Cet article fournit un aperçu et des informations de fond sur le service hors bande API de Protection des Données de Cato pour surveiller et contrôler le trafic vers les applications cloud approuvées SaaS.
Note
Note : Veuillez contacter SaaSecAPI@catonetworks.com ou votre revendeur Cato officiel pour plus d'informations sur l'utilisation de la politique de Protection des données API.
L'API de Protection des Données fournit une visibilité hors bande et un contrôle pour les applications cloud approuvées. D'autres fonctionnalités de sécurité (telles que CASB) ne peuvent contrôler et surveiller que le trafic qui passe par le Cloud Cato. L'API de Protection des Données permet également de surveiller et de réagir au trafic des utilisateurs distants qui se connectent directement aux applications cloud. Cela s'applique même lorsqu'ils n'utilisent pas le Client SDP pour envoyer du trafic sur le Cloud Cato.
L'API de Protection des Données inspecte le contenu d'une connexion sans utiliser l'Inspection TLS. Cela est particulièrement bénéfique pour les comptes qui n'ont pas activé l'Inspection TLS. Cependant, même pour les comptes qui utilisent l'Inspection TLS, certaines applications cloud ne peuvent être inspectées en raison de problèmes liés au verrouillage des certificats. L'API de Protection des Données complète les solutions CASB et DLP en ligne de Cato pour fournir la meilleure couverture de sécurité.
Pour certaines applications, vous pouvez créer des règles de Protection contre les menaces pour que le connecteur fournisse une protection anti-malware hors bande en analysant les fichiers et pièces jointes à la recherche de logiciels malveillants et de virus en utilisant les moteurs Anti-Malware et Next Gen Anti-Malware qui sont activés pour votre compte. Le moteur de l'API de Protection des données analyse le trafic du connecteur et applique les options d'action et de suivi que vous configurez pour la règle.
- Pour ajouter un connecteur, vous devez avoir l'autorisation d'éditeur pour Intégrations (dans la section Ressources) et App & Data API Protection (dans la section App & Data Control). Pour plus d'informations, voir Gestion des rôles d'admin à l'aide de RBAC.
Ceci est un aperçu des étapes à suivre pour implanter Protection des Données API.
-
Créez les connecteurs pour les applications cloud pertinentes.
Pour les applications Microsoft, il est nécessaire de créer un connecteur parent Microsoft 365, puis un connecteur enfant pour chaque application.
- Créez (ou examinez) le profil de contenu DLP qui définit les données sensibles pour lesquelles l'API de Protection des données effectue une analyse (voir Création de profils de contenu DLP).
- Créez les règles pour la politique de Protection des données.
Cato prend en charge une large gamme d'applications et étend continuellement la liste. Pour voir la liste complète des applications prises en charge, voir Protection des données API.
Voici les limitations qui s'appliquent à n'importe quel connecteur utilisé dans la politique de Protection des Données. Pour des limitations liées à des applications SaaS spécifiques, voir ci-dessous Limitations Connues pour les Connecteurs Spécifiques.
-
Impossible de modifier les connecteurs API de Protection des Données.
Solution de contournement - supprimez le connecteur et créez un nouveau connecteur avec les paramètres requis.
- Il peut prendre jusqu'à 15 minutes avant que les modifications de fichiers soient détectées.
- Pour les analyses anti-malware, la mise en liste blanche avec le hachage de fichiers n'est pas prise en charge.
- Les modifications d'autorisations pour les dossiers et répertoires ne sont pas analysées.
- Les actions pour les groupes (telles que le partage de fichiers avec un groupe) ne sont pas analysées.
- La taille maximale de fichier prise en charge pour les analyses DLP et Anti-Malware est de 500 Mo.
- Pour les analyses DLP et Anti-Malware, l'API de Protection des Données ne prend en charge que les types de fichiers pris en charge par les moteurs DLP et Anti-Malware de Cato.
- Lorsque les règles Protection des Données API sont créées, supprimées ou modifiées, les modifications sont suivies dans la Piste de Vérification sans afficher de détails relatifs au contenu de la règle
- Les extensions de fichier .log ne sont pas prises en charge
- Les fichiers binaires ne sont pas pris en charge pour le connecteur GitHub.
Voici les limitations pour les connecteurs API de Protection des Données spécifiques.
-
Azure
-
Les nouveaux utilisateurs ajoutés après la création du connecteur ne sont pas analysés.
Solution de contournement - créez une nouvelle règle pour le connecteur, ou désactivez puis réactivez la politique d'API de Protection des Données.
-
-
Box
- Les nouveaux fichiers ajoutés au dossier racine peuvent prendre jusqu'à 24 heures avant d'être analysés et avant que les actions des règles ne leur soient appliquées. Les fichiers dans les sous-dossiers sont analysés immédiatement après leur téléversement.
- Un seul connecteur par locataire est pris en charge. (Les connecteurs Microsoft et Google prennent en charge plusieurs connecteurs par locataire)
-
Exchange
- Pour les règles qui analysent l'activité des emails, l'événement peut également inclure un fichier joint (même si le fichier ne correspond pas à la politique).
-
Google Drive
- Seuls les comptes commerciaux sont pris en charge pour le connecteur Google Drive.
-
OneDrive
- Lorsqu'il existe des connecteurs SharePoint et OneDrive pour la même ressource, chaque connecteur crée un événement distinct pour la même action.
- Il peut prendre jusqu'à 5 minutes pour qu'une modification d'un fichier soit indiquée dans One Drive, ce qui peut entraîner des retards dans la génération d'événements.
-
SharePoint
- Seul le répertoire Documents est analysé.
- Lorsqu'il existe des connecteurs SharePoint et OneDrive pour la même ressource, chaque connecteur crée un événement distinct pour la même action.
-
- Un seul connecteur par locataire est pris en charge. (Les connecteurs Microsoft et Google prennent en charge plusieurs connecteurs par locataire)
- Seuls les canaux publics et partagés sont pris en charge.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.