Usando etiquetas de sensibilidad MIP en su política de DLP Cato

Este artículo explica cómo utilizar las etiquetas de sensibilidad de Microsoft del marco de trabajo de Microsoft Information Protection (MIP) en su política de DLP de Cato.

Visión General de Usando Etiquetas de Sensibilidad con Cato DLP

Puede simplificar la administración de control de datos aprovechando su política de protección de información de Microsoft existente para usarla con Cato DLP. Al utilizar etiquetas MIP como tipos de datos, puede diseñar una política de DLP clara y manejable, coherente con su política MIP. Esto le permite usar etiquetas MIP para asegurar su información confidencial más allá del ecosistema de Azure en todo el tráfico manejado por Cato.

Visión General de Alto Nivel de Trabajando con Etiquetas de Sensibilidad

Esta es una descripción de alto nivel del flujo de trabajo para usar etiquetas MIP con DLP:

Cree Etiquetas de Sensibilidad en la Cato Management Application.
Añada las etiquetas a Perfiles de Contenido.
Cree reglas de DLP para gestionar el acceso al contenido para diferentes usuarios y grupos según las Etiquetas de Sensibilidad.

Por ejemplo, si tiene archivos con la etiqueta MIP Clasificada, cree la etiqueta en su política de DLP de Cato y agréguela al Perfil de Contenido Documentos Restringidos. Luego defina una regla de DLP que bloquee el acceso para grupos de usuarios sin la autorización de seguridad suficiente.

Añadir Etiquetas de Sensibilidad a la Política de DLP

Existen dos maneras de agregar etiquetas MIP a la política de DLP en la Cato Management Application:

Importación automatizada con un conector API que recupera las etiquetas de su cuenta de Microsoft 365
Configuración manual ingresando los datos requeridos de la etiqueta

Escaneo de Archivos con Etiquetas de Sensibilidad

El motor de DLP busca las etiquetas definidas en los metadatos del archivo y no en el contenido real, lo que ayuda a reducir los resultados de falsos positivos. El motor aplica la Etiqueta de Sensibilidad de acuerdo con la ID de Etiqueta que configure, no de acuerdo con el Nombre. Cuando configure manualmente una etiqueta, asegúrese de que la ID de Etiqueta de la Etiqueta de Sensibilidad coincida exactamente con la ID de la etiqueta MIP.

Para obtener más información sobre cómo encontrar las ID de las etiquetas MIP para la cuenta de su organización, consulte la documentación de Microsoft.

Limitaciones conocidas

El escaneo de DLP para etiquetas de sensibilidad no es compatible con archivos DOCX encriptados
El límite de tamaño de archivo para la inspección de contenido está entre 1KB y 20MB, incluyendo los metadatos
Los archivos más grandes o más pequeños no se inspeccionan en absoluto

Importación automática de etiquetas MIP

Puede configurar un conector API en la Cato Management Application para recuperar automáticamente sus etiquetas de sensibilidad de Microsoft existentes para usarlas como tipos de datos personalizados de DLP. El conector recupera todos los datos necesarios de la etiqueta MIP al mismo tiempo, y hace que las etiquetas estén disponibles para una fácil configuración como tipos de datos personalizados. Si realiza cambios en la política de etiquetas de sensibilidad en su cuenta de Microsoft 365, puede usar el conector para recuperar su última configuración de etiquetas de sensibilidad y luego actualice sus tipos de datos de DLP de Cato para que coincidan.

Descripción general de los conectores de Microsoft

Para configurar el conector de etiquetas MIP de Cato para recuperar las etiquetas de sensibilidad de su organización, primero necesita configurar el conector de Microsoft 365 como la aplicación principal para otorgar permisos de lectura para el conector de etiquetas MIP. La aplicación principal solo tiene permisos para gestionar los conectores de Microsoft. Después de configurar el conector de Microsoft 365, puede configurar un conector de etiquetas MIP para recuperar las etiquetas de sensibilidad.

Si desea importar etiquetas de sensibilidad de las políticas MIP de diferentes sub-organizaciones dentro de su organización, cree un conector de Microsoft 365 separado para cada inquilino de Azure relevante y luego configure un conector de etiquetas MIP para cada inquilino.

Requisitos Previos

El conector de Microsoft 365 requiere un administrador con el rol de administrador global para otorgar permisos al conector de etiquetas MIP de Cato.

Permisos requeridos para el conector de etiquetas MIP

Para permitir que el conector de etiquetas MIP recupere las etiquetas de sensibilidad de su cuenta de Microsoft 365, el conector otorga a Cato los siguientes permisos y acciones con Microsoft 365:

Conéctese a las API de Microsoft y lea todas las etiquetas de sensibilidad publicadas y políticas de etiquetas para una organización
Inicie sesión y lea el perfil de usuario

Configuración de los conectores de Microsoft

Configure un conector de Microsoft 365 principal y luego defina un conector de etiquetas MIP para la cuenta de Microsoft 365 con las etiquetas de sensibilidad que desea utilizar.

Si su organización configuró una Política de API de Seguridad SaaS para aplicaciones de Microsoft, el conector principal de Microsoft 365 relevante ya puede estar configurado y aparecer en la página Tipos de Datos & Perfiles. En este caso, solo necesita configurar un conector de etiquetas MIP.

Configuración del conector de Microsoft 365

Utilice la Cato Management Application para crear el conector de aplicación SaaS de Microsoft 365 para el inquilino de Azure con las etiquetas de sensibilidad MIP que desea utilizar. Debe tener las credenciales correctas para autenticar a Microsoft 365 para agregar el conector a su cuenta de Cato.

Para configurar el conector principal de Microsoft 365:

Desde el menú de navegación, seleccione Seguridad > Tipos de Datos & Perfiles, y en la pestaña Configuración seleccione Conectores DLP.
Haga clic en New. Se abre el panel New Connector.
En el menú desplegable SaaS Application, seleccione la aplicación Microsoft 365.
Ingrese un Connector Name único.
Haga clic en Authorize and Save.

Se abre una nueva pestaña de navegador para la aplicación Microsoft 365.
En la nueva pestaña del navegador, autentíquese en la aplicación Microsoft 365:
1. Seleccione la cuenta de Microsoft para la aplicación Microsoft 365.
  
  De lo contrario, puede haber un error de autenticación de Microsoft.
2. Ingrese la contraseña para la aplicación y apruébela.
3. Aceptar los permisos para permitir que Cato acceda a la aplicación Microsoft 365.
4. La pantalla muestra que ha aplicado correctamente los permisos para la aplicación.
  
  Puede cerrar la pestaña del navegador y regresar a la Cato Management Application.
La aplicación SaaS de Microsoft 365 se agrega a la pantalla de DLP Connectors Settings.

Microsoft Azure puede tardar varios segundos en procesar la solicitud, por lo que si el Status muestra Pending user consent, actualice el navegador.

Configuración del conector de Etiquetas MIP

Utilice la Cato Management Application para crear el conector de aplicación SaaS de Etiquetas MIP para el inquilino de Azure con las etiquetas de sensibilidad MIP que desea utilizar. Debe tener las credenciales correctas para autenticar a Microsoft 365 para agregar el conector a su cuenta de Cato.

Nota

Nota: Cuando cree un conector API para una aplicación de Microsoft 365, el conector crea un certificado de autenticación que es válido por 3 meses, y renueva el certificado 7 días antes de la expiración.

Para configurar el conector de Etiquetas MIP:

Desde el menú de navegación, seleccione Seguridad > Tipos de Datos & Perfiles, y en la pestaña Configuración seleccione Conectores DLP.
Haga clic en New. Se abre el panel New Connector.
En el menú desplegable Saas Application, seleccione la aplicación de Etiquetas MIP.
En el menú desplegable Connector Tenant, seleccione el conector principal de Microsoft 365 para el inquilino con las etiquetas que desea usar.
Introduzca un Connector Name único para el conector de Etiquetas MIP.
Haz clic en Guardar.

Espere al menos 30 segundos para que Microsoft cree la aplicación conector de Cato en Azure.
Después de que se cree exitosamente el conector, haga clic en Autorizar.

Se abre una nueva pestaña de navegador para la aplicación Microsoft 365.
En la nueva pestaña del navegador, autentíquese en la aplicación Microsoft 365:
1. Espere al menos 30 segundos para que Microsoft cree la aplicación conector de Cato en Azure, antes de seleccionar la cuenta de Microsoft para la aplicación Microsoft 365.
  
  De lo contrario, puede haber un error de autenticación de Microsoft.
2. Ingrese la contraseña para la aplicación y apruébela.
3. Aceptar los permisos para permitir que Cato acceda a la aplicación Microsoft 365.
4. La pantalla muestra que ha aplicado correctamente los permisos para la aplicación.
  
  Puede cerrar la pestaña del navegador y regresar a la Cato Management Application.
La aplicación Saas de Etiquetas MIP se agrega a la pantalla de DLP Connectors Settings.

Microsoft Azure puede tardar varios segundos en procesar la solicitud, por lo que si el Status muestra Pending user consent, actualice el navegador.

Comprender el estado del conector

La columna de Status en la pantalla de DLP Connectors Settings muestra el estado de la conexión entre la aplicación de Microsoft y su cuenta de Cato. Estas son las explicaciones de los estados:

Connected - Su cuenta está conectada a la aplicación y está funcionando correctamente
Pending user consent - No se han otorgado permisos para permitir que Cato acceda a la aplicación Microsoft 365. Para resolver este problema, actualice el navegador. Si el Status cambia a Connected, el problema se resuelve, si el Status no cambia, elimine y vuelva a crear el conector.
Error - Hay un problema de conectividad, permisos u otro con el conector de Microsoft. Elimine y vuelva a crear el conector.

Importación de etiquetas MIP a la política de DLP

Recupere las etiquetas de sensibilidad MIP de su cuenta de Microsoft 365 y seleccione las etiquetas que desea utilizar como tipos de datos en su política de DLP de Cato.

Para importar etiquetas MIP a la política DLP:

Desde el menú de navegación, seleccione Seguridad > Tipos de Datos & Perfiles, y seleccione la pestaña Tipos de Datos.
En Etiquetas de Sensibilidad, haga clic en Nuevo. Se abre el panel Agregar Etiqueta de Sensibilidad.
Seleccione la opción Recuperar Etiquetas.
En el menú desplegable Elegir Conector, seleccione el conector de Etiquetas MIP para el tenant de Microsoft 365 del cual desea recuperar etiquetas.

El menú desplegable Nombre de la Etiqueta Importada se llena con las etiquetas recuperadas.
Desde el menú desplegable Nombre de la Etiqueta Importada, seleccione la etiqueta a importar. Los campos requeridos se llenan automáticamente con los detalles de la etiqueta.
Haga clic en Aplicar.

La etiqueta se agrega a la lista de Etiquetas de Sensibilidad y puede agregarse a un Perfil de Contenido como un tipo de datos DLP personalizado.

Configuración Manual de Etiquetas MIP en Cato DLP

También puede optar por configurar manualmente las etiquetas MIP en la Aplicación de Gestión Cato. Este método podría ser conveniente si, por ejemplo, solo necesita unas pocas etiquetas MIP en su política DLP de Cato. Configure las etiquetas bajo Etiquetas de sensibilidad en la pestaña Tipos de Datos de la página Tipos de Datos & Perfiles. Para configurar una nueva etiqueta, ingrese los detalles para la etiqueta, incluyendo un Nombre, Descripción y ID de Etiqueta. Asegúrese de que el ID de Etiqueta que ingrese coincida exactamente con el ID de etiqueta MIP.

Para configurar manualmente una Etiqueta de Sensibilidad:

Desde el menú de navegación, seleccione Seguridad > Tipos de Datos & Perfiles, y seleccione la pestaña Tipos de Datos.
En Etiquetas de Sensibilidad, haga clic en Nuevo. Se abre el panel Agregar Etiqueta de Sensibilidad.
Seleccione la opción Etiquetas Personalizadas.
Ingrese el Nombre y la Descripción para la etiqueta.
Ingrese el mismo ID de Etiqueta que el ID de etiqueta MIP.
Haga clic en Aplicar.

La etiqueta se agrega a la lista de Etiquetas de Sensibilidad y puede agregarse a un Perfil de Contenido como un tipo de datos DLP personalizado.