GitHub : Configuration du connecteur API de protection des données

Cet article explique comment configurer le connecteur GitHub pour la Politique de Protection de l'API des Applications & Données pour votre compte et créer des règles qui utilisent ce connecteur dans la Politique de Protection contre les Menaces et de Protection des Données.

La Politique de Protection de l'API des Applications & Données nécessite une licence Cato séparée. Veuillez contacter votre représentant Cato ou revendeur officiel pour plus d'informations.

Les fichiers binaires ne sont pas pris en charge pour le connecteur GitHub.

Vue d'ensemble

Le connecteur API de protection des données de GitHub surveille le contenu des commits que les utilisateurs envoient aux dépôts, et analyse les données sensibles que vous définissez dans les profils de contenu DLP. Lorsque le connecteur identifie des données sensibles dans un commit, il génère un événement avec les détails. Par exemple, vous pouvez analyser des commits pour des jetons API, des clés SSH, des identifiants de base de données, et plus encore.

Pour surveiller le contenu des commits, créez le connecteur pour l'organisation GitHub, puis configurez des règles dans les politiques de protection contre les menaces et de protection des données qui définissent les utilisateurs et les dépôts qui sont analysés et surveillés.

Prérequis

  • Permissions d'administrateur pour le compte GitHub de votre organisation

Autorisations requises pour les connecteurs API pour GitHub

Pour activer l'API de protection des données pour analyser les commits GitHub, le connecteur donne à Cato les permissions suivantes dans le compte GitHub :

  • Accès en lecture au code, aux membres, et aux métadonnées

Travailler avec les connecteurs GitHub

Cette section explique comment créer des connecteurs API pour GitHub pour analyser les commits à la recherche de données sensibles et de menaces.

Créer le connecteur GitHub

Utilisez l'application de gestion Cato pour créer le connecteur GitHub, puis connectez-vous à votre compte GitHub. Sélectionnez l'organisation pour installer le connecteur, puis sélectionnez les dépôts auxquels le connecteur peut accéder. Vous pouvez sélectionner tous les dépôts pour l'organisation ou seulement certains d'entre eux.

Vous pouvez créer un seul connecteur pour chaque organisation GitHub. Pour plusieurs organisations, un connecteur séparé est requis pour chacune.

Le connecteur GitHub permet au moteur de l'API de protection des données d'analyser le contenu que vous définissez dans la politique de protection des données.

Remarque

Remarque :

  • Vous ne pouvez pas installer plus d'un connecteur pour une organisation. Essayer d'installer un deuxième connecteur pour la même organisation peut affecter la fonctionnalité, et l'organisation pourrait ne plus être surveillée.

  • La modification des paramètres d'un connecteur existant dans la console de gestion GitHub peut affecter la fonctionnalité et l'organisation pourrait ne plus être surveillée.

Pour créer le connecteur pour GitHub :

  1. Dans le menu de navigation, sélectionnez Ressources > Intégrations et cliquez sur l'onglet APIs intégrées.

  2. Cliquez sur Nouveau. Le panneau Nouveau connecteur s'ouvre.

  3. Dans le menu déroulant de Connecteur d'application, sélectionnez GitHub.

  4. Dans la section Capacité, sélectionnez Protection contre les menaces et données.

  5. Entrez le Nom du connecteur.

  6. Cliquez sur Autoriser et enregistrer. Vous êtes redirigé vers GitHub.

  7. Installez l'application dans GitHub :

    1. Dans GitHub, connectez-vous en tant qu'administrateur. Si vous êtes déjà connecté à GitHub, vérifiez que vous êtes connecté en tant qu'administrateur.

    2. Sélectionnez l'organisation pour le connecteur.

      GitHub_Select_Org.png

    3. Si nécessaire, connectez-vous à l'organisation.

    4. Sélectionnez les dépôts que le connecteur a la permission d'accéder, et cliquez sur Installer. Vous pouvez sélectionner tous les dépôts dans l'organisation ou des dépôts spécifiques.

      GitHub_Select_repos.png

    5. L'écran montre que vous avez appliqué avec succès les autorisations pour le locataire.

      Success_Connector_Permissions.png

    6. Le connecteur GitHub est créé et ajouté à l'onglet APIs intégrées.

Comprendre le statut du connecteur

La colonne Statut sur la page Applications SaaS installées montre l'état de la connexion entre votre compte GitHub et votre compte Cato. Voici les explications des statuts :

  • Connecté - Votre compte est connecté au compte et fonctionne correctement

  • Erreur de connexion - Problème de connectivité ou de permissions avec le connecteur GitHub. Veuillez ouvrir un ticket avec le Support.

  • Consentement de l'utilisateur en attente - Le connecteur GitHub est créé dans la page des paramètres de connexion, cependant vous n'avez pas authentifié avec succès à GitHub. L'authentification peut prendre plusieurs secondes à se traiter, donc si vous recevez ce statut, rafraîchissez votre navigateur.

Ajout de règles GitHub à la politique de protection des données

Cette section explique comment utiliser la politique de protection des données pour surveiller les commits GitHub à la recherche de données sensibles. Lorsqu'un utilisateur pousse un commit à un dépôt, le moteur de protection des données analyse le nouveau contenu contenu dans le commit pour détecter les données sensibles définies dans les profils de contenu. Le contenu qui a été précédemment envoyé au dépôt n'est pas analysé, uniquement le nouveau contenu qui est différent dans le commit.

Comprendre les paramètres de la règle GitHub

Cette section explique comment définir les paramètres des règles de protection des données pour analyser les commits GitHub. Chaque règle peut être définie avec les paramètres suivants :

  • Utilisateurs - Définissez les utilisateurs GitHub à surveiller. Sélectionnez N'importe ou définissez un ou plusieurs utilisateurs spécifiques.

  • Objets - Définissez quels dépôts GitHub sont analysés. Sélectionnez N'importe ou définissez un ou plusieurs dépôts spécifiques.

    • Les dépôts disponibles pour l'analyse incluent ceux auxquels le connecteur a l'autorisation d'accéder, tel que défini lors de la création du connecteur. Voir ci-dessus Créer le connecteur GitHub.

  • Attributs de fichier - Excluez les fichiers de l'analyse en fonction du Nom de fichier et du Type de fichier. Les fichiers qui répondent aux attributs définis ne sont pas analysés pour le contenu sensible.

  • Profil de contenu - Profil de contenu DLP qui définit l'inspection du contenu DLP

    Vous pouvez créer ou modifier des profils de contenu dans Sécurité > Profils DLP > Profils DLP > Profil de contenu

  • Actions - Sélectionnez si vous souhaitez générer un événement ou envoyer une notification lorsque la règle est respectée

Configuration des règles GitHub

Utilisez la page de protection des données pour ajouter les règles d'application SaaS dans votre politique de protection des données.

Slack_Data_Protection_Rule.png

Pour créer une nouvelle règle de protection des données pour l'application GitHub :

  1. Dans le volet de navigation, sélectionnez Sécurité > Protection de l'API des Applications & Données et sélectionnez ou développez Protection des Données.

  2. Cliquez sur Nouveau. Le panneau Nouvelle règle s'ouvre.

  3. Dans Connecteur d'application, sélectionnez l'application GitHub.

  4. Dans la section Général, entrez les paramètres pour la règle.

  5. Dans Utilisateurs, définissez les utilisateurs GitHub que vous surveillez :

    • N'importe - Surveillez tous les utilisateurs GitHub dans l'organisation (valeur par défaut)

    • Utilisateur GitHub - Sélectionnez les utilisateurs spécifiques de l'organisation à surveiller

  6. Dans Objets, définissez les dépôts GitHub qui sont analysés. La valeur par défaut est N'importe.

  7. Dans Attributs de fichier, définissez les critères pour spécifier les fichiers qui sont analysés (le paramètre par défaut est d'analyser tous les fichiers).

  8. Dans Profil de contenu, sélectionnez le profil de contenu DLP pour cette règle.

    Pour en savoir plus sur les profils de contenu DLP, voir Création de profils de contenu DLP.

  9. Dans Actions, sélectionnez Surveiller.

  10. (Optionnel) Configurez les options de suivi pour générer des Événements et envoyer des notifications.

    Pour plus d'informations sur les notifications, voir l'article pertinent pour les Groupes d'abonnement, Listes de diffusion, et Intégrations d'alerte dans la section Alertes.

