與 SAP NetWeaver 整合

架構

1. SAP 客戶環境通過 SAP 病毒掃瞄介面 (VSI) 來保護，這是 SAP NetWeaver 平台的安全組件。VSI 用於保護所有形式的客戶內容，包括文件、嵌入的圖像和包括 JavaScript 和 PDF 及 Office 文件中的腳本在內的活動內容。掃瞄器功能與 SAP NetWeaver 技術和 SAP HANA® 平台無縫協作。
2. 伺服器與工作負載保護 掃描器會掃描上傳至 SAP NetWeaver 技術平台的內容，以確定其真實類型，並透過 NetWeaver VSI 介面將此資訊回報給 SAP 系統。內容掃描可防範可能嵌入或偽裝在文件中的惡意腳本內容。
3. 然後，SAP 管理員可以根據應允許的實際文件類型來設定政策。

伺服器與工作負載保護 和 SAP 元件

• 伺服器與工作負載保護：管理員用來配置安全政策並部署保護至代理的集中式 Web-based 管理主控台。
• Agent：直接部署在電腦防護上的 Security Agent。該保護的性質取決於每個代理從伺服器與工作負載保護接收到的規則和安全設定。
• SAP NetWeaver：SAP 整合技術計算平台。SAP NetWeaver 病毒掃瞄介面 (NW-VSI) 提供第三方產品進行實際掃瞄的病毒掃瞄功能。必須啟用 NW-VSI 介面。
• SAP NetWeaver ABAP WinGUI：用於 SAP NetWeaver 的 Windows 管理控制台。在本文檔中，用於配置代理和 SAP NetWeaver 病毒掃瞄介面。

配置整合 伺服器與工作負載保護 掃描器與 SAP NetWeaver

1. 請參閱 各平台支援的功能 以獲取有關支援掃描器的作業系統資訊。
2. 在執行受支持作業系統之一的 SAP 應用伺服器上安裝代理程式。請參閱安裝代理程式。
3. 將 SAP 伺服器新增至 伺服器與工作負載保護 並在 SAP 伺服器上啟用代理程式。請參閱 將 SAP 伺服器新增至 伺服器與工作負載保護 並啟用代理程式。
4. 打開電腦防護或政策編輯器，然後轉到 設定 → Scanner。
5. 啟用 SAP 整合。請參閱 指派安全性配置檔‌。
6. 透過執行以下交易來配置 SAP 病毒掃瞄介面 (VSI)：
   • VSCANGROUP
   • VSCAN
   • VSCANPROFILE
   • VSCANTEST
   請參閱配置 SAP 以使用代理

安裝代理程式

1. 前往Deep Security 軟體下載頁面並下載適用於您作業系統的代理程式套件。
2. 在目標系統上安裝代理程式。您可以根據作業系統使用 rpm 或 zypper。在此範例中，使用 rpm，輸入：rpm -ihv Agent-Core-SuSE_<version>.x86_64.rpm
3. 預期輸出類似於以下內容：
   
   這表示代理程式安裝已完成

將 SAP 伺服器新增至 伺服器與工作負載保護 並啟用代理程式

• -a 是啟動代理的命令，並且
• dsm://managerurl:443/ 是將代理指向 伺服器與工作負載保護 的參數。（"managerurl" 是 伺服器與工作負載保護 的 URL，而 "443" 是代理與管理器通信的預設端口。）

1. 在 伺服器與工作負載保護 主控台中，選擇 「Computers」 標籤。
2. 點擊電腦名稱，然後點擊「詳細資訊」並檢查電腦的狀態是否為已管理。

指派安全設定檔

1. 在電腦防護或政策編輯器中，前往Anti-Malware → General。
2. 在「惡意程式防護」部分，將「組態」設置為「開啟」（或「Inherited On」），然後點擊「儲存」。
   
3. 在「即時掃瞄」、「手動掃瞄」或「預約掃瞄」部分中，設定「Malware Scan Configuration」和「預約」，或允許這些設定從父策略繼承。
4. 點擊「儲存」。惡意程式防護模組的狀態會變更為「Off, installation pending」。這表示代理程式正在從伺服器與工作負載保護檢索所需的模組。為了使其正常運作，客戶端需要訪問中繼站的監聽通訊埠號碼。稍後，代理程式應開始下載元件更新，例如惡意程式防護模式和掃瞄引擎。
5. 在電腦防護編輯器中，前往Settings → Scanner。
6. 在「SAP」部分，將「組態」設置為「開啟」（或「Inherited On」），然後點擊「儲存」。

配置 SAP 以使用代理程式

1. 配置掃描器群組
2. 設定病毒掃瞄提供者
3. 設定病毒掃瞄設定檔
4. 測試病毒掃瞄介面

配置掃描器群組

1. 在 SAP WinGUI 中，執行「VSCANGROUP」交易。在編輯模式下，點擊「New Entries」。
   
2. 建立一個新的掃描器群組，在「Scanner Group」區域指定群組名稱，並在「Group Text」區域輸入掃描器群組的描述。
   
3. 按一下「儲存」或離開編輯模式。
   名為「Prompt for Workbench request」的對話框出現。在以下範例中，建立了一個新的工作台請求以追蹤所有與VSI相關的變更：
   

設定病毒掃瞄提供者

1. 在 SAP WinGUI 中，執行「VSCAN」交易。在編輯模式下，點擊「New Entries」。
   
2. 輸入VSI認證解決方案的配置。
   在以下範例中，設定了一些配置參數：
   

   設定	值	說明
   提供者類型	ADAPTER (病毒掃瞄適配器)	自動設定（預設）
   提供者名稱	VSA_<host name>	自動設置，作為別名
   掃描器群組	選擇您先前配置的群組	所有先前建立的掃描器群組，您可以使用輸入幫助來顯示
   狀態	啟用（應用伺服器）	自動設定（預設）
   伺服器	nplhost_NPL_42	自動設定，主機名稱
   重新初始化間隔	8 小時	指定在幾小時後重新初始化病毒掃瞄適配器並載入新的病毒定義。
   適配器路徑 (Linux)	/lib64/libsapvsa.so	預設路徑
   適配器路徑 (Windows)	C:\程式集\TrendAI™\Deep Security Agent\lib\dsvsa.dll	預設路徑

3. 按一下「儲存」或離開編輯模式。
   提示將此打包成Workbench請求。
4. 確認請求，然後按一下「開始」。
   「狀態」 指示燈變為綠色，表示適配器已加載並處於活動狀態。
   

設定病毒掃瞄設定檔

1. 在 SAP WinGUI 中，執行「VSCANPROFILE」交易，然後選擇需要病毒掃瞄的 SAP 操作。
   例如，選擇「作用中」以用於「/SCET/GUI_UPLOAD」或「/SCET/GUI_DOWNLOAD」，然後點擊「儲存」。
   
2. 在編輯模式中，點擊「New Entries」。
   病毒掃瞄設定檔定義了如何處理特定的交易（如檔案上傳、檔案下載等），以符合病毒掃瞄介面。要在應用伺服器中使用先前配置的病毒掃瞄適配器，您需要建立一個新的病毒掃瞄設定檔。
3. 在「Scan Profile」中，輸入 Z_TMProfile 並選擇「作用中」、「Default Profile」和「Evaluate Profile Configuration Param」。
   
4. 在仍處於編輯模式時，雙擊「Steps」以配置步驟：
   
5. 點擊「New Entries」。
   當交易調用配置檔時，這些步驟定義了應該做什麼。
6. 將「Position」設為0，將「類型」設為群組，並將「Scanner Group」設為您先前設定的群組名稱。
7. 按一下「儲存」或離開編輯模式。
   最終會出現有關現有病毒掃瞄設定檔的通知，「/SCET/DP_VS_ENABLED」。
8. 暫不處理關於現有配置檔的通知，因為該配置檔未啟用且未使用。
   確認此通知後，系統會要求您將此配置打包成一個自訂請求。建立新請求有助於追蹤已做出的更改：
   
9. 要為步驟創建配置參數，雙擊「Profile Configuration Parameters」，然後點擊「New Entries」並設置參數：

   參數	類型	說明
   CUST_ACTIVE_CONTENT	布林值	檢查檔案是否包含腳本（JavaScript、PHP、ASP腳本）並封鎖。
   CUST_CHECK_MIME_TYPE	布林值	檢查檔案副檔名是否與其 MIME 類型相符。如果不相符，則檔案已封鎖。所有 MIME 類型和副檔名都可以精確匹配。例如： Word 檔案必須是 .doc 或 .dot JPEG 檔案必須是 .jpg 文字和二進位檔案可以是任何副檔名（不封鎖） 請參閱 支援的 MIME 類型 以查看內建的映射表。若要配置掃描器以識別內建表中未包含的 MIME 類型或副檔名，請參閱 新增自訂 MIME 類型映射。

10. 雙擊「Step Configuration Parameters」。點擊「New Entries」並設置參數：

    參數	類型	說明	預設於 Linux	Windows 預設
    最佳掃描效果	布林值	應在盡力而為的基礎上進行掃瞄；也就是說，應啟用所有允許 VSA 掃瞄物件的安全關鍵標誌，例如 SCANALLFILES 和 SCANEXTRACT，還有內部標誌。關於這些標誌的具體細節可以存儲在認證中。	not set	not set
    掃描所有檔案	布林值	掃描所有檔案，不論其副檔名。	已停用	已停用
    掃描擴展	字元	VSA應掃瞄的副檔名列表。只有配置的副檔名會被檢查，其他副檔名則已封鎖。此處也可以使用萬用字元來搜尋模式。 \* 代表此位置及後續，? 代表僅此字元。例如，exe;com;do?;ht* => \`\*\` 表示掃瞄所有檔案。	null	""
    掃描限制	整數	此設定適用於壓縮檔案。它指定要解壓縮和掃瞄的最大檔案數量。	INT_MAX	65535
    掃描提取	布林值	存檔或壓縮物件將被解壓縮	已啟動	已啟動
    SCANEXTRACT_SIZE	SIZE_T	最大解壓縮大小	0x7FFFFFFF	62914560 (60 MB)
    SCANEXTRACT_DEPTH	整數	要解壓縮物件的最大深度。	20	20
    掃描日誌路徑	字元	VSA 的自訂日誌路徑 必須是常規檔案的絕對檔案路徑或是可以建立常規檔案的位置資訊。不能是可執行檔案的檔案路徑。僅限寫入有限的日誌訊息。例如，偵測到的惡意程式。 支援由2024年5月2日及之後發佈的代理版本。	（未設定）	（未設定）
    掃描MIME類型	字元	要掃瞄的 MIME 類型列表。只有配置的 MIME 類型的檔案會被檢查。其他 MIME 類型會被已封鎖。此參數僅在 CUST_CHECK_MIME_TYPE 已啟動時有效。	not set	not set
    BLOCKMIMETYPES	字元	要封鎖的 MIME 類型清單。此參數僅在 CUST_CHECK_MIME_TYPE 已啟動時有效。	not set	not set
    BLOCKEXTENSIONS	字元	要封鎖的副檔名列表。	not set	not set

新增自訂 MIME 類型對應

• 政策（建議）：條目在伺服器與工作負載保護 控制台中定義，並應用於受該政策保護的每個 SAP 伺服器。
• 本地 INI 檔案：條目直接在單一 SAP 伺服器上定義。使用此方法可覆蓋特定主機上的政策，或在代理接收到更新的政策之前應用條目。

1. 在 伺服器與工作負載保護 中，打開電腦防護或政策編輯器，然後前往 「設定」 → 「Scanner」。
2. 在「SAP」區域中，找到「Custom MIME type mappings」，並為您希望掃描器識別的每個 MIME 類型新增一個項目。對於每個項目，請提供以下值：
   • MIME type：完整的 MIME 類型字串，例如 application/x-custom。
   • 副檔名：一個或多個副檔名的逗號分隔列表，用於與 MIME 類型關聯，指定時不需加上前導點。副檔名匹配時不區分大小寫。例如，cst, custom。
3. 點擊「儲存」。伺服器與工作負載保護會驗證每個項目，並拒絕任何具有空 MIME 類型或空擴展名列表的項目。有效的項目會在下一次心跳時分配給代理，並與 SAP 掃描器使用的內建映射表合併。

<CustomMimeMappings>
		<CustomMimeMapping mimeType="application/x-custom" extensions=";cst;custom;"/>
		<CustomMimeMapping mimeType="application/vnd.company" extensions=";comp;"/>
		<CustomMimeMapping mimeType="text/x-specialformat" extensions=";spc;special;"/>
</CustomMimeMappings>

1. 在 SAP 伺服器上，建立或編輯檔案 /var/opt/ds_agent/am/custom_mime.ini。
2. 使用以下語法，將每個映射新增在各自的行上：

   <mime-type>=;<extension1>;<extension2>;…

   例如：

   application/x-custom=;cst;custom;
   		application/vnd.company=;comp;
   			text/x-specialformat=;spc;special;

   該檔案必須符合以下格式要求：
   • 每行一個映射，沒有章節標題。檔案格式與dt.ini不同。
   • 在擴展列表的開頭、連續擴展之間以及列表的結尾使用分號。
   • 指定的擴展名不含前導點。擴展名的匹配不區分大小寫。
3. 儲存檔案。代理程式在下次接收到掃瞄請求時會套用新的條目。無需重新啟動代理程式。

重要 當相同的 MIME 類型同時在本地 INI 檔案和政策中定義時，本地 INI 項目將取代該伺服器上的政策項目。所有其他政策定義的項目仍然有效。

1. 掃瞄器首先會查詢內建的對應表。如果檔案的 MIME 類型存在於內建表中，且該 MIME 類型的檔案副檔名也在列表中，則允許該檔案暫不處理，進入下一個掃瞄階段。
2. 如果檔案的 MIME 類型不在內建表格中，掃描器會查詢自訂對應：首先是本地 INI 檔案，然後是政策。如果檔案的副檔名在任一來源中列為已偵測的 MIME 類型，則允許該檔案暫不處理。
3. 如果沒有來源識別 MIME 類型和擴展名的組合，掃描器將阻擋該檔案。

• 要驗證代理程式是否已接收到政策定義的項目，請檢查 SAP 伺服器上的 /var/opt/ds_agent/guests/0000-0000-0000/amvmcfg.xml。該檔案應包含列出您每個項目的 <CustomMimeMappings> 元素。
• 要驗證本地 INI 檔案是否被讀取，請在 /var/opt/ds_agent/diag/ds_am.log 中搜尋參考 custom_mime.ini 的項目。
• 如果在您為檔案新增自訂對應後，該檔案仍然被已封鎖，請執行 SAP 交易 「VSCANTEST」 並檢視 「Content Information」 輸出。掃描器檢測到的 MIME 類型必須與您對應中的 mimeType 值完全匹配。掃描器不會標準化大小寫或修剪周圍的空白，因此任何差異都會阻止條目生效。

測試病毒掃瞄介面

1. 在 SAP WinGUI 中，執行「VSCANTEST」交易。
   
   每個支持VSI的SAP應用伺服器也有內建測試，以檢查配置步驟是否正確完成。為此，會在一個可以調用特定掃描器的交易中打包一個EICAR測試病毒（www.eicar.org）。
2. 如果您不填寫任何內容，將會調用在上一步配置的預設設定檔，因此請勿填寫任何內容。
3. 點擊「執行」。
   出現一個通知，說明什麼是 EICAR 測試病毒。
4. 確認通知。
   交易已被攔截：
   

1. 該交易調用了默認病毒掃瞄配置檔，即病毒掃瞄配置檔 Z_TMPROFILE。
2. 病毒掃瞄設定檔 Z_TMPROFILE 被配置為從病毒掃瞄群組 Z_TMGROUP 調用一個適配器。
3. 病毒掃瞄群組 Z_TMGROUP 已配置多個適配器，並調用其中一個（在本例中為 VSA_NPLHOST）。
4. 病毒掃瞄適配器返回值2-，表示發現了病毒。
5. 有關偵測到的惡意程式的資訊顯示為 Eicar_test_1 和檔案物件 /tmp/ zUeEbZZ_TMPROFILE。
6. 所呼叫的預設病毒掃瞄設定檔 Z_TMPROFILE 失敗，因為步驟 00（病毒掃瞄群組）未成功，因此檔案交易已停止進一步處理。

支援的 MIME 類型

• 代理程式版本 9.6 使用 VSAPI 9.85
• 代理程式版本 10.0 使用 ATSE 9.861
• 代理程式版本 10.1 使用 ATSE 9.862
• 代理程式版本 10.2、10.3、11.0、11.1 和 11.2 使用 ATSE 10.000
• 代理程式版本 11.3 及更高版本使用 ATSE 11.0.000