Usando Etiquetas de Sensibilidad MIP en su Política de implementación de Cato DLP

Este artículo explica cómo usar Etiquetas de Sensibilidad de Microsoft desde el marco de Protección de Información de Microsoft (MIP) en su Política de implementación de Cato DLP.

Resumen de Usando Etiquetas MIP con Cato DLP

Puede simplificar la gestión de Control de Datos utilizando su política de Protección de la Información de Microsoft existente para usar con Cato DLP. Usando etiquetas MIP como Tipos de Datos, puede diseñar una Política de implementación de DLP clara y manejable consistente con su política MIP. Esto le permite usar etiquetas MIP para asegurar su información sensible más allá del ecosistema de Azure en todo el tráfico manejado por Cato.

Alto nivel de resumen de Trabajo con Etiquetas MIP

Esta es una descripción de alto nivel del flujo de trabajo para usar etiquetas MIP con DLP:

Crear Etiquetas de Sensibilidad en la Aplicación de Gestión de Cato.
Agregar las etiquetas a Perfiles de Contenido.
Crear reglas DLP para gestionar el acceso al contenido para diferentes usuarios y grupos según Etiquetas de Sensibilidad.

Por ejemplo, si tiene archivos con la etiqueta MIP Clasificada, cree la etiqueta en su Política de implementación de Cato DLP y agréguela al Perfil de contenido Documentos Restringidos. Luego defina una regla DLP que bloquee el acceso para grupos de usuarios sin suficiente autorización de seguridad.

Agregando Etiquetas MIP a la Política de implementación de DLP

Hay dos formas en que puede agregar etiquetas MIP a la Política de implementación de DLP en la Aplicación de Gestión de Cato:

Importación automatizada con un conector API que recupera las etiquetas de su cuenta de Microsoft 365
Configuración manual ingresando los datos de etiqueta requeridos

Escanear Archivos con Etiquetas de Sensibilidad

El motor de DLP escanea en busca de las etiquetas definidas en los metadatos del archivo y no en el contenido real, lo que ayuda a reducir los resultados falsos positivos. El motor aplica la Etiqueta de sensibilidad según la ID de Etiqueta que configure, no según el Nombre. Cuando configura manualmente una etiqueta, asegúrese de que la ID de Etiqueta de la Etiqueta de Sensibilidad coincida exactamente con la ID de la etiqueta MIP.

Para obtener más información sobre cómo encontrar las ID de las etiquetas MIP para la cuenta de su organización, consulte la documentación de Microsoft.

Limitaciones conocidas

El escaneo de DLP para etiquetas de sensibilidad no es compatible con archivos DOCX cifrados.
Para información sobre los requisitos de archivo, consulte What is the Cato DLP Service?

Importación automática de Etiquetas MIP

Puede configurar un conector API en la Aplicación de Gestión de Cato para recuperar automáticamente las etiquetas de sensibilidad de Microsoft existentes para usar como Tipos de Datos personalizados de DLP. El conector obtiene todos los datos necesarios de la etiqueta MIP al mismo tiempo, y hace que las etiquetas estén disponibles para una fácil configuración como Tipos de Datos personalizados. Si hace cambios en la política de etiquetas de sensibilidad en su cuenta de Microsoft 365, puede usar el conector para recuperar su última configuración de etiquetas de sensibilidad, y luego actualizar sus Tipos de Datos de Cato DLP para que coincidan.

Resumen de los Conectores de Microsoft

Para configurar el conector de etiquetas MIP de Cato para obtener las etiquetas de sensibilidad de su organización, primero debe configurar el conector de Microsoft 365 como la aplicación principal para otorgar permisos de lectura para el conector de etiquetas MIP. La aplicación principal solo tiene permisos para gestionar los conectores de Microsoft. Después de configurar el conector de Microsoft 365, puede configurar un conector de etiquetas MIP para recuperar las etiquetas de sensibilidad.

Si desea importar etiquetas de sensibilidad desde las políticas MIP de diferentes sub-organizaciones dentro de su organización, cree un conector de Microsoft 365 separado para cada inquilino de Azure relevante, y luego configure un conector de etiquetas MIP para cada inquilino.

Requisitos Previos

El conector de Microsoft 365 requiere un administrador con el rol de administrador global para otorgar permisos al conector de etiquetas MIP de Cato.

Permisos requeridos para el conector de Etiquetas MIP

Para permitir que el conector de etiquetas MIP recupere las etiquetas de sensibilidad de su cuenta de Microsoft 365, el conector otorga a Cato los siguientes permisos y acciones con Microsoft 365:

Conéctese a las API de Microsoft y lea todas las etiquetas de sensibilidad publicadas y las políticas de etiquetas para una organización
Inicie sesión y lea el perfil del usuario

Configurando los Conectores de Microsoft

Configure un conector de Microsoft 365 principal y luego defina un conector de etiquetas MIP para la cuenta de Microsoft 365 con las etiquetas de sensibilidad que desea usar.

Si su organización configuró una política de API de Seguridad SaaS para aplicaciones de Microsoft, es posible que el conector principal de Microsoft 365 ya esté configurado y aparezca en la página Tipos de Datos y Perfiles. En este caso, solo necesita configurar un conector de etiquetas MIP.

Configurando el Conector de Microsoft 365

Use la Aplicación de Gestión de Cato para crear el conector de aplicación Microsoft 365 SaaS para el inquilino de Azure con las etiquetas MIP de sensibilidad que desea usar. Debe tener las credenciales correctas para autenticar a Microsoft 365 para agregar el conector a su cuenta de Cato.

Para configurar el conector principal de Microsoft 365:

Desde el menú de navegación, seleccione Seguridad > Tipos de Datos y Perfiles, y en la pestaña Configuración seleccione Conectores DLP.
Haga clic en Nuevo. Se abre el panel Nuevo Conector.
Desde el menú desplegable Conector de Aplicación, seleccione la aplicación Microsoft 365.
Ingrese un Nombre del Conector único.
Haga clic en Autorizar y Guardar.

Se abre una nueva pestaña del navegador en la aplicación Microsoft 365.
En la nueva pestaña del navegador, autentíquese en la aplicación Microsoft 365:
1. Seleccione la cuenta de Microsoft para la aplicación Microsoft 365.
  
  De lo contrario, puede haber un error de autenticación de Microsoft.
2. Ingrese la contraseña de la aplicación y apruébela.
3. Aceptar los permisos para permitir a Cato acceder a la aplicación Microsoft 365.
4. La pantalla muestra que ha aplicado correctamente los permisos para la aplicación.
  
  Puede cerrar la pestaña del navegador y regresar a la Aplicación de Gestión de Cato.
La aplicación Microsoft 365 SaaS se agrega a la pantalla Configuraciones de Conectores DLP.

Puede tomar varios segundos para que Microsoft Azure procese la solicitud, por lo que si el Estado muestra Pendiente de consentimiento del usuario, actualice el navegador.

Configurando el Conector de Etiquetas MIP

Use la Aplicación de Gestión de Cato para crear el conector de aplicación SaaS de Etiquetas MIP para el inquilino de Azure con las etiquetas MIP de sensibilidad que desea usar. Debe tener las credenciales correctas para autenticar a Microsoft 365 para agregar el conector a su cuenta de Cato.

Nota

Nota: Al crear un conector API para una aplicación de Microsoft 365, el conector crea un certificado de autenticación que es válido por 3 meses y renueva el certificado 7 días antes del vencimiento.

Para configurar el conector de Etiquetas MIP:

Desde el menú de navegación, seleccione Seguridad > Tipos de Datos y Perfiles, y en la pestaña Configuración seleccione Conectores DLP.
Haga clic en Nuevo. Se abre el panel Nuevo Conector.
Desde el menú desplegable Conector de Aplicación, seleccione la aplicación Etiquetas MIP.
Desde el menú desplegable Inquilino del Conector, seleccione el conector principal de Microsoft 365 para el inquilino con las etiquetas que desea usar.
Ingrese un Nombre del Conector único para el conector de Etiquetas MIP.
Haz clic en Guardar.

Espere al menos 30 segundos para que Microsoft cree la aplicación de conector de Cato en Azure.
Después de que el conector se haya creado correctamente, haga clic en Autorizar.

Se abre una nueva pestaña del navegador en la aplicación Microsoft 365.
En la nueva pestaña del navegador, autentíquese en la aplicación Microsoft 365:
1. Espere al menos 30 segundos para que Microsoft cree la aplicación de conector de Cato en Azure antes de seleccionar la cuenta de Microsoft para la aplicación Microsoft 365.
  
  De lo contrario, puede haber un error de autenticación de Microsoft.
2. Ingrese la contraseña de la aplicación y apruébela.
3. Aceptar los permisos para permitir a Cato acceder a la aplicación Microsoft 365.
4. La pantalla muestra que ha aplicado correctamente los permisos para la aplicación.
  
  Puede cerrar la pestaña del navegador y regresar a la Aplicación de Gestión de Cato.
La aplicación de Etiquetas MIP SaaS se agrega a la pantalla Configuraciones de Conectores DLP.

Puede tomar varios segundos para que Microsoft Azure procese la solicitud, por lo que si el Estado muestra Pendiente de consentimiento del usuario, actualice el navegador.

Comprensión del Estado del Conector

La columna Estado en la pantalla de Configuración de Conectores DLP muestra el estado de la conexión entre la aplicación de Microsoft y su cuenta de Cato. Estas son las explicaciones de los estados:

Conectado - Su cuenta está conectada a la aplicación y está funcionando correctamente
Pendiente de consentimiento del usuario - No se ha otorgado permiso para permitir que Cato acceda a la aplicación Microsoft 365. Para resolver este problema, actualice el navegador. Si el Estado cambia a Conectado, el problema está resuelto, si el Estado no cambia, elimine y recree el conector.
Error - Hay un problema de conectividad, permisos u otro problema con el conector de Microsoft. Eliminar y volver a crear el conector.

Importación de Etiquetas MIP a la Política de implementación de DLP

Recupere las Etiquetas de Sensibilidad MIP de su Cuenta de Microsoft 365 y seleccione las etiquetas que desea usar como Tipos de Datos en su Política de implementación DLP de Cato.

Hacia importar etiquetas MIP a la Política de implementación DLP:

Desde el menú de Navegación, Seleccionar Seguridad > Tipos de Datos & Perfiles, y Seleccionar la pestaña Tipos de Datos.
En Etiquetas de Sensibilidad, haga clic en Nuevo. Se abre el panel Agregar Etiqueta de Sensibilidad.
Seleccione la opción Recuperar etiquetas.
En el menú desplegable Elegir conector, seleccione el conector de Etiquetas MIP para el usuario de Microsoft 365 del que desea recuperar las etiquetas.

El menú desplegable Nombre de Etiqueta Importada se llena con las etiquetas recuperadas.
Desde el menú desplegable Nombre de Etiqueta Importada, seleccione la etiqueta a importar. Los campos requeridos se llenan automáticamente con los Detalles de la etiqueta.
Haga clic en Aplicar.

La etiqueta se agrega a la lista de Etiquetas de Sensibilidad y puede agregarse a un Perfil de contenido como un tipo de Datos de DLP Personalizado.

Configuración Manually MIP Etiquetas en DLP de Cato

También puede elegir Configurar manualmente las etiquetas MIP en la Aplicación de Gestión de Cato. Este Método puede ser conveniente si, por ejemplo, solo necesita unas pocas etiquetas MIP en su Política de implementación DLP de Cato. Configurar las etiquetas bajo Etiquetas de Sensibilidad en la pestaña de Tipos de Datos de la página Tipos de Datos & Perfiles. Para Configurar una nueva etiqueta, ingrese los Detalles para la etiqueta, incluyendo un Nombre, Descripción, y ID de Etiqueta. Asegúrese de que el ID de Etiqueta que ingrese coincida exactamente con el ID de etiqueta MIP.

Hacia Configurar manualmente una Añadir Etiqueta de Sensibilidad:

Desde el menú de Navegación, Seleccionar Seguridad > Tipos de Datos & Perfiles, y Seleccionar la pestaña Tipos de Datos.
En Etiquetas de Sensibilidad, haga clic en Nuevo. Se abre el panel Agregar Etiqueta de Sensibilidad.
Seleccione la opción Etiquetas Personalizadas.
Ingrese el Nombre y la Descripción para la etiqueta.
Ingrese el mismo ID de Etiqueta que el ID de etiqueta MIP.
Haga clic en Aplicar.

La etiqueta se agrega a la lista de Etiquetas de Sensibilidad y puede agregarse a un Perfil de contenido como un tipo de Datos de DLP Personalizado.