  11. Cliquez sur Enregistrer. La règle est ajoutée à la politique de protection des données.

Travailler avec des règles de protection des données ordonnées

Le moteur de l'API de protection des données inspecte les données séquentiellement, et vérifie si elles correspondent à une règle. Si les données ne correspondent pas à une règle, elles ne sont pas inspectées. Les règles qui sont en haut de la base de règles ont une priorité plus élevée et elles sont appliquées avant les règles en bas de la base de règles. Chaque type d'application ou de connecteur est seulement appliqué aux données une seule fois.

Bonne pratique - Pour maximiser l'efficacité de votre base de règles, nous recommandons que pour chaque type de connecteur, les règles pour des utilisateurs spécifiques aient une priorité plus élevée que les règles qui s'appliquent à N'importe utilisateurs.

Par exemple, si les données correspondent à un connecteur dans la règle n°2, les données sont inspectées par le moteur de l'API de protection des données. Le moteur ne continue pas à appliquer les règles n°3 et suivantes pour le même connecteur. Cependant, les données peuvent correspondre à une règle de moindre priorité avec un connecteur différent.

Ajout de la protection contre les menaces au connecteur

Vous pouvez créer des règles de protection contre les menaces pour le connecteur afin d'analyser les fichiers et les pièces jointes à la recherche de logiciels malveillants et virus en utilisant les moteurs Anti-Malware et Next Gen Anti-Malware qui sont activés pour votre compte. Le moteur de l'API de protection des données analyse le trafic du connecteur et applique les options d'action et de suivi que vous configurez pour la règle :

  • Surveillez le trafic (le blocage sera bientôt pris en charge)

  • Générez des événements

  • Envoyez des notifications par email

Lorsque vous créez une règle de Protection de l'API des Applications & Données, les moteurs Anti-Malware qui sont activés pour votre compte (Sécurité > Anti-Malware) effectuent des analyses de logiciels malveillants sur les fichiers qui sont envoyés pour cette application de connecteur.

La capture d'écran suivante montre une règle de protection contre les menaces pour le connecteur OneDrive qui analyse les fichiers envoyés par des utilisateurs internes ou des invités :

CAS_Threat_Protection.png

Créer une exception pour un fichier

Parfois, il y a un fichier bloqué par les moteurs de API de Protection des Données de Cato que vous savez être sûr, et vous devez l'autoriser dans le réseau. Les exceptions Anti-Malware dans la politique de Hachage du fichier s'appliquent également à la Protection API Application et Données. Pour plus d'informations sur l'ajout de fichiers à la Politique de Hachage du fichier, voir Gestion des exceptions Anti-Malware.

Analyse des événements API de Protection des Données

La page Accueil > Événements affiche tous les événements API de Protection des Données pour votre compte. Les puissants outils de recherche vous permettent de cibler et d'identifier les quelques événements qui contiennent les données pertinentes dont vous avez besoin.

Les événements API de Protection des Données peuvent être identifiés par les champs suivants :

  • Type d'événement - Sécurité

  • Sous-type - Protection des données d'API de sécurité SaaS et Sécurité SaaS API Anti-Malware

Vous pouvez en savoir plus sur l'utilisation de la page des événements ici.

Ceci est un exemple d'événement connecteur API de Sécurité SaaS GitHub :

GitHub_Event.png

Explication des champs API de Protection des Données

Nom du champ

Description

Activité de l'Application

Pousser

Nom du connecteur

Nom pour le connecteur qui est défini pour la règle

Type de connecteur

Application SaaS qui est définie pour ce connecteur

Profil de protection contre la perte de données DLP

Profil de Contenu DLP qui a généré cet événement

URL Complète

Lien vers la comparaison des différences pour le commit

Types de données correspondants

Types de Données dans le Profil de Contenu qui ont correspondu à la règle

Règle

Nom de la règle dans la Politique de Protection des Données

Nom de l'objet

Nom du dépôt où le commit a été poussé

Type d'objet

Le type d'objet scanné

Propriétaire

Adresse e-mail de l'utilisateur qui a poussé le commit

Gravité

Gravité définie pour la règle

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire