Analyser les événements dans votre réseau Cet article explique comment configurer le connecteur Microsoft OneDrive pour la politique d'API de sécurité SaaS pour votre compte et créer une règle OneDrive pour la politique de protection des données
La politique d'API de sécurité SaaS nécessite une licence distincte de Cato. Veuillez contacter votre représentant Cato ou revendeur officiel pour plus d'informations.
Remarque
Remarque : Veuillez contacter SaaSecAPI@catonetworks.com ou votre revendeur officiel Cato pour plus d'informations sur l'utilisation de la politique d'API de sécurité SaaS.
Créez les connecteurs pour les applications SaaS Microsoft 365 et OneDrive.
Chaque application Microsoft OneDrive et locataire Azure (selon l'application 365) est soumise à la limitation de taux de Microsoft. Pour plus d'informations, consultez la documentation Microsoft.
-
Le connecteur Microsoft 365 nécessite un admin avec le rôle d'admin global pour donner les autorisations à l'API de sécurité SaaS
Pour permettre à l'API de sécurité SaaS de Cato de scanner les actifs et le contenu des fichiers et dossiers OneDrive, le connecteur donne à Cato les autorisations et actions suivantes avec l'application OneDrive :
-
Accorder l'accès à l'application en utilisant Oauth2
-
Recevoir un jeton de l'application pour établir et maintenir une connexion sécurisée
-
Connectez-vous aux APIs Microsoft, récupérez les données et scannez les fichiers selon la politique de protection des données de l'API de sécurité SaaS, y compris :
-
Lire les fichiers dans toutes les collections de sites
-
Connectez-vous et lisez les profils complets des utilisateurs
-
Écrire des fichiers dans toutes les collections de sites (bientôt disponible)
-
Cette section explique comment créer des connecteurs API pour Microsoft 365 et OneDrive, et les connecter à votre compte Cato.
Pour permettre à l'API de sécurité SaaS de scanner les ressources et le contenu de Microsoft OneDrive, vous devez d'abord configurer le connecteur Microsoft 365 comme application parent pour donner les autorisations de lecture au connecteur OneDrive. L'application parent n'a que des autorisations pour gérer les connecteurs Microsoft. Ensuite, si nécessaire, vous pouvez créer un connecteur Microsoft 365 séparé pour chaque locataire Azure.
Utilisez l'application de gestion Cato pour créer le connecteur d'application SaaS Microsoft 365 pour le locataire Azure pour l'application Microsoft OneDrive que vous scannez avec l'API de sécurité SaaS. Vous devez avoir les bonnes informations d'identification pour vous authentifier à l'application Microsoft OneDrive pour l'ajouter à votre compte Cato.
Avant de pouvoir créer et configurer les paramètres du connecteur, vous devez d'abord activer l'API de sécurité SaaS pour votre compte.
Pour créer le connecteur parent Microsoft 365 :
-
Dans le menu de navigation, sélectionnez Resources > Integrations et cliquez sur SaaS APIs Data Protection.
-
Cliquez sur Nouveau. Le panneau Nouveau Connecteur s'ouvre.
-
Dans le panneau Nouveau Connecteur, sélectionnez l'application Microsoft 365 (Nouveau Locataire).
-
Entrez le Nom du Connecteur.
-
Cliquez sur Autoriser et Sauvegarder.
Un nouvel onglet navigateur s'ouvre sur l'application Microsoft 365.
-
Dans le nouvel onglet navigateur, authentifiez-vous dans l'application Microsoft 365 :
-
Sélectionnez le compte Microsoft pour l'application Microsoft 365.
Sinon, une erreur d'authentification Microsoft peut survenir.
-
Entrez le mot de passe pour l'application et approuvez-le.
-
Acceptez les autorisations pour permettre à Cato d'accéder à l'application Microsoft 365.
-
L'écran montre que vous avez appliqué avec succès les autorisations pour l'application.
Vous pouvez fermer l'onglet du navigateur et revenir à l'application de gestion Cato.
-
-
L'application SaaS Microsoft 365 est ajoutée à la page SaaS APIs Data Protection.
Le connecteur Microsoft OneDrive permet au moteur d'API SaaS de Cato de scanner les courriels pour le contenu que vous définissez dans la politique de protection des données.
Remarque
Remarque : Lorsque vous créez un connecteur API pour une application Microsoft 365, le connecteur crée un certificat d'authentification valable pour 3 mois et renouvelle le certificat 7 jours avant son expiration.
Pour créer le connecteur pour Microsoft OneDrive :
-
Dans le menu de navigation, sélectionnez Resources > Integrations et cliquez sur SaaS APIs Data Protection.
-
Cliquez sur Nouveau. Le panneau Nouveau Connecteur s'ouvre.
-
Créez une nouvelle Application SaaS OneDrive, pour le Connecteur Parent que vous avez créé dans la section précédente.
-
Cliquez sur Autoriser et Sauvegarder.
-
Dans un nouvel onglet du navigateur, authentifiez-vous sur l'application OneDrive.
-
Sélectionnez le compte Microsoft pour l'application OneDrive et connectez-vous.
-
Entrez le mot de passe pour l'application et approuvez-le.
-
Acceptez les autorisations pour que Cato accède à l'application OneDrive.
-
L'écran montre que vous avez appliqué avec succès les autorisations pour l'application.
Vous pouvez fermer l'onglet du navigateur et revenir à l'application de gestion Cato.
Microsoft Azure peut prendre plusieurs secondes pour traiter la demande, donc si vous recevez une erreur, rafraîchissez le navigateur.
-
-
L'application SaaS OneDrive est ajoutée à la page Applications SaaS Installées.
La colonne Statut sur l'écran de paramètres du connecteur montre le statut de la connexion entre l'application Microsoft et votre compte Cato. Voici les explications des statuts :
-
Connecté - Votre compte est connecté à l'application et fonctionne correctement
-
Avertissement de connexion - Certains utilisateurs dans le locataire Azure ne sont pas configurés correctement pour supporter l'API de sécurité SaaS (par exemple, aucune adresse e-mail définie pour l'utilisateur). Veuillez ouvrir un ticket avec Support.
-
Erreur de connexion - Problème de connectivité ou d'autorisations, ou limitation de taux (limitation Microsoft) avec le connecteur Microsoft. Veuillez ouvrir un ticket avec Support.
-
Consentement utilisateur en attente - Le connecteur OneDrive est créé dans l'écran des paramètres de connexion, cependant vous n'avez pas complété le processus dans le compte OneDrive pour l'autoriser à se connecter à Cato.
Cette section explique comment utiliser la politique de protection des données pour surveiller et gérer les actions que vos utilisateurs effectuent avec les fichiers OneDrive. Par exemple, partager des fichiers, créer de nouveaux fichiers, télécharger, etc.
Pour en savoir plus sur les profils de contenu DLP, consultez Création de profils de contenu DLP.
Lorsque vous créez une règle de protection des données, vous pouvez définir différentes actions pour surveiller ou corriger les violations de politique lorsque la règle est satisfaite. Chaque action génère automatiquement un événement, et vous pouvez également choisir de recevoir une notification par e-mail. Pour plus d'informations sur les événements API de sécurité SaaS, voir ci-dessous Analyser les événements API de sécurité SaaS.
Voici les actions que vous pouvez configurer pour que le moteur de protection des données exécute lorsqu'une règle est satisfaite:
-
Surveiller - Génère un événement pour vous permettre de surveiller le trafic correspondant à la règle.
-
Supprimer le partage - Lorsqu'un utilisateur tente de partager un fichier, le moteur API de sécurité SaaS supprime l'autorisation de partage non autorisée, et l'utilisateur qui reçoit un lien vers le fichier partagé n'aura pas les permissions pour accéder au fichier.
-
Mettre en quarantaine - Lorsqu'un utilisateur tente de télécharger un fichier, le moteur API de sécurité SaaS le déplace dans un dossier de quarantaine et les utilisateurs ne peuvent plus y accéder. L'administrateur OneDrive peut accéder au fichier dans le dossier de quarantaine. Pour plus d'informations sur la configuration des dossiers de quarantaine, consultez Préparation pour la mise en quarantaine de fichiers.
Configurez des dossiers de quarantaine pour les règles de protection des données et de prévention des menaces, et définissez l'administrateur OneDrive avec des permissions pour accéder aux dossiers. Vous pouvez configurer des dossiers de quarantaine pour chaque administrateur OneDrive pour le locataire. Lorsque vous configurez les dossiers, vous pouvez alors créer des règles avec l'action Quarantaine et définir le dossier vers lequel le fichier est déplacé.
Pour configurer des dossiers de quarantaine pour un administrateur OneDrive:
-
Dans le volet de navigation, sélectionnez Sécurité > Politique API de sécurité SaaS et sélectionnez l'onglet Paramètres.
-
Cliquez sur Nouveau. Le panneau Nouveau dossier s'ouvre.
-
Sélectionnez le connecteur d'application OneDrive.
-
Sélectionnez l'administrateur OneDrive pour avoir accès à ces dossiers de quarantaine.
-
Cliquez sur Sauvegarder.
Un dossier de protection des données et un dossier de prévention des menaces sont créés pour l'administrateur, et peuvent être configurés dans les règles avec l'action Quarantaine. Les dossiers sont nommés avec l'adresse e-mail de l'administrateur, et situés dans les répertoires OneDrive suivants:
-
Dossier de protection des données: Cato_Qarantine/Cato_Qarantine_DataProtection
-
Dossier de prévention des menaces: Cato_Qarantine/Cato_Qarantine_ThreatPrevention
-
Utilisez la page de protection des données pour ajouter les règles d'application SaaS dans votre politique de protection des données.
Créez une règle de protection des données pour définir le trafic qui est scanné par l'API de sécurité SaaS. Créez des règles distinctes pour chaque connecteur d'application SaaS, puis définissez les critères qui déterminent le trafic à scanner.
Pour plus d'informations sur les paramètres de règle OneDrive, voir ci-dessous Comprendre les règles OneDrive.
Pour créer une nouvelle règle de protection des données pour l'application OneDrive:
-
Dans le volet de navigation, sélectionnez Sécurité > Politique de l'API de sécurité SaaS et sélectionnez ou développez Protection des données.
-
Cliquez sur Nouveau. Le panneau Nouvelle règle s'ouvre.
-
Dans Connecteur d'application, sélectionnez l'application OneDrive.
-
Dans la section Général, saisissez les paramètres pour la règle.
-
Dans Propriétaire, sélectionnez un ou plusieurs propriétaires de fichiers OneDrive (la valeur par défaut est N'importe lequel).
Lorsque vous en sélectionnez plusieurs, il y a une relation OU entre eux.
-
Dans Options de partage, sélectionnez un ou plusieurs types de permissions de fichier (la valeur par défaut est N'importe lequel).
Lorsque vous sélectionnez plusieurs options, il y a une relation OU entre elles.
-
Dans Pièces jointes, définissez les critères pour spécifier les fichiers qui sont scannés (la configuration par défaut est de scanner tous les fichiers).
-
Dans Profil de contenu, sélectionnez le profil de contenu DLP pour cette règle.
-
Sélectionnez une Action.
Pour l'action Mettre en quarantaine, sélectionnez un chemin de dossier de quarantaine. Pour plus d'informations sur les dossiers de quarantaine, voir ci-dessus ???.
-
(Optionnel) Configurez les options de suivi pour générer des Événements et Envoyer des notifications.
Pour plus d'informations sur les notifications, consultez l'article correspondant pour les groupes d'abonnement, les listes de diffusion et les intégrations d'alertes dans la section Alertes.
-
Cliquez sur Sauvegarder. La règle est ajoutée à la politique de protection des données.
Cette section explique comment définir les paramètres des règles de protection des données pour scanner le trafic OneDrive correct. Chaque règle peut être définie selon les critères suivants :
-
Propriétaire - utilisateurs individuels, ou types d'utilisateurs Azure qui sont les propriétaires des répertoires OneDrive pertinents (la valeur par défaut est N'importe lequel)
-
Options de partage - Sélectionnez les types d'autorisations de partage de fichiers qui correspondent à cette règle (la valeur par défaut est N'importe lequel)
Par exemple, pour surveiller les fichiers partagés avec des utilisateurs externes, sélectionnez Lien externe.
-
Pièces jointes - Critères pour les pièces jointes scannées (la valeur par défaut est toutes les pièces jointes)
-
Type de fichier
-
Nom de fichier
-
Taille de fichier (la taille maximale du fichier est de 100 Mo)
-
-
Profil de contenu - Profil de contenu DLP qui définit l'inspection du contenu DLP (Sécurité > Profils DLP > Profils DLP > Profil de contenu)
-
Actions - Voir ci-dessus Comprendre les actions OneDrive
Vous pouvez définir des fichiers spécifiques (ou des pièces jointes) pour une règle et limiter le moteur API SaaS à scanner uniquement les fichiers spécifiés pour vérifier s'ils correspondent au profil de contenu DLP.
Lorsque vous ajoutez plusieurs fichiers à une règle, sélectionnez la relation entre eux :
-
Satisfaire n'importe quel (OU) - Correspondre uniquement à l'un des types de fichiers dans la règle
-
Satisfaire tous (ET) - Correspondre à tous les types de fichiers dans la règle (sinon, la règle est ignorée)
Vous pouvez utiliser le paramètre Nom de fichier dans une règle pour définir le nom exact du fichier ou utiliser des caractères génériques pour définir des mots-clés. Par exemple, vous pouvez définir le Nom du Fichier comme interne pour correspondre à tous les noms de fichiers contenant le mot interne.
Le moteur de l'API SaaS Security inspecte les données séquentiellement et vérifie si elles correspondent à une règle. Si les données ne correspondent pas à une règle, elles ne sont pas inspectées. Les règles situées en haut de la base de règles ont une priorité plus élevée et sont appliquées avant celles situées plus bas dans la base de règles. Chaque type d'application ou de connecteur est appliqué aux données une seule fois.
Bonne Pratique - Pour maximiser l'efficacité de votre base de règles, nous recommandons que pour chaque type de connecteur, les règles pour des utilisateurs spécifiques aient une priorité plus élevée que celles qui s'appliquent à N'importe quel utilisateur.
Par exemple, si les données correspondent à un connecteur dans la règle #2, elles sont inspectées par le moteur de l'API SaaS Security. Le moteur ne continue pas à appliquer les règles #3 et suivantes pour le même connecteur. Cependant, les données pourraient correspondre à une règle de priorité inférieure avec un connecteur différent.
Vous pouvez créer des règles de Protection contre les Menaces pour le connecteur afin de scanner les fichiers et les pièces jointes pour détecter les logiciels malveillants et les virus en utilisant les moteurs Anti-Malware et Next Gen Anti-Malware activés pour votre compte. Le moteur de l'API SaaS Security scanne le trafic du connecteur et applique les options d'action et de suivi que vous configurez pour la règle.
Voici les actions que vous pouvez définir pour que le moteur de Protection contre les Menaces les exécute lorsqu'une règle est respectée :
-
Surveiller - Génère un événement pour vous permettre de surveiller le trafic correspondant à la règle.
-
Supprimer le Partage - Lorsque qu'un utilisateur essaie de partager un fichier, le moteur de l'API SaaS Security supprime l'autorisation de partage non autorisé, et l'utilisateur qui reçoit un lien vers le fichier partagé n'aura pas les autorisations pour accéder au fichier.
-
Mettre en Quarantaine - Lorsqu'un utilisateur essaie de télécharger un fichier, le moteur de l'API SaaS Security le déplace vers un dossier de quarantaine et ensuite les utilisateurs ne peuvent plus y accéder. L'administrateur OneDrive peut accéder au fichier dans le dossier de quarantaine. Pour des informations sur la configuration des dossiers de quarantaine, voir Preparing for File Quarantine.
Chaque action génère automatiquement un événement, et vous pouvez également choisir de recevoir une notification par e-mail. Pour en savoir plus sur les événements de l'API SaaS Security, voir ci-dessous Analyzing SaaS Security API Events.
Lorsque vous créez une règle de Protection contre les Menaces de l'API SaaS Security, les moteurs Anti-Malware qui sont activés pour votre compte (Sécurité > Anti-Malware) effectuent des scans de logiciels malveillants sur les fichiers qui sont envoyés pour cette application de connecteur.
La capture d'écran suivante montre une règle de Protection contre les Menaces pour le connecteur OneDrive qui scanne les fichiers envoyés par des utilisateurs Internes ou des Invités :
Parfois, il y a des fichiers bloqués par les moteurs de l'API SaaS Security de Cato que vous savez sûrs, et vous devez les autoriser dans le réseau. La page Events vous permet d'utiliser le hachage du fichier pour créer des exceptions qui contournent les scans de Protection contre les Menaces. Après avoir ouvert un événement pour le fichier spécifique qui a été bloqué, cliquez sur le hachage du fichier pour ouvrir le panneau Configuration des Exceptions et ajouter le fichier comme une exception pour le compte. Vous pouvez choisir la durée de l'exception du fichier, ou configurer l'exception pour qu'elle dure indéfiniment.
Exceptions de Fichier pour Anti-Malware et API de Sécurité SaaS
Les exceptions de fichier s'appliquent à travers les politiques de Anti-Malware et de Protection contre les Menaces de l'API SaaS. De même, lorsque vous créez des exceptions de fichiers à partir d'événements Anti-Malware et NG Anti-Malware, ces exceptions s'appliquent également à la politique de Protection contre les Menaces de l'API SaaS. De même, lorsque vous créez des exceptions de fichiers à partir d'événements Anti-Malware de l'API de Sécurité SaaS, les exceptions s'appliquent également à la politique Anti-Malware. La liste complète des exceptions de fichiers est affichée à la fois sur la page Anti-Malware et sur la page de Protection contre les Menaces de l'API SaaS.
Pour créer une exception pour un fichier :
-
Dans le menu de navigation, sélectionnez Accueil > Événements.
-
Filtrez pour l'événement en utilisant le Sous-Type de SaaS Security API Anti Malware.
-
Depuis la colonne Temps, développez l'événement.
-
Dans l'événement, cliquez sur le lien Hachage du Fichier.
Le panneau Configuration des Exceptions s'ouvre.
-
Depuis le menu déroulant Durée, sélectionnez la durée pendant laquelle le fichier est exclu des moteurs Anti-Malware et NG Anti-Malware.
Pour créer une exception permanente, sélectionnez Pour toujours.
-
Cliquez sur Appliquer.
L'exception est créée et ajoutée à la section Exceptions de Fichier dans l'onglet de Protection contre les Menaces, et sur la page Anti-Malware.
Supprimez une exception de la politique de Protection contre les Menaces lorsqu'elle n'est plus nécessaire.
Pour supprimer les exceptions de fichiers de la politique de Protection contre les Menaces :
-
Dans le menu de navigation, cliquez sur Sécurité > Politique API de Sécurité SaaS.
-
Sélectionnez l'onglet de Protection contre les Menaces.
-
Dans la section Exceptions de Fichier, cliquez sur
pour l'exception que vous souhaitez supprimer.
-
Cliquez sur Sauvegarder.
L'exception est supprimée.
La page Accueil > Événements montre tous les événements de l'API SaaS Security pour votre compte. Les puissants outils de recherche vous permettent d'approfondir et d'identifier les quelques événements contenant les données pertinentes dont vous avez besoin.
Les événements de l'API SaaS Security peuvent être identifiés par les champs suivants :
-
Type d'Événement - Sécurité
-
Sous-Type - Protection des Données de l'API SaaS Security et Anti Malware de l'API SaaS Security
Vous pouvez en apprendre plus sur l'utilisation de l'écran Événements ici. Vous pouvez utiliser le préréglage SaaS Security API Protection des Données pour filtrer les événements.
|
Nom du Champ |
Description |
|---|---|
|
Collaborateurs |
Adresses e-mail des utilisateurs qui ont reçu le fichier |
|
Nom du Connecteur |
Nom du connecteur qui est défini pour la règle |
|
Type de Connecteur |
Application SaaS qui est définie pour ce connecteur |
|
Profil DLP |
Profil de Contenu DLP qui a généré cet événement |
|
Nom du Fichier |
Nom du fichier joint |
|
Types de Données Correspondants |
Types de données dans le profil de contenu qui ont correspondu à la règle |
|
Propriétaire |
Propriétaire du fichier |
|
Type de connecteur parent |
Connecteur Microsoft 365 parent |
|
Règle |
Nom de la règle dans la politique de protection des données |
|
Gravité |
Gravité définie pour la règle |
|
Portée du partage |
Options de partage pour le fichier OneDrive |
0 commentaire
Vous devez vous connecter pour laisser un commentaire.