Cet article explique comment configurer le connecteur Microsoft SharePoint pour la politique App & Protection des données API de votre compte et créer une règle SharePoint pour la Politique de Protection des Données
La politique App & Protection des données API nécessite une licence distincte de Cato. Veuillez contacter votre représentant Cato ou le revendeur officiel pour plus d'informations.
Remarque
Note : Veuillez contacter SaaSecAPI@catonetworks.com ou votre revendeur officiel Cato pour plus d'informations sur l'utilisation de la politique App & Data API Protection.
Créez les connecteurs pour les applications SaaS Microsoft 365 et SharePoint.
Chaque application Microsoft SharePoint et locataire Azure (selon l'application 365) sont soumis à la limitation de débit de Microsoft. Pour plus d'informations, consultez la documentation Microsoft.
-
Le connecteur Microsoft 365 nécessite un administrateur avec le rôle d'administrateur global pour donner des autorisations à Protection des données API
Pour permettre au Protection des données API de scanner les ressources et le contenu des fichiers et dossiers SharePoint, le connecteur donne à Cato les autorisations et actions suivantes avec l'application SharePoint :
-
Autoriser l'accès à l'application en utilisant Oauth2
-
Recevoir un token de l'application pour établir et maintenir une connexion sécurisée
-
Connecter aux APIs Microsoft et récupérer les données et analyser les fichiers selon la politique de Protection des données API, incluant :
-
Lire les éléments et fichiers dans toutes les collections sites
-
Se connecter et lire les profils complets des utilisateurs
-
Écrire des fichiers dans toutes les collections sites (bientôt disponible)
-
Cette section explique comment créer des connecteurs API pour Microsoft 365 et SharePoint, et les connecter à votre compte Cato.
Pour permettre au Protection des données API de scanner les ressources et contenu pour Microsoft SharePoint, vous devez d'abord configurer le connecteur Microsoft 365 comme application parente pour donner des autorisations de lecture pour le connecteur SharePoint. L'application parente n'a que des autorisations pour gérer les connecteurs Microsoft. Par la suite, si nécessaire, vous pouvez créer un connecteur Microsoft 365 distinct pour chaque locataire Azure.
Utilisez l'application de gestion Cato pour créer le connecteur d'application SaaS Microsoft 365 pour le locataire Azure pour l'application Microsoft SharePoint que vous scannez avec API de protection des données . Vous devez avoir les bonnes informations d'identification pour authentifier l'application Microsoft SharePoint afin de l'ajouter à votre compte Cato.
Premier, configurer l'Intégration MS Tenant comme le connecteur parent. Ce connecteur peut être utilisé pour toutes les intégrations Microsoft. Si vous avez déjà créé le connecteur parent, passez à l'étape 2.
Pour créer le connecteur parente Microsoft 365 :
-
Dans le menu de navigation, sélectionnez Ressources > Intégrations et cliquez sur l'onglet Applications intégrées.
-
Cliquez sur Nouveau. Le panneau Nouveau connecteur s'ouvre.
-
Dans le panneau Nouveau connecteur, sélectionnez l'application MS Tenant (Configurer un nouveau MS Tenant).
-
Cliquez sur Autoriser et enregistrer.
Un nouvel onglet de navigateur s'ouvre sur l'application Microsoft 365.
-
Dans le nouvel onglet de navigateur, authentifiez-vous à l'application Microsoft 365 :
-
Sélectionnez le compte Microsoft pour l'application Microsoft 365.
Sinon, il peut y avoir une erreur d'authentification Microsoft.
-
Entrez le mot de passe pour l'application et approuvez-le.
-
Accepter les autorisations pour permettre à Cato d'accéder à l'application Microsoft 365.
-
L'écran indique que vous avez appliqué avec succès les autorisations pour l'application.
Vous pouvez fermer l'onglet de navigateur et revenir à l'Application de gestion Cato.
-
-
L'application Microsoft 365 SaaS est ajoutée à l'onglet Applications intégrées.
Le connecteur SharePoint Microsoft permet au moteur API SaaS Cato de scanner les emails pour le contenu que vous définissez dans la politique de Protection des Données.
Note
Note : Lorsque vous créez un connecteur API pour une application Microsoft 365, le connecteur crée un certificat d'authentification qui est valide pour 3 mois, et renouvelle le certificat 7 jours avant l'expiration.
Pour créer le connecteur pour Microsoft SharePoint :
-
Dans le menu de navigation, sélectionnez Ressources > Intégrations et cliquez sur l'onglet APIs intégrées.
-
Cliquez sur Nouveau. Le panneau Nouveau connecteur s'ouvre.
-
Dans Application SaaS, sélectionnez Microsoft SharePoint.
-
Dans Locataire du connecteur, sélectionnez le connecteur parente Microsoft 365 que vous avez créé dans la section précédente.
-
Entrez le Nom du connecteur.
-
Dans Autorisations, sélectionnez Lire/Écrire.
-
Cliquez sur Enregistrer. L'application connecteur Cato est créée. Cela peut prendre jusqu'à 30 secondes.
-
Cliquez sur Autoriser pour autoriser la création du connecteur.
-
Dans un nouvel onglet de navigateur, authentifiez-vous à l'application SharePoint.
-
Sélectionnez le compte Microsoft pour l'application SharePoint.
-
Entrez le mot de passe pour l'application et approuvez-le.
-
Accepter les autorisations pour que Cato accède à l'application.
-
L'écran indique que vous avez appliqué avec succès les autorisations pour l'application.
Vous pouvez fermer l'onglet de navigateur et revenir à l'Application de gestion Cato.
Cela peut prendre plusieurs secondes à SharePoint Microsoft pour traiter la demande, donc si vous recevez une erreur, rafraîchissez le navigateur.
-
-
L'application SharePoint SaaS est ajoutée à l'onglet APIs intégrées.
La colonne Statut sur l'écran des Paramètres des connecteurs montre l'état de la connexion entre l'application Microsoft et votre compte Cato. Voici les explications des statuts :
-
Connecté - Votre compte est connecté à l'application et fonctionne correctement
-
Avertissement de connexion - Certains utilisateurs dans le locataire Azure ne sont pas configurés correctement pour supporter Protection des données API (par exemple, pas d'adresse e-mail définie pour l'utilisateur). Veuillez ouvrir un ticket avec Support.
-
Erreur de connexion - Problème de connectivité ou d'autorisations, ou limitation de débit (limitation de Microsoft) avec le connecteur Microsoft. Veuillez ouvrir un ticket avec Support.
Cette section explique comment utiliser la Politique de Protection des Données pour surveiller et gérer les actions que vos utilisateurs effectuent avec les fichiers SharePoint. Par exemple, partager des fichiers, créer de nouveaux fichiers, téléverser, etc.
Pour plus d'informations sur les profils de contenu DLP, consultez Création de profils de contenu DLP.
Lorsque vous créez une règle de Protection des Données, vous pouvez définir différentes actions pour surveiller ou remédier aux violations de la politique lorsque la règle est déclenchée. Chaque action génère automatiquement un événement, et vous pouvez également choisir de recevoir une notification par email. Pour plus d'informations sur les événements Data Protection API, voir ci-dessous Analyse des événements Data Protection API.
Voici les actions que vous pouvez définir pour que le moteur de Protection des Données exécute lorsque une règle est déclenchée :
-
Surveiller - Génère un événement pour vous permettre de surveiller le trafic qui correspond à la règle.
-
Mettre en quarantaine - Lorsqu'un utilisateur tente de téléverser un fichier, le moteur Protection des données API le déplace dans un dossier de quarantaine et les utilisateurs ne peuvent plus y accéder. L'administrateur SharePoint peut accéder au fichier dans le dossier de quarantaine. Pour des informations sur la configuration des dossiers de quarantaine, voir ci-dessous Préparation pour la quarantaine des fichiers.
Configurez des dossiers de quarantaine pour les règles de Protection des Données et de Prévention des Menaces, et définissez l'administrateur SharePoint avec les autorisations pour accéder aux dossiers. Vous pouvez configurer des dossiers de quarantaine pour chaque administrateur SharePoint pour le locataire. Lorsque vous configurez les dossiers, vous pouvez ensuite créer des règles avec l'action Mettre en quarantaine, et définir le dossier dans lequel le fichier est déplacé.
Pour configurer des dossiers de quarantaine pour un administrateur SharePoint :
-
Depuis le volet de navigation, sélectionnez Sécurité > App & Protection des données API et sélectionnez l'onglet Paramètres.
-
Cliquez sur Nouveau. Le panneau Dossier de mise en quarantaine s'ouvre.
-
Sélectionnez le connecteur de SharePoint.
-
Sélectionnez l'administrateur SharePoint pour avoir accès à ces dossiers de quarantaine.
-
Cliquez sur Enregistrer.
Un dossier de Protection des Données et un dossier de Prévention des Menaces sont créés pour l'administrateur, et peuvent être configurés dans les règles avec l'action Mettre en quarantaine. Les dossiers sont nommés avec l'adresse e-mail de l'administrateur, et situés dans les répertoires SharePoint suivants :
-
Dossier de protection des données : Cato_Qarantine/Cato_Qarantine_DataProtection
-
Dossier de prévention des menaces : Cato_Qarantine/Cato_Qarantine_ThreatPrevention
-
Utilisez la page Protection des données pour ajouter les règles des applications SaaS à votre politique de Protection des données.
Créez une règle de Protection des données pour définir le trafic qui est analysé par Data Protection API. Créez des règles séparées pour chaque connecteur d'application SaaS, puis définissez les critères qui déterminent quel trafic est analysé.
Les fichiers analysés incluent également les fichiers Teams et OneNote partagés avec SharePoint.
Pour plus d'informations sur les paramètres de règle SharePoint, voir ci-dessous Comprendre les règles SharePoint.
Pour créer une nouvelle règle de Protection des données pour l'application SharePoint :
-
Dans le volet de navigation, sélectionnez Sécurité > App & Data API Protection et sélectionnez ou développez Protection des données.
-
Cliquez sur Nouveau. Le panneau Nouvelle Règle s'ouvre.
-
Dans Connecteur d'application, sélectionnez l'application SharePoint.
-
Dans la section Général, entrez les paramètres pour la règle.
-
Dans Propriétaire, sélectionnez un ou plusieurs propriétaires de fichiers SharePoint (valeur par défaut est N'importe lequel).
Lorsque vous sélectionnez plusieurs propriétaires, il existe une relation OU entre eux.
-
Dans Options de partage, sélectionnez un ou plusieurs types de permissions de fichiers (valeur par défaut est N'importe lequel).
Lorsque vous sélectionnez plusieurs options, il existe une relation OU entre elles.
-
Dans Pièces jointes, définissez les critères pour spécifier les fichiers qui sont analysés (le paramètre par défaut est d'analyser tous les fichiers).
-
Dans Profil de contenu, sélectionnez le Profil de Protection contre la perte de Données pour cette règle.
Pour plus d'informations sur les profils de contenu DLP, consultez Création de profils de contenu DLP.
-
Sélectionnez une Action.
Pour l'action Mise en quarantaine, sélectionnez un Chemin du dossier de mise en quarantaine. Pour plus d'informations sur les dossiers de quarantaine, voir ci-dessus Préparation pour la quarantaine des fichiers.
-
(Optionnel) Configurez les options de suivi pour générer des Événements et envoyer des notifications.
Pour plus d'informations sur les notifications, voir l'article pertinent pour les Groupes d'abonnement, Listes de Diffusion, et Intégrations d'Alerte dans la section Alertes.
-
Cliquez sur Sauvegarder. La règle est ajoutée à la politique de Protection des données.
Cette section explique comment définir les paramètres pour les règles de Protection des données afin d'analyser le trafic correct de SharePoint. Chaque règle peut être définie selon les critères suivants :
-
Propriétaire - Sites individuels, ou types d'utilisateurs Azure qui sont les propriétaires des répertoires SharePoint pertinents (valeur par défaut est N'importe)
-
Options de partage - Sélectionnez les types de permissions de partage de fichiers qui correspondent à cette règle (valeur par défaut est N'importe quel)
Par exemple, pour surveiller les fichiers partagés avec des utilisateurs externes, sélectionnez Lien externe.
-
Pièces jointes - Critères pour les pièces jointes qui sont analysées (valeur par défaut est toutes les pièces jointes)
-
Type de fichier
-
Nom du fichier
-
Taille du fichier (taille maximale du fichier est 100 MB)
-
-
Profil de contenu - Profil de Protection contre la perte de Données qui définit l'inspection du contenu DLP (Sécurité > Profils DLP > Profils DLP > Profil de contenu)
-
Actions - Sélectionnez si vous souhaitez générer un événement lorsque la règle est appariée
Vous pouvez définir des fichiers spécifiques (ou pièces jointes) pour une règle et limiter le moteur API SaaS à n'analyser que les fichiers spécifiés pour voir s'ils correspondent au Profil de Protection contre la perte de Données.
Lorsque vous ajoutez plusieurs fichiers à une règle, sélectionnez la relation entre eux :
-
Satisfaire à l'une (OU) - Correspond à seulement un des types de fichiers dans la règle
-
Satisfaire à toutes (ET) - Correspond à tous les types de fichiers dans la règle (sinon, la règle est ignorée)
Vous pouvez utiliser le paramètre Nom du fichier dans une règle pour définir le nom de fichier exact ou utiliser des caractères génériques pour définir des mots-clés. Par exemple, vous pouvez définir le Nom du fichier comme interne pour correspondre à tous les noms de fichiers qui contiennent le mot interne.
Le moteur Data Protection API inspecte les données séquentiellement, et vérifie si elles correspondent à une règle. Si les données ne correspondent pas à une règle, elles ne sont pas inspectées. Les règles qui sont en haut du banco de règles ont une priorité plus élevée et elles sont appliquées avant les règles en bas du banco de règles. Chaque type d'application ou de connecteur est appliqué aux données une seule fois.
Meilleure pratique - Pour maximiser l'efficacité de votre banco de règles, nous recommandons que pour chaque type de connecteur, les règles pour des utilisateurs spécifiques aient une priorité plus élevée que les règles qui s'appliquent à N'importe lequel d'utilisateurs.
Par exemple, si les données correspondent à un connecteur dans la règle #2, les données sont inspectées par le moteur Data Protection API. Le moteur ne continue pas d'appliquer les règles #3 et en dessous pour le même connecteur. Cependant, les données pourraient correspondre à une règle de priorité inférieure avec un connecteur différent.
Vous pouvez créer des règles de Protection contre les menaces pour le connecteur afin d'analyser des fichiers et des pièces jointes pour les logiciels malveillants et les virus en utilisant les moteurs Anti-Malware et Next Gen Anti-Malware qui sont activés pour votre compte. Le moteur Data Protection API analyse le trafic du connecteur et applique les options d'action et de suivi que vous configurez pour la règle :
-
Surveiller le trafic (le blocage sera bientôt pris en charge)
-
Générer des événements
-
Envoyer des notifications par email
Lorsque vous créez une règle App & Data API Protection, les moteurs Anti-Malware qui sont activés pour votre compte (Sécurité > Anti-Malware) effectuent des scans de logiciels malveillants sur les fichiers envoyés pour cette application connecteur.
La capture d'écran suivante montre une règle de Protection contre les menaces pour le connecteur OneDrive qui analyse les fichiers envoyés par les utilisateurs internes ou les invités :
Parfois, un fichier bloqué par les moteurs Protection des données API de Cato que vous savez être sécurisé, et vous devez l'autoriser dans le Réseau. Les exceptions Anti-Malware dans la Politique de déploiement du hachage de fichier s'appliquent également à la Protection App & Données API. Pour plus d'informations sur l'ajout de fichiers à la Politique de déploiement du hachage de fichier, voir Gestion des exceptions Anti-Malware.
La page Accueil > Événements montre tous les événements Data Protection API pour votre compte. Les outils de recherche puissants vous permettent d'approfondir et d'identifier les quelques événements qui contiennent les données pertinentes dont vous avez besoin.
Les événements Data Protection API peuvent être identifiés par les champs suivants :
-
Type d'événement - Sécurité
-
Sous-type - Protection des données API de sécurité SaaS et Sécurité SaaS API Anti-Malware
Vous pouvez en savoir plus sur l'utilisation de la page Événements ici.
|
Nom du champ |
Description |
|---|---|
|
Collaborateurs |
Adresses e-mail des utilisateurs qui ont reçu le fichier |
|
Nom du connecteur |
Nom du connecteur qui est défini pour la règle |
|
Type de connecteur |
Application SaaS définie pour ce connecteur |
|
Profil de protection contre la perte de données DLP |
Profil de contenu DLP qui a généré cet événement |
|
Nom du fichier |
Nom du fichier joint |
|
Types de données correspondants |
Types de données dans le profil de contenu qui ont correspondu à la règle |
|
Règle |
Nom de la règle dans la Politique de Protection des données |
|
Propriétaire |
Propriétaire du fichier |
|
Gravité |
Gravité définie pour la règle |
|
Portée du partage |
Options de partage pour le fichier SharePoint |
0 commentaire
Vous devez vous connecter pour laisser un commentaire.