Box: Configuración del Conector API de Protección de Datos

Este artículo explica cómo configurar el conector de Box para la Política de Protección de API de Aplicaciones y Datos de su cuenta y crear reglas que usen este conector en la Política de Protección de Datos o Protección contra Amenazas.

La Política de Protección de API de Aplicaciones y Datos requiere una licencia Cato separada. Por favor contacte a su representante Cato o distribuidor oficial para más información.

Visión General del Conector de Box

Cree el conector para el inquilino de Box para su organización. Luego defina las reglas en la política de Protección de Datos que incluyan el conector de Box y defina que los archivos que son escaneados e inspeccionados. Puede crear un único conector de Box para cada inquilino.

Prerrequisitos

Permisos de administrador o coadministrador para el inquilino de Box
El conector monitoriza archivos, otras acciones serán soportadas próximamente

Permisos Requeridos para los Conectores API de Box

Para habilitar a Protección de API de Aplicaciones y Datos para escanear archivos y carpetas en su cuenta de Box, el conector otorga a Cato los siguientes permisos y acciones con la aplicación de Box:

Otorgar acceso a la aplicación usando Oauth2
Recibir un token de la aplicación para establecer y mantener una conexión segura
Conectar a las APIs de Box y obtener datos y escanear archivos de acuerdo con la Política de Protección de API de Aplicaciones y Datos, incluyendo:
- Para la acción de monitoreo - Leer todos los archivos y carpetas almacenados en Box
  - Para otras acciones - Permisos de escritura para todos los archivos y carpetas almacenados en Box
- Acceder a los datos del usuario en su cuenta de Box
- El administrador de Cato puede realizar llamadas en nombre de los usuarios de Box

Limitaciones Conocidas

Los archivos subidos a la carpeta raíz pueden tardar hasta 24 horas en estar disponibles para el conector
- Los archivos subidos a subcarpetas y directorios están disponibles de inmediato

Trabajando con Conectores de Box

Esta sección explica cómo crear conectores API para Box y conectar el inquilino de Box de su organización a su cuenta de Cato.

Creando el Conector de Box

Cuando cree el conector de Box, la Aplicación de Gestión de Cato genera el ID del Cliente para ese conector. Luego, inicie sesión en la Consola de Administración para su cuenta de Box y cree una nueva aplicación de Autenticación de Usuario. Ingrese el ID del Cliente en la aplicación Cato Box y luego autorice a Cato a conectarse a su cuenta de Box. Finalmente, guarde el conector de Box en la Aplicación de Gestión de Cato y ahora Cato está listo para monitorear los archivos y carpetas de Box.

Para crear el conector para Box:

Desde el menú de navegación, seleccione Recursos > Integraciones y haga clic en la pestaña Aplicaciones Integradas.
Haga clic en Nuevo. Se abre el panel Nuevo Conector.
Desde el menú desplegable Conector de aplicación, selecciona Box.

Actualmente, solo se soportan permisos y acciones de Lectura para la aplicación Box. Sin embargo, los permisos y acciones de Lectura/Escritura serán soportados próximamente.
En la sección Capacidad, selecciona Protección contra Amenazas y Datos.
Ingrese el Nombre del Conector.
Copie el ID del Cliente al portapapeles del SO.
Cree la aplicación Cato Box para este conector:
1. Haga clic en el enlace para abrir la consola de administración Box para su cuenta.
  
  La pantalla de Box se abre en una nueva pestaña del navegador.
2. Inicie sesión en su inquilino de Box.
3. Desde el menú de navegación de Box, seleccione Consola de Administración.
4. Seleccione Aplicaciones > Administrador de Aplicaciones de Plataforma > Aplicaciones de Autenticación de Usuario.
5. Haga clic en el símbolo de más.
6. En la ventana Agregar Aplicación, pegue el ID del Cliente (del paso 5 arriba).
7. Haga clic en Siguiente.
8. En la ventana Autorizar Aplicación, haga clic en Autorizar para dar a Cato permiso para acceder a la aplicación de Box.
  
  La nueva aplicación se agrega a su cuenta de Box.
En la Aplicación de Gestión de Cato, haga clic en Autorizar y Guardar.

Se abre una pantalla de permisos de Box en una nueva pestaña del navegador.
Otorgue permisos para que su cuenta Cato acceda a la aplicación de Box.
1. Haga clic en Otorgar acceso a Box para permitir que Cato acceda a la aplicación de Box.
2. La pantalla muestra que ha aplicado correctamente los permisos para el inquilino.
  
  Puede cerrar la pestaña del navegador y regresar a la Aplicación de Gestión de Cato. Puede tomar varios segundos para que Box procese la solicitud, por lo que si recibe un error, actualice el navegador.
  
  Mientras Box procesa la solicitud, el Estado para el conector es Pendiente de consentimiento del usuario (vea abajo Comprender el Estado del Conector).
La aplicación SaaS de Box se agrega a la pestaña APIs integradas.

Entender el Estado del Conector

La columna de Estado en la pantalla de Configuración de Conectores muestra el estado de la conexión entre la aplicación Box y su cuenta Cato. Estas son las explicaciones de los estados:

Conectado - Su cuenta está conectada a la aplicación y funcionando correctamente
Advertencia de conexión - Algunos de los usuarios en el inquilino Box no están configurados correctamente para soportar la Protección de API de Aplicaciones y Datos. Por favor abra un ticket con Soporte.
Error de conexión - Problema de conectividad o permisos con el conector Box. Por favor abra un ticket con Soporte.

Box solo soporta la creación de un conector por inquilino.
Pendiente de consentimiento del usuario - El conector Box fue creado en la pantalla de Configuración de Conectores, sin embargo no ha completado el proceso para autorizar a Cato a conectarse a su cuenta de Box.

Agregando Reglas de Box a la Política de Protección de Datos

Esta sección explica cómo usar la política de Protección de Datos para monitorear y gestionar los archivos y carpetas que sus usuarios suben y descargan con Box.

Entender las Acciones de Box

Cuando crea una regla de Protección de Datos, puede definir diferentes acciones para monitorear o remediar las violaciones de política cuando la regla se cumpla. Cada acción genera automáticamente un evento, y también puede optar por recibir una notificación por correo electrónico. Para más sobre eventos de Data Protection API, vea a continuación Análisis de Eventos de Data Protection API.

Estas son las acciones que puedes establecer para que el motor de Protección de Datos realice cuando se cumple una regla:

Monitorear - Genera un evento para permitirte monitorear el tráfico que coincide con la regla.
Eliminar Compartidos - Cuando un usuario intenta compartir un archivo, el motor de Data Protection API elimina el permiso de compartición no autorizado, y el usuario que recibe un enlace al archivo compartido no tendrá permisos para acceder al archivo.

Nota

Nota: Los nuevos archivos agregados a la carpeta raíz pueden tardar hasta 24 horas en ser escaneados y antes de que se apliquen las acciones de reglas. Los archivos en subcarpetas se escanean inmediatamente después de ser cargados.

Configurando Reglas de Box

Utiliza la página de Protección de Datos para agregar las reglas de aplicación SaaS en tu política de Protección de Datos.

Crea una regla de Protección de Datos para definir el tráfico que se escanea mediante Data Protection API. Crea reglas separadas para cada conector de aplicación SaaS y luego define los criterios que determinan qué tráfico se escanea.

Para más información sobre las configuraciones de la regla de Box, vea a continuación Entendiendo las Reglas de Box.

Para crear una nueva regla de Protección de Datos para la aplicación Box:

Desde el panel de navegación, selecciona Seguridad > App & Data API Protection y selecciona o expande Protección de Datos.
Haz clic en Nuevo. El panel de Nueva Regla se abre.
En Conector de Aplicación, selecciona la aplicación Box.
En la sección General, introduce la configuración para la regla.
En Propietario, selecciona uno o más usuarios de Box que estás monitoreando (el valor predeterminado es Cualquiera).

Cuando selecciones varios usuarios, existe una relación O entre ellos.
En Opciones de Compartición, selecciona el nivel de permiso para archivos y carpetas que se escanean (el valor predeterminado es Cualquiera).

Cuando selecciones varias opciones, existe una relación O entre ellas.
En Atributos de Archivo, define los criterios para especificar los archivos que se escanean (la configuración predeterminada es escanear todos los archivos).
En Perfil de Contenido, selecciona el Perfil de Contenido DLP para esta regla.

Para más sobre los Perfiles de Contenido de DLP, vea Creación de Perfiles de Contenido de DLP.
Seleccione una Acción.
(Opcional) Define las opciones de seguimiento para que las reglas generen notificaciones por correo electrónico.

Para más información sobre eventos y notificaciones por correo electrónico, consulte Alertas de Nivel de Cuenta y Notificaciones del Sistema.
Haz clic en Guardar. La regla se agrega a la política de Protección de Datos.

Entender las Reglas de Box

Esta sección explica cómo definir la configuración para las reglas de Protección de Datos para escanear correctamente el tráfico de Box. Cada regla puede definirse según los siguientes criterios:

Propietario - Usuarios de Box en tu espacio de trabajo (el valor predeterminado es Cualquiera)
- Interno - El propietario es cualquier usuario en tu empresa
- Usuario de Box - El propietario es un usuario específico
Opciones de Compartición - Selecciona los tipos de permisos de compartición de archivos y carpetas que coinciden con esta regla (el valor predeterminado es Cualquiera)
- Privado - Solo el usuario tiene acceso
- Personas con el enlace - Acceso público para cualquiera con el enlace (no es necesario iniciar sesión en Box)
- Personas de la empresa - Cualquier usuario de tu empresa con el enlace
- Solo personas de la empresa invitadas - Cualquier usuario en tu empresa con el enlace
- Solo personas públicas invitadas - Usuarios externos que recibieron una invitación con el enlace
Atributos de Archivo - Criterios para adjuntos que se escanean (el valor predeterminado es todos los adjuntos)
- Tipo de Archivo
- Nombre de Archivo
- Tamaño de Archivo (el tamaño máximo del archivo es 20 MB)
Perfil de contenido - Perfil DLP que define la inspección de contenido DLP

Puedes crear o editar Perfiles de Contenido en Seguridad > Perfiles DLP > Perfiles DLP > Perfil de contenido
Acciones - Selecciona si deseas generar un evento o notificación por correo electrónico cuando la regla se cumpla

Definiendo Archivos o Adjuntos para una Regla

Puedes definir archivos específicos (o adjuntos) para una regla y limitar el motor de la API SaaS para escanear solo los archivos especificados para ver si coinciden con el Perfil de Contenido DLP.

Cuando agregas múltiples archivos a una regla, selecciona la relación entre ellos:

Satisfacer cualquiera (O) - Coincide con solo uno de los tipos de archivo en la regla
Satisfacer todos (Y) - Coincide con todos los tipos de archivo en la regla (de lo contrario, la regla se ignora)

Puedes utilizar el ajuste de Nombre de Archivo en una regla para definir el nombre exacto del archivo o usar comodines para definir palabras clave. Por ejemplo, puedes definir el Nombre de Archivo como interno para coincidir con todos los nombres de archivo que contengan la palabra interno.

Trabajando con Reglas de Protección de Datos Ordenadas

El motor Data Protection API inspecciona los datos secuencialmente y verifica si coinciden con una regla. Si los datos no coinciden con una regla, entonces no se inspeccionan. Las reglas que están en la parte superior de la base de reglas tienen una mayor prioridad y se aplican antes que las reglas más abajo en la base de reglas. Cada tipo de aplicación o conector solo se aplica a los datos una vez.

Mejores prácticas - Para maximizar la eficiencia de tu base de reglas, recomendamos que para cada tipo de conector, las reglas para usuarios específicos tengan una mayor prioridad que las reglas que se aplican a Cualquiera.

Por ejemplo, si los datos coinciden con un conector en la regla #2, los datos son inspeccionados por el motor Data Protection API. El motor no continúa aplicando las reglas #3 y siguientes para el mismo conector. Sin embargo, los datos podrían coincidir con una regla de menor prioridad con un conector diferente.

Agregando Protección contra Amenazas al Conector

Puedes crear reglas de Protección contra Amenazas para el conector para escanear archivos y adjuntos en busca de malware y virus utilizando los motores Anti-Malware y Next Gen Anti-Malware que están habilitados para tu cuenta. El motor Data Protection API escanea el tráfico del conector y aplica la acción y las opciones de seguimiento que configuras para la regla.

Estas son las acciones que puedes establecer para que el motor de Protección contra Amenazas realice cuando se cumpla una regla:

Monitorear - Genera un evento para permitirte monitorear el tráfico que coincide con la regla.
Eliminar Compartidos - Cuando un usuario intenta compartir un archivo, el motor Data Protection API elimina el permiso de compartición no autorizado, y el usuario que recibe un enlace al archivo compartido no tendrá permisos para acceder al archivo.

Cada acción genera automáticamente un evento, y también puede elegir recibir una notificación por correo electrónico. Para más sobre eventos de Data Protection API, vea a continuación Análisis de Eventos de Data Protection API.

Cuando crea una regla de Protección de Aplicación y Datos API, los motores Anti-Malware habilitados para su cuenta (Seguridad > Anti-Malware) realizan escaneos de malware en los archivos enviados para esa aplicación conectora.

La siguiente captura de pantalla muestra una regla de Protección contra Amenazas para el conector de OneDrive que escanea archivos enviados por usuarios internos o invitados:

Creando una Excepción para un Archivo

A veces hay un archivo bloqueado por los motores API de Protección de Datos de Cato que sabe que es seguro, y necesita permitirlo en la red. Las excepciones de Anti-Malware en la política Hash del archivo también se aplican a la Protección de Aplicaciones y API de Datos. Para más información sobre cómo agregar archivos a la Política de Hash del archivo, consulte Gestionando Excepciones de Anti-Malware.

Análisis de Eventos de Data Protection API

La página de Inicio > Eventos muestra todos los eventos de API de Protección de Datos para su cuenta. Las poderosas herramientas de búsqueda le permiten profundizar e identificar los pocos eventos que contienen los datos relevantes que necesita.

Los eventos de API de Protección de Datos pueden identificarse por los siguientes campos:

Tipo de Evento - Seguridad
Subtipo - Protección de Datos de API de Seguridad SaaS y Seguridad SaaS API Anti Malware

Puede aprender más sobre cómo usar la página de Eventos aquí.

Explicación de los Campos de Eventos de Data Protection API

Nombre del Campo	Descripción
Nombre del Conector	Nombre del conector que está definido para la regla
Tipo de Conector	Aplicación SaaS que está definida para este conector
Perfil DLP	Perfil de contenido de DLP que generó este evento
Nombre del Archivo	Nombre del archivo adjunto
Tamaño del Archivo	Tamaño del archivo adjunto
Tipo de Archivo	Tipo de archivo para el archivo adjunto
Tipos de Datos Coincidentes	Tipos de datos en el Perfil de Contenido que coincidieron con la regla
Colaboradores	Direcciones de correo electrónico de los usuarios que recibieron el archivo
Regla	Nombre de la regla en la política de Protección de Datos
Propietario	Propietario del archivo
Gravedad	Gravedad definida para la regla
Ámbito de Compartición	Opciones de compartición para el archivo adjunto de Box