Este artículo explica cómo configurar el conector de Microsoft OneDrive para la política de Protección de API de App & Data para su cuenta y crear una regla de OneDrive para la Política de Protección de Datos.
La política de Protección de API de App & Data requiere una licencia separada de Cato. Por favor, contacte con su representante de Cato o distribuidor oficial para más información.
Nota
Nota: Por favor contacte a SaaSecAPI@catonetworks.com o su distribuidor oficial de Cato para más información sobre el uso de la política App & Data API Protection.
Cree los conectores para las aplicaciones SaaS de Microsoft 365 y OneDrive.
Cada aplicación de Microsoft OneDrive y inquilino de Azure (según la aplicación 365) está sujeta a la limitación de tasa de Microsoft. Para más información, consulte la documentación de Microsoft.
-
El conector de Microsoft 365 requiere un administrador con el rol de administrador global para otorgar permisos a la API de Protección de Datos
Para permitir que la API de Protección de Datos escanee activos y contenido de archivos y carpetas de OneDrive, el conector otorga a Cato los siguientes permisos y acciones con la aplicación OneDrive:
-
Otorgar acceso a la aplicación usando Oauth2
-
Recibir un token de la aplicación para establecer y mantener una conexión segura
-
Conectar con las API de Microsoft y obtener datos y escanear archivos según la política de Protección de API de App & Data, incluyendo:
-
Leer archivos en todas las colecciones de Sitios
-
Iniciar sesión y leer los perfiles completos de los usuarios
-
Escribir archivos en todas las colecciones de Sitios (próximamente)
-
Esta sección explica cómo crear conectores API para Microsoft 365 y OneDrive, y conectarlos a su cuenta de Cato.
Para permitir que la API de Protección de Datos escanee activos y contenido para Microsoft OneDrive, primero debe configurar el conector de Microsoft 365 como aplicación principal para otorgar permisos de lectura para el conector de OneDrive. La aplicación principal solo tiene permisos para gestionar los conectores de Microsoft. Posteriormente, si es necesario, puede crear un conector de Microsoft 365 separado para cada inquilino de Azure.
Utilice la Aplicación de Gestión de Cato para crear el conector de aplicación SaaS de Microsoft 365 para el inquilino de Azure para la aplicación de Microsoft OneDrive que está escaneando con la API de Protección de Datos. Debe tener las credenciales correctas para autenticarse en la aplicación de Microsoft OneDrive para agregarla a su cuenta de Cato.
Antes de que pueda crear y configurar la configuración del conector, primero debe habilitar la API de Protección de Datos para su cuenta.
Primero, configure la integración de MS Tenant como el conector principal. Este conector se puede usar para todas las Integraciones de Microsoft. Si ya ha creado el conector principal, vaya al paso 2.
Para crear la integración de MS Tenant:
-
Desde el menú de navegación, seleccione Recursos > Integraciones y haga clic en la pestaña Aplicaciones Integradas.
-
Haga clic en Nuevo. El panel de Nuevo Conector se abre.
-
En el panel Nuevo Conector, seleccione la aplicación MS Tenant (Configurar un nuevo MS Tenant).
-
Ingrese el Nombre del Conector.
-
Haga clic en Autorizar y Guardar.
Se abre una nueva pestaña del navegador para la aplicación de Microsoft 365.
-
En la nueva pestaña del navegador, autentíquese en la aplicación de Microsoft 365:
-
Seleccione la cuenta de Microsoft para la aplicación de Microsoft 365.
De lo contrario, puede haber un error de autenticación de Microsoft.
-
Ingrese la contraseña para la aplicación y apruébela.
-
Aceptar los permisos para que Cato acceda a la aplicación de Microsoft 365.
-
La pantalla muestra que ha aplicado con éxito los permisos para la aplicación.
Puede cerrar la pestaña del navegador y regresar a la Aplicación de Gestión de Cato.
-
-
La aplicación SaaS de Microsoft 365 se agrega a la pestaña Aplicaciones Integradas.
El conector de Microsoft OneDrive permite al motor de API de Protección de Datos escanear archivos en busca del contenido que defina en la política de Protección de Datos.
Nota
Nota: Cuando crea un conector de API para una aplicación de Microsoft 365, el conector crea un certificado de autenticación que es válido por 3 meses, y renueva el certificado 7 días antes de su vencimiento.
Para crear el conector para Microsoft OneDrive:
-
Desde el menú de navegación, seleccione Recursos > Integraciones y haga clic en la pestaña Aplicaciones Integradas.
-
Haga clic en Nuevo. El panel de Nuevo Conector se abre.
-
Cree una nueva Aplicación SaaS de OneDrive, para el Conector Primario que creó en la sección anterior.
-
Haga clic en Autorizar y Guardar.
-
En una nueva pestaña del navegador, autentíquese en la aplicación de OneDrive.
-
Seleccione la cuenta de Microsoft para la aplicación de OneDrive e inicie sesión.
-
Ingrese la contraseña para la aplicación y apruébela.
-
Aceptar los permisos para que Cato acceda a la aplicación de OneDrive.
-
La pantalla muestra que ha aplicado con éxito los permisos para la aplicación.
Puede cerrar la pestaña del navegador y regresar a la Aplicación de Gestión de Cato.
Microsoft Azure puede tardar varios segundos en procesar la solicitud, así que si recibe un error, actualice el navegador.
-
-
La aplicación SaaS de OneDrive se agrega a la pestaña Aplicaciones Integradas.
La columna de Estado en la pantalla de Configuración de Conectores muestra el estado de la conexión entre la aplicación de Microsoft y su cuenta de Cato. Estas son las explicaciones de los estados:
-
Conectado - Su cuenta está conectada a la aplicación y funciona correctamente
-
Advertencia de Conexión - Algunos de los usuarios en el inquilino de Azure no están configurados correctamente para soportar la API de Protección de Datos (por ejemplo, no hay dirección de correo electrónico definida para el usuario). Por favor, abra un ticket con Soporte.
-
Error de Conexión - Problema de conectividad o permisos, o limitación de tasa (limitación de Microsoft) con el conector de Microsoft. Por favor abra un ticket con Soporte.
-
Pendiente de consentimiento del usuario - El conector de OneDrive se creó en la pantalla de Configuración, sin embargo, no ha completado el proceso en la cuenta de OneDrive para autorizarlo para conectar a Cato.
Esta sección explica cómo usar la política de Protección de Datos para monitorear y gestionar las acciones que sus usuarios realizan con archivos de OneDrive. Por ejemplo, compartir archivos, crear nuevos archivos, subir, etc.
Para más información sobre Perfiles de Contenido DLP, consulte Creando Perfiles de Contenido DLP.
Cuando creas una regla de Protección de Datos, puedes definir diferentes acciones para monitorear o remediar las violaciones de políticas cuando se cumple la regla. Cada acción genera automáticamente un evento, y también puedes optar por recibir una notificación por correo electrónico. Para más información sobre los eventos de Data Protection API, vea a continuación Analizando Eventos de Data Protection API.
Estas son las acciones que puedes configurar para que el motor de Protección de Datos ejecute cuando se cumple una regla:
-
Monitorear - Genera un evento para que puedas monitorear el tráfico que coincide con la regla.
-
Eliminar Compartidos - Cuando un usuario intenta compartir un archivo, el motor API de Seguridad SaaS elimina el permiso de compartición no autorizada, y el usuario que recibe un enlace al archivo compartido no tendrá permisos para acceder al archivo.
-
Cuarentena - Cuando un usuario intenta subir un archivo, el motor API de Seguridad SaaS lo mueve a una carpeta de cuarentena y los usuarios ya no pueden acceder a él. El administrador de OneDrive puede acceder al archivo en la carpeta de cuarentena. Para información sobre configurar carpetas de cuarentena, consulte Preparando para la Cuarentena de Archivos.
Configure carpetas de cuarentena para las reglas de Protección de Datos y Prevención de Amenazas, y defina que el administrador de OneDrive tenga permisos para acceder a las carpetas. Puede configurar carpetas de cuarentena para cada administrador de OneDrive para el inquilino. Cuando configura las carpetas, puede crear reglas con la acción Cuarentena, y definir la carpeta a la que se mueve el archivo.
Para configurar carpetas de cuarentena para un administrador de OneDrive:
-
Desde el panel de navegación, seleccione Seguridad > App & Datos API Protección y seleccione la pestaña Configuración.
-
Haz clic en Nuevo. Se abre el panel Carpeta de Cuarentena.
-
Seleccione el conector de aplicación OneDrive.
-
Seleccione el administrador de OneDrive para tener acceso a estas carpetas de cuarentena.
-
Haz clic en Guardar.
Se crean una carpeta de Protección de Datos y una carpeta de Prevención de Amenazas para el administrador, y pueden configurarse en reglas con la acción Cuarentena. Las carpetas se nombran con la dirección de correo electrónico del administrador, y se ubican en los siguientes directorios de OneDrive:
-
Carpeta de Protección de Datos: Cato_Qarantine/Cato_Qarantine_DataProtection
-
Carpeta de Prevención de Amenazas: Cato_Qarantine/Cato_Qarantine_ThreatPrevention
-
Utilice la página de Protección de Datos para agregar las reglas de aplicación SaaS en su política de Protección de Datos.
Cree una regla de Protección de Datos para definir el tráfico que es escaneado por la API de Seguridad SaaS. Crea reglas separadas para cada conector de aplicación SaaS, y luego define los criterios que determinan el tráfico que se escanea.
Para más información sobre las configuraciones de reglas de OneDrive, vea a continuación Entendiendo las Reglas de OneDrive.
Para crear una nueva regla de Protección de Datos para la aplicación OneDrive:
-
Desde el panel de navegación, seleccione Seguridad > Protección de API de Aplicaciones y Datos y seleccione o expanda Protección de Datos.
-
Haz clic en Nuevo. Se abre el panel Nueva Regla.
-
En Conector de Aplicación, seleccione la aplicación OneDrive.
-
En la sección Configuración general, ingrese los ajustes para la regla.
-
En Propietario, seleccione uno o más propietarios de archivos de OneDrive (valor por defecto: Cualquiera).
Cuando selecciona múltiples propietarios, hay una relación O entre ellos.
-
En Opciones de Compartición, seleccione uno o más tipos de permiso de archivo (valor por defecto: Cualquiera).
Cuando selecciona múltiples opciones, hay una relación O entre ellas.
-
En Archivos adjuntos, define los criterios para especificar los archivos que se escanean (la configuración predeterminada es escanear todos los archivos).
-
En Perfil de contenido, seleccione el Perfil de contenido DLP para esta regla.
-
Seleccione una Acción.
Para la acción Cuarentena, seleccione una Ruta de Carpeta de Cuarentena. Para más sobre carpetas de cuarentena, ver arriba ???.
-
(Opcional) Configure opciones de seguimiento para generar Eventos y enviar notificaciones.
Para obtener más información sobre notificaciones, consulte el artículo relevante sobre Grupos de Suscripción, Listas de Correo y Integraciones de Alertas en la sección de Alertas.
-
Haz clic en Guardar. La regla se añade a la política de Protección de Datos.
Esta sección explica cómo definir los ajustes para las reglas de Protección de Datos para escanear el tráfico correcto de OneDrive. Cada regla puede definirse según los siguientes criterios:
-
Propietario - usuarios individuales, o tipos de usuarios de Azure que son los propietarios de los directorios de OneDrive relevantes (valor por defecto es Cualquiera)
-
Opciones de Compartición - Seleccione los tipos de permisos de compartición de archivos que coinciden con esta regla (valor por defecto es Cualquiera)
Por ejemplo, para monitorear archivos que se comparten con cualquier usuario externo, seleccione Enlace Externo.
-
Archivos adjuntos - Criterios para archivos adjuntos que se escanean (valor por defecto es todos los archivos adjuntos)
-
Tipo de archivo
-
Nombre del archivo
-
Tamaño del archivo (tamaño máximo del archivo es 100 MB)
-
-
Perfil de contenido - Perfil de contenido DLP que define la inspección de contenido DLP (Seguridad > Perfiles DLP > Perfiles DLP > Perfil de contenido)
-
Acciones - Vea arriba Entendiendo las Acciones de OneDrive
Puede definir archivos específicos (o archivos adjuntos) para una regla y limitar el motor de detección SaaS API a solo escanear los archivos especificados para ver si coinciden con el perfil de contenido DLP.
Cuando agrega múltiples archivos a una regla, seleccione la relación entre ellos:
-
Satisfacer cualquiera (O) - Coincidir solo con uno de los Tipos de archivo en la regla
-
Satisfacer todos (Y) - Coincidir con todos los Tipos de Archivo en la regla (de lo contrario, la regla se ignora)
Puedes usar la configuración de Nombre de archivo en una regla para definir el nombre exacto del archivo o usar comodines para definir palabras clave. Por ejemplo, puedes definir el Nombre de archivo como interno para coincidir con todos los nombres de archivo que contengan la palabra interno.
El motor de Protección de Datos API inspecciona los datos de manera secuencial y verifica si coincide con una regla. Si los datos no coinciden con una regla, entonces no se inspeccionan. Las reglas que están en la parte superior de la base de reglas tienen una prioridad más alta y se aplican antes que las reglas más abajo en la base de reglas. Cada tipo de aplicación o conector se aplica a los datos solo una vez.
Mejores prácticas - Para maximizar la eficiencia de su base de reglas, recomendamos que para cada tipo de conector, las reglas para usuarios específicos tengan una mayor prioridad que las reglas que se aplican a Cualquiera usuarios.
Por ejemplo, si los datos coinciden con un conector en la regla #2, los datos son inspeccionados por el motor de Protección de Datos API. El motor no continúa aplicando las reglas #3 y siguientes para el mismo conector. Sin embargo, los datos podrían coincidir con una regla de menor prioridad con un conector diferente.
Puedes crear Reglas de Protección contra Amenazas para el conector para escanear archivos y archivos adjuntos en busca de malware y virus utilizando los motores Anti-Malware y NG Anti-Malware que están habilitados para tu cuenta. El motor de Protección de Datos API escanea el tráfico del conector y aplica la acción y las opciones de seguimiento que configuras para la regla.
Estas son las acciones que puedes establecer para que el motor de Protección contra Amenazas realice cuando una regla coincide:
-
Monitorear - Genera un evento para permitirte monitorear el tráfico que coincide con la regla.
-
Eliminar Compartidos - Cuando un usuario intenta compartir un archivo, el motor de Protección de Datos API elimina el permiso de compartición no autorizado y el usuario que recibe un enlace al archivo compartido no tendrá permisos para acceder al archivo.
-
Cuarentena - Cuando un usuario intenta subir un archivo, el motor de Protección de Datos API lo mueve a una carpeta de cuarentena y luego los usuarios ya no pueden acceder a él. El admin de Onedrive puede acceder al archivo en la carpeta de cuarentena. Para información sobre configurar carpetas de cuarentena, consulte Preparando para la Cuarentena de Archivos.
Cada acción genera automáticamente un evento, y también puedes optar por recibir una notificación por correo electrónico. Para más información sobre los eventos de Data Protection API, vea a continuación Analizando Eventos de Data Protection API.
Cuando creas una regla de App & Protección de API de Datos, los motores Anti-Malware que están habilitados para tu cuenta (Seguridad > Anti-Malware) realizan escaneos de malware en los archivos que se envían para esa aplicación de conector.
La captura de pantalla siguiente muestra una Regla de Protección contra Amenazas para el conector de OneDrive que escanea los archivos enviados por usuarios internos o invitados:
A veces hay un archivo bloqueado por los motores de Protección de Datos API de Cato que sabes que es seguro, y necesitas permitirlo en la red. Las excepciones de Anti-Malware en la política de Hash del archivo también se aplican a la Protección de Aplicación y Datos API. Para obtener más información sobre cómo agregar archivos a la Política de Hash del Archivo, consulte Managing Anti-Malware Exceptions.
La página Inicio > Eventos muestra todos los eventos de Protección de Datos API para tu cuenta. Las poderosas herramientas de búsqueda te permiten profundizar e identificar los pocos eventos que contienen los datos relevantes que necesitas.
Los eventos de Protección de Datos API pueden ser identificados por los siguientes campos:
-
Tipo de evento - Seguridad
-
Sub-Tipo - Protección de datos de API de seguridad SaaS y Anti Malware API de Seguridad SaaS
Puede obtener más información sobre cómo usar la página de Eventos aquí.
|
Nombre del campo |
Descripción |
|---|---|
|
Colaboradores |
Direcciones de correo electrónico de los usuarios que recibieron el archivo |
|
Nombre del Conector |
Nombre para el conector que está definido para la regla |
|
Tipo de Conector |
Aplicación SaaS que está definida para este conector |
|
Perfil DLP |
Perfil de contenido DLP que generó este evento |
|
Nombre del archivo |
Nombre del archivo adjunto |
|
Tipos de Datos Coincidentes |
Tipos de datos en el perfil de contenido que coincidieron con la regla |
|
Propietario |
Propietario del archivo |
|
Tipo de Conector Padre |
Conector padre Microsoft 365 |
|
Regla |
Nombre de la regla en la política de Protección de Datos |
|
Gravedad |
Gravedad definida para la regla |
|
Ámbito de Compartición |
Opciones de Compartición para el archivo de OneDrive |
0 comentarios
Inicie sesión para dejar un comentario.