Microsoft Exchange: Configuración del Conector de Protección de Datos API

Este artículo explica cómo configurar los conectores de Microsoft 365 y Microsoft Exchange para la Protección de Aplicaciones y Datos API para tu cuenta.

La Protección de Aplicaciones y Datos API requiere una licencia separada de Cato. Por favor, contacta a tu representante de Cato o revendedor oficial para más información.

Nota

Nota: Por favor, contacte a SaaSecAPI@catonetworks.com o a su distribuidor oficial de Cato para más información sobre el uso de la política de Protección de API de Aplicaciones & Datos.

Resumen de los Conectores de Microsoft Exchange

El primer paso para la solución Protección de Datos API es crear los conectores para las aplicaciones SaaS de Microsoft, Microsoft 365 y Exchange. Para cuentas con múltiples inquilinos de Azure AD, puedes crear múltiples conectores de Microsoft 365. Además, puedes crear múltiples conectores de Exchange para cada conector principal de Microsoft 365.

Cada aplicación de Microsoft Exchange y cada inquilino de Azure (según la aplicación 365) están sujetos a la limitación de tasa de Microsoft. Para más información, consulta la documentación de Microsoft.

Requisitos previos

  • El conector de Microsoft 365 requiere un administrador con el rol de administrador global para otorgar permisos a la Protección de Datos API

  • El conector monitorea archivos, otras acciones serán soportadas pronto

Permisos requeridos para los conectores API para Microsoft Exchange

Para habilitar la Protección de Datos API para escanear activos y contenido de los correos electrónicos de Exchange, el conector le da a Cato los siguientes permisos y acciones con la aplicación de Exchange:

  • Otorgar acceso a la aplicación usando Oauth2

  • Recibir un token de la aplicación para establecer y mantener una conexión segura

  • Conectar con las APIs de Microsoft y obtener datos y escanear correos electrónicos según la Protección de Aplicaciones y Datos API

Trabajando con Conectores de Microsoft Exchange

Para habilitar la Protección de Datos API para escanear activos y contenido para Microsoft Exchange, primero debes configurar el conector de Microsoft 365 como la aplicación principal para otorgar permisos de lectura para el conector de Exchange. La aplicación principal solo tiene permisos para manejar los conectores de Microsoft. Puedes crear fácilmente la aplicación en la Aplicación de Gestión de Cato, no es necesario configurar ajustes en Microsoft Azure. Luego crea un conector de Microsoft 365 separado para cada inquilino de Azure.

Paso 1: Crear el Conector de Microsoft 365

Usa la Aplicación de Gestión de Cato para crear el conector de la aplicación SaaS de Microsoft 365 para el inquilino de Azure para la aplicación de Microsoft Exchange que estás escaneando con la Protección de Datos API. Debe tener las credenciales correctas para autenticar la Aplicación Microsoft Exchange para añadirla a su cuenta de Cato.

Antes de que puedas crear y configurar los ajustes del conector, primero necesitas habilitar la Protección de Datos API para tu cuenta.

Primero, configure la integración de MS Tenant como el conector principal. Este conector puede ser usado para todas las Integraciones de Microsoft. Si ya ha creado el conector principal, vaya al paso 2.

Create_API_Connector.png

Para crear el conector principal de Microsoft 365:

  1. Desde el menú de navegación, seleccione Recursos > Integraciones y haga clic en la pestaña APIs Integradas.

  2. Haz clic en Nuevo. El panel de Nuevo Conector se abre.

  3. En el panel de Nuevo Conector, selecciona la aplicación de Microsoft 365.

    New_Microsoft_365_Connector.png

  4. Haz clic en Autorizar y Guardar.

    Se abre una nueva pestaña del navegador hacia la aplicación de Microsoft 365.

  5. En la nueva pestaña del navegador, autentícate en la aplicación de Microsoft 365:

    1. Selecciona la cuenta de Microsoft para la aplicación de Microsoft 365.

      De lo contrario, puede haber un error de autenticación de Microsoft.

    2. Ingresa la contraseña para la aplicación y apruébala.

    3. Aceptar los permisos para permitir que Cato acceda a la aplicación de Microsoft 365.

    4. La pantalla muestra que has aplicado los permisos para la aplicación con éxito.

      Success_Connector_Permissions.png

      Puede cerrar la pestaña del navegador y volver al CMA.

  6. La aplicación SaaS de Microsoft 365 se añade a la pestaña APIs Integradas.

Paso 2: Crear el Conector de Microsoft Exchange

Después de que el conector de Microsoft 365 esté conectado a tu cuenta de Cato, puedes crear los conectores de Exchange requeridos. El conector de Exchange permite al motor de detección de API SaaS de Cato escanear correos electrónicos por el contenido que defines en la política de Protección de Datos. Se generan eventos para cualquier correo electrónico que coincida con una regla en la política.

Nota

Nota: Cuando creas un conector API para una aplicación de Microsoft 365, el conector crea un certificado de autenticación que es válido por 3 meses y renueva el certificado 7 días antes de la expiración.

Para crear el conector para Microsoft Exchange:

  1. Desde el menú de navegación, seleccione Recursos > Integraciones y haga clic en la pestaña APIs Integradas.

  2. Haz clic en Nuevo. El panel de Nuevo Conector se abre.

  3. Crea una nueva Aplicación SaaS Exchange, para el Conector Principal que creaste en el paso anterior.

    Actualmente, solo se soportan permisos y acciones de Lectura para la aplicación de Exchange. Sin embargo, los permisos y acciones de Lectura/Escritura serán soportados pronto.

  4. Haz clic en Autorizar y Guardar.

  5. En una nueva pestaña del navegador, autentícate en la aplicación de Exchange.

    1. Selecciona la cuenta de Microsoft para la aplicación de Exchange e inicia sesión.

    2. Ingresa la contraseña para la aplicación y apruébala.

    3. Aceptar los permisos para que Cato acceda a la aplicación de Exchange.

    4. La pantalla muestra que has aplicado los permisos para la aplicación con éxito.

      Puedes cerrar la pestaña del navegador y regresar a la Aplicación de Gestión de Cato.

      Puede tomar varios segundos para que Microsoft Azure procese la solicitud, así que si recibes un error, actualiza el navegador.

  6. La aplicación SaaS de Exchange se añade a la pestaña APIs Integradas.

Añadiendo Reglas de Exchange a la Política de Protección de Datos

Esta sección explica cómo usar la política de Protección de Datos para monitorear y gestionar los mensajes y archivos adjuntos que tus usuarios envían con Microsoft Exchange.

Configuración de Reglas de Exchange

Usa la página de Protección de Datos para agregar las reglas de la aplicación SaaS en tu política de Protección de Datos.

Para más información sobre la configuración de reglas de Exchange, consulte a continuación Comprendiendo las Reglas de Exchange.

SaaS_API_Data_Protection.png

Para crear una nueva regla de Protección de Datos para la aplicación de Exchange:

  1. Desde el panel de navegación, selecciona Seguridad > Protección de Aplicaciones y Datos API y selecciona o expande Protección de Datos.

  2. Haz clic en Nuevo. El panel de Nueva Regla se abre.

  3. En Conector de Aplicación, selecciona la aplicación de Exchange.

  4. En la configuración general, ingrese la configuración de la regla.

  5. En Remitente, defina los usuarios de Azure AD que envían el correo (la configuración predeterminada es Cualquiera).

  6. En Destinatarios, defina los usuarios de Azure AD que reciben el correo (la configuración predeterminada es Cualquiera).

  7. En Archivos adjuntos, defina los criterios para especificar los archivos adjuntos del correo electrónico que se escanean (la configuración predeterminada es escanear todos los archivos adjuntos).

  8. En Perfil de contenido, seleccione el perfil de contenido DLP para esta regla.

    Puede ingresar palabras clave en el Asunto del correo electrónico, para limitar los escaneos solo a los correos electrónicos que contengan esas palabras clave.

    Para más información sobre los Perfiles de Contenido DLP, consulte Creando Perfiles de Contenido DLP.

  9. En Acciones, seleccione Monitorear.

  10. (Opcional) Configure las opciones de seguimiento para generar Eventos y Enviar Notificaciones.

    Para obtener más información sobre notificaciones, consulte el artículo relevante sobre Grupos de Suscripción, Listas de Correo y Integraciones de Alertas en la sección de Alertas.

  11. Haz clic en Guardar. La regla se añade a la política de Protección de Datos.

Entendiendo las Reglas de Exchange

Esta sección explica cómo definir la configuración para las reglas de Protección de Datos para escanear el tráfico correcto de Exchange.

  • Remitente - usuarios individuales, o tipos de usuarios de Azure que envían el correo electrónico (el valor predeterminado es Cualquiera)

  • Destinatarios - usuarios individuales, tipos de usuarios de Azure, o dominios de correo electrónico que reciben el correo electrónico (el valor predeterminado es Cualquiera)

  • Archivos adjuntos - Criterios para archivos adjuntos que se escanean (el valor predeterminado es todos los archivos adjuntos)

    • Tipo de Archivo

    • Nombre del archivo

    • Tamaño del archivo (el tamaño máximo del archivo es de 100 MB)

  • Perfil de contenido - Perfil de contenido DLP que define la inspección del contenido DLP (Seguridad > Perfiles DLP > Perfiles DLP > Perfil de contenido)

Trabajando con Remitentes y Destinatarios

Puede definir Remitentes y Destinatarios específicos para cada regla en la política de Protección de Datos. La Aplicación de Gestión de Cato se conecta al Azure AD para el inquilino definido en el Conector de Office 365. Los usuarios individuales que se muestran para una regla se basan en este Azure AD, y NO están relacionados con los usuarios definidos para su cuenta de Cato.

Si no ve al usuario requerido, asegúrese de que el usuario esté correctamente definido en el inquilino de Azure AD, y luego configure la regla de Protección de Datos.

Azure AD define estos tipos de usuarios:

  • Interno

  • Externo

  • Usuario

Para los Destinatarios de una regla, también puede definir dominios de direcciones de correo electrónico.

Definiendo Archivos o Adjuntos para una Regla

Puede definir archivos específicos (o archivos adjuntos) para una regla y limitar el motor API de SaaS a escanear solo los archivos especificados para ver si coinciden con el Perfil de contenido DLP.

Cuando agrega varios archivos a una regla, seleccione la relación entre ellos:

  • Satisfacer cualquiera (O) - Coincidir con solo uno de los Tipos de Archivo en la regla

  • Satisfacer todos (Y) - Coincidir con todos los Tipos de Archivo en la regla (de lo contrario, la regla se ignora)

Puede usar la configuración del Nombre del archivo en una regla para definir el nombre exacto del archivo o usar comodines para definir palabras clave. Por ejemplo, puede definir el Nombre del archivo como interno para que coincida con todos los nombres de archivos que contengan la palabra interno.

Trabajando con Reglas de Protección de Datos Ordenadas

El motor de API de protección de datos inspecciona los datos secuencialmente y verifica si coinciden con una regla. Si los datos no coinciden con una regla, entonces no se inspeccionan. Las reglas que están en la parte superior de la base de reglas tienen mayor prioridad y se aplican antes que las reglas inferiores en la base de reglas. Cada tipo de aplicación o conector se aplica a los datos solo una vez.

Mejores prácticas - Para maximizar la eficiencia de su base de reglas, recomendamos que para cada tipo de conector, las reglas para usuarios específicos tengan una prioridad más alta que las reglas que se aplican a Cualquier usuario.

Por ejemplo, si los datos coinciden con un conector en la regla #2, los datos son inspeccionados por el motor de API de protección de datos. El motor no continúa aplicando las reglas #3 e inferiores para el mismo conector. Sin embargo, los datos podrían coincidir con una regla de menor prioridad con un conector diferente.

Añadiendo Protección contra Amenazas al Conector

Puede crear reglas de protección contra amenazas para el conector para escanear archivos y archivos adjuntos en busca de malware y virus usando los motores de detección Anti-Malware y NG Anti-Malware habilitados para su cuenta. El motor de API de Protección de Datos analiza el tráfico del conector y aplica las opciones de acción y seguimiento que configure para la regla:

  • Monitorear el tráfico (el bloqueo será soportado pronto)

  • Generar eventos

  • Enviar notificaciones por correo electrónico

Cuando crea una regla de protección de aplicaciones & datos API, los motores de detección Anti-Malware habilitados para su cuenta (Seguridad > Anti-Malware) realizan escaneos de malware en los archivos que se envían para esa aplicación de conector.

La siguiente captura de pantalla muestra una regla de Protección contra Amenazas para el conector de OneDrive que escanea los archivos enviados por usuarios internos o invitados:

CAS_Threat_Protection.png

Creando una Excepción para un Archivo

A veces hay un archivo bloqueado por los motores de API de Protección de Datos de Cato que usted sabe que es seguro, y necesita permitirlo en la red. Las excepciones de Anti-Malware en la política de Hash del archivo también se aplican a la Protección API de Aplicación & Datos. Para obtener más información sobre cómo agregar archivos a la política de Hash del archivo, consulte Gestionar excepciones de Anti-Malware.

Análisis de Eventos de Data Protection API

La página Hogar > Eventos muestra todos los eventos de Protección de Datos de API de Seguridad SaaS para su cuenta. Las herramientas de búsqueda poderosas le permiten filtrar e identificar los pocos eventos que contienen los datos relevantes que necesita.

Los eventos de Protección de Datos de API de Seguridad SaaS se pueden identificar por los siguientes campos:

  • Tipo de evento - Seguridad

  • Subtipo - Protección de datos de API de seguridad SaaS y Anti Malware de API de seguridad SaaS

Puede aprender más sobre el uso de la página de Eventos aquí.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios