設定するには、カスタムMIMEタイプマッピングの追加を参照してください。

10. [Step Configuration Parameters]をダブルクリックします。[New Entries]をクリックして、パラメータを設定します。

    パラメータ	種類	説明	Linuxでのデフォルト	Windowsでのデフォルト
    SCANBESTEFFORT	BOOL	検索はベストエフォートベースで実行する必要があります。つまり、VSAがオブジェクトを検索できるようにするすべてのセキュリティクリティカルなフラグ、例えばSCANALLFILESやSCANEXTRACT、そして内部フラグも有効にする必要があります。これらのフラグが具体的にどれであるかの詳細は、認証に保存できます。	未設定	未設定
    SCANALLFILES	BOOL	ファイル拡張子に関係なくすべてのファイルをスキャンします。	無効	無効
    SCANEXTENSIONS	CHAR	VSAが検索するファイル拡張子のリスト。設定された拡張子のみがチェックされます。他の拡張子はブロックされます。ワイルドカードも使用可能で、パターンを検索できます。*はこの場所とそれ以降を、?はこの文字のみを表します。例えば、exe;com;do?;ht* => `*`はすべてのファイルを検索することを意味します。	null	""
    SCANLIMIT	INT	この設定は、圧縮ファイルに適用されます。解凍して検索するファイルの最大数を指定します。	INT_MAX	65535
    SCANEXTRACT	BOOL	アーカイブまたは圧縮オブジェクトを解凍します。	有効	有効
    SCANEXTRACT_SIZE	SIZE_T	最大解凍サイズです。	0x7FFFFFFF	62914560 (60MB)
    SCANEXTRACT_DEPTH	INT	オブジェクトが解凍される最大の深さ (階層) です。	20	20
    SCANLOGPATH	CHAR	VSAのカスタムログパス 絶対パスである必要があります。通常のファイルか、通常のファイルを作成できる場所でなければなりません。実行可能ファイルのパスは使用できません。書き込まれるログメッセージは限られています。例えば、検出された不正プログラムです。 2024年5月2日以降にリリースされたエージェントバージョンでサポートされています。	(未設定)	(未設定)
    SCANMIMETYPES	CHAR	検索するMIMEタイプのリスト。設定されたMIMEタイプのファイルのみがチェックされます。他のMIMEタイプはブロックされます。このパラメータはCUST_CHECK_MIME_TYPEが有効な場合にのみ機能します。	未設定	未設定
    BLOCKMIMETYPES	CHAR	ブロックするMIMEタイプのリスト。このパラメータはCUST_CHECK_MIME_TYPEが有効な場合にのみ機能します。	未設定	未設定
    BLOCKEXTENSIONS	CHAR	ブロックするファイル拡張子のリスト。	未設定	未設定

カスタムMIMEタイプマッピングを追加

• ポリシー (推奨): エントリはServer & Workload Protectionコンソールで定義され、ポリシーによって保護されているすべてのSAPサーバに適用されます。
• ローカルINIファイル: エントリは単一のSAPサーバ上で直接定義されます。この方法を使用して、特定のホストでポリシーを上書きするか、エージェントが更新されたポリシーを受け取る前にエントリを適用します。

1. Server & Workload Protectionで、コンピュータまたはポリシーエディタを開き、[設定] → [スキャナ]に移動します。
2. [SAP]エリアで[Custom MIME type mappings]を見つけ、スキャナーが認識するMIMEタイプごとにエントリを追加してください。各エントリには次の値を入力してください。
   • MIMEタイプ: 完全なMIMEタイプ文字列、例えば、application/x-custom。
   • ファイル拡張子: MIMEタイプに関連付ける1つ以上の拡張子をカンマで区切ったリストです。拡張子は先頭にドットを付けずに指定し、大文字と小文字を区別せずに一致します。例えば、cst, custom。
3. [保存]をクリックします。Server & Workload Protectionは各エントリを検証し、MIMEタイプまたは拡張子リストが空のエントリを拒否します。有効なエントリは次のハートビートでエージェントに配信され、SAPスキャナーが使用する組み込みのマッピングテーブルと統合されます。

<CustomMimeMappings>
		<CustomMimeMapping mimeType="application/x-custom" extensions=";cst;custom;"/>
		<CustomMimeMapping mimeType="application/vnd.company" extensions=";comp;"/>
		<CustomMimeMapping mimeType="text/x-specialformat" extensions=";spc;special;"/>
</CustomMimeMappings>

1. SAPサーバ上で、ファイル/var/opt/ds_agent/am/custom_mime.iniを作成または編集してください。
2. 次の構文を使用して、各マッピングを別々の行に追加してください:

   <mime-type>=;<extension1>;<extension2>;…

   例:

   application/x-custom=;cst;custom;
   		application/vnd.company=;comp;
   			text/x-specialformat=;spc;special;

   ファイルは次の形式要件に準拠している必要があります。
   • セクションヘッダーなしで1行につき1つのマッピング。ファイル形式はdt.iniとは異なります。
   • 拡張子リストの先頭、連続する拡張子の間、およびリストの末尾にセミコロンを配置します。
   • 先頭にドットを付けずに指定された拡張子。拡張子は大文字と小文字を区別せずに一致します。
3. ファイルを保存します。エージェントは次回検索リクエストを受信した際に新しいエントリを適用します。エージェントの再起動は必要ありません。

重要 ローカルINIファイルとポリシーの両方で同じMIMEタイプが定義されている場合、ローカルINIエントリがそのサーバ上のポリシーエントリを置き換えます。他のすべてのポリシーで定義されたエントリは有効のままです。

1. スキャナーは最初に組み込みのマッピングテーブルを参照します。ファイルのMIMEタイプが組み込みテーブルに存在し、そのMIMEタイプに対してファイルの拡張子がリストされている場合、ファイルは次の検索段階に進むことが許可されます。
2. ファイルのMIMEタイプが組み込みテーブルに存在しない場合、スキャナーはカスタムマッピングを参照します。まずローカルのINIファイルを確認し、その後ポリシーを確認します。どちらかのソースで検出されたMIMEタイプに対してファイルの拡張子がリストされている場合、そのファイルは通過が許可されます。
3. MIMEタイプと拡張子の組み合わせを認識するソースがない場合、スキャナーはファイルをブロックします。

• エージェントがポリシーで定義されたエントリを受信したことを確認するには、SAPサーバ上の/var/opt/ds_agent/guests/0000-0000-0000/amvmcfg.xmlを調べます。ファイルには、各エントリを一覧表示する<CustomMimeMappings>要素が含まれている必要があります。
• ローカルINIファイルが読み込まれていることを確認するには、/var/opt/ds_agent/diag/ds_am.logでcustom_mime.iniを参照するエントリを検索してください。
• ファイルにカスタムマッピングを追加した後もブロックされ続ける場合は、SAPトランザクション[VSCANTEST]を実行し、[Content Information]出力を確認してください。スキャナーが検出したMIMEタイプは、マッピング内のmimeType値と完全に一致している必要があります。スキャナーは大文字小文字の正規化や周囲の空白のトリムを行わないため、いかなる不一致もエントリの有効化を妨げます。

ウイルススキャンインタフェースをテストします。

1. SAP WinGUIで[VSCANTEST]トランザクションを実行します。
   
   すべてのVSI対応SAPアプリケーションサーバには、設定手順が正しく実行されたかどうかを確認するためのテストも組み込まれています。このために、EICARテストウイルス (www.eicar.org) がトランザクションに組み込まれ、特定のスキャナを呼び出すことができます。
2. 何も入力しないと、前の手順で設定した初期設定のプロファイルが呼び出されるため、何も入力しないでください。
3. [実行]をクリックしてください。
   EICARテストウイルスについて説明する通知が表示されます。
4. 通知を確認します。
   トランザクションがインターセプトされました:
   

1. トランザクションが初期設定のウイルススキャンプロファイル (Z_TMPROFILE) を呼び出します。
2. ウイルススキャンプロファイルZ_TMPROFILEは、ウイルススキャングループZ_TMGROUPからアダプタを呼び出すように設定されています。
3. ウイルススキャングループZ_TMGROUPには複数のアダプタが設定されており、そのうちの1つが呼び出されます (この例ではVSA_NPLHOST)。
4. ウイルススキャンアダプタから、ウイルスが見つかったことを示す値「2-」が返されます。
5. 検出された不正プログラムに関する情報として、Eicar_test_1およびファイルオブジェクト/tmp/zUeEbZZ_TMPROFILEが表示されます。
6. ステップ00 (ウイルススキャングループ) が失敗してファイルトランザクションの処理が停止されたため、呼び出された初期設定のウイルススキャンプロファイルZ_TMPROFILEが失敗します。

サポートされているMIMEタイプ

• Agentバージョン9.6ではVSAPI 9.85を使用
• Agentバージョン10.0ではATSE 9.861を使用
• Agentバージョン10.1ではATSE 9.862を使用
• Agentバージョン10.2、10.3、11.0、11.1、および11.2ではATSE 10.000を使用します。
• Agentバージョン11.3以降ではATSE 11.0.000を使用