Ansichten:
Die Scanner-Funktion ermöglicht es Ihnen, Ihre SAP-Bereitstellungen mit Server- und Workload Protection zu schützen, um kritische Informationen vor Angriffen zu sichern, einschließlich einer Vielzahl von Bedrohungen wie Malware, Cross-Site-Scripting und SQL-Injection. Server- und Workload Protection durchsucht Inhalte, die auf die SAP NetWeaver-Technologieplattform hochgeladen werden, um ihren tatsächlichen Typ zu bestimmen und meldet dies über die NetWeaver-VSI-Schnittstelle an SAP-Systeme. Die Inhaltsüberprüfung schützt vor möglichen bösartigen Skriptinhalten, die in Dokumenten eingebettet oder getarnt sein könnten. SAP-Administratoren können dann Richtlinien festlegen, nach denen bestimmte Dokumenttypen erlaubt werden sollen.
Der Scanner wird auf Computern mit einem Relay-aktivierten Agenten nicht unterstützt.

Architektur

  1. SAP-Kundenumgebungen werden durch die SAP-Virensuche-Schnittstelle (VSI), die Sicherheitskomponente der SAP NetWeaver-Plattform, gesichert. Die VSI wird verwendet, um alle Formen von Kundeninhalten zu sichern, einschließlich Dokumenten, eingebetteten Bildern und aktiven Inhalten wie JavaScript und Skripten in PDF- und Office-Dokumenten. Die Scanner-Funktion arbeitet nahtlos mit der SAP NetWeaver-Technologie und der SAP HANA®-Plattform zusammen.
  2. Der Server- und Workload Protection-Scanner überprüft die auf die SAP NetWeaver-Technologieplattform hochgeladenen Inhalte, um deren tatsächlichen Typ zu bestimmen, und meldet dies über die NetWeaver VSI-Schnittstelle an SAP-Systeme. Die Inhaltsüberprüfung schützt vor möglichen bösartigen Skriptinhalten, die in Dokumenten eingebettet oder getarnt sein könnten.
  3. SAP-Administratoren können dann Richtlinien festlegen, nach denen bestimmte Dokumenttypen erlaubt sein sollen.
scanner-workflow=8be4fded-d924-406c-84d6-e3d98bd53ce1.png

Server- und Workload Protection und SAP-Komponenten

Server- und Workload Protection verbindet sich mit dem Agenten auf dem SAP NetWeaver-Server. Der Agent verbindet sich mit libsapvsa oder dsvsa.dll, den von TrendAI™ bereitgestellten Virus-Adaptern für Scan-Zwecke.
Die folgenden Komponenten sind beteiligt:
  • Server- und Workload Protection: Die zentrale webbasierte Management-Konsole, die Administratoren verwenden, um Sicherheitsrichtlinien zu konfigurieren und Schutz auf den Agenten bereitzustellen.
  • Agent: Ein Security Agent, der direkt auf einem Computer eingesetzt wird. Die Art dieses Schutzes hängt von den Regeln und Sicherheitseinstellungen ab, die jeder Agent von Server- und Workload Protection erhält.
  • SAP NetWeaver: SAP integrated technology computing platform. The SAP NetWeaver Virus Scan Interface (NW-VSI) provides virus scanning capabilities for third-party products that perform the actual scan. The NW-VSI interface must be activated.
  • SAP NetWeaver ABAP WinGUI: Eine Windows-Verwaltungskonsole, die für SAP NetWeaver verwendet wird. In diesem Dokument wird sie für die Konfiguration des Agenten und der SAP NetWeaver Virensuche-Schnittstelle verwendet.
sap-architecture=408b596e-53e2-4bdd-8b6a-59a8ef3d6883.png

Konfigurieren Sie die Integration des Server- und Workload Protection-Scanners und SAP NetWeaver

  1. Siehe Unterstützte Funktionen nach Plattform, um Informationen über die Betriebssysteme zu erhalten, die den Scanner unterstützen.
  2. Installieren Sie den Agenten auf einem SAP-Anwendungsserver, der eines der unterstützten Betriebssysteme ausführt. Siehe Agenten installieren‌.
  3. Fügen Sie den SAP-Server zu Server- und Workload Protection hinzu und aktivieren Sie den Agenten auf dem SAP-Server. Siehe Fügen Sie den SAP-Server zu Server- und Workload Protection hinzu und aktivieren Sie den Agenten.
  4. Öffnen Sie den Computer- oder Richtlinien-Editor und gehen Sie zu EinstellungenScanner.
  5. Aktivieren Sie die SAP-Integration. Siehe Sicherheitsprofil zuweisen‌.
  6. Konfigurieren Sie die SAP-Virensuche-Schnittstelle (VSI), indem Sie die folgenden Transaktionen aufrufen:
    • VSCANGROUP
    • VDURCHSUCHEN
    • VSCANPROFILE
    • VSCANTEST
    Siehe Konfigurieren Sie SAP zur Verwendung des Agenten
Abhängig von Ihrem Betriebssystem und Ihrer Umgebung kann die Ausgabe variieren.

Agent installieren

Der Agent wird nur mit der Kernfunktionalität des Agents installiert. Nachdem der Agent auf SUSE Linux Enterprise Server oder Red Hat Enterprise Linux installiert wurde, können Sie Schutzmodule auf dem Agenten aktivieren. Zu diesem Zeitpunkt werden die für die Schutzmodule erforderlichen Plug-ins heruntergeladen und installiert.
  1. Gehen Sie zur Deep Security-Software-Downloadseite und laden Sie das Agentenpaket für Ihr Betriebssystem herunter.
  2. Installieren Sie den Agenten auf dem Zielsystem. Sie können rpm oder zypper verwenden, je nach Betriebssystem. In diesem Beispiel wird rpm verwendet, indem Sie folgendes eingeben: rpm -ihv Agent-Core-SuSE_<version>.x86_64.rpm
  3. Erwarten Sie ein ähnliches Ergebnis wie das folgende:
    sap-agent-install=f06d23d3-bdc7-4883-a95d-ccd58a83121f.png
    Dies zeigt an, dass die Agenteninstallation abgeschlossen ist
Sie können den Agenten auch mit einem Bereitstellungsskript bereitstellen, das von Server- und Workload Protection generiert wurde.
Der Agent ist jetzt auf dem SAP-Server installiert, aber es sind keine Schutzmodule aktiv. Um den Schutz zu aktivieren, müssen Sie den SAP-Server zu Server- und Workload Protection hinzufügen.

Fügen Sie den SAP-Server zu Server- und Workload Protection hinzu und aktivieren Sie den Agenten

Um den SAP-Server hinzuzufügen, öffnen Sie die Server- und Workload Protection-Konsole und klicken Sie auf der Registerkarte Computer auf Neu. Es gibt mehrere Möglichkeiten, den Server hinzuzufügen, einschließlich der Synchronisierung mit Microsoft Active Directory, VMware vCenter, Amazon Web Services oder Microsoft Azure. Sie können den Computer auch mit einem FQDN oder einer IP-Adresse hinzufügen. Weitere Informationen finden Sie unter Informationen zum Hinzufügen von Computern.
Der Status Ihrer Instanz ist entweder Unmanaged (Activation Required) oder Unmanaged (Unknown). Aktivieren Sie als Nächstes den Agenten, bevor Server- und Workload Protection Regeln und Richtlinien zuweisen kann, um den Computer zu schützen. Der Aktivierungsprozess umfasst den Austausch einzigartiger Fingerabdrücke zwischen dem Agenten und Server- und Workload Protection. Es gibt zwei Möglichkeiten, den Agenten zu aktivieren: agenteninitiiert oder managerinitiiert.
Manager-initiated activation: This method requires that Server- und Workload Protection (the manager) can connect to the FQDN or the IP of the agent via the agent's listening port number for heartbeats. This can sometimes be difficult due to NAT port forwarding, firewall, or AWS security groups. To perform manager-initiated activation, go to the Computers tab in the Server- und Workload Protection console, right-click the instance where the agent is installed and click Actions Activate. If you use manager-initiated activation, you should also Protect the agent from unauthorized managers.
Agenteninitiierte Aktivierung: Die agenteninitiierte Methode erfordert, dass der Agent eine Verbindung zu Server- und Workload Protection herstellen kann.
Sie müssen auch die agenteninitiierte Aktivierung von der Server- und Workload Protection-Konsole aus aktivieren, indem Sie auf AdministrationSystem SettingsAgents klicken und Allow Agent-Initiated Activation auswählen.
Als Nächstes verwenden Sie ein lokal ausgeführtes Befehlszeilentool auf dem Agenten, um den Aktivierungsprozess zu starten. Die minimale Aktivierungsanweisung enthält den Aktivierungsbefehl und die Server- und Workload Protection URL (einschließlich der Portnummer):
dsa_control -a dsm://[managerurl]:[port]/
wo:
  • -a ist der Befehl, um den Agenten zu aktivieren, und
  • dsm://managerurl:443/ ist der Parameter, der den Agenten auf Server- und Workload Protection verweist. ("managerurl" ist die URL von Server- und Workload Protection, und "443" ist der Standardport für die Kommunikation zwischen Agent und Manager.)
Die Manager-URL ist der einzige erforderliche Parameter für den Aktivierungsbefehl. Zusätzliche Parameter sind ebenfalls verfügbar. Eine Liste der verfügbaren Parameter finden Sie unter Befehlszeilen-Grundlagen.
Um die Aktivierung zu bestätigen:
  1. Wählen Sie in der Server- und Workload Protection-Konsole die Registerkarte Computer aus.
  2. Klicken Sie auf den Computernamen, dann auf Details und überprüfen Sie, ob der Status des Computers auf Verwaltet steht.

Sicherheitsprofil zuweisen

Zu diesem Zeitpunkt ist der Status des Agenten Managed (Online), aber es ist kein Schutzmodul installiert. Das bedeutet, dass der Agent und Server- und Workload Protection kommunizieren, aber der Agent keine Konfiguration verwendet.
Es gibt mehrere Möglichkeiten, Schutz anzuwenden. In diesem Beispiel wird die Konfiguration direkt auf der SAP-Instanz durchgeführt, indem Anti-Malware und SAP aktiviert und der Standard Scan Configurations zugewiesen werden.
  1. Im Computer- oder Richtlinien-Editor gehen Sie zu Anti-MalwareAllgemein.
  2. Im Abschnitt Anti-Malware setzen Sie Konfiguration auf Aktiviert (oder Inherited On), und klicken Sie dann auf Speichern.
    SAPDemoPage=5d9fdce5-4076-4ffa-a4fb-ffe81be041c7.png
  3. In den Abschnitten Echtzeitsuche, Manuelle Suche oder Zeitgesteuerte Suche setzen Sie die Malware Scan Configuration und Zeitplan, oder erlauben Sie, dass diese Einstellungen von der übergeordneten Richtlinie geerbt werden.
  4. Klicken Sie auf Speichern. Der Status des Anti-Malware-Moduls ändert sich zu Off, installation pending. Dies bedeutet, dass der Agent das erforderliche Modul von Server- und Workload Protection abruft. Damit dies funktioniert, muss der Client auf den Relay über die Portnummer des Relay-Listening-Ports zugreifen. Wenige Augenblicke später sollte der Agent mit dem Herunterladen von Komponentenaktualisierungen wie Anti-Malware-Mustern und Scan-Engines beginnen.
  5. Wählen Sie im Computer-Editor EinstellungenScanner.
  6. Im Abschnitt SAP setzen Sie Konfiguration auf Aktiviert (oder Inherited On), und klicken Sie dann auf Speichern.
Nachdem der Status des Agents erneut auf Managed (Online) wechselt und die Anti-Malware- und Scanner (SAP)-Module Aktiviert sind, können Sie mit der SAP-Konfiguration fortfahren.
SAPComputerOverview=454ec9e6-2cd9-4fb8-ad8b-90d15ab163f7.png

Konfigurieren Sie SAP zur Verwendung des Agents

Der Agent läuft jetzt und kann das Dateisystem seines Betriebssystems durchsuchen. Als Nächstes machen Sie den Agenten mit dem SAP-Anwendungsserver vertraut. Erstellen Sie dazu einen Virensuche-Adapter im Anwendungsserver. Der Virensuche-Adapter muss Teil einer Gruppe sein. Nachdem der Virensuche-Adapter und die Virensuche-Gruppe erstellt wurden, können Sie Virensuche-Profile verwenden, um zu konfigurieren, was durchsucht werden soll und wie das Verhalten sein soll.
Führen Sie Folgendes aus:
  1. Konfigurieren Sie die Scannergruppe
  2. Konfigurieren Sie den Virensuche-Anbieter
  3. Konfigurieren Sie das Virensuche-Profil
  4. Testen Sie die Virensuche-Schnittstelle
Die Virensuche-Gruppe und der Virensuche-Adapter sind beide globale Konfigurationen (Mandant 00). Das Virensuche-Profil muss in jedem Mandanten konfiguriert werden (Mandant 01, 02 usw.).

Konfigurieren Sie die Scannergruppe

  1. Führen Sie im SAP WinGUI die Transaktion VSCANGROUP aus. Klicken Sie im Bearbeitungsmodus auf New Entries.
    sap-vscangroup=3d0bb358-27ae-4f29-9eb7-8a77cad1f2a9.png
  2. Erstellen Sie eine neue Scannergruppe, indem Sie einen Gruppennamen im Scanner Group-Bereich und eine Beschreibung der Scannergruppe im Group Text-Bereich angeben.
    sap-vscangroup-edit=460fe407-7f78-4e5f-ad60-746b71cb5017.png
  3. Klicken Sie auf Speichern oder verlassen Sie den Bearbeitungsmodus.
    Ein Dialog mit dem Namen Prompt for Workbench request erscheint. Im folgenden Beispiel wird eine neue Arbeitsbereichsanfrage erstellt, um alle VSI-bezogenen Änderungen nachzuverfolgen:
    sap-vscangroup-save=d2d9fd65-f890-4278-ab1e-8ac8756e7307.png
Der nächste Schritt ist die eigentliche Konfiguration der VSI-Integration. Sie wird Virus Scan Adapter genannt.

Konfigurieren des Virensuche-Anbieters

  1. Führen Sie im SAP WinGUI die Transaktion VSCAN aus. Klicken Sie im Bearbeitungsmodus auf New Entries.
    sap-vscan=42fa171d-06f1-49c3-8581-cf49279c6289.png
  2. Geben Sie eine Konfiguration für eine VSI-zertifizierte Lösung ein.
    Im folgenden Beispiel werden eine Reihe von Konfigurationsparametern festgelegt:
    sap-vscan-edit=52cc8c9d-fa4c-426a-bb8f-13dec767a51c.png
    Einstellung
    Wert
    Beschreibung
    Anbietertyp
    ADAPTER (Virensuche-Adapter)
    Automatisch festlegen (Standard)
    Anbietername
    VSA_<host name>
    Automatisch festgelegt, dient als Alias
    Scanner-Gruppe
    Wählen Sie die Gruppe aus, die Sie zuvor konfiguriert haben
    Alle zuvor erstellten Scannergruppen, die Sie mit der Eingabehilfe anzeigen können
    Status
    Aktiv (Anwendungsserver)
    Automatisch festlegen (Standard)
    Server
    nplhost_NPL_42
    Automatisch festgelegt, Hostname
    Reinit. Interv.
    8 Stunden
    Gibt die Anzahl der Stunden an, nach denen der Virensuche-Adapter neu initialisiert wird und neue Virusdefinitionen lädt.
    Adapter-Pfad (Linux)
    /lib64/libsapvsa.so
    Standardpfad
    Adapterpfad (Windows)
    C:\Programmdateien\TrendAI™\Deep Security Agent\lib\dsvsa.dll
    Standardpfad
  3. Klicken Sie auf Speichern oder verlassen Sie den Bearbeitungsmodus.
    Eine Aufforderung, dies in eine Werkbankanfrage zu verpacken, erscheint.
  4. Bestätigen Sie die Anfrage und klicken Sie dann auf Starten.
    Die Status-Leuchte wird grün, was bedeutet, dass der Adapter geladen und aktiv ist.
    sap-vscan-save=710d78ef-2a2b-4d1f-81a2-a61a747e9445.png
An diesem Punkt ist die VSI-Konfiguration nahezu abgeschlossen. Der Anwendungsserver ist nun bereit, Dateitransaktionen mit einer von TrendAI™ bereitgestellten Virensuche zu verarbeiten.

Konfigurieren des Virensuche-Profils

  1. Führen Sie im SAP WinGUI die Transaktion VSCANPROFILE aus und wählen Sie dann die SAP-Operation aus, die eine Virensuche erfordert.
    Wählen Sie zum Beispiel Aktiv für /SCET/GUI_UPLOAD oder /SCET/GUI_DOWNLOAD aus und klicken Sie dann auf Speichern.
    sap-vscanprofile=d18ac585-7bf6-4163-9064-611e6d7ebc4a.png
  2. Im Bearbeitungsmodus klicken Sie auf New Entries.
    Die Virensuche-Profile definieren, wie bestimmte Transaktionen (Datei-Uploads, Datei-Downloads usw.) entsprechend der Virensuche-Schnittstelle behandelt werden. Um den zuvor konfigurierten Virensuche-Adapter im Anwendungsserver zu verwenden, müssen Sie ein neues Virensuche-Profil erstellen.
  3. Geben Sie in Scan Profile Z_TMProfile ein und wählen Sie Aktiv, Default Profile und Evaluate Profile Configuration Param aus.
    sap-vscanprofile-edit=7d9f9131-08df-4273-b5ef-c8a7003b6620.png
  4. Während Sie sich noch im Bearbeitungsmodus befinden, doppelklicken Sie auf Steps, um die Schritte zu konfigurieren:
    sap-vscanprofile-steps=4515e0b2-100a-451d-ac95-54cc63c648d9.png
  5. Klicken Sie auf New Entries.
    Die Schritte definieren, was zu tun ist, wenn das Profil durch eine Transaktion aufgerufen wird.
  6. Setzen Sie Position auf 0, Typ auf Gruppe und Scanner Group auf den Namen der Gruppe, die Sie zuvor konfiguriert haben.
  7. Klicken Sie auf Speichern oder verlassen Sie den Bearbeitungsmodus.
    Eine Benachrichtigung erscheint schließlich über ein bestehendes Virensuche-Profil, /SCET/DP_VS_ENABLED.
  8. Ignorieren Sie die Benachrichtigung über ein vorhandenes Profil, da das Profil nicht aktiv ist und nicht verwendet wird.
    Nachdem Sie diese Benachrichtigung bestätigt haben, werden Sie gebeten, diese Konfiguration in einem Anpassungsantrag zu verpacken. Das Erstellen eines neuen Antrags hilft, die vorgenommenen Änderungen nachzuverfolgen:
    sap-vscanprofile-save=9a61387b-0a84-44c9-9af5-ec6c6d065d90.png
  9. Um Konfigurationsparameter für einen Schritt zu erstellen, doppelklicken Sie auf Profile Configuration Parameters, klicken Sie dann auf New Entries und legen Sie die Parameter fest:
    Parameter
    Typ
    Beschreibung
    CUST_ACTIVE_CONTENT
    BOOL
    Überprüfen Sie, ob eine Datei ein Skript (JavaScript, PHP, ASP-Skript) enthält und sperren.
    CUST_CHECK_MIME_TYPE
    BOOL
    		 Überprüfen Sie, ob der Dateinamenerweiterung mit seinem MIME-Typ übereinstimmt. Wenn sie nicht übereinstimmen, wird die Datei gesperrt. Alle MIME-Typen und Erweiterungsnamen können genau übereinstimmen. Zum Beispiel:
    • Word-Dateien müssen .doc oder .dot sein
    • JPEG-Dateien müssen .jpg sein
    • Text- und Binärdateien können jede Erweiterung haben (nicht sperren)
    Siehe Unterstützte MIME-Typen für die integrierte Zuordnungstabelle. Um den Scanner so zu konfigurieren, dass er MIME-Typen oder Dateierweiterungen erkennt, die in der integrierten Tabelle nicht enthalten sind, siehe Benutzerdefinierte MIME-Typ-Zuordnungen hinzufügen.
  10. Doppelklicken Sie auf Step Configuration Parameters. Klicken Sie auf New Entries und legen Sie die Parameter fest:
    Parameter
    Typ
    Beschreibung
    Standard auf Linux
    Standard auf Windows
    SCANBESTEFFORT
    BOOL
    Der Scan sollte nach dem Best-Effort-Prinzip durchgeführt werden; das heißt, alle sicherheitskritischen Flags, die es einem VSA ermöglichen, ein Objekt zu durchsuchen, sollten aktiviert werden, wie SCANALLFILES und SCANEXTRACT, aber auch interne Flags. Details darüber, welche Flags genau dies sind, können in der Zertifizierung gespeichert werden.
    nicht festgelegt
    nicht festgelegt
    ALLEDATEIENSCANNEN
    BOOL
    Durchsucht alle Dateien unabhängig von ihrer Dateierweiterung.
    Deaktiviert
    Deaktiviert
    SCANEXTENSIONS
    CHAR
    List of the file extensions for which the VSA should scan. Only files with the configured extensions are checked. Other extensions are blocked. Wildcards can also be used here to search for patterns. \* stands for this location and following and ? stands for only this character. For example, exe;com;do?;ht* => \`\*\` means to scan all files.
    null
    ""
    SCANLIMIT
    INT
    Diese Einstellung gilt für komprimierte Dateien. Sie legt die maximale Anzahl von Dateien fest, die entpackt und DURCHSUCHT werden sollen.
    INT_MAX
    65535
    SCANEXTRACT
    BOOL
    Archive oder komprimierte Objekte müssen entpackt werden
    aktiviert
    aktiviert
    SCANEXTRACT_GRÖSSE
    SIZE_T
    Maximale Entpackgröße
    0x7FFFFFFF
    62914560 (60 MB)
    SCANEXTRACT_TIEFE
    INT
    Maximale Tiefe, bis zu der ein Objekt entpackt werden soll.
    20
    20
    SCANLOGPATH
    CHAR
    Benutzerdefinierter Protokollpfad für VSA
    Muss ein absoluter Dateipfad zu einer regulären Datei oder zu einem Ort sein, an dem eine reguläre Datei erstellt werden kann. Kann kein ausführbarer Dateipfad sein. Es werden nur begrenzte Protokollnachrichten geschrieben. Zum Beispiel die erkannte Malware.
    Unterstützt von Agentenversionen, die ab dem 2. Mai 2024 veröffentlicht wurden.
    (nicht festgelegt)
    (nicht festgelegt)
    SCANMIMETYPES
    CHAR
    Liste der MIME-Typen, die durchsucht werden sollen. Nur Dateien mit konfigurierten MIME-Typen werden überprüft. Andere MIME-Typen werden gesperrt. Dieser Parameter funktioniert nur, wenn CUST_CHECK_MIME_TYPE aktiviert ist.
    nicht festgelegt
    nicht festgelegt
    BLOCKMIMETYPES
    CHAR
    Liste der zu sperrenden MIME-Typen. Dieser Parameter funktioniert nur, wenn CUST_CHECK_MIME_TYPE aktiviert ist.
    nicht festgelegt
    nicht festgelegt
    BLOCKEXTENSIONS
    CHAR
    Liste der zu blockierenden Dateierweiterungen.
    nicht festgelegt
    nicht festgelegt
Diese Konfiguration ist pro Client, daher muss sie in jedem Mandanten des SAP-Anwendungsservers durchgeführt werden.

Benutzerdefinierte MIME-Typ-Zuordnungen hinzufügen

Der SAP-Scanner verwendet eine integrierte Zuordnungstabelle, die es Ihnen ermöglicht, jeden erkannten MIME-Typ mit einer oder mehreren akzeptierten Dateierweiterungen zu verknüpfen. Wenn der CUST_CHECK_MIME_TYPE-Parameter aktiviert ist, bestimmt der Scanner den tatsächlichen MIME-Typ jeder hochgeladenen Datei, sucht diesen MIME-Typ in der Tabelle und blockiert die Datei, es sei denn, ihre Erweiterung ist für diesen MIME-Typ aufgeführt. Für den Inhalt der integrierten Tabelle siehe Unterstützte MIME-Typen.
Die integrierte Tabelle erkennt keine MIME-Typen oder Dateierweiterungen, die spezifisch für Ihre Organisation sind, einschließlich proprietärer Formate und Dateien, die benutzerdefinierte Erweiterungen verwenden. Infolgedessen werden diese Dateien als MIME-Typ-Unstimmigkeiten gesperrt, wenn CUST_CHECK_MIME_TYPE aktiviert ist. Um diese unerwünschten Sperrungen zu verhindern, ohne die MIME-Typ-Prüfung zu deaktivieren oder den Agenten zu aktualisieren, ergänzen Sie die integrierte Tabelle mit benutzerdefinierten Einträgen. Benutzerdefinierte Einträge ergänzen die integrierte Tabelle; sie ersetzen keine ihrer bestehenden Einträge.
Benutzerdefinierte MIME-Typ-Zuordnungen werden nur auf Linux-SAP-Anwendungsservern unterstützt. Sie haben keine Auswirkungen auf Windows-Agenten.
Sie können benutzerdefinierte Einträge über eine der folgenden Quellen konfigurieren:
  • Richtlinie (empfohlen): Einträge werden in der Server- und Workload Protection-Konsole definiert und auf jeden durch die Richtlinie geschützten SAP-Server angewendet.
  • Lokale INI-Datei: Einträge werden direkt auf einem einzelnen SAP-Server definiert. Verwenden Sie diese Methode, um die Richtlinie auf einem bestimmten Host zu überschreiben oder einen Eintrag anzuwenden, bevor der Agent die aktualisierte Richtlinie erhält.
Wenn beide Quellen Einträge für denselben MIME-Typ definieren, ersetzt der lokale INI-Eintrag den Richtlinieneintrag auf diesem Server. Einträge für andere MIME-Typen werden weiterhin aus der Quelle bezogen, die sie definiert.
Konfiguration durch Richtlinie
  1. In Server- und Workload Protection öffnen Sie den Computer- oder Richtlinien-Editor und gehen Sie zu EinstellungenScanner.
  2. Im Bereich SAP suchen Sie Custom MIME type mappings und fügen Sie für jeden MIME-Typ, den der Scanner erkennen soll, einen Eintrag hinzu. Geben Sie für jeden Eintrag die folgenden Werte an:
    • MIME type: Der vollständige MIME-Typ-String, zum Beispiel application/x-custom.
    • File extensions: Eine durch Kommas getrennte Liste von einer oder mehreren Erweiterungen, die dem MIME-Typ zugeordnet werden sollen, ohne führende Punkte. Erweiterungen werden ohne Berücksichtigung der Groß- und Kleinschreibung abgeglichen. Zum Beispiel, cst, custom.
  3. Klicken Sie auf Speichern. Server- und Workload Protection überprüft jeden Eintrag und lehnt jeden Eintrag ab, der einen leeren MIME-Typ oder eine leere Erweiterungsliste hat. Gültige Einträge werden beim nächsten Heartbeat an den Agenten verteilt und mit der integrierten Zuordnungstabelle zusammengeführt, die der SAP Scanner verwendet.
Der Agent speichert die resultierende Richtlinienkonfiguration unter /var/opt/ds_agent/guests/0000-0000-0000/amvmcfg.xml in folgender Form:
<CustomMimeMappings>
		<CustomMimeMapping mimeType="application/x-custom" extensions=";cst;custom;"/>
		<CustomMimeMapping mimeType="application/vnd.company" extensions=";comp;"/>
		<CustomMimeMapping mimeType="text/x-specialformat" extensions=";spc;special;"/>
</CustomMimeMappings>
Bearbeiten Sie amvmcfg.xml nicht direkt. Der Agent regeneriert die Datei jedes Mal, wenn er ein Richtlinien-Update erhält, und alle manuellen Änderungen werden überschrieben.
Konfiguration über eine lokale INI-Datei
Verwenden Sie die lokale INI-Datei, wenn Sie die Richtlinie auf einem einzelnen SAP-Server überschreiben müssen oder um einen Eintrag anzuwenden, bevor der Agent die aktualisierte Richtlinie erhält.
  1. Erstellen oder bearbeiten Sie auf dem SAP-Server die Datei /var/opt/ds_agent/am/custom_mime.ini.
  2. Fügen Sie jede Zuordnung in einer eigenen Zeile hinzu, indem Sie die folgende Syntax verwenden:
    <mime-type>=;<extension1>;<extension2>;…
    Beispiel:
    application/x-custom=;cst;custom;
		application/vnd.company=;comp;
			text/x-specialformat=;spc;special;
    Die Datei muss den folgenden Formatvorgaben entsprechen:
    • Eine Zuordnung pro Zeile, ohne Abschnittsüberschriften. Das Dateiformat unterscheidet sich von dt.ini.
    • Ein Semikolon am Anfang der Erweiterungsliste, zwischen aufeinanderfolgenden Erweiterungen und am Ende der Liste.
    • Erweiterungen ohne führende Punkte angegeben. Erweiterungen werden ohne Berücksichtigung der Groß- und Kleinschreibung abgeglichen.
  3. Speichern Sie die Datei. Der Agent wendet die neuen Einträge beim nächsten Empfang einer Durchsuchungsanfrage an. Ein Neustart des Agents ist nicht erforderlich.
Wichtig
Wichtig
Wenn derselbe MIME-Typ sowohl in der lokalen INI-Datei als auch in der Richtlinie definiert ist, ersetzt der lokale INI-Eintrag den Richtlinieneintrag auf diesem Server. Alle anderen richtliniendefinierten Einträge bleiben wirksam.
Auswertungsreihenfolge
Wenn CUST_CHECK_MIME_TYPE aktiviert ist, bestimmt der SAP-Scanner den tatsächlichen MIME-Typ jeder hochgeladenen Datei und überprüft dann die Dateierweiterung anhand der verfügbaren Zuordnungsquellen in folgender Reihenfolge:
  1. Der Scanner konsultiert zuerst die integrierte Zuordnungstabelle. Wenn der MIME-Typ der Datei in der integrierten Tabelle vorhanden ist und die Dateierweiterung für diesen MIME-Typ aufgeführt ist, darf die Datei zur nächsten DURCHSUCHEN-Stufe übergehen.
  2. Wenn der MIME-Typ der Datei nicht in der eingebauten Tabelle vorhanden ist, konsultiert der Scanner die benutzerdefinierten Zuordnungen: zuerst die lokale INI-Datei, dann die Richtlinie. Wenn die Dateierweiterung für den erkannten MIME-Typ in einer der Quellen aufgeführt ist, wird die Datei zum Übergehen zugelassen.
  3. Wenn keine Quelle die Kombination aus MIME-Typ und Erweiterung erkennt, blockiert der Scanner die Datei.
Ungültige benutzerdefinierte Einträge – solche mit einem leeren MIME-Typ, einer fehlerhaften Erweiterungsliste oder einer doppelten Definition innerhalb derselben Quelle – werden in /var/opt/ds_agent/diag/ds_am.log protokolliert und ignoriert. Die verbleibenden gültigen Einträge werden weiterhin angewendet.
Fehlerbehebung
  • Um zu überprüfen, ob der Agent die durch die Richtlinie definierten Einträge erhalten hat, untersuchen Sie /var/opt/ds_agent/guests/0000-0000-0000/amvmcfg.xml auf dem SAP-Server. Die Datei sollte ein <CustomMimeMappings>-Element enthalten, das jeden Ihrer Einträge auflistet.
  • Um zu überprüfen, ob die lokale INI-Datei gelesen wird, suchen Sie in /var/opt/ds_agent/diag/ds_am.log nach Einträgen, die sich auf custom_mime.ini beziehen.
  • Wenn eine Datei weiterhin gesperrt bleibt, nachdem Sie eine benutzerdefinierte Zuordnung dafür hinzugefügt haben, führen Sie die SAP-Transaktion VSCANTEST aus und überprüfen Sie die Ausgabe von Content Information. Der vom Scanner erkannte MIME-Typ muss exakt mit dem Wert mimeType in Ihrer Zuordnung übereinstimmen. Der Scanner normalisiert weder die Groß- und Kleinschreibung noch entfernt er umgebende Leerzeichen, sodass jede Abweichung verhindert, dass der Eintrag wirksam wird.

Testen Sie die Virensuche-Schnittstelle

  1. Führen Sie im SAP WinGUI die Transaktion VSCANTEST aus.
    sap-vscantest=46600992-0437-4f38-a42e-d14f4ca3ca1e.png
    Jeder VSI-fähige SAP-Anwendungsserver verfügt auch über einen eingebauten Test, um zu überprüfen, ob die Konfigurationsschritte korrekt durchgeführt wurden. Dazu wird ein EICAR-Testvirus (www.eicar.org) in eine Transaktion gepackt, die einen bestimmten Scanner aufrufen kann.
  2. Wenn Sie nichts ausfüllen, wird das Standardprofil aufgerufen, das im letzten Schritt konfiguriert wurde, also füllen Sie nichts aus.
  3. Klicken Sie auf Ausführen.
    Es erscheint eine Benachrichtigung, die erklärt, was ein EICAR-Testviren ist.
  4. Bestätigen Sie die Benachrichtigung.
    Die Transaktion wird abgefangen:
    sap-vscantest-execute=a928d08a-4a2e-426d-91b0-39ac5c07e995.png
Infektionen zeigt Informationen über die erkannte Malware an.
Content Information zeigt den korrekten MIME-Typ der Datei an.
Der Dateiname ist immer eine zufällig generierte 7-stellige alphabetische Zeichenfolge, gefolgt vom Namen des Virensuche-Profils.
Danach gibt es eine Ausgabe zu jedem Schritt der Transaktion:
  1. Die Transaktion hat das Standard-Virensuche-Profil aufgerufen, welches das Virensuche-Profil Z_TMPROFILE ist.
  2. Das Virensuche-Profil Z_TMPROFILE ist so konfiguriert, dass es einen Adapter aus der Virensuche-Gruppe Z_TMGROUP aufruft.
  3. Die Virensuche-Gruppe Z_TMGROUP hat mehrere Adapter konfiguriert und ruft einen davon auf (in diesem Fall VSA_NPLHOST).
  4. Der Virensuche-Adapter gibt den Wert 2- zurück, was bedeutet, dass ein Virus gefunden wurde.
  5. Informationen über die erkannte Malware werden angezeigt, indem Eicar_test_1 und das Dateiobjekt /tmp/zUeEbZZ_TMPROFILE angezeigt werden.
  6. Das aufgerufene Standard-Virensuche-Profil Z_TMPROFILE schlägt fehl, da Schritt 00 (die Virensuche-Gruppe) nicht erfolgreich war und daher die Dateitransaktion von der weiteren Verarbeitung gestoppt wird.
Zur Überprüfung gibt es auch Informationen zu diesem Malware-Ereignis in der Server- und Workload Protection-Konsole. Um das Ereignis zu sehen, öffnen Sie den Computer-Editor und klicken Sie auf Anti-MalwareEreignisse.

Unterstützte MIME-Typen

Die vom Scanner unterstützten MIME-Typen variieren je nach verwendeter Version des Agents.
Um den Scanner so zu konfigurieren, dass er MIME-Typen oder Dateierweiterungen erkennt, die in dieser Tabelle nicht enthalten sind, ohne den Agenten zu aktualisieren, siehe Benutzerdefinierte MIME-Typ-Zuordnungen hinzufügen.
  • Agent-Version 9.6 verwendet VSAPI 9.85
  • Agent-Version 10.0 verwendet ATSE 9.861
  • Agent-Version 10.1 verwendet ATSE 9.862
  • Agent-Version 10.2, 10.3, 11.0, 11.1 und 11.2 verwendet ATSE 10.000
  • Agent-Version 11.3 und höher verwendet ATSE 11.0.000
MIME-Typ
Beschreibung
Erweiterung
Unterstützt im 9.6-Agent
Unterstützt im Agenten 10.0
Unterstützt in Agent 10.1 und später
application/octet-stream
*
Ja
Ja
Ja
Anwendung/Com
COM-Datei
com
Ja
Ja
Ja
application/ecmascript
EMCScript-Datei
es
Ja
Ja
Ja
application/hta
HTA-Datei
hta
Ja
Ja
Ja
Anwendung/Java-Archiv
Java-Archivdatei (JAR)
JAR
Ja
Ja
Ja
Anwendung/JavaScript
Javascript-Datei
js, jsxinc, jsx
Ja
Ja
Ja
Anwendung/msword
Word für Windows
doc, Punkt
Ja
Ja
Ja
application/vnd.ms-access
MS Access
mdb
Nein
Nein
Nein
application/vnd.ms-project
MS Project
mpp
Nein
Nein
Nein
Anwendung/msword
MS Word
doc, Punkt
Ja
Ja
Ja
application/octet-stream
COM-Datei
com
Ja
Ja
Ja
application/octet-stream
EXE-Datei
exe
Ja
Ja
Ja
application/pdf
Adobe Portable Document Format-Datei
PDF
Ja
Ja
Ja
application/postscript
Postskriptum
ai
Ja
Ja
Ja
application/postscript
Postskriptum
ps
Ja
Ja
Ja
application/postscript
Postskriptum
ps
Ja
Ja
Ja
application/rar
RAR-Datei
rar
Ja
Ja
Ja
application/rtf
Microsoft RTF
RTF
Ja
Ja
Ja
Anwendung/sar
Sar-Datei
sar
Ja
Ja
Ja
application/vnd.ms-excel
Excel für Windows
xls, xlt, xla
Ja
Ja
Ja
application/vnd.ms-outlook
Outlook für Windows
msg
Nein
Ja
Ja
application/vnd.ms-powerpoint
Windows PowerPoint
ppt, pot, pps, ppa
Ja
Ja
Ja
application/vnd.ms-publisher
MS Publisher
pub
Nein
Nein
Ja
application/vnd.oasis.opendocument
Dokument öffnen
odf
Ja
Ja
Ja
application/vnd.openxmlformats-officedocument.presentationml.presentation
MS Office-Datei
pptx, potx, ppsx, ppam, pptm, potm, ppsm
Ja
Ja
Ja
application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
MS Office-Datei
xlsx, xltx, xlsm, xltm, xlam, xlsb
Ja
Ja
Ja
application/vnd.openxmlformats-officedocument.wordprocessingml.document
MS Office-Datei
docx, dotx, docm, dotm
Ja
Ja
Ja
application/vnd.rn-realmedia
Real Media
rm
Ja
Ja
Ja
application/wordperfect
WOrdPerfect
wp, wp5, wp6, wpd, w60, w61
Ja
Ja
Ja
application/x-alf
alf
Ja
Ja
Ja
application/x-arc-komprimiert
ARC-Datei
arc
Ja
Ja
Ja
application/x-bzip2
bZIP-Datei
*
Ja
Ja
Ja
application/x-cpio
CPIO-Datei
*
Ja
Ja
Ja
application/x-director
Macromedia Director Shockwave-Film
dcr
Ja
Ja
Ja
application/x-gzip
Gzip
*
Ja
Ja
Ja
application/xhtml+xml
XHTML
dhtm, dhtml, htm, html, htx, sht, shtm, shtml, stml, xht, xhtm, xhtml, xml, txt
Ja
Ja
Ja
application/x-java-class
JAVA-Applet
Klasse
Ja
Ja
Ja
application/x-kep
kep
Ja
Ja
Ja
application/x-otf
otf
Ja
Ja
Ja
application/x-sapshortcut
sap, sapc
Ja
Ja
Ja
application/x-shockwave-flash
Macromedia Flash
swf
Ja
Ja
Ja
application/x-silverlight-app
PKZIP
xap
Ja
Ja
Ja
application/x-sim
sim
Ja
Ja
Ja
application/x-tar
TAR-Datei
tar
Ja
Ja
Ja
application/x-vbs
*
Ja
Ja
Ja
application/zip
ZIP-Datei
zip, zipx
Ja
Ja
Ja
audio/basic
Audio
snd, au
Ja
Ja
Ja
audio/midi
MIDI
mid, midi, rmi, mdi, kar
Ja
Ja
Ja
audio/x-aiff
Audio Interchange File Format von Apple/SGI
aiff, aif, aifc
Ja
Ja
Ja
audio/x-mpeg-3
MP3
mp3
Ja
Ja
Ja
audio/x-realaudio
Real Audio
ra
Ja
Ja
Ja
audio/x-voc
Creative Voice Format (VOC)
voc
Ja
Ja
Ja
image/bmp
Windows-BMP
bmp
Ja
Ja
Ja
image/gif
GIF
gif
Ja
Ja
Ja
Bild/ico
Windows-Symbol
ico
Ja
Ja
Ja
image/jpeg
JPEG
jpg, jpeg, jpe, jif, jfif, jfi
Ja
Ja
Ja
image/msp
Microsoft Paint
msp
Ja
Ja
Ja
image/png
Portable Network Graphics
png
Ja
Ja
Ja
Bild/ppm
PPM-Bild
ppm
Ja
Ja
Ja
image/svg+xml
svg
Ja
Ja
Ja
image/tiff
TIFF
tif, tiff
Ja
Ja
Ja
image/vnd.ms-modi
Microsoft Dokument Imaging
mdi
Ja
Ja
Ja
image/x-cpt
Corel PhotoPaint
cpt
Ja
Ja
Ja
image/x-pcx
PCX
pcx
Ja
Ja
Ja
image/x-pict
Macintosh-Bitmap
pct
Ja
Ja
Ja
image/x-ras
Sun Raster(RAS)
ras
Ja
Ja
Ja
image/x-wmf
Windows-Metadatei
wmf
Ja
Ja
Ja
text/csv
CSV
csv, txt
Ja
Ja
Ja
text/html
HTML
dhtm, dhtml, htm, html, htx, sht, shtm, shtml, stml, xht, xhtm, xhtml, xml, txt
Ja
Ja
Ja
text/plain
*
Ja
Ja
Ja
text/plain
Textdatei
txt
Ja
Ja
Ja
text/xml
XML
dhtm, dhtml, htm, html, htx, sht, shtm, shtml, stml, xht, xhtm, xhtml, xml, txt
Ja
Ja
Ja
text/xsl
XSL
xsl
Ja
Ja
Ja
unknown/unknown
*
Ja
Ja
Ja
video/mpeg
*
Ja
Ja
Ja
video/quicktime
Quick Time Media
qt
Ja
Ja
Ja
video/x-fli
AutoDesk Animator
fli
Ja
Ja
Ja
video/x-flv
Macromedia Flash FLV Video
flv
Ja
Ja
Ja
video/x-ms-asf
Advanced Streaming Format
asf
Ja
Ja
Ja
video/x-scm
Lotus ScreenCam-Film
scm
Ja
Ja
Ja
text/x-msdos-batch
Eine Batchdatei ist eine Skriptdatei in DOS, OS/2 und Microsoft Windows
bat, cmd, btm, txt
No
No
No