Utilisation des étiquettes de sensibilité MIP dans votre politique DLP Cato

Cet article explique comment utiliser les étiquettes de sensibilité de Microsoft du cadre de Microsoft Information Protection (MIP) dans votre politique DLP de Cato.

Vue d'ensemble de l'utilisation des étiquettes MIP avec DLP de Cato

Vous pouvez simplifier la gestion de votre contrôle des données en exploitant votre politique de protection des informations Microsoft existante pour l'utiliser avec Cato DLP. En utilisant les étiquettes MIP comme types de données, vous pouvez concevoir une politique DLP claire et gérable en cohérence avec votre politique MIP. Cela vous permet d'utiliser les étiquettes MIP pour sécuriser vos informations sensibles au-delà de l'écosystème Azure dans tout le trafic géré par Cato.

Vue d'ensemble de niveau élevé de la gestion des étiquettes MIP

Ceci est une description de haut niveau du flux de travail pour utiliser les étiquettes MIP avec DLP :

Créez Étiquettes de Sensibilité dans l'application de gestion Cato.
Ajoutez les étiquettes à Profils de Contenu.
Créez des règles DLP pour gérer l'accès au contenu pour différents utilisateurs et groupes selon les Étiquettes de Sensibilité.

Par exemple, si vous avez des fichiers avec l'étiquette MIP Classifié, créez l'étiquette dans votre politique DLP de Cato et ajoutez-la au Profil de Contenu Documents Restreints. Ensuite, définissez une règle DLP qui bloque l'accès pour les groupes d'utilisateurs sans autorisation de sécurité suffisante.

Ajouter des étiquettes MIP à la politique DLP

Il y a deux façons d'ajouter des étiquettes MIP à la politique DLP dans l'application de gestion Cato :

Importation automatisée avec un connecteur API qui récupère les étiquettes de votre compte Microsoft 365
Configuration manuelle en saisissant les données d'étiquette requises

Analyser les fichiers avec des étiquettes de sensibilité

Le moteur DLP recherche les étiquettes définies dans les métadonnées des fichiers et non dans le contenu réel, ce qui aide à réduire les faux positifs. Le moteur applique l'Étiquette de Sensibilité selon l'ID d'étiquette que vous configurez, et non selon le Nom. Lorsque vous configurez manuellement une étiquette, assurez-vous que l'ID d'étiquette de l'Étiquette de Sensibilité correspond exactement à l'ID de l'étiquette MIP.

Pour plus d'informations sur la recherche des ID des étiquettes MIP pour le compte de votre organisation, consultez la documentation Microsoft.

Limitations connues

La numérisation DLP pour les étiquettes de sensibilité n'est pas prise en charge pour les fichiers DOCX chiffrés
La limite de taille de fichier pour l'inspection de contenu est comprise entre 1 Ko et 20 Mo, y compris les métadonnées
Les fichiers plus grands ou plus petits ne sont pas du tout inspectés

Importation automatique des étiquettes MIP

Vous pouvez configurer un connecteur API dans l'application de gestion Cato pour récupérer automatiquement vos étiquettes de sensibilité Microsoft existantes à utiliser comme types de données personnalisés DLP. Le connecteur récupère toutes les données nécessaires de l'étiquette MIP en même temps, et rend les étiquettes disponibles pour une configuration facile en tant que types de données personnalisés. Si vous apportez des modifications à la politique d'étiquettes de sensibilité de votre compte Microsoft 365, vous pouvez utiliser le connecteur pour récupérer votre dernière configuration d'étiquettes de sensibilité, puis mettre à jour vos types de données DLP de Cato pour qu'ils correspondent.

Description générale des connecteurs Microsoft

Pour configurer le connecteur d'étiquettes MIP de Cato pour récupérer les étiquettes de sensibilité de votre organisation, vous devez d'abord configurer le connecteur Microsoft 365 comme application parente pour donner les autorisations de lecture pour le connecteur d'étiquettes MIP. L'application parente a uniquement les autorisations pour gérer les connecteurs Microsoft. Après avoir configuré le connecteur Microsoft 365, vous pouvez configurer un connecteur d'étiquettes MIP pour récupérer les étiquettes de sensibilité.

Si vous souhaitez importer des étiquettes de sensibilité depuis les politiques MIP des différentes sous-organisations au sein de votre organisation, créez un connecteur Microsoft 365 séparé pour chaque locataire Azure pertinent, puis configurez un connecteur d'étiquettes MIP pour chaque locataire.

Prérequis

Le connecteur Microsoft 365 requiert un administrateur avec le rôle d'administrateur global pour donner des permissions au connecteur d'étiquettes MIP de Cato.

Permissions requises pour le connecteur d'étiquettes MIP

Pour permettre au connecteur d'étiquettes MIP de récupérer les étiquettes de sensibilité de votre compte Microsoft 365, le connecteur accorde à Cato les permissions et actions suivantes avec Microsoft 365 :

Connectez-vous aux API de Microsoft et lisez toutes les étiquettes de sensibilité publiées et les politiques d'étiquettes pour une organisation
Connectez-vous et lisez le profil utilisateur

Configuration des connecteurs Microsoft

Configurez un connecteur principal Microsoft 365 puis définissez un connecteur d'étiquettes MIP pour le compte Microsoft 365 avec les étiquettes de sensibilité que vous souhaitez utiliser.

Si votre organisation a configuré une politique de l'API de sécurité SaaS pour les applications Microsoft, le connecteur principal Microsoft 365 pertinent peut déjà être activé et apparaître sur la page Types de données & Profils. Dans ce cas, vous devez uniquement configurer un connecteur d'étiquettes MIP.

Configuration du connecteur Microsoft 365

Utilisez l'application de gestion Cato pour créer le connecteur de l'application SaaS Microsoft 365 pour le locataire Azure avec les étiquettes de sensibilité MIP que vous souhaitez utiliser. Vous devez avoir les bonnes informations d'identification pour authentifier Microsoft 365 afin d'ajouter le connecteur à votre compte Cato.

Pour configurer le connecteur principal Microsoft 365 :

Dans le menu de navigation, sélectionnez Sécurité > Types de données & Profils, et dans l'onglet Paramètres sélectionnez Connecteurs DLP.
Cliquez sur Nouveau. Le panneau Nouveau Connecteur s'ouvre.
Depuis le menu déroulant Application SaaS, sélectionnez l'application Microsoft 365.
Saisissez un Nom de Connecteur unique.
Cliquez sur Autoriser et Enregistrer.

Un nouvel onglet de navigateur s'ouvre pour l'application Microsoft 365.
Dans le nouvel onglet du navigateur, authentifiez-vous à l'application Microsoft 365 :
1. Sélectionnez le compte Microsoft pour l'application Microsoft 365.
  
  Sinon, une erreur d'authentification Microsoft peut se produire.
2. Entrez le mot de passe pour l'application et approuvez-le.
3. Acceptez les autorisations pour permettre à Cato d'accéder à l'application Microsoft 365.
4. L'écran montre que vous avez correctement appliqué les autorisations pour l'application.
  
  Vous pouvez fermer l'onglet du navigateur et retourner à l'application de gestion Cato.
L'application SaaS Microsoft 365 est ajoutée à l'écran Paramètres des Connecteurs DLP.

Microsoft Azure peut prendre plusieurs secondes pour traiter la demande, donc si le Statut affiche Consentement de l'utilisateur en attente, actualisez le navigateur.

Configuration du connecteur d'étiquettes MIP

Utilisez l'application de gestion Cato pour créer le connecteur de l'application SaaS d'Étiquettes MIP pour le locataire Azure avec les étiquettes de sensibilité MIP que vous souhaitez utiliser. Vous devez avoir les bonnes informations d'identification pour authentifier Microsoft 365 afin d'ajouter le connecteur à votre compte Cato.

Remarque

Note: When you create an API connector for a Microsoft 365 app, the connector creates an authentication certificate that is valid for 3 months, and renews the certificate 7 days before expiration.

Pour configurer le connecteur d'étiquettes MIP :

Dans le menu de navigation, sélectionnez Sécurité > Types de données & Profils, et dans l'onglet Paramètres sélectionnez Connecteurs DLP.
Cliquez sur Nouveau. Le panneau Nouveau Connecteur s'ouvre.
Depuis le menu déroulant Application Saas, sélectionnez l'application Étiquettes MIP.
Dans le menu déroulant Connector Tenant, sélectionnez le connecteur principal Microsoft 365 pour le locataire avec les étiquettes que vous souhaitez utiliser.
Entrez un Connector Name unique pour le connecteur des étiquettes MIP.
Cliquez sur Sauvegarder.

Attendez au moins 30 secondes pour que Microsoft crée l'application du connecteur Cato dans Azure.
Après la création réussie du connecteur, cliquez sur Autoriser.

Un nouvel onglet de navigateur s'ouvre sur l'application Microsoft 365.
Dans le nouvel onglet du navigateur, authentifiez-vous sur l'application Microsoft 365 :
1. Attendez au moins 30 secondes pour que Microsoft crée l'application du connecteur Cato dans Azure, avant de sélectionner le compte Microsoft pour l'application Microsoft 365.
  
  Sinon, il peut y avoir une erreur d'authentification Microsoft.
2. Entrez le mot de passe pour l'application et approuvez-le.
3. Acceptez les permissions pour permettre à Cato d'accéder à l'application Microsoft 365.
4. L'écran montre que vous avez appliqué avec succès les permissions pour l'application.
  
  Vous pouvez fermer l'onglet du navigateur et retourner à l'application de gestion Cato.
L'application SaaS des étiquettes MIP est ajoutée à l'écran des réglages des connecteurs DLP.

Microsoft Azure peut prendre plusieurs secondes pour traiter la demande, donc si le Status affiche consentement de l'utilisateur en attente, actualisez le navigateur.

Comprendre le statut du connecteur

La colonne Status sur l'écran des réglages des connecteurs DLP montre le statut de la connexion entre l'application Microsoft et votre compte Cato. Voici les explications des statuts :

Connecté - Votre compte est connecté à l'application et fonctionne correctement
Consentement de l'utilisateur en attente - Les permissions n'ont pas été accordées pour permettre à Cato d'accéder à l'application Microsoft 365. Pour résoudre ce problème, actualisez le navigateur. Si le Status change en Connecté, le problème est résolu, sinon, supprimez et recréez le connecteur.
Erreur - Il y a un problème de connectivité, de permissions ou autre avec le connecteur Microsoft. Supprimez et recréez le connecteur.

Importation d'étiquettes MIP dans la politique DLP

Récupérez les étiquettes de sensibilité MIP de votre compte Microsoft 365 et sélectionnez les étiquettes que vous souhaitez utiliser comme types de données dans votre politique DLP de Cato.

Pour importer des étiquettes MIP dans la politique DLP :

Dans le menu de navigation, sélectionnez Sécurité > Types de données & Profils, et sélectionnez l'onglet Types de données.
Dans Étiquettes de Sensibilité, cliquez sur Nouvelle. Le panneau Ajouter une Étiquette de Sensibilité s'ouvre.
Sélectionnez l'option Récupérer les Étiquettes.
Dans le menu déroulant Choisir Connecteur, sélectionnez le connecteur des étiquettes MIP pour le locataire Microsoft 365 dont vous souhaitez récupérer les étiquettes.

Le menu déroulant Nom de l'Étiquette Importée est rempli avec les étiquettes récupérées.
Depuis le menu déroulant Nom de l'Étiquette Importée, sélectionnez l'étiquette à importer. Les champs requis sont automatiquement remplis avec les détails de l'étiquette.
Cliquez sur Appliquer.

L'étiquette est ajoutée à la liste des Étiquettes de Sensibilité et peut être ajoutée à un profil de contenu comme type de données DLP personnalisé.

Configuration manuelle des étiquettes MIP dans le DLP de Cato

Vous pouvez également choisir de configurer manuellement les étiquettes MIP dans l'application de gestion Cato. Cette méthode peut être pratique si, par exemple, vous n'avez besoin que de quelques étiquettes MIP dans votre politique DLP de Cato. Configurez les étiquettes sous Étiquettes de sensibilité dans l'onglet Types de données de la page Types de données & Profils. Pour configurer une nouvelle étiquette, entrez les détails de l'étiquette, y compris un Nom, une Description et un ID d'Étiquette. Assurez-vous que l'ID d'Étiquette que vous saisissez correspond exactement à l'ID d'étiquette MIP.

Pour configurer manuellement une étiquette de sensibilité :

Dans le menu de navigation, sélectionnez Sécurité > Types de données & Profils, et sélectionnez l'onglet Types de données.
Dans Étiquettes de Sensibilité, cliquez sur Nouvelle. Le panneau Ajouter une Étiquette de Sensibilité s'ouvre.
Sélectionnez l'option Étiquettes Personnalisées.
Entrez le Nom et la Description pour l'étiquette.
Entrez le même ID d'Étiquette que l'ID d'étiquette MIP.
Cliquez sur Appliquer.

L'étiquette est ajoutée à la liste des Étiquettes de Sensibilité et peut être ajoutée à un profil de contenu comme type de données DLP personnalisé.