Este artículo proporciona una visión general y información de antecedentes sobre el servicio API de Protección de Datos fuera de banda de Cato para monitorear y controlar el tráfico hacia las aplicaciones cloud SaaS autorizadas.
Nota
Nota: Por favor, contáctese SaaSecAPI@catonetworks.com o su Revendedor oficial de Cato para más información sobre el uso de la política de Protección de Datos API.
La API de Protección de Datos proporciona visibilidad fuera de banda y control para aplicaciones cloud autorizadas. Otras características de seguridad (como CASB) solo pueden controlar y monitorear el tráfico que pasa por la Nube Cato. La API de Protección de Datos también permite monitorear y reaccionar al tráfico de usuarios remotos que se conectan directamente a las aplicaciones cloud. Esto se aplica incluso cuando no están utilizando el Cliente SDP para enviar tráfico a través de la Nube Cato.
La API de Protección de Datos inspecciona el contenido de una conexión sin usar Inspección TLS. Esto es especialmente beneficioso para las cuentas que no tienen habilitada la Inspección TLS. Sin embargo, incluso para cuentas que utilizan Inspección TLS, algunas aplicaciones cloud no pueden ser inspeccionadas debido a problemas relacionados con el fijado de certificados. La API de Protección de Datos complementa las soluciones CASB y DLP en línea de Cato para proporcionar la mejor cobertura de seguridad.
Para algunas aplicaciones, puede crear Reglas de Protección contra Amenazas para el conector, proporcionando protección Anti-Malware fuera de banda mediante el escaneo de archivos y archivos adjuntos para detectar malware y virus utilizando los motores Anti-Malware y Next Gen Anti-Malware que están habilitados para su Cuenta. El motor de Protección de Datos API escanea el tráfico del conector y aplica la Acción y las opciones de Seguimiento que configure para la Regla.
- Para agregar un conector, debe tener permiso de editor para Integraciones (en la sección de Recursos) y Protección de Aplicación y Datos API (en la sección de Control de Aplicación y Datos). Para más información, consulte Gestión de Roles de Administrador Usando RBAC.
Esta es una visión general de alto nivel de los pasos para implementar la API de Protección de Datos.
-
Cree los conectores para las aplicaciones cloud relevantes.
Para aplicaciones de Microsoft, es necesario crear un conector principal de Microsoft 365 y luego un conector secundario para cada aplicación.
- Cree (o revise) el perfil de contenido DLP que define los datos sensibles que Protección de Datos API está escaneando (ver Creación de Perfiles de Contenido DLP).
- Cree las reglas para la política de Protección de Datos.
Cato soporta una amplia gama de Aplicaciones y amplía continuamente la Lista. Para ver la Lista completa de Aplicaciones soportadas, vea Protección de Datos API.
Estas son las limitaciones que se aplican a cualquier conector utilizado en la política de Protección de Datos. Para limitaciones relacionadas con aplicaciones SaaS específicas, vea abajo Limitaciones Conocidas para Conectores Específicos.
-
No se pueden editar los conectores API de Protección de Datos.
Solución alternativa - elimine el conector y cree un nuevo conector con la configuración requerida.
- Puede tardar hasta 15 minutos para que los cambios en los archivos sean detectados.
- Para análisis Antimalware, no se admite la inclusión en lista blanca con hash de archivos.
- Los cambios en permisos para carpetas y directorios no son escaneados.
- Las acciones para grupos (como compartir archivos con un grupo) no son escaneadas.
- El tamaño máximo de Archivo soportado para escaneos de DLP y Anti-Malware es de 500MB.
- Para análisis de DLP y Antimalware, la API de Protección de Datos solo soporta tipos de archivos soportados por los motores DLP y Antimalware de Cato.
- Cuando se crean, eliminan o editan reglas de API de Protección de Datos, los cambios se rastrean en el Registro de Auditoría sin mostrar detalles relacionados con el contenido de la regla
- Las extensiones de archivo .log no son compatibles
- Los archivos binarios no son soportados para el conector de GitHub.
Estas son las limitaciones para los conectores específicos de la API de Protección de Datos.
-
Azure
-
Los nuevos usuarios que se añaden después de la creación del conector no son escaneados.
Solución alternativa - cree una nueva regla para el conector, o desactive y luego reactive la política de API de Protección de Datos.
-
-
Box
- Los nuevos archivos añadidos a la carpeta raíz pueden tardar hasta 24 horas antes de ser escaneados y antes de que se apliquen acciones de regla. Los archivos en subcarpetas son escaneados inmediatamente después de ser subidos.
- Solo 1 conector por inquilino es soportado. (Los conectores de Microsoft y Google soportan múltiples conectores por inquilino)
-
Exchange
- Para las reglas que escanean la actividad de correo electrónico, el evento puede también incluir un archivo adjunto (incluso si el archivo no coincide con la política).
-
Google Drive
- Solo cuentas comerciales son soportadas para el conector Google Drive.
-
OneDrive
-
SharePoint
- Solo el directorio Documentos es escaneado.
- Cuando hay conectores SharePoint y OneDrive para el mismo recurso, cada conector crea un evento separado para la misma acción.
-
- Solo 1 conector por inquilino es soportado. (Los conectores de Microsoft y Google soportan múltiples conectores por inquilino)
- Solo canales públicos y compartidos son soportados.
0 comentarios
Inicie sesión para dejar un comentario.