與 SAP NetWeaver 整合

運作方式

1. SAP 客戶環境通過 SAP 病毒掃瞄介面 (VSI) 來保護，這是 SAP NetWeaver 平台的安全組件。VSI 用於保護所有形式的客戶內容，包括文件、嵌入的圖像和包括 JavaScript 和 PDF 及 Office 文件中的腳本在內的活動內容。掃瞄器功能與 SAP NetWeaver 技術和 SAP HANA® 平台無縫協作。
2. Server & Workload Security保護 掃描器功能會掃描上傳到 SAP NetWeaver 技術平台的內容，以確定其真實類型，並通過 NetWeaver VSI 介面將其報告給 SAP 系統。內容掃描可防止可能嵌入或偽裝在文件中的惡意腳本內容。
3. 然後，SAP 管理員可以根據應允許的實際文件類型來設定政策。

Server & Workload Security保護 和 SAP 元件

• Server & Workload Security保護：管理員用來配置安全性政策並部署保護至代理程式的集中式 Web-based 管理主控台。
• Agent：直接部署在電腦防護上的 Security Agent。該保護的性質取決於每個代理從Server & Workload Security保護接收的規則和安全設置。
• SAP NetWeaver：SAP整合技術計算平台。SAP NetWeaver病毒掃瞄介面（NW-VSI）為執行實際掃瞄的第三方產品提供病毒掃瞄功能。必須啟用NW-VSI介面。
• SAP NetWeaver ABAP WinGUI：用於 SAP NetWeaver 的 Windows 管理控制台。在本文檔中，它用於配置代理和 SAP NetWeaver 病毒掃瞄介面。

在 Server & Workload Security保護 掃描器和 SAP NetWeaver 之間設置整合

1. 為您的Server & Workload Security保護帳戶購買掃描器功能。訂單完成後，您將能夠在您的Server & Workload Security保護控制台中看到該功能。要檢查該功能是否已啟動，請打開電腦防護或策略編輯器並前往設定。您應該會看到一個Scanner標籤。
2. 請查看各平台支援的功能頁面，以了解哪些作業系統支援掃描器功能。
3. 在執行受支持作業系統之一的 SAP 應用伺服器上安裝代理程式。請參閱 安裝代理程式。
4. 將 SAP 伺服器新增至 Server & Workload Security保護 並在 SAP 伺服器上啟用代理程式。請參閱 將 SAP 伺服器新增至 Server & Workload Security保護 並啟用代理程式。
5. 在電腦防護或政策中啟用 SAP 整合功能。請參閱 指派安全性設定檔。
6. 透過呼叫以下交易來配置 SAP 病毒掃瞄介面 (VSI)。請參閱 配置 SAP 以使用代理：
   • VSCANGROUP
   • VSCAN
   • VSCANPROFILE
   • VSCANTEST

注意 根據您的作業系統和環境，您看到的輸出可能與本文中顯示的略有不同。

安裝代理程式

1. 前往Deep Security 軟體下載頁面並下載適用於您作業系統的代理程式套件。
2. 在目標系統上安裝代理程式。您可以根據作業系統使用 rpm 或 zypper。在此範例中，使用 rpm，輸入：rpm -ihv Agent-Core-SuSE_<version>.x86_64.rpm
3. 您應該會看到類似於此範例中顯示的輸出，這表示代理程式安裝已完成：
   

秘訣 您也可以使用從Server & Workload Security保護生成的部署程式檔來部署代理程式。

將 SAP 伺服器新增至 Server & Workload Security保護 並啟用代理程式

• -a 是啟動代理的命令，並且
• dsm://managerurl:443/ 是將代理指向 Server & Workload Security保護 的參數。（"managerurl" 是 Server & Workload Security保護 的 URL，而 "443" 是代理與管理器通信的預設端口。）

1. 在 Server & Workload Security保護 主控台中，轉到 Computers 標籤。
2. 點選電腦名稱，然後點選詳細資訊，並檢查電腦的狀態是否為「已管理」。

指派安全設定檔

1. 在電腦防護或政策編輯器中，前往Anti-Malware → General。
2. 在惡意程式防護部分，將Configuration設置為開啟（或Inherited On），然後點選儲存。
   
3. 在即時掃瞄、手動掃瞄或預約掃瞄部分，設置Malware Scan Configuration和Schedule，或允許這些設置從父策略繼承。
4. 點選 儲存。惡意程式防護模組的狀態會變更為 Off, installation pending。這表示代理程式正在從 Server & Workload Security保護 取得所需的模組。為了使其正常運作，客戶端需要存取 中繼站的監聽通訊埠號碼。稍後，代理程式應該會開始下載安全性更新，例如惡意程式防護模式和掃瞄引擎。
5. 在電腦防護編輯器中，前往Settings → Scanner。
6. 在SAP部分，將Configuration設置為開啟（或Inherited On），然後點選儲存。

配置 SAP 以使用代理程式

1. 配置趨勢科技掃描器群組
2. 設定趨勢科技病毒掃瞄提供者
3. 設定趨勢科技病毒掃瞄設定檔
4. 測試病毒掃瞄介面

注意 病毒掃瞄組和病毒掃瞄適配器都是全域配置（客戶端 00）。病毒掃瞄配置檔必須在每個租戶（客戶端 01、02 等）中配置。

設定趨勢科技掃描器群組

1. 在 SAP WinGUI 中，執行 VSCANGROUP 交易。在編輯模式下，點選 New Entries。
   
2. 在Scanner Group區域指定群組名稱，並在Group Text區域描述掃描器群組，以建立新的掃描器群組。
   
3. 點選儲存圖示或離開編輯模式。
   將會出現一個名為「提示工作台請求」的對話框。在下方顯示的範例中，創建了一個新的工作台請求來跟蹤所有與 VSI 相關的變更：
   

配置趨勢科技病毒掃瞄提供者

1. 在 SAP WinGUI 中，執行 VSCAN 交易。在編輯模式下，點選 New Entries。
   
2. 輸入VSI認證解決方案的配置。
   在以下範例中，設定了以下配置參數：
   

   設定	值	說明
   提供者類型	ADAPTER (病毒掃瞄適配器)	自動設定（預設）
   提供者名稱	VSA_<主機名稱>	自動設置，作為別名
   掃描器群組	選擇您先前配置的群組	所有先前建立的掃描器群組，您可以使用輸入幫助來顯示
   狀態	啟用（應用伺服器）	自動設定（預設）
   伺服器	nplhost_NPL_42	自動設定，主機名稱
   重新初始化間隔	8 小時	指定病毒掃瞄適配器重新初始化並加載新病毒定義的時間（以小時為單位）。
   適配器路徑 (Linux)	/lib64/libsapvsa.so	預設路徑
   適配器路徑 (Windows)	C:\Program Files\Trend Micro\Deep Security Agent\lib\dsvsa.dll	預設路徑

3. 點選儲存圖示或離開編輯模式。
   提示將此打包成工作台請求。
4. 確認請求，然後點選Start按鈕。
   狀態燈變為綠色，表示適配器已加載並處於活動狀態。
   

配置趨勢科技病毒掃瞄設定檔

1. 在 SAP WinGUI 中，運行 VSCANPROFILE 交易，然後選擇需要病毒掃瞄的 SAP 操作。
   例如，勾選/SCET/GUI_UPLOAD或/SCET/GUI_DOWNLOAD的「啟用」核取方塊，然後點選儲存圖示。
   
2. 在編輯模式中，點選New Entries。
   病毒掃瞄設定檔將定義如何處理特定交易（檔案上傳、檔案下載等），以對應病毒掃瞄介面。要在應用伺服器中使用先前配置的病毒掃瞄適配器，您需要創建一個新的病毒掃瞄設定檔：
3. 在Scan Profile框中，輸入 "Z_TMProfile" 並選擇Active、Default Profile 和Evaluate Profile Configuration Param複選框。
   
4. 在仍處於編輯模式時，雙擊Steps資料夾以配置步驟：
   
5. 點選 New Entries。
   當交易調用配置檔時，這些步驟定義了應該做什麼。
6. 將Position設為 "0"，將Type設為 "Group"，並將Scanner Group設為您先前配置的群組名稱。
7. 點選儲存圖示或離開編輯模式。
   一則關於現有病毒掃瞄設定檔的通知將（最終）出現，/SCET/DP_VS_ENABLED。
8. 暫不處理關於現有配置檔的通知，因為該配置檔未啟用且未使用。
   確認此通知後，您將被要求將此配置打包到「自訂請求」中。創建新請求將有助於跟蹤已做出的更改：
   
9. 要為步驟建立配置參數，請雙擊Profile Configuration Parameters資料夾，然後點選New Entries並設置參數：

   參數	類型	說明
   CUST_ACTIVE_CONTENT	布林值	檢查檔案是否包含腳本（JavaScript、PHP 或 ASP 腳本）並封鎖
   CUST_CHECK_MIME_TYPE	布林值	檢查檔案副檔名是否與其 MIME 類型匹配。如果不匹配，該檔案將被已封鎖。所有 MIME 類型和副檔名都可以精確匹配。例如： Word 檔案必須是 .doc 或 .dot JPEG 檔案必須是 .jpg 文字和二進位檔案可以是任何副檔名（不會封鎖） 請參閱 支援的 MIME 類型。

10. 雙擊 Step Configuration Parameters 資料夾。點選 New Entries 並設置參數：

    參數	類型	說明	預設 (Linux)	預設 (Windows)
    最佳掃描效果	布林值	應該以「盡力而為」的方式進行掃瞄；也就是說，應該啟用所有允許 VSA 掃瞄物件的（安全關鍵）標誌，例如 SCANALLFILES 和 SCANEXTRACT，還有內部標誌。這些標誌的具體細節可以存儲在認證中。	（未設定）	（未設定）
    掃描所有檔案	布林值	掃描所有檔案，不論其副檔名。	已停用	已停用
    掃描擴展	字元	VSA 應掃瞄的副檔名列表。只有具有配置副檔名的檔案會被檢查。其他副檔名將被已封鎖。此處也可以使用萬用字元來搜尋模式。\* 代表此位置及後續，? 代表僅此字元。例如，exe;com;do?;ht\* => \`\*\` 表示掃瞄所有檔案。	null	""
    掃描限制	整數	此設定適用於壓縮檔案。它指定將被解壓縮和掃描的最大檔案數量。	INT_MAX	65535
    掃描提取	布林值	存檔或壓縮物件將被解壓縮	已啟動	已啟動
    SCANEXTRACT_SIZE	SIZE_T	最大解壓縮大小	0x7FFFFFFF	62914560 (60 MB)
    SCANEXTRACT_DEPTH	整數	要解壓縮物件的最大深度。	20	20
    掃描MIME類型	字元	要掃描的 MIME 類型列表。僅檢查配置的 MIME 類型的文件。其他 MIME 類型將被已封鎖。此參數僅在 CUST_CHECK_MIME_TYPE 已啟動時有效。	（未設定）	（未設定）
    BLOCKMIMETYPES	字元	將被已封鎖的 MIME 類型列表。此參數僅在 CUST_CHECK_MIME_TYPE 已啟動時有效。	（未設定）	（未設定）
    BLOCKEXTENSIONS	字元	將被已封鎖的副檔名列表。	（未設定）	（未設定）

測試病毒掃瞄介面

1. 在 SAP WinGUI 中，執行 VSCANTEST 交易。
   
   每個支持VSI的SAP應用伺服器也有內建測試，以檢查配置步驟是否正確完成。為此，會在一個可以調用特定掃描器的交易中打包一個EICAR測試病毒（www.eicar.org）。
2. 不填寫任何內容將會調用在上一步配置的預設設定檔，因此請勿填寫任何內容。
3. Click Execute.
   出現一個通知，說明什麼是 EICAR 測試病毒。
4. 確認通知。
   交易已被攔截：
   

1. 該交易調用了默認病毒掃瞄配置檔，即病毒掃瞄配置檔 Z_TMPROFILE。
2. 病毒掃瞄設定檔 Z_TMPROFILE 被配置為從病毒掃瞄群組 Z_TMGROUP 調用一個適配器。
3. 病毒掃瞄群組 Z_TMGROUP 已配置多個適配器，並調用其中一個（在本例中為 VSA_NPLHOST）。
4. 病毒掃瞄適配器返回值2-，表示發現了病毒。
5. 有關偵測到的惡意程式的資訊顯示為 Eicar_test_1 和檔案物件 /tmp/ zUeEbZZ_TMPROFILE。
6. 所呼叫的預設病毒掃瞄設定檔 Z_TMPROFILE 失敗，因為步驟 00（病毒掃瞄群組）未成功，因此檔案交易已停止進一步處理。

支援的 MIME 類型

• 代理程式版本 9.6 使用 VSAPI 9.85
• 代理程式版本 10.0 使用 ATSE 9.861
• 代理程式版本 10.1 使用 ATSE 9.862
• 代理程式版本 10.2、10.3、11.0、11.1 和 11.2 使用 ATSE 10.000
• 代理程式版本 11.3 及更高版本使用 ATSE 11.0.000