Boîte : Configuration du connecteur API de protection des données

Cet article explique comment configurer le connecteur Box pour la politique App & Data API Protection de votre compte et créer des règles qui utilisent ce connecteur dans la politique de Protection des Données ou de Protection contre les Menaces.

La politique App & Data API Protection nécessite une licence Cato distincte. Veuillez contacter votre représentant Cato ou revendeur officiel pour plus d'informations.

Aperçu du connecteur Box

Créez le connecteur pour le locataire Box de votre organisation. Ensuite, définissez des règles dans la politique de Protection des Données qui incluent le connecteur Box et définissez que les fichiers qui sont scannés et inspectés. Vous pouvez créer un seul connecteur Box pour chaque locataire.

Prérequis

  • Autorisations d'administrateur ou de co-administrateur pour le locataire Box

  • Le connecteur surveille les fichiers, d'autres actions seront supportées bientôt

Autorisations requises pour les connecteurs API pour Box

Pour permettre à Data Protection API de scanner les fichiers et dossiers dans votre compte Box, le connecteur donne à Cato les autorisations et actions suivantes avec l'application Box :

  • Accorder l'accès à l'application en utilisant Oauth2

  • Recevoir un jeton de l'application pour établir et maintenir une connexion sécurisée

  • Se connecter aux APIs Box et récupérer les données et scanner les fichiers selon la politique App & Data API Protection, y compris :

    • Pour l'action de surveillance - Lire tous les fichiers et dossiers stockés dans Box

      • Pour d'autres actions - Permissions d'écriture pour tous les fichiers et dossiers stockés dans Box

    • Accéder aux données utilisateur dans votre compte Box

    • L'administrateur Cato peut effectuer des appels au nom des utilisateurs Box

Limitations connues

  • Les fichiers téléchargés dans le dossier racine peuvent prendre jusqu'à 24 heures pour être disponibles pour le connecteur

    • Les fichiers téléchargés dans les sous-dossiers et répertoires sont disponibles immédiatement

Travailler avec les connecteurs Box

Cette section explique comment créer des connecteurs API pour Box, et connecter le locataire Box de votre organisation à votre compte Cato.

Création du connecteur Box

Lorsque vous créez le connecteur Box, l' Application de gestion Cato génère l'ID client pour ce connecteur. Ensuite, connectez-vous à la console d'administration de votre compte Box et créez une nouvelle application d'authentification utilisateur. Entrez l'ID client dans l'application Cato Box, puis autorisez Cato à se connecter à votre compte Box. Enfin, enregistrez le connecteur Box dans l' Application de gestion Cato et Cato est maintenant prêt à surveiller les fichiers et dossiers Box.

Pour créer le connecteur pour Box :

  1. Dans le menu de navigation, sélectionnez Ressources > Intégrations et cliquez sur l'onglet Applications Intégrées.

  2. Cliquez sur Nouveau. Le panneau Nouveau connecteur s'ouvre.

  3. De la liste déroulante Connecteur d'application, sélectionnez Box.

    Actuellement, seules les autorisations et actions de Lecture sont prises en charge pour l'application Box. Cependant, les autorisations et actions de Lecture/Écriture seront bientôt prises en charge.

  4. Dans la section Capacité, sélectionnez Protection contre les menaces et les données.

  5. Entrez le Nom du connecteur.

  6. Copiez le ID client dans le presse-papiers de l'OS.

  7. Créez l'application Cato Box pour ce connecteur :

    1. Cliquez sur le lien pour ouvrir la console administrateur Box pour votre compte.

      L'écran Box s'ouvre dans un nouvel onglet de navigateur.

    2. Connectez-vous à votre locataire Box.

    3. Dans le menu de navigation Box, sélectionnez Console d'administration.

    4. Sélectionnez Applications > Gestionnaire des Applications de Plateforme > Applications d'Authentification des Utilisateurs.

      Box_User_Apps.png

    5. Cliquez sur le symbole plus.

    6. Dans la fenêtre Ajouter une application, collez l'ID client (depuis l'étape 5 ci-dessus).

      Box_Client_ID.png

    7. Cliquez sur Suivant.

    8. Dans la fenêtre Autoriser l'application, cliquez sur Autoriser pour donner à Cato la permission d'accéder à l'application Box.

      Box_Authorize_App.png

      La nouvelle application est ajoutée à votre compte Box.

  8. Dans l'Application de gestion Cato, cliquez sur Autoriser et enregistrer.

    Un écran des permissions Box s'ouvre dans un nouvel onglet de navigateur.

  9. Donnez à votre compte Cato les permissions d'accéder à l'application Box.

    1. Cliquez sur Accorder l'accès à Box pour autoriser Cato à accéder à l'application Box.

      Grant_Access_Box.png

    2. L'écran montre que vous avez appliqué avec succès les autorisations pour le locataire.

      Success_Connector_Permissions.png

      Vous pouvez fermer l'onglet du navigateur et revenir à l'Application de gestion Cato. Cela peut prendre plusieurs secondes à Box pour traiter la demande, donc si vous recevez une erreur, rafraîchissez le navigateur.

      Pendant que Box traite la demande, le statut du connecteur est Consentement de l'utilisateur en attente (voir ci-dessous Comprendre le statut du connecteur).

  10. L'application SaaS Box est ajoutée à l'onglet APIs intégrées.

Comprendre l'état du connecteur

La colonne Statut sur l'écran Paramètres des Connecteurs montre le statut de la connexion entre l'application Box et votre compte Cato. Voici les explications des statuts :

  • Connecté - Votre compte est connecté à l'application et fonctionne correctement

  • Avertissement de connexion - Certains des utilisateurs dans le locataire Box ne sont pas configurés correctement pour supporter la Data Protection API. Veuillez ouvrir un ticket avec le Support.

  • Erreur de connexion - Problème de connectivité ou de permissions avec le connecteur Box. Veuillez ouvrir un ticket avec le Support.

    Box ne prend en charge que la création d'un seul connecteur par locataire.

  • Consentement de l'utilisateur en attente - Le connecteur Box est créé dans l'écran Paramètres des Connecteurs, cependant vous n'avez pas complété le processus pour autoriser Cato à se connecter à votre compte Box.

Ajout de règles Box à la politique de protection des données

Cette section explique comment utiliser la politique de Protection des Données pour surveiller et gérer les fichiers et dossiers que vos utilisateurs téléchargent et chargent avec Box.

Comprendre les actions Box

Quand vous créez une règle de Protection des Données, vous pouvez définir différentes actions pour surveiller ou remédier les violations de la politique lorsque la règle est appariée. Chaque action génère automatiquement un événement, et vous pouvez également choisir de recevoir une notification par email. Pour plus d'informations sur les événements de l'API de Protection des Données, voir ci-dessous Analyser les événements de l'API de Protection des Données.

Voici les actions que vous pouvez définir pour que le moteur de Protection des Données exécute lorsqu'une règle est appariée :

  • Surveiller - Génère un événement pour vous permettre de surveiller le trafic qui correspond à la règle.

  • Supprimer le Partage - Lorsqu'un utilisateur essaie de partager un fichier, le moteur Data Protection API retire la permission de partage non autorisée, et l'utilisateur qui reçoit un lien vers le fichier partagé n'aura pas la permission d'accéder au fichier.

Remarque

Remarque : Les nouveaux fichiers ajoutés au dossier racine peuvent prendre jusqu'à 24 heures avant d'être scannés et que les actions de règles ne leur soient appliquées. Les fichiers dans les sous-dossiers sont scannés immédiatement après leur chargement.

Configuration des règles Box

Utilisez la page de Protection des Données pour ajouter les règles d'application SaaS dans votre politique de Protection des Données.

Créez une règle de Protection des Données pour définir le trafic qui est scanné par Data Protection API. Créez des règles séparées pour chaque connecteur d'application SaaS, puis définissez les critères qui déterminent quel trafic est scanné.

Pour plus d'informations sur les paramètres des règles Box, voir ci-dessous Comprendre les règles Box.

Box_Data_Protection.png

Pour créer une nouvelle règle de Protection des Données pour l'application Box :

  1. Dans le volet de navigation, sélectionnez Sécurité > App & Data API Protection et sélectionnez ou développez Protection des Données.

  2. Cliquez sur Nouveau. Le panneau Nouvelle Règle s'ouvre.

  3. Dans Connecteur d'application, sélectionnez l'application Box.

  4. Dans la section Général, entrez les paramètres pour la règle.

  5. Dans Propriétaire, sélectionnez un ou plusieurs utilisateurs Box que vous surveillez (valeur par défaut est N'importe quel).

    Lorsque vous sélectionnez plusieurs utilisateurs, il y a une relation OU entre eux.

  6. Dans Options de partage, sélectionnez le niveau de permission pour les fichiers et dossiers qui sont scannés (valeur par défaut est N'importe quel).

    Lorsque vous sélectionnez plusieurs options, il y a une relation OU entre elles.

  7. Dans Attributs du fichier, définissez les critères pour spécifier les fichiers qui sont scannés (le réglage par défaut est de scanner tous les fichiers).

  8. Dans Profil de Contenu, sélectionnez le Profil de Contenu DLP pour cette règle.

    Pour plus d'informations sur les profils de contenu DLP, voir Création de profils de contenu DLP.

  9. Sélectionnez une Action.

  10. (Optionnel) Définissez les options de suivi pour que les règles génèrent des notifications par email.

    Pour plus d'informations sur les événements et les notifications par e-mail, voir Alertes de niveau de compte et notifications système.

  11. Cliquez sur Sauvegarder. La règle est ajoutée à la Politique de Protection des Données.

Comprendre les règles Box

Cette section explique comment définir les paramètres pour les règles de Protection des Données afin d'analyser correctement le trafic Box. Chaque règle peut être définie selon les critères suivants :

  • Propriétaire - Utilisateurs Box dans votre espace de travail (valeur par défaut est N'importe)

    • Interne - Le propriétaire est un utilisateur de votre entreprise

    • Utilisateur Box - Le propriétaire est un utilisateur spécifique

  • Options de partage - Sélectionnez les types d'autorisations de partage de fichiers et de dossiers qui correspondent à cette règle (valeur par défaut est N'importe)

    • Privé - Seul l'utilisateur a accès

    • Personnes avec le lien - Accessible publiquement à toute personne ayant le lien (pas besoin de s'identifier sur Box)

    • Personnes de l'entreprise - Tout utilisateur de votre entreprise avec le lien

    • Seulement les personnes invitées de l'entreprise - Tout utilisateur dans votre entreprise avec le lien

    • Seulement les personnes publiques invitées - Utilisateurs externes ayant reçu une invitation avec le lien

  • Attributs du fichier - Critères pour les pièces jointes qui sont analysées (valeur par défaut est toutes les pièces jointes)

    • Type de fichier

    • Nom du Fichier

    • Taille du fichier (la taille maximale du fichier est de 20 Mo)

  • Profil de contenu - Profil de contenu DLP qui définit l'inspection du contenu DLP

    Vous pouvez créer ou modifier les Profils de Contenu dans Sécurité > Profils DLP > Profils DLP > Profil de contenu

  • Actions - Sélectionnez si vous souhaitez générer un événement ou une notification par e-mail lorsque la règle est correspondue

Définir des fichiers ou pièces jointes pour une règle

Vous pouvez définir des fichiers spécifiques (ou pièces jointes) pour une règle et limiter le moteur de l'API SaaS à n'analyser que les fichiers spécifiés pour voir s'ils correspondent au Profil de Contenu DLP.

Lorsque vous ajoutez plusieurs fichiers à une règle, sélectionnez la relation entre eux :

  • Satisfaire à l'une (OU) - Correspondre à l'un des types de fichier dans la règle

  • Satisfaire à toutes (ET) - Correspondre à tous les types de fichier dans la règle (sinon, la règle est ignorée)

Vous pouvez utiliser le paramètre Nom du Fichier dans une règle pour définir le nom exact du fichier ou utiliser des jokers pour définir des mots-clés. Par exemple, vous pouvez définir le Nom du Fichier comme interne pour correspondre à tous les noms de fichiers contenant le mot interne.

Travailler avec des règles de protection des données ordonnées

Le moteur Data Protection API inspecte les données de manière séquentielle et vérifie si elles correspondent à une règle. Si les données ne correspondent pas à une règle, alors elles ne sont pas inspectées. Les règles en tête de base de règles ont une priorité plus élevée et elles sont appliquées avant les règles en bas de la base de règles. Chaque type d'application ou de connecteur n'est appliqué qu'une seule fois aux données.

Meilleures pratiques - Pour maximiser l'efficacité de votre base de règles, nous recommandons que pour chaque type de connecteur, les règles pour des utilisateurs spécifiques aient une priorité plus élevée que les règles qui s'appliquent à N'importe.

Par exemple, si les données correspondent à un connecteur dans la règle numéro 2, les données sont inspectées par le moteur Data Protection API. Le moteur ne continue pas à appliquer les règles numéro 3 et suivantes pour le même connecteur. Cependant, les données pourraient correspondre à une règle de priorité inférieure avec un connecteur différent.

Ajout de la protection contre les menaces au connecteur

Vous pouvez créer des règles de Protection contre les Menaces pour le connecteur afin d'analyser les fichiers et pièces jointes pour détecter les malwares et virus en utilisant les moteurs Anti-Malware et Next Gen Anti-Malware qui sont activés pour votre compte. Le moteur Data Protection API analyse le trafic du connecteur et applique l'action et les options de suivi que vous configurez pour la règle.

Voici les actions que vous pouvez définir pour que le moteur de Protection contre les Menaces exécute lorsqu'une règle est correspondue :

  • Surveiller - Génère un événement pour vous permettre de surveiller le trafic qui correspond à la règle.

  • Supprimer les partages - Lorsqu'un utilisateur essaie de partager un fichier, le moteur Data Protection API supprime l'autorisation de partage non autorisée, et l'utilisateur qui reçoit un lien vers le fichier partagé n'aura pas les permissions pour accéder au fichier.

Chaque action génère automatiquement un événement, et vous pouvez également choisir de recevoir une notification par e-mail. Pour plus d'informations sur les événements de l'API de Protection des Données, voir ci-dessous Analyser les événements de l'API de Protection des Données.

Lorsque vous créez une règle App & Data API Protection, les moteurs Anti-Malware qui sont activés pour votre compte (Sécurité > Anti-Malware) effectuent des analyses de malwares sur les fichiers envoyés pour cette application de connecteur.

La capture d'écran suivante montre une règle de Protection contre les Menaces pour le connecteur OneDrive qui analyse les fichiers envoyés par des utilisateurs Internes ou Invités :

CAS_Threat_Protection.png

Création d'une exception pour un fichier

Parfois, un fichier est bloqué par les moteurs Data Protection API de Cato que vous savez être sûr, et vous devez l'autoriser dans le réseau. Les exceptions anti-malware dans la politique de hachage de fichier s'appliquent également à la Protection de l'API des applications et des données. Pour plus d'informations sur l'ajout de fichiers à la politique de hachage de fichier, voir Gestion des exceptions anti-malware.

Analyser les événements de l'API de Protection des Données

La page Accueil > Événements affiche tous les événements Data Protection API pour votre compte. Les outils de recherche puissants vous permettent de renseigner et d'identifier les quelques événements qui contiennent les données pertinentes dont vous avez besoin.

Les événements Data Protection API peuvent être identifiés par les champs suivants :

  • Type d'événement - Sécurité

  • Sous-type - Protection des données API de sécurité SaaS et Sécurité SaaS API Anti Malware

Vous pouvez en savoir plus sur l'utilisation de la page Événements ici.

Explication des champs des événements de l'API de Protection des Données

Nom du champ

Description

Nom du connecteur

Nom du connecteur qui est défini pour la règle

Type de connecteur

Application SaaS qui est définie pour ce connecteur

Profil DLP

Profil de contenu DLP qui a généré cet événement

Nom du Fichier

Nom du fichier joint

Taille du fichier

Taille du fichier joint

Type de fichier

Type de fichier pour le fichier joint

Types de données correspondants

Types de données dans le Profil de Contenu qui ont correspondu à la règle

Collaborateurs

Adresses email des utilisateurs qui ont reçu le fichier

Règle

Nom de la règle dans la Politique de Protection des Données

Propriétaire

Propriétaire du fichier

Gravité

Gravité définie pour la règle

Portée du partage

Options de partage pour la pièce jointe Box

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire