Cato DLPポリシーで機密ラベルを追加する

この記事では、Cato DLPポリシーでMicrosoft Information Protection (MIP)フレームワークのMicrosoft機密ラベルを使用する方法を説明します。

Cato DLPでのMIPラベルの使用概要

既存のMicrosoft情報保護ポリシーを活用してCato DLPでデータ制御管理を簡略化できます。 データタイプとしてMIPラベルを使用することで、MIPポリシーと一致したクリアで管理可能なDLPポリシーを設計できます。 これにより、Catoによって処理されるすべてのトラフィックで、Azureエコシステムを越えて情報を機密ラベルで保護できます。

MIPラベルを使用した作業の高レベル概要

これはDLPと組み合わせてMIPラベルを使用するためのワークフローの高レベルの説明です:

  1. Cato管理アプリケーションで 機密ラベルを作成します。

  2. そのラベルをコンテンツプロファイルに追加します。

  3. 様々なユーザーやグループに対するコンテンツアクセスを管理するDLPルールを作成します機密ラベルに基づいて。

例えば、機密ラベルで分類されたファイルがある場合、Cato DLPポリシーにそのラベルを作成し、コンテンツプロファイルの限定文書に追加します。 その後、十分なセキュリティクリアランスを持たないユーザーグループのアクセスをブロックするDLPルールを定義します。

DLPポリシーにMIPラベルを追加する

Cato管理画面でDLPポリシーにMIPラベルを追加する方法は2つあります:

  • Microsoft 365アカウントからラベルを取得するAPIコネクタによる自動インポート

  • 必要なラベルデータを入力して手動で設定

感度ラベル付きファイルのスキャン

DLPエンジンはファイルのメタデータに定義されたラベルをスキャンし、実際のコンテンツではスキャンしないため、誤検知結果を削減するのに役立ちます。 エンジンは、名前ではなく、設定済みラベルIDに従って、機密ラベルを強制します。 手動でラベルを設定する場合は、機密ラベルラベルIDがMIPラベルIDと完全に一致することを確認してください。

組織のアカウントに対応するMIPラベルIDの検索に関する詳細情報は、Microsoftのドキュメントを参照してください。

既知の制限事項

  • 暗号化されたDOCXファイルに対する感度ラベルのDLPスキャンはサポートされていません。

  • ファイルの要件については、What is the Cato DLP Service? を参照してください。

MIPラベルの自動インポート

Cato管理画面でAPIコネクタを設定して既存のMicrosoft機密ラベルを自動で取得し、カスタムDLPデータの種類として使用できます。 コネクタはすべての必要なMIPラベルデータを一度に取得し、これをカスタムデータの種類として簡単に設定できます。 Microsoft 365アカウントの機密ラベルポリシーを変更した場合は、コネクタを使用して最新の機密ラベル設定を取得し、それに合わせてCato DLPデータの種類を更新できます。

Microsoftコネクタの概要

CatoのMIPラベルコネクタを設定して組織の機密ラベルを取得するには、まずMicrosoft 365コネクタを親アプリとして設定してMIPラベルコネクタの読み取り権限を与える必要があります。 親アプリはMicrosoftコネクタの管理権限のみを持っている。 Microsoft 365コネクタを設定した後、MIPラベルコネクタを設定して機密ラベルを取得できます。

組織内の異なるサブ組織のMIPポリシーから機密ラベルをインポートしたい場合は、関連する各Azureテナント用に個別のMicrosoft 365コネクタを作成し、各テナントに対してMIPラベルコネクタを設定します。

前提条件

  • Microsoft 365コネクタはグローバル管理者の役割を持つ管理者がCatoのMIPラベルコネクタに権限を与える必要があります。

MIPラベルコネクタに必要な権限

MIPラベルコネクタがMicrosoft 365アカウントから機密ラベルを取得できるように、コネクタはCatoに以下のMicrosoft 365での権限と動作を与えます:

  • Microsoft APIに接続し、組織のすべての公開された機密ラベルとラベルポリシーを読む

  • サインインしてユーザープロファイルを読む

Microsoftコネクタの設定

親のMicrosoft 365コネクタを設定し、使用したい機密ラベルを持つMicrosoft 365アカウントのMIPラベルコネクタを定義します。

組織がMicrosoftアプリ用にSaaSセキュリティAPIポリシーを設定している場合、関連する親Microsoft 365コネクタがすでに設定され、データタイプおよびプロファイルページに表示される可能性があります。 この場合では、MIPラベルコネクタの設定だけで済みます。

Microsoft 365コネクタの設定

使用したいMIP機密ラベルを持ったAzureテナント用のMicrosoft 365 SaaSアプリケーションコネクタを作成するためにCato管理アプリケーションを使います。 Catoアカウントにコネクタを追加するには、Microsoft 365の認証をするための正しい資格情報が必要です。

MIP_DLP_Connectors_Settings.png

Microsoft 365親コネクタを設定するには:

  1. ナビゲーションメニューから、セキュリティ > データタイプ & プロファイルを選択し、設定タブでDLPコネクターを選択します。

  2. 新規をクリックします。 新しいコネクタパネルが開きます。

  3. SaaSアプリケーションのドロップダウンメニューから、Microsoft 365アプリを選択します。

    MIP_New_Connector_MS365.png

  4. 一意のコネクタ名を入力します。

  5. 認証して保存をクリックします。

    新しいブラウザタブがMicrosoft 365アプリに開きます。

  6. 新しいブラウザタブで、Microsoft 365アプリに認証します:

    1. Microsoft 365アプリのためにMicrosoftアカウントを選択します。

      そうでない場合、Microsoft認証エラーが発生する可能性があります。

    2. アプリのためのパスワードを入力し、承認します。

    3. CatoがMicrosoft 365アプリにアクセスできるように権限を承認します。

      MIP_Labels_Parent_Connector_Permissions.png

    4. 画面は、アプリのために権限を成功裏に適用したことを示しています。

      Success_Connector_Permissions.png

      ブラウザタブを閉じて、Cato管理画面に戻ることができます。

  7. Microsoft 365 SaaSアプリケーションがDLPコネクタ設定画面に追加されます。

    Microsoft Azureがリクエストを処理するのに数秒かかる場合があります。そのため、ステータスユーザ承諾の保留が表示される場合は、ブラウザを更新してください。

MIPラベルコネクタの設定

Cato管理画面を使用して、使用したいMIP機密ラベルを持つAzureテナントのためのMIPラベルSaaSアプリケーションコネクタを作成します。 Catoアカウントにコネクターを追加するには、Microsoft 365の認証をするための正しい資格情報が必要です。

注意事項

備考: Microsoft 365 アプリの API コネクタを作成すると、コネクタは 3 ヶ月間有効な認証証明書を作成し、期限切れの 7 日前に証明書を更新します。

MIP ラベルコネクタを設定するには:

  1. ナビゲーションメニューから、セキュリティ > データタイプ & プロファイルを選択し、設定タブでDLPコネクターを選択します。

  2. 新規をクリックします。 新規コネクタパネルが開きます。

  3. SaaS アプリケーションドロップダウンメニューから、MIP ラベルアプリを選択します。

    MIP_New_Connector_MIP_Con.png

  4. 親コネクタドロップダウンメニューから、使用したいラベルを持つテナントの親 Microsoft 365 コネクタを選択します。

  5. MIP ラベルコネクタ用に一意のコネクタ名を入力してください。

  6. 保存をクリックしてください。

    Microsoft が Azure で Cato コネクタアプリを作成するのに少なくとも 30 秒かかります。

  7. コネクタが正常に作成された後、承認するをクリックします。

    MIP_Labels_SuccessCreate_Authorize.png

    新しいブラウザタブが Microsoft 365 アプリに開きます。

  8. 新しいブラウザタブで Microsoft 365 アプリに認証します:

    1. Microsoft 365アプリ用のMicrosoftアカウントを選択する前に、AzureでCatoコネクタアプリを作成するために少なくとも30秒待ってください。

      そうでない場合、Microsoft認証エラーが発生する可能性があります。

    2. アプリのパスワードを入力して承認します。

    3. Cato が Microsoft 365 アプリにアクセスできるように権限を承認します。

      MIP_Labels_MIP_Connector_Permissions.png

    4. 画面には、アプリの権限が正常に適用されたことが表示されます。

      Success_Connector_Permissions.png

      ブラウザタブを閉じて、Cato 管理アプリケーションに戻ることができます。

  9. MIP ラベル SaaS アプリケーションがDLPコネクタ設定画面に追加されます。

    Microsoft Azureがリクエストを処理するには数秒かかることがあります。そのため、ステータスユーザ承諾の保留と表示された場合、ブラウザを更新してください。

コネクタステータスの理解

DLPコネクタ設定画面のステータス列には、MicrosoftアプリケーションとCatoアカウント間の接続状態が表示されます。 これらはステータスの説明です:

  • 接続済み - アカウントはアプリに接続され、正常に動作しています

  • ユーザ承諾の保留 - CatoがMicrosoft 365アプリケーションにアクセスするための権限が付与されていません。 この問題を解決するには、ブラウザを更新してください。 もしステータス接続済みに変われば、問題は解決されます。変わらない場合は、コネクタを削除し再作成してください。

  • エラー - Microsoftコネクタに接続性、権限、またはその他の問題があります。 コネクタを削除し再作成してください。

MIPラベルをDLPポリシーにインポートする

Microsoft 365アカウントからMIP機密ラベルを取得し、Cato DLPポリシーでデータの種類として使用したいラベルを選択します。

DLP_Sensitivity_Labels.png

DLPポリシーにMIPラベルをインポートするには:

  1. ナビゲーションメニューから、セキュリティ > データタイプ & プロファイルを選択し、データタイプタブを選択します。

  2. 機密ラベルで、新規をクリックします。 機密ラベルを追加するパネルが開きます。

    MIP_Add_Sensitivity_Label_Panel.png

  3. ラベルを取得するオプションを選択します。

  4. コネクタを選択ドロップダウンメニューで、ラベルを取得するMicrosoft 365テナントのMIPラベルコネクタを選択します。

    インポートされたラベル名ドロップダウンメニューには、取得したラベルが表示されます。

  5. インポートされたラベル名ドロップダウンメニューから、インポートするラベルを選択します。 必要なフィールドは、自動的にラベルの詳細で埋められます。

  6. 適用をクリックします。

    ラベルは機密ラベルリストに追加され、カスタムDLPデータタイプとしてコンテンツプロファイルに追加できます。

Cato DLPでのMIPラベルの手動設定

Cato管理アプリケーションでMIPラベルを手動で設定することもできます。 例えば、Cato DLPポリシーでいくつかのMIPラベルのみが必要な場合、この方法は便利です。 データタイプ & プロファイルページのデータタイプタブで機密ラベルを設定します。 新しいラベルを設定するには、名前説明ラベルIDを含むラベルの詳細を入力します。 入力するラベルIDがMIPラベルIDと正確に一致することを確認してください。

DLP_機密ラベル.png

機密ラベルを手動で設定する方法:

  1. ナビゲーションメニューから、セキュリティ > データタイプ & プロファイルを選択し、データタイプタブを選択します。

  2. 機密ラベルのところで、新規をクリックします。 機密ラベルを追加パネルが開きます。

  3. カスタムラベルオプションを選択してください。

  4. ラベルの名前説明を入力します。

  5. MIPラベルIDと同じラベルIDを入力します。

  6. 適用をクリックします。

    ラベルは機密ラベルリストに追加され、カスタムDLPデータタイプとしてコンテンツプロファイルに追加できます。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント