Este artículo explica cómo configurar el conector de Microsoft SharePoint para la Política de Protección de API de Aplicaciones y Datos de su cuenta y crear una regla de SharePoint para la Política de Protección de Datos.
La Política de Protección de API de Aplicaciones y Datos requiere una licencia separada de Cato. Por favor, contacte a su representante de Cato o revendedor oficial para más información.
Nota
Nota: Por favor, póngase en contacto con SaaSecAPI@catonetworks.com o con su distribuidor oficial de Cato para obtener más información sobre el uso de la política Protección API de Aplicaciones & Datos.
Cree los conectores para las aplicaciones SaaS de Microsoft 365 y SharePoint.
Cada aplicación de Microsoft SharePoint y inquilino de Azure (según la aplicación 365) están sujetos al límite de tasa de Microsoft. Para más información, consulte la documentación de Microsoft.
-
El conector Microsoft 365 requiere un administrador con el rol de administrador global para brindar permisos a Protección de API de Datos
Para habilitar a Protección de API de Datos para escanear activos y contenido de archivos y carpetas de SharePoint, el conector proporciona a Cato los siguientes permisos y acciones con la aplicación SharePoint:
-
Otorgar acceso a la aplicación usando Oauth2
-
Recibir un token de la aplicación para establecer y mantener una conexión segura
-
Conectar a las APIs de Microsoft y recuperar datos y escanear archivos según la política de Protección de API de Datos, incluyendo:
-
Leer elementos y archivos en todas las colecciones de sitios
-
Iniciar sesión y leer los perfiles completos de los usuarios
-
Escribir archivos en todas las colecciones de sitios (próximamente)
-
Esta sección explica cómo crear conectores de API para Microsoft 365 y SharePoint, y conectarlos a su cuenta de Cato.
Para habilitar a Protección de API de Datos para escanear activos y contenido para Microsoft SharePoint, primero debe configurar el conector de Microsoft 365 como la aplicación principal para brindar permisos de lectura para el conector de SharePoint. La aplicación principal solo tiene permisos para gestionar los conectores de Microsoft. Posteriormente, si es necesario, puede crear un conector de Microsoft 365 separado para cada inquilino de Azure.
Use la Aplicación de Gestión de Cato para crear el conector de aplicación SaaS de Microsoft 365 para el inquilino de Azure para la aplicación Microsoft SharePoint que está escaneando con Data Protection API. Debe tener las credenciales correctas para autenticar la aplicación de Microsoft SharePoint para agregarla a su cuenta de Cato.
Primero, configura la integración del Tenant MS como el conector principal. Este conector puede ser usado para todas las integraciones de Microsoft. Si ya has creado el conector principal, ve al paso 2.
Para crear el conector principal de Microsoft 365:
-
Desde el menú de navegación, seleccione Recursos > Integraciones y haga clic en la pestaña Aplicaciones Integradas.
-
Haga clic en Nuevo. El panel Nuevo Conector se abre.
-
En el panel de Nuevo Conector, selecciona la aplicación MS Tenant (Configure un nuevo MS Tenant).
-
Haga clic en Autorizar y Guardar.
Una nueva pestaña del navegador se abre para la aplicación Microsoft 365.
-
En la nueva pestaña del navegador, autenticarse en la aplicación Microsoft 365:
-
Seleccione la cuenta de Microsoft para la aplicación Microsoft 365.
De lo contrario, puede haber un error de autenticación de Microsoft.
-
Ingrese la contraseña para la aplicación y apruébelo.
-
Aceptar los permisos para permitir que Cato acceda a la aplicación Microsoft 365.
-
La pantalla muestra que ha aplicado con éxito los permisos para la aplicación.
Puede cerrar la pestaña del navegador y regresar a la Aplicación de Gestión de Cato.
-
-
La aplicación SaaS de Microsoft 365 se añade a la pestaña Aplicaciones Integradas.
El conector de SharePoint de Microsoft permite que el motor de API SaaS de Cato escanee los correos electrónicos para el contenido que define en la política de Protección de Datos.
Nota
Nota: Cuando crea un conector de API para una aplicación de Microsoft 365, el conector crea un certificado de autenticación que es válido por 3 meses, y renueva el certificado 7 días antes de la expiración.
Para crear el conector para Microsoft SharePoint:
-
Desde el menú de navegación, seleccione Recursos > Integraciones y haga clic en la pestaña APIs Integradas.
-
Haga clic en Nuevo. El panel Nuevo Conector se abre.
-
En Aplicación SaaS, seleccione Microsoft SharePoint.
-
En Inquilino del Conector, seleccione el conector principal de Microsoft 365 que creó en la sección anterior.
-
Ingrese el Nombre del Conector.
-
En Permisos, seleccione Leer/Escribir.
-
Haga clic en Guardar. La aplicación del conector de Cato se crea. Esto puede tardar hasta 30 segundos.
-
Haga clic en Autorizar para autorizar la creación del conector.
-
En una nueva pestaña del navegador, autenticarse en la aplicación SharePoint.
-
Seleccione la cuenta de Microsoft para la aplicación SharePoint.
-
Ingrese la contraseña para la aplicación y apruébelo.
-
Aceptar los permisos para que Cato acceda a la aplicación.
-
La pantalla muestra que ha aplicado con éxito los permisos para la aplicación.
Puede cerrar la pestaña del navegador y regresar a la Aplicación de Gestión de Cato.
A SharePoint Microsoft puede llevarle varios segundos procesar la solicitud, por lo que si recibe un error, actualice el navegador.
-
-
La aplicación SaaS de SharePoint se añade a la pestaña APIs Integradas.
La columna de Estado en la pantalla de Configuración de Conectores muestra el estado de la conexión entre la aplicación de Microsoft y su cuenta de Cato. Estas son las explicaciones de los estados:
-
Conectado - Su cuenta está conectada a la aplicación y funciona correctamente
-
Advertencia de Conexión - Algunos usuarios en el inquilino de Azure no están configurados correctamente para soportar Protección de API de Datos (por ejemplo, no hay dirección de correo electrónico definida para el usuario). Por favor, abra un ticket con Soporte.
-
Error de Conexión - Problema de Conectividad o permisos, o limitación de tasa (limitación de Microsoft) con el conector de Microsoft. Por favor abra un ticket con Soporte.
Esta sección explica cómo usar la política de Protección de Datos para monitorear y gestionar las acciones que los usuarios realizan con archivos SharePoint. Por ejemplo, compartir archivos, crear nuevos archivos, subir, etc.
Para más información sobre Perfiles de Contenido DLP, consulte Creación de Perfiles de Contenido DLP.
Cuando creas una regla de Protección de Datos, puedes definir diferentes acciones para monitorear o remediar las violaciones de la política cuando se cumple la regla. Cada acción genera automáticamente un evento, y también puedes elegir recibir una notificación por correo electrónico. Para más información sobre eventos Data Protection API, vea abajo Analizando Eventos de Data Protection API.
Estas son las acciones que puedes definir para que el motor de Protección de Datos realice cuando se cumpla una regla:
-
Monitorear - Genera un evento para permitir monitorear el tráfico que coincide con la regla.
-
Cuarentena - Cuando un usuario intenta subir un archivo, el motor de Data Protection API lo mueve a una carpeta de cuarentena y luego los usuarios ya no pueden acceder a él. El administrador de SharePoint puede acceder al archivo en la carpeta de cuarentena. Para información sobre configuración de carpetas de cuarentena, vea abajo Preparación para Cuarentena de Archivos.
Configura carpetas de cuarentena para las reglas de Protección de Datos y Prevención de Amenazas, y define al administrador de SharePoint con permisos para acceder a las carpetas. Puedes configurar carpetas de cuarentena para cada administrador de SharePoint del inquilino. Cuando configuras las carpetas, puedes luego crear reglas con la acción de Cuarentena, y definir la carpeta a la que se mueve el archivo.
Para configurar carpetas de cuarentena para un administrador de SharePoint:
-
Desde el panel de navegación, selecciona Seguridad > App & Protección de datos API y selecciona la pestaña Configuración.
-
Haz clic en Nuevo. Se abre el panel Carpeta de Cuarentena.
-
Selecciona el conector de aplicación SharePoint.
-
Selecciona el administrador de SharePoint para tener acceso a estas carpetas de cuarentena.
-
Haz clic en Guardar.
Se crean una carpeta de Protección de Datos y una carpeta de Prevención de Amenazas para el administrador, y pueden configurarse en reglas con la acción de Cuarentena. Las carpetas se nombran con la dirección de correo electrónico del administrador, y se ubican en los siguientes directorios de SharePoint:
-
Carpeta de protección de datos: Cato_Qarantine/Cato_Qarantine_DataProtection
-
Carpeta de prevención de amenazas: Cato_Qarantine/Cato_Qarantine_ThreatPrevention
-
Usa la página de Protección de Datos para agregar las reglas de aplicaciones SaaS en tu política de Protección de Datos.
Crea una regla de Protección de Datos para definir el tráfico que es escaneado por la Data Protection API. Crea reglas separadas para cada conector de aplicaciones SaaS, y luego define los criterios que determinan qué tráfico es escaneado.
Los archivos escaneados también incluyen archivos de Team y OneNote que se comparten con SharePoint.
Para más información sobre la configuración de reglas de SharePoint, vea abajo Comprendiendo las Reglas de SharePoint.
Para crear una nueva regla de Protección de Datos para la aplicación SharePoint:
-
Desde el panel de navegación, selecciona Seguridad > App & Data API Protection y selecciona o expande Protección de Datos.
-
Haz clic en Nuevo. Se abre el panel Nueva Regla.
-
En Conector de Aplicación, selecciona la aplicación SharePoint.
-
En la sección Configuración general, ingresa los ajustes para la regla.
-
En Propietario, selecciona uno o más propietarios de archivos de SharePoint (el valor predeterminado es Cualquiera).
Cuando seleccionas múltiples propietarios, hay una relación O entre ellos.
-
En Opciones de Compartición, selecciona uno o más tipos de permisos de archivo (el valor predeterminado es Cualquiera).
Cuando seleccionas múltiples opciones, hay una relación O entre ellas.
-
En Archivos adjuntos, define los criterios para especificar los archivos que son escaneados (el ajuste predeterminado es escanear todos los archivos).
-
En Perfil de contenido, selecciona el Perfil de Contenido DLP para esta regla.
Para más información sobre Perfiles de Contenido DLP, consulte Creación de Perfiles de Contenido DLP.
-
Selecciona una Acción.
Para la acción de Cuarentena, selecciona una Ruta de la carpeta de cuarentena. Para más información sobre carpetas de cuarentena, vea arriba Preparación para Cuarentena de Archivos.
-
(Opcional) Configura las opciones de seguimiento para generar Eventos y Enviar Notificaciones.
Para obtener más información sobre notificaciones, consulte el artículo relevante sobre Grupos de Suscripción, Listas de Correo y Integraciones de Alertas en la sección de Alertas.
-
Haz clic en Guardar. La regla se añade a la política de Protección de Datos.
Esta sección explica cómo definir los ajustes para las reglas de Protección de Datos para escanear el tráfico correcto de SharePoint. Cada regla puede definirse según los siguientes criterios:
-
Propietario - Sitios individuales, o tipos de usuarios de Azure que son los propietarios de los directorios relevantes de SharePoint (el valor predeterminado es Cualquiera)
-
Opciones de Compartición - Selecciona los tipos de permisos de compartición de archivos que coinciden con esta regla (el valor predeterminado es Cualquiera)
Por ejemplo, para monitorear archivos que se comparten con cualquier usuario externo, selecciona Enlace Externo.
-
Archivos adjuntos - Criterios para los archivos adjuntos que son escaneados (el valor predeterminado es todos los archivos adjuntos)
-
Tipo de Archivo
-
Nombre de Archivo
-
Tamaño del archivo (el tamaño máximo del archivo es de 100 MB)
-
-
Perfil de contenido - Perfil de Contenido DLP que define la inspección de contenido DLP (Seguridad > Perfiles DLP > Perfiles DLP > Perfil de Contenido)
-
Acciones - Seleccione si desea generar un evento cuando la regla coincide
Puedes definir archivos específicos (o adjuntos) para una regla y limitar el motor de API SaaS para solo escanear los archivos especificados para verificar si coinciden con el Perfil de Contenido DLP.
Cuando añades múltiples archivos a una regla, selecciona la relación entre ellos:
-
Satisfacer cualquiera (O) - Coincide con solo uno de los Tipos de Archivo en la regla
-
Satisfacer todos (Y) - Coincide con todos los Tipos de Archivo en la regla (de lo contrario, la regla se ignora)
Puedes usar la configuración de Nombre de archivo en una regla para definir el nombre exacto del archivo o usar comodines para definir palabras clave. Por ejemplo, puedes definir el Nombre de archivo como interno para encontrar todos los nombres de archivo que contengan la palabra interno.
El motor Data Protection API inspecciona los datos secuencialmente y verifica si coinciden con una regla. Si los datos no coinciden con una regla, no se inspeccionan. Las reglas que están en la parte superior de la base de reglas tienen una prioridad más alta y se aplican antes que las reglas más abajo en la base de reglas. Cada tipo de aplicación o conector solo se aplica a los datos una vez.
Mejores Prácticas - Para maximizar la eficiencia de tu base de reglas, recomendamos que para cada tipo de conector, las reglas para usuarios específicos tengan una prioridad más alta que las reglas que se aplican a cualquier usuario.
Por ejemplo, si los datos coinciden con un conector en la regla #2, los datos son inspeccionados por el motor Data Protection API. El motor no continúa aplicando las reglas #3 y las inferiores para el mismo conector. Sin embargo, los datos podrían coincidir con una regla de menor prioridad con un conector diferente.
Puedes crear Reglas de Protección contra Amenazas para el conector para escanear Archivos y Archivos adjuntos en busca de Malware y virus usando los motores Anti-Malware y NG Anti-Malware que están habilitados para tu cuenta. El motor Data Protection API analiza el tráfico del conector y aplica las opciones de acción y seguimiento que configuras para la regla:
-
Monitorear el tráfico (bloquear será soportado pronto)
-
Generar eventos
-
Enviar notificaciones por correo electrónico
Cuando creas una regla de App & Data API Protection, los motores Anti-Malware que están activados para tu cuenta (Seguridad > Anti-Malware) realizan escaneos de malware en los archivos que se envían para esa aplicación conector.
La captura de pantalla siguiente muestra una regla de Protección contra Amenazas para el conector de OneDrive que analiza los archivos enviados por usuarios internos o invitados:
A veces hay un archivo bloqueado por los motores de detección de la API de Protección de Datos de Cato que sabes que es seguro, y necesitas permitirlo en la red. Las Excepciones de Anti-Malware en la política de Hash del archivo también se aplican a la API de Protección de Aplicación y Datos. Para más información sobre cómo agregar archivos a la política de Hash del archivo, consulta Gestión de Excepciones de Anti-Malware.
La página de Inicio > Eventos muestra todos los eventos de Data Protection API para tu cuenta. Las potentes herramientas de búsqueda te permiten profundizar e identificar los pocos eventos que contienen los datos relevantes que necesitas.
Los eventos de Data Protection API pueden ser identificados por los siguientes campos:
-
Tipo de Evento - Seguridad
-
Subtipo - Protección de datos de API de seguridad SaaS y Anti Malware de API de Seguridad SaaS
Usted puede aprender más sobre el uso de la página de Eventos aquí.
|
Nombre del campo |
Descripción |
|---|---|
|
Colaboradores |
Direcciones de Correo Electrónico de los usuarios que recibieron el archivo |
|
Nombre del Conector |
Nombre del conector que está definido para la regla |
|
Tipo de conector |
Aplicación SaaS definida para este conector |
|
Perfil DLP |
Perfil de Contenido DLP que generó este evento |
|
Nombre del archivo |
Nombre del Archivo Adjunto |
|
Tipos de Datos Coincidentes |
Tipos de Datos en el Perfil de contenido que coincidieron con la regla |
|
Regla |
Nombre de la regla en la Política de Protección de Datos |
|
Propietario |
Propietario del archivo |
|
Severidad |
Severidad definida para la regla |
|
Ámbito de Compartición |
Opciones de Compartición para el archivo de SharePoint |
0 comentarios
Inicie sesión para dejar un comentario.