Microsoft OneDrive : Configurer le connecteur de l'API de protection des données

Cet article explique comment configurer le connecteur Microsoft OneDrive pour la politique App & Data API Protection pour votre compte et créer une règle OneDrive pour la Politique de Protection des Données

La politique App & Data API Protection nécessite une licence distincte de Cato. Veuillez contacter votre représentant Cato ou revendeur officiel pour plus d'informations.

Remarque

Remarque: Veuillez contacter SaaSecAPI@catonetworks.com ou votre revendeur Cato officiel pour plus d'informations sur l'utilisation de la politique de Protection de l'API d'Applications & Données.

Vue d'ensemble des connecteurs Microsoft

Créez les connecteurs pour les applications Microsoft 365 et OneDrive SaaS.

Chaque application Microsoft OneDrive et locataire Azure (selon l'application 365) est soumise à la limitation de débit de Microsoft. Pour plus d'informations, consultez la documentation Microsoft.

Prérequis

Le connecteur Microsoft 365 nécessite un administrateur avec le rôle d'administrateur global pour donner des autorisations à l'API de protection des données

Autorisations requises pour les connecteurs API pour OneDrive

Pour permettre à l'API de protection des données d'analyser les actifs et le contenu des fichiers et dossiers OneDrive, le connecteur donne à Cato les autorisations et actions suivantes avec l'application OneDrive :

Accorder l'accès à l'application en utilisant Oauth2
Recevoir un jeton de l'application pour établir et maintenir une connexion sécurisée
Se connecter aux API Microsoft, récupérer des données et analyser des fichiers conformément à la politique App & Data API Protection, y compris :
- Lire les fichiers dans toutes les collections de sites
- Se connecter et lire les profils complets des utilisateurs
- Écrire des fichiers dans toutes les collections de sites (bientôt disponible)

Travailler avec les connecteurs API Microsoft OneDrive

Cette section explique comment créer des connecteurs API pour Microsoft 365 et OneDrive, et les connecter à votre compte Cato.

Comprendre les connecteurs API pour Microsoft OneDrive

Pour permettre à l'API de protection des données d'analyser les actifs et le contenu pour Microsoft OneDrive, vous devez d'abord configurer le connecteur Microsoft 365 comme application parente pour donner des autorisations de lecture au connecteur OneDrive. L'application parente n'a que les autorisations pour gérer les connecteurs Microsoft. Ensuite, si nécessaire, vous pouvez créer un connecteur Microsoft 365 distinct pour chaque locataire Azure.

Étape 1 : Créer le Connecteur Microsoft 365

Utilisez l'Application de gestion Cato pour créer le connecteur d'application SaaS Microsoft 365 pour le locataire Azure pour l'application Microsoft OneDrive que vous analysez avec l'API de protection des données. Vous devez disposer des identifiants corrects pour vous authentifier à l'application Microsoft OneDrive pour l'ajouter à votre compte Cato.

Avant de pouvoir créer et configurer les paramètres du connecteur, vous devez d'abord activer l'API de protection des données pour votre compte.

Premier, configurer l'Intégration du locataire MS comme connecteur parent. Ce connecteur peut être utilisé pour toutes les Intégrations Microsoft. Si vous avez déjà créé le connecteur parent, passez à l'étape 2.

Pour créer l'Intégration du locataire MS :

Dans le menu de navigation, sélectionnez Ressources > Intégrations et cliquez sur l'onglet Applications Intégrées.
Cliquez sur Nouveau. Le panneau Nouveau connecteur s'ouvre.
Dans le panneau Nouveau Connecteur, sélectionnez l'application MS Tenant (Configurer un nouveau MS Tenant).
Entrez le Nom du connecteur.
Cliquez sur Autoriser et enregistrer.

Un nouvel onglet de navigateur s'ouvre vers l'application Microsoft 365.
Dans le nouvel onglet de navigateur, authentifiez-vous à l'application Microsoft 365 :
1. Sélectionnez le compte Microsoft pour l'application Microsoft 365.
  
  Sinon, il peut y avoir une Erreur d'authentification Microsoft.
2. Entrez le mot de passe pour l'application et approuvez-le.
3. Accepter les autorisations pour que Cato accède à l'application Microsoft 365.
4. L'écran montre que vous avez appliqué avec succès les autorisations pour l'application.
  
  Vous pouvez fermer l'onglet du navigateur et revenir à l'Application de gestion Cato.
L'application SaaS Microsoft 365 est ajoutée à l'onglet Applications Intégrées.

Étape 2 : Créer le Connecteur Microsoft OneDrive

Le connecteur Microsoft OneDrive permet au moteur Data Protection API d'analyser les fichiers pour le contenu que vous définissez dans la politique de protection des données.

Note

Note : Lorsque vous créez un connecteur API pour une application Microsoft 365, le connecteur crée un certificat d'authentification qui est valide pour 3 mois, et renouvelle le certificat 7 jours avant l'expiration.

Pour créer le connecteur pour Microsoft OneDrive :

Dans le menu de navigation, sélectionnez Ressources > Intégrations et cliquez sur l'onglet Applications Intégrées.
Cliquez sur Nouveau. Le panneau Nouveau connecteur s'ouvre.
Créez une nouvelle Application SaaS OneDrive, pour le parent connecteur que vous avez créé dans la section précédente.
Cliquez sur Autoriser et enregistrer.
Dans un nouvel onglet de navigateur, authentifiez-vous à l'application OneDrive.
1. Sélectionnez le compte Microsoft pour l'application OneDrive et connectez-vous.
2. Entrez le mot de passe pour l'application et approuvez-le.
3. Accepter les autorisations pour que Cato accède à l'application OneDrive.
4. L'écran montre que vous avez appliqué avec succès les autorisations pour l'application.
  
  Vous pouvez fermer l'onglet du navigateur et revenir à l'Application de gestion Cato.
  
  Microsoft Azure peut prendre plusieurs secondes pour traiter la demande, donc si vous recevez une erreur, rafraîchissez le navigateur.
L'application SaaS OneDrive est ajoutée à l'onglet Applications Intégrées.

Comprendre l'état du connecteur

La colonne Statut sur l'écran des Paramètres des Connecteurs montre le statut de la connexion entre l'application Microsoft et votre compte Cato. Voici les explications des statuts :

Connecté - Votre compte est connecté à l'application et fonctionne correctement
Avertissement de connexion - Certains utilisateurs dans le locataire Azure ne sont pas correctement configurés pour prendre en charge l'API de protection des données (par exemple, aucune adresse e-mail définie pour l'utilisateur). Veuillez ouvrir un ticket avec Support.
Erreur de connexion - Problème de connectivité ou d'autorisations, ou limitation de débit (limitation Microsoft) avec le connecteur Microsoft. Veuillez ouvrir un ticket avec Support.
Consentement de l'utilisateur en attente - Le connecteur OneDrive est créé dans l'écran Paramètres, mais vous n'avez pas terminé le processus dans le compte OneDrive pour l'autoriser à se connecter à Cato.

Ajout de règles OneDrive à la politique de protection des données

Cette section explique comment utiliser la Politique de Protection des Données pour surveiller et gérer les actions que vos utilisateurs effectuent avec les fichiers OneDrive. Par exemple, partager des fichiers, créer de nouveaux fichiers, téléverser, etc.

Pour plus d'informations sur les profils de contenu DLP, voir création de profils de contenu DLP.

Comprendre les actions OneDrive

Lorsque vous créez une règle de Protection des Données, vous pouvez définir différentes actions pour surveiller ou remédier aux violations de la politique lorsque la règle est appliquée. Chaque action génère automatiquement un événement, et vous pouvez également choisir de recevoir une notification par email. Pour plus d'informations sur les événements API de protection des données, voir ci-dessous analyser les événements API de protection des données.

Voici les actions que le moteur de Protection des Données peut exécuter lorsqu'une règle est appliquée :

Surveiller - Génère un événement pour vous permettre de surveiller le trafic qui correspond à la règle.
Supprimer les partages - Lorsqu'un utilisateur essaie de partager un fichier, le moteur l'API de protection des données supprime la permission de partage non autorisée, et l'utilisateur qui reçoit un lien vers le fichier partagé n'aura pas les autorisations pour accéder au fichier.
Mettre en quarantaine - Lorsqu'un utilisateur essaie de téléverser un fichier, le moteur l'API de protection des données le déplace vers un dossier de quarantaine et les utilisateurs ne peuvent plus y accéder. L'administrateur OneDrive peut accéder au fichier dans le dossier de quarantaine. Pour des informations sur la configuration des dossiers de quarantaine, voir préparation à la mise en quarantaine des fichiers.

Préparation à la quarantaine de fichiers

Configurez des dossiers de quarantaine pour les règles de Protection des Données et Prévention des Menaces, et définissez l'administrateur OneDrive avec les autorisations pour accéder aux dossiers. Vous pouvez configurer des dossiers de quarantaine pour chaque administrateur OneDrive pour le locataire. Une fois les dossiers configurés, vous pouvez créer des règles avec l'action Mettre en quarantaine, et définir le dossier dans lequel le fichier est déplacé.

Pour configurer des dossiers de quarantaine pour un administrateur OneDrive :

Dans le panneau de navigation, sélectionnez Sécurité > App & Data API Protection et sélectionnez l'onglet Paramètres.
Cliquez sur Nouveau. Le panneau Dossier de mise en quarantaine s'ouvre.
Sélectionnez le connecteur d'application OneDrive.
Sélectionnez l'administrateur OneDrive pour avoir accès à ces dossiers de quarantaine.
Cliquez sur Enregistrer.

Un dossier de Protection des Données et un dossier de Prévention des Menaces sont créés pour l'administrateur, et peuvent être configurés dans des règles avec l'action Mettre en quarantaine. Les dossiers sont nommés avec l'adresse e-mail de l'administrateur, et situés dans les répertoires OneDrive suivants :
- Dossier de Protection des Données : Cato_Qarantine/Cato_Qarantine_DataProtection
- Dossier de Prévention des Menaces : Cato_Qarantine/Cato_Qarantine_ThreatPrevention

Configurer les règles OneDrive

Utilisez la page de Protection des Données pour ajouter les règles d'application SaaS dans votre Politique de Protection des Données.

Créer une règle de Protection des données pour définir le trafic scanné par l'API de Protection des données. Créez des règles distinctes pour chaque connecteur d'application SaaS, puis définissez les critères qui déterminent le trafic à scanner.

Pour plus d'informations sur les paramètres de règle OneDrive, voir ci-dessous comprendre les règles OneDrive.

Pour créer une nouvelle règle de Protection des données pour l'application OneDrive :

Dans le volet de navigation, sélectionnez Sécurité > Protection des API des applications et des données et sélectionnez ou développez Protection des données.
Cliquez sur Nouveau. Le panneau Nouvelle Règle s'ouvre.
Dans Connecteur d'application, sélectionnez l'application OneDrive.
Dans la section Général, entrez les paramètres de la règle.
Dans Propriétaire, sélectionnez un ou plusieurs propriétaires de fichiers OneDrive (valeur par défaut : N'importe lequel).

Lorsque vous sélectionnez plusieurs propriétaires, il y a une relation OU entre eux.
Dans Options de partage, sélectionnez un ou plusieurs types de permissions de fichier (valeur par défaut : N'importe lequel).

Lorsque vous sélectionnez plusieurs options, il y a une relation OU entre elles.
Dans Pièces jointes, définissez les critères pour spécifier les fichiers qui sont scannés (le paramètre par défaut est de scanner tous les fichiers).
Dans Profil de contenu, sélectionnez le Profil de contenu DLP pour cette règle.
Sélectionnez une Action.

Pour l'action Quarantaine, sélectionnez un Chemin du dossier de quarantaine. Pour plus d'informations sur les dossiers de quarantaine, voir ci-dessus ???.
(Facultatif) Configurez les options de suivi pour générer des Événements et envoyer des notifications.

Pour plus d'informations sur les notifications, voir l'article pertinent pour les groupes d'abonnement, listes de diffusion et intégrations d'alerte dans la section Alertes.
Cliquez sur Sauvegarder. La règle est ajoutée à la politique de Protection des données.

Comprendre les règles OneDrive

Cette section explique comment définir les paramètres des règles de Protection des données pour scanner le trafic OneDrive approprié. Chaque règle peut être définie selon les critères suivants :

Propriétaire - utilisateurs individuels ou types d'utilisateurs Azure qui sont les propriétaires des répertoires OneDrive pertinents (valeur par défaut : N'importe lequel)
Options de partage - Sélectionnez les types de permissions de partage de fichiers qui correspondent à cette règle (valeur par défaut : N'importe lequel)

Par exemple, pour surveiller les fichiers partagés avec des utilisateurs externes, sélectionnez Lien externe.
Pièces jointes - Critères pour les pièces jointes qui sont scannées (valeur par défaut : toutes les pièces jointes)
- Type de fichier
- Nom du fichier
- Taille du fichier (taille maximale du fichier : 100 MB)
Profil de contenu - Profil d'inspection du contenu DLP qui définit l'inspection du contenu DLP (Sécurité > Profils DLP > Profils DLP > Profil de contenu)
Actions - Voir ci-dessus compréhension des actions OneDrive

Définir les fichiers ou les pièces jointes pour une règle

Vous pouvez définir des fichiers spécifiques (ou pièces jointes) pour une règle et limiter le moteur de l'API SaaS à ne scanner que les fichiers spécifiés pour voir s'ils correspondent au profil de contenu DLP.

Lorsque vous ajoutez plusieurs fichiers à une règle, sélectionnez la relation entre eux :

Satisfaire à l'une (OU) - Correspond uniquement à l'un des Types de fichiers dans la règle
Satisfaire à toutes (ET) - Correspond à tous les Types de fichiers dans la règle (sinon, la règle est ignorée)

Vous pouvez utiliser le paramètre Nom de fichier dans une règle pour définir le nom exact du fichier ou utiliser des caractères génériques pour définir des mots-clés. Par exemple, vous pouvez définir le Nom de fichier comme interne pour correspondre à tous les noms de fichiers contenant le mot interne.

Travailler avec des règles de protection des données ordonnées

Le moteur API de Protection des données inspecte les données de manière séquentielle et vérifie si elles correspondent à une règle. Si les données ne correspondent pas à une règle, elles ne sont pas inspectées. Les règles en haut de la base de règles ont une priorité plus élevée et sont appliquées avant les règles plus bas dans la base de règles. Chaque type d'application ou connecteur n'est appliqué aux données qu'une seule fois.

Meilleure pratique - Pour maximiser l'efficacité de votre base de règles, nous recommandons que pour chaque type de connecteur, les règles pour les utilisateurs spécifiques aient une priorité plus élevée que les règles qui s'appliquent à N'importe qui.

Par exemple, si les données correspondent à un connecteur dans la règle n°2, les données sont inspectées par le moteur API de Protection des données. Le moteur ne continue pas à appliquer les règles n°3 et suivantes pour le même connecteur. Cependant, les données pourraient correspondre à une règle de moindre priorité avec un connecteur différent.

Ajout de la protection contre les menaces au connecteur

Vous pouvez créer des règles de Protection contre les menaces pour le connecteur afin d'analyser les fichiers et les pièces jointes pour voir s'il y a des logiciels malveillants et des virus en utilisant les moteurs Anti-Malware et NG Anti-Malware qui sont activés pour votre compte. Le moteur API de Protection des données scanne le trafic du connecteur et applique l'action et les options de suivi que vous configurez pour la règle.

Ce sont les actions que vous pouvez définir pour que le moteur de Protection contre les menaces exécute lorsqu'une règle est correspondante :

Surveiller - Génère un événement pour vous permettre de surveiller le trafic qui correspond à la règle.
Supprimer les Partages - Lorsque l'utilisateur tente de partager un fichier, le moteur API de Protection des données supprime l'autorisation de partage non autorisée, et l'utilisateur recevant un lien vers le fichier partagé n'aura pas les permissions pour accéder au fichier.
Quarantaine - Lorsque l'utilisateur tente de téléverser un fichier, le moteur API de Protection des données le déplace vers un dossier de quarantaine et les utilisateurs ne peuvent plus y accéder. L'admin OneDrive peut accéder au fichier dans le dossier de quarantaine. Pour des informations sur la configuration des dossiers de quarantaine, voir préparation à la mise en quarantaine des fichiers.

Chaque action génère automatiquement un événement, et vous pouvez également choisir de recevoir une notification par e-mail. Pour plus d'informations sur les événements API de protection des données, voir ci-dessous analyser les événements API de protection des données.

Lorsque vous créez une règle Protection des API des applications et des données, les moteurs Anti-Malware activés pour votre compte (Sécurité > Anti-Malware) effectuent des analyses de logiciels malveillants sur les fichiers envoyés pour cette application de connecteur.

La capture d'écran suivante montre une règle de Protection contre les menaces pour le connecteur OneDrive qui scanne les fichiers envoyés par des utilisateurs internes ou des invités :

Créer une exception pour un fichier

Parfois, il y a un Fichier bloqué par les moteurs Protection des données de Cato que vous savez être sûr, et vous devez l'Autoriser dans le Réseau. Les Exceptions au Anti-Malware dans la politique de Hachage du fichier s'appliquent également à la Protection des Applications et Données API. Pour plus d'informations sur l'ajout de Fichiers à la Politique de Hachage du fichier, voir Managing Anti-Malware Exceptions.

Analyser les événements Data Protection API

La page Accueil > Événements montre tous les événements API de Protection des données pour votre compte. Les puissants outils de recherche vous permettent d'approfondir et d'identifier les quelques événements qui contiennent les données pertinentes dont vous avez besoin.

Les événements API de Protection des données peuvent être identifiés par les champs suivants :

Type d'événement - Sécurité
Sous-type - Protection des données API de Sécurité SaaS et Anti Malware API de Sécurité SaaS

Vous pouvez en savoir plus sur l'utilisation de la page des événements ici.

Expliquer les Champs des Événements de l'API de Protection des Données

Nom du paramètre	Description
Collaborateurs	Adresses e-mail des utilisateurs ayant reçu le fichier
Nom du connecteur	Nom du connecteur défini pour la règle
Type de connecteur	Application SaaS définie pour ce connecteur
Profil de protection contre la perte de données (DLP)	Profil de contenu DLP qui a généré cet événement
Nom du fichier	Nom du fichier joint
Types de données correspondants	Types de données dans le profil de contenu qui correspondent à la règle
Propriétaire	Propriétaire du fichier
Type de connecteur parent	Connecteur parent Microsoft 365
Règle	Nom de la règle dans la politique de Protection des Données
Gravité	Gravité définie pour la règle
Portée du partage	Options de partage pour le fichier OneDrive