Google Drive et Gmail : configuration du connecteur API de Protection des Données

Cet article explique comment configurer les connecteurs Google Drive et Gmail pour la Politique de Protection des Applications et Données API pour votre compte et créer des règles qui utilisent ce connecteur dans la Politique de Protection des Données.

Remarque

Remarque : Veuillez contacter SaaSecAPI@catonetworks.com ou votre revendeur officiel Cato pour plus d'informations sur l'utilisation de la Politique de Protection des Applications et Données API.

Aperçu des connecteurs Google Drive et Gmail

Créez le connecteur pour le locataire Google pour votre organisation. Le connecteur nécessite que vous configuriez les consoles Google Cloud et Google Admin pour autoriser et activer les appels API pour votre compte Cato. Définissez ensuite des règles dans la politique de protection des données qui incluent le connecteur et précisent que les fichiers ou e-mails doivent être scannés et inspectés.

Prérequis

  • Permissions d'administrateur pour les comptes Google Cloud et Google Admin

  • Le connecteur Google Drive nécessite la licence entreprise pour la console Google Admin

  • Le connecteur Gmail nécessite la licence entreprise de Gmail

  • Les comptes Google Drive et Gmail sont activés

  • Le connecteur surveille les fichiers, d'autres actions seront prises en charge prochainement

Création du connecteur Google initial

Cette section explique comment créer le connecteur API initial pour Google Drive et Gmail, et comment connecter le locataire Google de votre organisation à votre compte Cato.

Les connecteurs Google Drive et Gmail permettent au moteur API SaaS Cato de scanner les fichiers (pièces jointes), dossiers et e-mails pour le contenu que vous définissez dans la politique de protection des données. Des événements sont générés pour le contenu qui correspond à une règle dans la politique.

Remarque

Remarque : La première fois que vous créez un connecteur Google, il est nécessaire d'autoriser Cato à utiliser les API pour se connecter à votre compte Google. Si vous avez déjà créé un connecteur Google et que vous en créez maintenant un supplémentaire, continuez avec Création de connecteurs Google supplémentaires.

Aperçu de la configuration initiale des connecteurs Cato Google Drive et Gmail

Voici un aperçu général du processus de création du connecteur Cato pour Google Drive et Gmail :

  1. Dans l'Application de gestion Cato, créez un nouveau connecteur d'application SaaS pour Google Drive ou Gmail.

    1. Copiez les portées oAuth pour le connecteur.

  2. Dans la console Google Cloud pour le compte de votre entreprise :

    1. Créez un nouveau projet pour le connecteur Cato.

    2. Activez les API Google requises et générez l'ID de compte de service.

  3. Dans la console Google Admin, définissez la Délégation à l’échelle du domaine pour le connecteur Cato.

    1. Collez les portées oAuth du connecteur dans la console Google Admin.

  4. Dans la console Google Cloud, créez les clés API pour le connecteur Cato.

  5. Dans l'Application de gestion Cato, téléchargez les clés API vers le connecteur d'application SaaS pour Google Drive ou Gmail.

Étape 1 - Création de l'Application SaaS Google Drive ou Gmail

Dans l'Application de gestion Cato, créez l'application SaaS Google Drive ou Gmail pour le connecteur à votre compte Google.

Google_Drive_Connector.png

Pour créer le connecteur pour Google Drive ou Gmail :

  1. Dans le menu de navigation, sélectionnez Ressources > Intégrations et cliquez sur l'onglet Applications Intégrées.

  2. Cliquez sur Nouveau. Le panneau Nouveau connecteur s'ouvre.

  3. Dans le menu déroulant Connecteur d'application, sélectionnez Google Drive ou Gmail.

  4. Dans la section Capacité, sélectionnez Protection contre les menaces et des données.

  5. Entrez le Nom du connecteur.

  6. Entrez l'E-mail de l'administrateur pour le compte administrateur Google avec des privilèges d'administrateur.

  7. Cliquez sur Copier les portées OAuth.

    Pour examiner la liste complète des portées OAuth, voir ci-dessous Portées OAuth pour les connecteurs Google Drive et Gmail

  8. Continuez ci-dessous avec Étape 2 - Configuration du projet dans la console Google Cloud.

Étape 2 - Configuration du projet dans la console Google Cloud

Depuis la console de votre plateforme Google Cloud, créez un nouveau projet et activez l'API Admin SDK et l'identité de Cloud pour votre compte. Créez ensuite un nouveau compte de service, et copiez l'ID unique (vous aurez besoin de cet ID pour l'étape 3).

Pour configurer le projet dans la console Google Cloud :

  1. Connectez-vous à la console Google Cloud et sélectionnez le projet existant ou créez un Nouveau Projet.

  2. Activez les API Google pour le connecteur :

    1. Sélectionnez le projet et dans le volet de navigation, sélectionnez API & Services > Bibliothèque.

    2. Dans la Bibliothèque d'API, recherchez API Admin SDK.

      Google_Admin_SDK_API.png

    3. Cliquez sur l'API Admin SDK, et dans la nouvelle fenêtre cliquez sur Activer.

    4. Retournez à la bibliothèque d'API et cliquez sur l'API Google Drive.

    5. Dans la fenêtre suivante, cliquez sur Activer.

  3. Créez le compte de service pour le connecteur Cato :

    1. Dans le volet de navigation, sélectionnez API & Services > Identifiants.

    2. Dans la barre de menu, cliquez sur Créer des identifiants > Compte de service.

      Google_Create_Service_Account.png

    3. Entrez le Nom du compte de service.

    4. Cliquez sur Créer et Continuer puis cliquez sur Terminé.

  4. Dans la fenêtre Comptes de service, modifiez le nouveau compte.

  5. Copiez et enregistrez l'ID unique pour le compte de service. Vous allez entrer cet ID dans la console Google Admin (ci-dessous).

  6. Continuez ci-dessous avec Étape 3 - Définition de la délégation à l'échelle du domaine dans la console Google Admin.

Étape 3 - Définition de la délégation à l'échelle du domaine dans la console Google Admin

Google utilise des délégations à l'échelle du domaine pour permettre aux applications d'accéder aux données dans l'environnement Google Workspace. Définissez une délégation à l'échelle du domaine avec des permissions pour accéder aux API que vous avez activées dans la section précédente.

Dans la console Google Admin, créez un nouveau client API et configurez-le pour utiliser l'ID unique pour le compte de service (que vous avez enregistré de l'Étape 2 - Configuration du projet dans la console Google Cloud ci-dessus).

Pour définir la délégation à l'échelle du domaine dans la console Google Admin :

  1. Connectez-vous à la console Google Admin pour votre compte.

  2. Dans le volet de navigation, sélectionnez Sécurité > Contrôle de l'accès et des données > Contrôles de l'API.

  3. Dans la fenêtre Contrôles de l'API, dans la section Domaine délégation étendue en bas de l'écran, cliquez sur Gérer la délégation à grande échelle du domaine.

  4. Dans la section Client API, cliquez sur Ajouter un nouveau.

    La fenêtre contextuelle Ajouter un nouvel ID client s'ouvre.

    Google_Add_Client_ID.png

  5. Dans ID client, collez l'ID unique que vous avez copié dans la section précédente.

  6. Collez les portées OAuth auxquelles le connecteur est autorisé à accéder.

  7. Cliquez sur Autoriser.

    La délégation à grande échelle du domaine pour le connecteur Cato est définie pour utiliser l'ID unique pour les API Google.

  8. Continuez ci-dessous avec Étape 4 - Création du fichier de clés API dans la console Google Cloud.

Étape 4 - Création du fichier de clés API dans la console Google Cloud

Après avoir activé la délégation à l’échelle du domaine de Google pour le compte de service du connecteur Cato, utilisez la console Google Cloud pour créer un fichier de clé API pour le compte de service.

Pour créer le fichier de clés API :

  1. Dans la console Google Cloud, depuis le volet de navigation, sélectionnez IAM & Admin > Comptes de service.

  2. Sélectionnez le compte de service pour le connecteur Cato, et sélectionnez Actions > Gérer les clés.

    Google_Manage_Keys.png

    L'onglet Clés pour le compte de service s'ouvre.

  3. Cliquez sur Ajouter une clé > Créer une nouvelle clé.

  4. Dans la fenêtre contextuelle, sélectionnez JSON et cliquez sur OK.

    Le navigateur enregistre le fichier de clé API dans le dossier spécifié.

  5. Continuez ci-dessous avec Étape 5 - Téléversement du fichier de clés API dans l'Application de gestion Cato.

Étape 5 - Téléversement du fichier de clés API dans l'Application de gestion Cato

Téléversez le fichier de clé API que vous avez créé dans la section précédente sur le connecteur Google Drive ou Gmail dans l'Application de gestion Cato. Ensuite, le connecteur est configuré et prêt à commencer à scanner les fichiers et dossiers pour votre compte.

Pour le connecteur Gmail, il est nécessaire d'ajouter une règle au paramètre Archivage des e-mails tiers dans la console Google Admin.

Remarque

Remarque : Le fichier de clé API contient des données sensibles, nous vous recommandons de supprimer le fichier après l'avoir téléversé dans l'Application de gestion Cato.

Pour téléverser le fichier de clé API dans l'Application de gestion Cato :

  1. Ouvrez l'onglet de navigateur pour l'Application de gestion Cato où vous avez commencé à configurer le connecteur Google Drive ou Gmail (ci-dessus Étape 1 - Création de l'Application SaaS Google Drive ou Gmail).

  2. Dans la section Téléverser le fichier clé, téléversez le fichier de clé API que vous avez créé (ci-dessus Étape 4 - Création du fichier de clés API dans la console Google Cloud).

  3. Cliquez sur Sauvegarder.

  4. L'application SaaS Google Drive ou Gmail est ajoutée à l'onglet API Intégrées.

  5. Pour l'application Gmail, effectuez ces étapes supplémentaires :

    1. Dans l'écran de fin, copiez l'adresse e-mail.

    2. Ouvrez la console d'administration Google.

    3. Allez dans Applications > Google Workspace > Gmail > Routage > Archivage des e-mails tiers.

    4. Cliquez sur Ajouter une autre règle.

    5. Dans la fenêtre pop-up Ajouter un paramètre, collez l'adresse e-mail de l'étape a (ci-dessus).

    6. Cliquez sur Sauvegarder.

Comprendre le statut du connecteur

La colonne Statut sur l'écran Paramètres des connecteurs montre l'état de la connexion entre le connecteur Google Drive et votre compte Cato. Voici les explications des statuts :

  • Connecté - Votre compte est connecté à l'application et fonctionne correctement

  • Erreur de connexion - Problème de connectivité ou de permissions avec le connecteur Google Drive. Veuillez ouvrir un ticket avec le Support.

Créer des connecteurs Google supplémentaires

Lorsque vous créez un connecteur Google supplémentaire pour votre compte, votre compte Google est déjà configuré pour utiliser les API et se connecter à votre compte Cato. Les connecteurs utilisent la même étendue oAuth.

Activez l'API Google pour la nouvelle API Google Drive ou Gmail. Ensuite, créez et téléchargez le fichier de clé depuis votre compte Google et téléchargez-le dans le connecteur.

Pour créer un connecteur Google supplémentaire :

  1. Connectez-vous à la console Google Cloud pour votre compte.

  2. Activez les API Google pour le connecteur :

    1. Sélectionnez le projet et dans le volet de navigation, sélectionnez API & Services > Bibliothèque.

    2. Dans la bibliothèque API, recherchez la nouvelle API Google Drive ou API Gmail.

    3. Dans la fenêtre suivante, cliquez sur Activer.

  3. Créez et téléchargez le fichier de clé pour votre compte Google :

    1. Dans la console Google Cloud, dans le volet de navigation, sélectionnez IAM & Admin > Comptes de service.

    2. Sélectionnez le compte de service pour le connecteur Cato, et sélectionnez Actions > Gérer les clés.

    3. Cliquez sur Ajouter clé > Créer nouvelle clé.

    4. Dans la fenêtre pop-up, et sélectionnez JSON et cliquez sur OK.

      Le navigateur enregistre le fichier de clé API dans le dossier spécifié.

  4. Créer le nouveau connecteur Google :

    1. Dans le menu de navigation, sélectionnez Ressources > Intégrations et cliquez sur l'onglet Applications Intégrées.

    2. Cliquez sur Nouveau. Le panneau Nouveau connecteur s'ouvre.

    3. Définissez les paramètres du connecteur Google Drive ou Gmail et entrez l'E-mail de l'administrateur.

    4. Dans la section Télécharger le fichier clé, téléchargez le fichier de clé API que vous avez créé ci-dessus.

    5. Cliquez sur Sauvegarder.

  5. Pour l'application Gmail, effectuez ces étapes supplémentaires :

    1. Dans l'écran de fin, copiez l'adresse e-mail.

    2. Ouvrez la console d'administration Google.

    3. Allez dans Applications > Google Workspace > Gmail > Routage > Archivage des e-mails tiers.

    4. Cliquez sur Ajouter une autre règle.

    5. Dans la fenêtre pop-up Ajouter un paramètre, collez l'adresse e-mail de l'étape a (ci-dessus).

    6. Cliquez sur Sauvegarder.

Ajout de règles Google Drive ou Gmail à la politique de protection des données

Cette section explique comment utiliser la politique de protection des données pour surveiller et gérer les fichiers, dossiers et e-mails stockés dans votre compte Google.

Comprendre les actions Google Drive et Gmail

Lorsque vous créez une règle de protection des données, vous pouvez définir différentes actions pour surveiller ou remédier aux violations de politique lorsque la règle est appliquée. Chaque action génère automatiquement un événement, et vous pouvez également choisir de recevoir une notification par e-mail. Pour plus d'informations sur les événements de l'API de protection des données, voir ci-dessous Analyser les événements de lAPI de protection des données.

Ce sont les actions que vous pouvez définir pour que le moteur de protection des données exécute lorsqu'une règle est appliquée :

(Les actions Supprimer les partages et Mise en quarantaine sont disponibles uniquement pour Google Drive, les règles pour Gmail ne peuvent être définies qu'avec l'action Surveiller.)

  • Surveiller - Génère un événement pour vous permettre de surveiller le trafic correspondant à la règle.

  • Supprimer les partages - Lorsqu'un utilisateur tente de partager un fichier, le moteur API de protection des données supprime l'autorisation de partage non autorisée, et l'utilisateur qui reçoit un lien vers le fichier partagé n'aura pas de permissions pour accéder au fichier.

  • Mise en quarantaine - Lorsqu'un utilisateur tente de télécharger un fichier, le moteur le déplace vers un dossier de quarantaine et les utilisateurs ne peuvent plus y accéder. L'administrateur Google peut accéder au fichier dans le dossier de quarantaine. Pour des informations sur la configuration des dossiers de quarantaine, voir Préparation pour la mise en quarantaine de fichiers.

Remarque

Remarque : Les limitations connues suivantes s'appliquent aux actions Google Drive :

  • L'action Supprimer les partages ne peut pas être appliquée à un fichier dans un dossier partagé, les permissions de partage peuvent être supprimées uniquement pour les fichiers non situés dans un dossier partagé.

  • Lorsqu'une action Supprimer les partages est appliquée, Google Drive permet à l'utilisateur de demander l'accès au fichier à l'utilisateur qui a partagé le fichier, et ils peuvent accorder l'accès pendant environ dix minutes.

  • L'action Mise en quarantaine peut prendre jusqu'à 10 minutes pour être appliquée à un fichier.

Préparation pour la mise en quarantaine de fichiers

Configurez les dossiers de quarantaine pour les règles de protection des données et de prévention des menaces, et définissez l'administrateur Google avec les permissions pour accéder aux dossiers. Vous pouvez configurer des dossiers de quarantaine pour chaque administrateur Google du locataire. Lorsque vous configurez les dossiers, vous pouvez ensuite créer des règles avec l'action Mise en quarantaine, et définir le dossier vers lequel le fichier est déplacé.

SaaS_Security_API_Settings_GoogleDrive2.png

Pour configurer les dossiers de quarantaine pour un administrateur Google :

  1. Dans le volet de navigation, sélectionnez Sécurité > Protection API App & Données et sélectionnez l'onglet Paramètres.

  2. Cliquez sur Nouveau. Le panneau Dossier de mise en quarantaine s'ouvre.

    SaaS_Security_API_Settings_Onedrive_Quarantine_Folder.png

  3. Sélectionnez le connecteur d'application Google Drive.

  4. Sélectionnez l'administrateur Google pour qu'il ait accès à ces dossiers de quarantaine.

  5. Cliquez sur Sauvegarder.

    Un dossier de protection des données et un dossier de prévention des menaces sont créés pour l'admin, et peuvent être configurés dans les règles avec l'action Mise en quarantaine. Les dossiers portent le nom de l'adresse e-mail de l'admin, et sont situés dans les répertoires suivants de Google Drive :

    • Dossier de protection des données : Cato_Qarantine/Cato_Qarantine_DataProtection

    • Dossier de prévention des menaces : Cato_Qarantine/Cato_Qarantine_ThreatPrevention

Configuration des règles Google Drive et Gmail

Utilisez la page de Protection des Données pour ajouter les règles d'application SaaS dans votre politique de Protection des Données.

Créez une règle de Protection des Données pour définir le trafic qui est analysé par l'API de sécurité SaaS. Créez des règles séparées pour chaque connecteur d'application SaaS, puis définissez les critères qui déterminent quel trafic est analysé.

Pour plus d'informations sur les paramètres des règles Google Drive et Gmail, voir ci-dessous Comprendre les règles des connecteurs Google.

Pour créer une nouvelle règle de Protection des Données pour l'application Google Drive ou Gmail :

  1. Dans le volet de navigation, sélectionnez Sécurité > Protection API App & Données et sélectionnez ou développez Protection des Données.

  2. Cliquez sur Nouveau. Le panneau Nouvelle Règle s'ouvre.

  3. Dans Connecteur d'application, sélectionnez l'application Google Drive ou Gmail.

  4. Dans la section Général, entrez les paramètres pour la règle.

  5. Dans Propriétaire (pour Google Drive) ou Expéditeur (pour Gmail), sélectionnez un ou plusieurs utilisateurs Google que vous surveillez (la valeur par défaut est N'importe).

    Lorsque vous sélectionnez plusieurs utilisateurs, il existe une relation OU entre eux.

  6. (Pour Gmail) Dans Destinataires, définissez les utilisateurs Google qui reçoivent le mail (le réglage par défaut est N'importe).

  7. Dans Options de partage, sélectionnez le niveau de permission pour les fichiers et dossiers analysés (la valeur par défaut est N'importe).

    Lorsque vous sélectionnez plusieurs options, il existe une relation OU entre elles.

  8. Dans Attributs de fichier (pour Google Drive) ou Pièces jointes (pour Gmail), définissez les critères pour spécifier les fichiers qui sont analysés (le réglage par défaut est d'analyser tous les fichiers).

  9. Dans Profil de contenu, sélectionnez le Profil de contenu DLP pour cette règle.

  10. Sélectionnez une Action.

    Pour l'action Mise en quarantaine (pour Google Drive), sélectionnez un Chemin du dossier de quarantaine. Pour plus d'informations sur les dossiers de quarantaine, voir ci-dessus ???.

  11. (Facultatif) Configurez les options de suivi pour générer des Événements et Envoyer des Notifications.

    Pour plus d'informations sur les notifications, voir l'article pertinent pour les Groupes d'Abonnement, Listes de Diffusion, et Intégrations d'Alerte dans la section Alerts.

  12. Cliquez sur Sauvegarder. La règle est ajoutée à la politique de Protection des Données.

Comprendre les règles des connecteurs Google

Cette section explique comment définir les paramètres pour que les règles de protection des données analysent le bon trafic Google Drive ou Gmail. Chaque règle peut être définie selon les critères suivants :

  • Propriétaire ou Expéditeur - Utilisateurs Google dans votre espace de travail (valeur par défaut est N'importe)

    • Interne - Propriétaire est un utilisateur de votre entreprise

    • Utilisateur Google - Propriétaire est un utilisateur spécifique

  • Destinataires (pour Gmail) - Utilisateurs qui reçoivent l'email

    • Interne - Propriétaire est un utilisateur de votre entreprise

    • Externe - Défini dans votre compte Google comme extérieur à votre entreprise

    • Utilisateur Google - Propriétaire est un utilisateur spécifique

    • Domaine - Entrez le domaine pour les destinataires de l'email

  • Options de partage - Sélectionnez les types de permissions de partage de fichiers et de dossiers qui correspondent à cette règle (valeur par défaut est N'importe)

    • Privé - Seul utilisateur a accès

    • Restreint - À définir

    • Unité Organisationnelle - Tout utilisateur dans l'unité définie dans votre hiérarchie d'utilisateurs Google Drive

    • Externe - Utilisateurs externes qui ont reçu une invitation avec le lien

    • Ouvert - Accessible publiquement à quiconque avec le lien

  • Attributs de fichiers ou Pièces jointes - Critères pour les pièces jointes qui sont scannées (valeur par défaut est toutes les pièces jointes)

    • Type de fichier

    • Nom du fichier

    • Taille du fichier (la taille maximale du fichier est 100 Mo)

  • Profil de contenu - Profil de protection contre la perte de données (DLP) qui définit l'inspection du contenu DLP

    Vous pouvez créer ou modifier des Profils de Contenu dans Sécurité > Profils DLP > Profils DLP > Profil de Contenu

  • Actions - Sélectionnez si vous souhaitez Surveiller la règle en générant un événement ou une notification email lorsque la règle est correspondue. Pour Google Drive, vous pouvez également choisir de Supprimer le partage des permissions ou de Mettre en quarantaine les fichiers qui correspondent à la règle. Pour en savoir plus sur les actions Google Drive, voir Comprendre les Actions Google Drive et Gmail.

Définir les Fichiers ou Pièces Jointes pour une Règle

Vous pouvez définir des fichiers spécifiques (ou des pièces jointes) pour une règle et limiter le moteur API SaaS à ne scanner que les fichiers spécifiés pour vérifier s'ils correspondent au Profil de Contenu DLP.

Lorsque vous ajoutez plusieurs fichiers à une règle, sélectionnez la relation entre eux :

  • Satisfaire à l'une (OU) - Correspondre à l'un des Types de Fichier dans la règle

  • Satisfaire à toutes (ET) - Correspondre à tous les Types de Fichier dans la règle (sinon, la règle est ignorée)

Vous pouvez utiliser le paramètre Nom du Fichier dans une règle pour définir le nom de fichier exact ou utiliser des jokers pour définir des mots-clés. Par exemple, vous pouvez définir le Nom du Fichier comme interne pour correspondre à tous les noms de fichiers contenant le mot interne.

Travailler avec des Règles de Protection des Données Ordonnées

Le moteur API de Protection des Données inspecte les données séquentiellement et vérifie si elles correspondent à une règle. Si les données ne correspondent pas à une règle, alors elles ne sont pas inspectées. Les règles qui sont en haut de la base de règles ont une priorité plus élevée et elles sont appliquées avant les règles plus basses dans la base de règles. Chaque type d'application ou de connecteur n'est appliqué aux données qu'une seule fois.

Meilleures pratiques - Pour maximiser l'efficacité de votre base de règles, nous recommandons que pour chaque type de connecteur, les règles pour les utilisateurs spécifiques aient une priorité plus élevée que les règles qui s'appliquent à N'importe utilisateurs.

Par exemple, si les données correspondent à un connecteur dans la règle #2, les données sont inspectées par le moteur API de Protection des Données. Le moteur ne continue pas à appliquer les règles #3 et inférieures pour le même connecteur. Cependant, les données pourraient correspondre à une règle de priorité inférieure avec un connecteur différent.

Ajouter la Protection contre les Menaces au Connecteur

Vous pouvez créer des règles de Protection contre les Menaces pour le connecteur afin de scanner les fichiers et pièces jointes pour les malwares et les virus en utilisant les moteurs Anti-Malware et Anti-Malware Next Gen qui sont activés pour votre compte. Le moteur API de Protection des Données scanne le trafic des connecteurs et applique les options d'action et de suivi que vous configurez pour la règle.

Voici les actions que vous pouvez configurer pour le moteur de Protection contre les Menaces pour effectuer lorsqu'une règle est correspondue :

  • Surveiller - Génère un événement pour vous permettre de surveiller le trafic qui correspond à la règle.

  • Supprimer les partages - Lorsqu'un utilisateur essaie de partager un fichier, le moteur API de Protection des Données supprime l'autorisation de partage non autorisée, et l'utilisateur qui reçoit un lien vers le fichier partagé n'aura pas les permissions pour accéder au fichier.

  • Mettre en quarantaine - Lorsqu'un utilisateur essaie de téléverser un fichier, le moteur le déplace dans un dossier de quarantaine et les utilisateurs ne peuvent plus y accéder. L'admin Google peut accéder au fichier dans le dossier de quarantaine. Pour plus d'informations sur la configuration des dossiers de quarantaine, consultez Préparer pour la Mise en Quarantaine des Fichiers.

Remarque

Remarque : Les limitations connues suivantes s'appliquent aux actions Google Drive :

  • L'action Supprimer les partages ne peut pas être appliquée à un fichier dans un dossier partagé, les permissions de partage peuvent être supprimées uniquement pour les fichiers qui ne se trouvent pas dans un dossier partagé.

  • Lorsqu'elle est appliquée, l'action Supprimer les partages permet à l'utilisateur de demander l'accès au fichier à l'utilisateur qui a partagé le fichier, et ils peuvent accorder l'accès pendant environ dix minutes.

  • L'action Mettre en quarantaine peut prendre jusqu'à 10 minutes pour être appliquée à un fichier.

Chaque action génère automatiquement un événement, et vous pouvez également choisir de recevoir une notification par e-mail. Pour en savoir plus sur les événements API de Protection des Données, voir ci-dessous Analyser les Événements de l'API de Protection des Données.

Lorsque vous créez une règle Protection de l'API des Applications et des Données, les moteurs Anti-Malware activés pour votre compte (Sécurité > Anti-Malware) effectuent des analyses de malware sur les fichiers envoyés pour cette application de connecteur.

La capture d'écran suivante montre une règle de Protection contre les Menaces pour le connecteur OneDrive qui scanne les fichiers envoyés par des utilisateurs internes ou des invités :

"

Créer une Exception pour un Fichier

Parfois, il y a un fichier bloqué par les moteurs API de Protection des Données de Cato que vous savez sûr et que vous devez autoriser dans le réseau. Les exceptions Anti-Malware dans la politique de Hachage du fichier s'appliquent également à la Protection API Applications & Données. Pour plus d'informations sur l'ajout de fichiers à la Politique de Hachage du fichier, consultez Gestion des exceptions Anti-Malware.

Analyser les Événements de l'API de Protection des Données

La page Accueil > Événements affiche tous les événements API de Protection des Données pour votre compte. Les puissants outils de recherche vous permettent d'approfondir et d'identifier les quelques événements qui contiennent les données pertinentes dont vous avez besoin.

Les événements API de Protection des Données peuvent être identifiés par les champs suivants :

  • Type d'événement - Sécurité

  • Sous-Type - Protection des données d'API de sécurité SaaS et Anti Malware API de sécurité SaaS

Vous pouvez en savoir plus sur l'utilisation de la page Événements ici.

Explication des Champs des Événements API de Protection des Données

Nom du champ

Description

Nom du connecteur

Nom pour le connecteur qui est défini pour la règle

Type de connecteur

Application SaaS qui est définie pour ce connecteur

Profil de protection contre la perte de données (DLP)

Profil de contenu DLP qui a généré cet événement

Nom du fichier

Nom du fichier attaché

Types de données correspondants

Types de données dans le profil de contenu qui correspondent à la règle

Collaborateurs

Adresses e-mail des utilisateurs qui ont reçu le fichier

Règle

Nom de la règle dans la politique de Protection

Propriétaire

Propriétaire du fichier

Gravité

Gravité définie pour la règle

Portée du partage

Options de partage pour la pièce jointe Google Drive

Étendues oAuth pour les connecteurs Google Drive et Gmail

Voici les portées oAuth requises pour les différents types de connecteurs Google :

  • Google Drive Lire -

    • https://www.googleapis.com/auth/admin.directory.user.readonly

    • https://www.googleapis.com/auth/admin.directory.domain.readonly

    • https://www.googleapis.com/auth/admin.directory.customer.readonly

    • https://www.googleapis.com/auth/admin.reports.audit.readonly

    • https://www.googleapis.com/auth/drive.readonly

    • https://www.googleapis.com/auth/admin.reports.usage.readonly

  • Google Drive Écrire -

    • https://www.googleapis.com/auth/admin.directory.user.readonly

    • https://www.googleapis.com/auth/admin.directory.domain.readonly

    • https://www.googleapis.com/auth/admin.directory.customer.readonly

    • https://www.googleapis.com/auth/admin.reports.audit.readonly

    • https://www.googleapis.com/auth/drive.readonly

    • https://www.googleapis.com/auth/admin.reports.usage.readonly

    • https://www.googleapis.com/auth/drive

    • https://www.googleapis.com/auth/drive.file

  • Gmail -

    • https://www.googleapis.com/auth/admin.directory.user.readonly

    • https://www.googleapis.com/auth/admin.directory.domain.readonly

    • https://www.googleapis.com/auth/admin.directory.customer.readonly

    • https://www.googleapis.com/auth/admin.reports.audit.readonly

    • https://www.googleapis.com/auth/drive.readonly

    • https://www.googleapis.com/auth/admin.reports.usage.readonly

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire