SAP NetWeaverとの統合

機能をチェック

1. SAPユーザ環境は、SAP NetWeaverプラットフォームのセキュリティコンポーネントであるSAP Virus Scan Interface (VSI) によって保護されます。 VSIは、ドキュメント、埋め込み画像、およびPDFやOfficeドキュメント内のJavaScriptやスクリプトを含むアクティブコンテンツなど、あらゆる形式のユーザコンテンツを保護するために使用されます。スキャナ機能は、SAP NetWeaverテクノロジおよびSAP HANA®プラットフォームとシームレスに連携します。
2. Server & Workload Protection スキャナ機能は、SAP NetWeaverテクノロジプラットフォームにアップロードされたコンテンツを検索して真の種類を特定し、NetWeaver VSIインタフェースを介してSAPシステムにレポートします。コンテンツ検索は、文書内に埋め込まれたり偽装されたりする可能性のある不正なスクリプトコンテンツから保護します。
3. SAP管理者は、許可する実際のドキュメントタイプに応じてポリシーを設定できます。

Server & Workload Protection およびSAPコンポーネント

• Server & Workload Protection : 管理者がセキュリティポリシーを設定し、 エージェントに保護を適用するために使用するWebベースの集中管理コンソールです。
• [エージェント]: コンピュータに直接配置されるセキュリティエージェント。保護の性質は、各エージェントが Server & Workload Protectionから受信するルールとセキュリティ設定によって異なります。
• [SAP NetWeaver]: SAP統合テクノロジコンピューティングプラットフォーム。 SAP NetWeaverウイルス検索インタフェース (NW-VSI) は、実際の検索を実行するサードパーティ製品のウイルス検索機能を提供します。 NW-VSIインタフェースが有効化されている必要があります。
• [SAP NetWeaver ABAP WinGUI]: SAP NetWeaverで使用されるWindows管理コンソール。本書では、エージェントおよびSAP NetWeaverウイルス検索インタフェースの設定に使用します。

Server & Workload Protection ScannerとSAP NetWeaverの統合の設定

1. Server & Workload Protection アカウントのスキャナ機能を購入します。注文が完了すると、 Server & Workload Protection コンソールにその機能が表示されます。この機能が有効になっているかどうかを確認するには、コンピュータエディタまたはポリシーエディタを開き、 [設定]に移動します。 [Scanner] タブが表示されます。
2. を確認します。サポートされる機能 (プラットフォーム別)ページを参照して、スキャナ機能をサポートするオペレーティングシステムを確認してください。
3. サポートされているいずれかのオペレーティングシステムを実行しているSAPアプリケーションサーバにエージェントをインストールします。参照エージェントのインストール。
4. SAPサーバを Server & Workload Protection に追加し、SAPサーバでエージェントを有効化します。参照SAPサーバを Server & Workload Protection に追加し、エージェントを有効化する。
5. コンピュータまたはポリシーでSAP統合機能を有効にします。参照セキュリティプロファイルの割り当て。
6. 次のトランザクションを呼び出して、SAP Virus Scan Interface (VSI) を設定します。参照エージェントを使用するようにSAPを設定する:
   • VSCANGROUP
   • VSCAN
   • VSCANPROFILE
   • VSCANTEST

注意 使用するOSや環境によっては、ここに記載する出力と若干異なる場合があります。

Agentのインストール

1. に移動します。 Deep Securityソフトウェアのダウンロードページをクリックし、お使いのOS用のエージェントパッケージをダウンロードします。
2. ターゲット システムにエージェントをインストールします。 OS に応じて、rpm または zypper を使用できます。この例では、次のように入力して rpm を使用します。rpm -ihv Agent-Core-SuSE_<version>.x86_64.rpm
3. Agentのインストールが完了したことを通知する次のような出力が表示されます。
   

ヒント Server & Workload Protectionから生成された配信スクリプトを使用して、エージェントを配信することもできます。

SAPサーバを Server & Workload Protection に追加し、エージェントを有効化する

• -aは、エージェントを有効にするコマンドです。
• dsm://managerurl:443/は、エージェントが Server & Workload Protectionを指すパラメータです。 (「managerurl」は Server & Workload ProtectionのURLで、「443」はAgentからManagerへの初期設定の通信ポートです)。

1. Server & Workload Protection コンソールで、 [コンピュータ] タブに移動します。
2. コンピュータ名をクリックし、 [詳細] をクリックして、コンピュータのステータスが [管理対象] になっていることを確認します。

セキュリティプロファイルを割り当てる‌

1. コンピュータエディタまたはポリシーエディタで、[不正プログラム検索] → [一般] 。
2. [不正プログラム検索] セクションで、 [構成] を [オン] (または [継承日]) に設定し、 [保存]をクリックします。
   
3. [リアルタイム検索]、 [手動検索]、または [予約検索] セクションで、 [不正プログラム検索設定] および [予約]を設定するか、これらの設定を親ポリシーから継承できるようにします。
4. [保存]をクリックします。不正プログラム対策モジュールのステータスが [オフ、インストール保留中]に変わります。これは、エージェントが Server & Workload Protectionから必要なモジュールを取得していることを意味します。これを機能させるには、クライアントがネットワーク上のRelayにアクセスする必要があります。 Relayの待機ポート番号。しばらくすると、 エージェントが不正プログラム対策パターンファイルや検索エンジンなどのセキュリティアップデートのダウンロードを開始します。
5. コンピュータエディタで、[設定] → [Scanner] 。
6. [SAP] セクションで、 [構成] を [オン] (または [継承日]) に設定し、 [保存]をクリックします。

エージェントを使用するようにSAPを設定する

1. トレンドマイクロの検索グループを設定する
2. トレンドマイクロのウイルス検索プロバイダを設定する
3. ウイルス検索トレンドマイクロを設定する
4. ウイルス検索インタフェースのテスト

注意 ウイルス検索グループとウイルス検索アダプタはどちらもグローバル設定 (クライアント00) です。ウイルス検索プロファイルは、各テナント (クライアント01、02など) で設定する必要があります。

トレンドマイクロのスキャナグループを設定します。

1. SAP WinGUIで、 [VSCANGROUP] トランザクションを実行します。編集モードで、 [新規エントリ]をクリックします。
   
2. [Scanner Group] 領域にグループ名を指定し、 [グループテキスト] 領域にスキャナグループの説明を指定して、新しいスキャナグループを作成します。
   
3. [保存] アイコンをクリックするか、編集モードを終了します。
   [Prompt for Workbench request] という名前のダイアログボックスが表示されます。次の例では、VSI関連のすべての変更を追跡するために、新しいワークベンチ要求が作成されます。
   

トレンドマイクロのウイルススキャンプロバイダを設定します。

1. SAP WinGUIで、 [VSCAN] トランザクションを実行します。編集モードで、 [新規エントリ]をクリックします。
   
2. VSI認定ソリューションの設定を入力します。
   次の例では、次の設定パラメータが設定されています。
   

   設定	値	説明
   Provider Type	ADAPTER (Virus Scan Adapter)	自動的に設定されます (初期設定)。
   Provider Name	VSA_<host name>	自動的に設定され、エイリアスとして機能します。
   Scanner Group	前の手順で設定したグループを選択します。	入力ヘルプを使用して、以前に作成されたすべてのスキャナグループを表示できます。
   ステータス	Active (Application Server)	自動的に設定されます (初期設定)。
   サーバ	nplhost_NPL_42	自動的に設定されるホスト名です。
   Reinit. Interv.	8 Hours	ウイルススキャンアダプタが再初期化されて新しいウイルス定義がロードされるまでの時間を指定します。
   Adapter Path (Linux)	/lib64/libsapvsa.so	初期設定のパスです。
   Adapter Path (Windows)	C:\Program Files\Trend Micro\Deep Security Agent\lib\dsvsa.dll	初期設定のパスです。

3. [保存] アイコンをクリックするか、編集モードを終了します。
   これをワークベンチ要求にパックするよう求めるプロンプトが表示されます。
4. 要求を確認し、 [開始] ボタンをクリックします。
   ステータスランプが緑色に変わります。これは、アダプタがロードされ、アクティブであることを示します。
   

トレンドマイクロのウイルススキャンプロファイルを設定します。

1. SAP WinGUIで、 [VSCANPROFILE] トランザクションを実行し、ウイルス検索が必要なSAP処理を選択します。
   たとえば、 [/SCET/GUI_UPLOAD] または [/SCET/GUI_DOWNLOAD] の[アクティブ]チェックボックスをオンにして、[保存] アイコンをクリックします。
   
2. 編集モードで、 [新規エントリ]をクリックします。
   ウイルス検索プロファイルでは、特定のトランザクション (ファイルのアップロード、ファイルのダウンロードなど) をウイルス検索インタフェースに応じて処理する方法を定義します。アプリケーションサーバで設定済みのウイルス検索アダプタを使用するには、新しいウイルス検索プロファイルを作成する必要があります。
3. [検索プロファイル] ボックスに「Z_TMProfile」と入力し、 [アクティブ]、 [初期設定プロファイル]、および [プロファイル設定パラメータの評価] の各チェックボックスをオンにします。
   
4. 編集モードで、 [手順] フォルダをダブルクリックして、次の手順を設定します。
   
5. [新規エントリ]をクリックします。
   ステップは、プロファイルがトランザクションから呼び出されたときの動作を定義します。
6. [位置] を「0」に、 [種類] を「Group」に、 [Scanner Group] を前に設定したグループの名前に設定します。
7. [保存] アイコンをクリックするか、編集モードを終了します。
   (最終的に) 既存のウイルス検索プロファイル [/SCET/DP_VS_ENABLED]に関する通知が表示されます。
8. プロファイルはアクティブではなく、使用されていないため、既存のプロファイルに関する通知は無視してください。
   この通知を確認すると、この設定を「カスタマイズ要求」に含めるように求められます。新しい要求を作成すると、加えられた変更を追跡するのに役立ちます。
   
9. ステップの設定パラメータを作成するには、 [プロファイル設定パラメータ] フォルダをダブルクリックし、 [新規エントリ] をクリックしてパラメータを設定します。

   パラメータ	種類	説明
   CUST_ACTIVE_CONTENT	BOOL	ファイルにスクリプト (Java/PHP/ASPスクリプト) とブロックが含まれているかどうかを確認します。
   CUST_CHECK_MIME_TYPE	BOOL	ファイル拡張子名がMIMEタイプと一致しているかどうかを確認します。一致しない場合、ファイルはブロックされます。すべてのMIMEタイプと拡張子名を完全に一致させることができます。例: Wordファイルは.docまたは.dotである必要があります JPEGファイルは.jpgである必要があります テキストファイルとバイナリファイルはどの拡張子でもかまわない (ブロックしない) 参照サポートされているMIMEタイプ。

10. [ステップ設定パラメータ] フォルダをダブルクリックします。 [新規エントリ] をクリックし、パラメータを設定します。

    パラメータ	種類	説明	初期設定 (Linux)	初期設定 (Windows)
    SCANBESTEFFORT	BOOL	検索は「ベストエフォート」方式で実行する必要があります。つまり、SCANALLFILESやSCANEXTRACTなど、VSAによるオブジェクトの検索を許可するすべての (セキュリティクリティカル) フラグを有効にする必要がありますが、内部フラグも有効にする必要があります。これらのフラグの詳細は、証明書に保存できます。	(未設定)	(未設定)
    SCANALLFILES	BOOL	ファイル拡張子に関係なくすべてのファイルをスキャンします。	無効	無効
    SCANEXTENSIONS	CHAR	VSAが検索するファイル拡張子のリスト。設定された拡張子を持つファイルのみがチェックされます。他の拡張機能はブロックされます。ここでワイルドカードを使用してパターンを検索することもできます。 \*はこの場所と次の場所を表し、?は、この文字のみを表します。たとえば、exe;com;do?;ht\* => \`\*\`は、すべてのファイルを検索することを意味します。	null	""
    SCANLIMIT	INT	この設定は、圧縮ファイルに適用されます。解凍して検索するファイルの最大数を指定します。	INT_MAX	65535
    SCANEXTRACT	BOOL	アーカイブまたは圧縮オブジェクトを解凍します。	有効	有効
    SCANEXTRACT_SIZE	SIZE_T	最大解凍サイズです。	0x7FFFFFFF	62914560 (60MB)
    SCANEXTRACT_DEPTH	INT	オブジェクトが解凍される最大の深さ (階層) です。	20	20
    SCANMIMETYPES	CHAR	検索対象のMIMEタイプのリスト。 MIMEタイプが設定されているファイルのみがチェックされます。他のMIMEタイプはブロックされます。このパラメータは、CUST_CHECK_MIME_TYPEが有効な場合にのみ機能します。	(未設定)	(未設定)
    BLOCKMIMETYPES	CHAR	ブロックするMIMEタイプのリスト。このパラメータは、CUST_CHECK_MIME_TYPEが有効な場合にのみ機能します。	(未設定)	(未設定)
    BLOCKEXTENSIONS	CHAR	ブロックするファイル拡張子のリスト。	(未設定)	(未設定)

ウイルススキャンインタフェースをテストします。

1. SAP WinGUIで、 [VSCANTEST] トランザクションを実行します。
   
   すべてのVSI対応SAPアプリケーションサーバには、設定手順が正しく実行されたかどうかを確認するためのテストも組み込まれています。このために、EICARテストウイルス (www.eicar.org) がトランザクションに組み込まれ、特定のスキャナを呼び出すことができます。
2. 何も入力しないと、前の手順で設定した初期設定のプロファイルが呼び出されるため、何も入力しないでください。
3. [実行] をクリックします。
   EICARテストウイルスについて説明する通知が表示されます。
4. 通知を確認します。
   トランザクションがインターセプトされました:
   

1. トランザクションが初期設定のウイルススキャンプロファイル (Z_TMPROFILE) を呼び出します。
2. ウイルススキャンプロファイルZ_TMPROFILEは、ウイルススキャングループZ_TMGROUPからアダプタを呼び出すように設定されています。
3. ウイルススキャングループZ_TMGROUPには複数のアダプタが設定されており、そのうちの1つが呼び出されます (この例ではVSA_NPLHOST)。
4. ウイルススキャンアダプタから、ウイルスが見つかったことを示す値「2-」が返されます。
5. 検出された不正プログラムに関する情報として、Eicar_test_1およびファイルオブジェクト/tmp/zUeEbZZ_TMPROFILEが表示されます。
6. ステップ00 (ウイルススキャングループ) が失敗してファイルトランザクションの処理が停止されたため、呼び出された初期設定のウイルススキャンプロファイルZ_TMPROFILEが失敗します。

サポートされているMIMEタイプ

• Agentバージョン9.6ではVSAPI 9.85を使用
• Agentバージョン10.0ではATSE 9.861を使用
• Agentバージョン10.1ではATSE 9.862を使用
• Agentバージョン10.2、10.3、11.0、11.1、および11.2ではATSE 10.000を使用します。
• Agentバージョン11.3以降ではATSE 11.0.000を使用