Microsoft Exchange : Configuration du connecteur de protection des données API

Cet article explique comment configurer les connecteurs Microsoft 365 et Microsoft Exchange pour la Politique de Protection des Applications et des Données API pour votre compte.

La Politique de Protection des Applications et des Données API nécessite une licence distincte de Cato. Veuillez contacter votre représentant Cato ou revendeur officiel pour plus d'informations.

Remarque

Remarque: Veuillez contacter SaaSecAPI@catonetworks.com ou votre revendeur officiel Cato pour plus d'informations sur l'utilisation de la Politique de protection des API d'Application & de Données.

Aperçu des Connecteurs Microsoft Exchange

La première étape pour la solution Data Protection API est de créer les connecteurs pour les applications SaaS Microsoft, Microsoft 365 et Exchange. Pour les comptes avec plusieurs locataires Azure AD, vous pouvez créer plusieurs connecteurs Microsoft 365. De plus, vous pouvez créer plusieurs connecteurs Exchange pour chaque connecteur parent Microsoft 365.

Chaque application Microsoft Exchange et locataire Azure (selon l'application 365) est soumis à la limitation de débit de Microsoft. Pour plus d'informations, consultez la documentation Microsoft.

Prérequis

Le connecteur Microsoft 365 nécessite un administrateur avec le rôle d'administrateur global pour donner les autorisations à la Data Protection API
Le connecteur surveille les fichiers, d'autres actions seront bientôt prises en charge

Autorisations requises pour les Connecteurs API de Microsoft Exchange

Pour permettre à la Data Protection API de scanner les ressources et le contenu des e-mails Exchange, le connecteur donne à Cato les permissions et actions suivantes avec l'application Exchange :

Accorder l'accès à l'application en utilisant Oauth2
Recevoir un token de l'application pour établir et maintenir une connexion sécurisée
Se connecter aux API Microsoft et récupérer des données et analyser les courriels selon la Politique de Protection des Applications et des Données API

Travailler avec les Connecteurs Microsoft Exchange

Pour permettre à la Data Protection API de scanner les ressources et le contenu pour Microsoft Exchange, vous devez d'abord configurer le connecteur Microsoft 365 en tant qu'application parente pour donner les autorisations de lecture pour le connecteur Exchange. L'application parente a uniquement les autorisations pour gérer les connecteurs Microsoft. Vous pouvez facilement créer l'application dans l'application de gestion Cato, il n'est pas nécessaire de configurer les paramètres dans Microsoft Azure. Après cela, créez un connecteur Microsoft 365 distinct pour chaque locataire Azure.

Étape 1 : Créer le Connecteur Microsoft 365

Utilisez l'application de gestion Cato pour créer le connecteur d'application SaaS Microsoft 365 pour le locataire Azure pour l'application Microsoft Exchange que vous analysez avec la Data Protection API. Vous devez disposer des bonnes informations d'identification pour vous authentifier à l'application Microsoft Exchange et l'ajouter à votre compte Cato.

Avant de pouvoir créer et configurer les paramètres du connecteur, vous devez d'abord activer la Data Protection API pour votre compte.

Premier, configurer l'intégration du locataire MS comme le connecteur parent. Ce connecteur peut être utilisé pour toutes les intégrations Microsoft. Si vous avez déjà créé le connecteur parent, allez à l'étape 2.

Pour créer le connecteur parent Microsoft 365 :

Dans le menu de navigation, sélectionnez Ressources > Intégrations et cliquez sur l'onglet APIs intégrées.
Cliquez sur Nouveau. Le panneau Nouveau connecteur s'ouvre.
Dans le panneau Nouveau connecteur, sélectionnez l'application Microsoft 365.
Cliquez sur Autoriser et enregistrer.

Un nouvel onglet du navigateur s'ouvre vers l'application Microsoft 365.
Dans le nouvel onglet du navigateur, authentifiez-vous à l'application Microsoft 365 :
1. Sélectionnez le compte Microsoft pour l'application Microsoft 365.
  
  Sinon, il pourrait y avoir une erreur d'authentification Microsoft.
2. Entrez le mot de passe pour l'application et approuvez-le.
3. Accepter les autorisations pour permettre à Cato d'accéder à l'application Microsoft 365.
4. L'écran montre que vous avez appliqué avec succès les autorisations pour l'application.
  
  Vous pouvez fermer l'onglet du navigateur et revenir au CMA.
L'application SaaS Microsoft 365 est ajoutée à l'onglet APIs intégrées.

Étape 2 : Créer le Connecteur Microsoft Exchange

Après que le connecteur Microsoft 365 est connecté à votre compte Cato, vous pouvez créer les connecteurs Exchange requis. Le connecteur Exchange permet au moteur API SaaS de Cato d'analyser les courriels pour le contenu que vous définissez dans la politique de protection des données. Des événements sont générés pour tout e-mail qui correspond à une règle dans la politique.

Note

Remarque : Lorsque vous créez un connecteur API pour une application Microsoft 365, le connecteur crée un certificat d'authentification valable pour 3 mois, et renouvelle le certificat 7 jours avant son expiration.

Pour créer le connecteur pour Microsoft Exchange :

Dans le menu de navigation, sélectionnez Ressources > Intégrations et cliquez sur l'onglet APIs intégrées.
Cliquez sur Nouveau. Le panneau Nouveau connecteur s'ouvre.
Créez une nouvelle Application SaaS Exchange, pour le Connecteur parent que vous avez créé à l'étape précédente.

Actuellement, seules les autorisations et actions de Lecture sont prises en charge pour l'application Exchange. Cependant, les autorisations et actions de Lecture/Écriture seront bientôt prises en charge.
Cliquez sur Autoriser et enregistrer.
Dans un nouvel onglet du navigateur, authentifiez-vous à l'application Exchange.
1. Sélectionnez le compte Microsoft pour l'application Exchange et connectez-vous.
2. Entrez le mot de passe pour l'application et approuvez-le.
3. Accepter les autorisations pour que Cato accède à l'application Exchange.
4. L'écran montre que vous avez appliqué avec succès les autorisations pour l'application.
  
  Vous pouvez fermer l'onglet du navigateur et revenir à l'application de gestion Cato.
  
  Il peut falloir plusieurs secondes pour que Microsoft Azure traite la demande, donc si vous recevez une erreur, rafraîchissez le navigateur.
L'application SaaS Exchange est ajoutée à l'onglet APIs intégrées.

Ajout de règles Exchange à la politique de protection des données

Cette section explique comment utiliser la politique de protection des données pour surveiller et gérer les messages et les pièces jointes que vos utilisateurs envoient avec Microsoft Exchange.

Configuration des règles Exchange

Utilisez la page de protection des données pour ajouter les règles d'application SaaS dans votre politique de protection des données.

Pour plus d'informations sur les paramètres des règles Exchange, voir ci-dessous Comprendre les Règles Exchange.

Pour créer une nouvelle règle de protection des données pour l'application Exchange :

Dans le panneau de navigation, sélectionnez Sécurité > Protection des Applications et des Données API et sélectionnez ou développez Protection des Données.
Cliquez sur Nouveau. Le panneau Nouvelle règle s'ouvre.
Dans Connecteur d'application, sélectionnez l'application Exchange.
Dans la section Général, entrez les paramètres pour la règle.
Dans Expéditeur, définissez les utilisateurs Azure AD qui envoient le courrier (le paramètre par défaut est N'importe lequel).
Dans Destinataires, définissez les utilisateurs Azure AD qui reçoivent le courrier (le paramètre par défaut est N'importe lequel).
Dans Pièces jointes, définissez les critères pour spécifier les pièces jointes de l'email qui sont analysées (le paramètre par défaut est d'analyser toutes les pièces jointes).
Dans Profil de contenu, sélectionnez le profil de contenu DLP pour cette règle.

Vous pouvez saisir des mots-clés dans Sujet de l'email, pour limiter les analyses uniquement aux e-mails contenant ces mots-clés.

Pour plus d'informations sur les Profils de Contenu DLP, voir Création de Profils de Contenu DLP.
Dans Actions, sélectionnez Surveiller.
(Optionnel) Configurez les options de suivi pour générer des Événements et envoyer des notifications.

Pour plus d'informations sur les notifications, consultez l'article pertinent pour les groupes d'abonnement, les listes de diffusion et les intégrations d'alertes dans la section Alertes.
Cliquez sur Enregistrer. La règle est ajoutée à la politique de protection des données.

Comprendre les règles Exchange

Cette section explique comment définir les paramètres pour les règles de protection des données pour analyser le bon trafic Exchange.

Expéditeur - utilisateurs individuels, ou types d'utilisateurs Azure qui envoient l'email (valeur par défaut est N'importe lequel)
Destinataires - utilisateurs individuels, types d'utilisateurs Azure, ou domaines d'email qui reçoivent l'email (valeur par défaut est N'importe lequel)
Pièces jointes - Critères pour les pièces jointes qui sont analysées (valeur par défaut est toutes les pièces jointes)
- Type de fichier
- Nom du fichier
- Taille du fichier (la taille de fichier maximale est de 100 MB)
Profil de contenu - Profil de contenu DLP qui définit l'inspection du contenu DLP (Sécurité > Profils DLP > Profils DLP > Profil de contenu)

Travailler avec les expéditeurs et les destinataires

Vous pouvez définir des Expéditeurs et Destinataires spécifiques pour chaque règle dans la politique de protection des données. L'application de gestion Cato se connecte à l'Azure AD pour le locataire défini dans le connecteur Office 365. Les utilisateurs individuels affichés pour une règle sont basés sur cet Azure AD, et NE sont PAS liés aux utilisateurs définis pour votre compte Cato.

Si vous ne voyez pas l'utilisateur requis, assurez-vous que l'utilisateur est correctement défini dans le locataire Azure AD, puis configurez la règle de protection des données.

Azure AD définit ces types d'utilisateurs :

Interne
Externe
Utilisateur

Pour les Destinataires d'une règle, vous pouvez également définir des domaines d'adresse e-mail.

Définir des fichiers ou des pièces jointes pour une règle

Vous pouvez définir des fichiers spécifiques (ou pièces jointes) pour une règle et limiter le moteur API SaaS à n'analyser que les fichiers spécifiés pour voir s'ils correspondent au Profil de Contenu DLP.

Lorsque vous ajoutez plusieurs fichiers à une règle, sélectionnez la relation entre eux :

Satisfaire à l'une (OU) - Correspondre à un seul des Types de Fichier dans la règle
Satisfaire à toutes (ET) - Correspondre à tous les Types de Fichier dans la règle (sinon, la règle est ignorée)

Vous pouvez utiliser le paramètre Nom du Fichier dans une règle pour définir le nom exact du fichier ou utiliser des jokers pour définir des mots-clés. Par exemple, vous pouvez définir le Nom du Fichier comme interne pour correspondre à tous les noms de fichiers qui contiennent le mot interne.

Travailler avec des règles de protection des données ordonnées

Le moteur de Protection des Données API inspecte les données de manière séquentielle et vérifie si elles correspondent à une règle. Si les données ne correspondent pas à une règle, elles ne sont pas inspectées. Les règles situées en haut de la base de règles ont une priorité plus élevée et sont appliquées avant les règles situées en bas de la base de règles. Chaque type d'application ou de connecteur n'est appliqué aux données qu'une seule fois.

Bonne Pratique - Pour maximiser l'efficacité de votre base de règles, nous recommandons que pour chaque type de connecteur, les règles pour des utilisateurs spécifiques aient une priorité plus élevée que les règles qui s'appliquent à Tout utilisateur.

Par exemple, si les données correspondent à un connecteur dans la règle #2, les données sont inspectées par le moteur de Protection des Données API. Le moteur ne continue pas à appliquer les règles #3 et inférieures pour le même connecteur. Cependant, les données pourraient correspondre à une règle de priorité inférieure avec un connecteur différent.

Ajouter la protection contre les menaces au connecteur

Vous pouvez créer des Règles de Protection contre les menaces pour le connecteur afin d'analyser les fichiers et les Pièces jointes pour les Logiciels Malveillants et les virus en utilisant les moteurs Anti-Malware et Moteurs tiers Anti-Malware activés pour votre compte. Le moteur de Protection des Données API analyse le trafic du connecteur et applique les options d'action et de suivi que vous avez configurées pour la règle :

Surveiller le trafic (le blocage sera pris en charge bientôt)
Générer des événements
Envoyer des notifications par e-mail

Lorsque vous créez une règle de Protection de l'API App & Data, les moteurs Anti-Malware activés pour votre compte (Sécurité > Anti-Malware) effectuent des analyses de logiciels malveillants sur les fichiers envoyés pour cette application de connecteur.

La capture d'écran suivante montre une règle de Protection contre les Menaces pour le connecteur OneDrive qui analyse les fichiers envoyés par des utilisateurs internes ou des invités :

Créer une exception pour un fichier

Parfois, il y a un fichier bloqué par les moteurs de Protection des données API de Cato que vous savez être sûr, et vous devez l'autoriser dans le réseau. Les exceptions Anti-Malware dans la politique de hachage de fichier s'appliquent également à la Protection des API Applications & Données. Pour plus d'informations sur l'ajout de fichiers à la politique de hachage de fichier, voir Gestion des exceptions Anti-Malware.

Analyse des événements Data Protection API

La page Accueil > Événements affiche tous les événements de Protection des Données API pour votre compte. Les outils de recherche puissants vous permettent de filtrer et d'identifier les quelques événements qui contiennent les données pertinentes dont vous avez besoin.

Les événements de Protection des Données API peuvent être identifiés par les champs suivants :

Type d'événement - Sécurité
Sous-Type - Protection des données d'API de sécurité SaaS et Anti Malware API de sécurité SaaS

Vous pouvez en savoir plus sur l'utilisation de la page Événements ici.