Dropbox: データ保護APIコネクタの設定

この記事では、アカウントのアプリケーション&データ保護APIポリシーのためにDropboxコネクタを設定する方法と、このコネクタをデータ保護ポリシーで使用するルールを作成する方法を説明します。

アプリケーション&データ保護APIポリシーには別のCatoライセンスが必要です。 詳細については、Catoの担当者または公式リセラーにご連絡ください。

Dropbox コネクタの概要

組織のためのDropboxテナントのコネクタを作成します。 次に、データ保護ポリシーで Dropbox コネクタを含むルールを定義し、スキャンおよび検査されるファイルを定義します。 各テナントごとに1つのDropboxコネクタを作成できます。

前提条件

  • Dropboxテナントへのチーム管理者権限

  • Dropbox Business Plusプランでサポートされています

Dropbox 用 API コネクタの必要な権限

Dropboxアカウント内のファイルおよびフォルダをスキャンするためにデータ保護APIを有効にするには、コネクタはCatoに以下の権限とアクションをDropboxアプリから付与します:

  • 個々の権限

    • メンバーのDropboxファイルおよびフォルダの内容を表示

    • メンバーのDropboxファイル要求とDropbox共有設定および共同作業者の表示

    • メンバーのDropboxアカウントに関する基本情報を表示。例えば、ユーザー名、電子メール、国など

  • チーム権限

    • チームのファイルおよびフォルダに関する情報を表示

    • チームのファイルおよびフォルダの内容、ガバナンスデータ、および情報の表示と編集

    • チームメンバーシップの表示

    • チームのアクティビティログの表示

    • チーム及びメンバーのフォルダ構造の表示

    • チームに関する基本情報の表示、名前、ユーザー数、チーム設定を含む

既知の制限事項

  • コネクタは共有アクティビティを判別しますが、いずれかの後続アクティビティがアカウントユーザーのいずれかによってDropboxテナントで実行された後(元のファイル共有アクションではなく)

Dropbox コネクタの使用

このセクションでは、DropboxのAPIコネクタを作成し、組織のDropboxテナントをCatoアカウントに接続する方法を説明します。

Dropbox コネクタの作成

Dropbox内で設定を構成する必要はないので、Cato管理画面を使用してDropboxコネクタを作成します。 Dropboxコネクタは、定義したコンテンツを脅威保護ポリシーおよびデータ保護ポリシーでチェックするために、Cato SaaS APIエンジンがファイルをスキャンできるようにします。

EA用 - 現在はモニターアクションがサポートされており、これは参照権限のみを必要とします。 しかし、Dropboxコネクタを参照と編集権限で設定することをお勧めします。将来追加のアクションを適用する際にコネクタに変更を加える必要がなくなります(例として。 隔離)。

Dropboxのコネクタを作成するには次の手順を実行します:

  1. ナビゲーション メニューから リソース > 統合 を選択し、統合アプリケーション タブをクリックします。

  2. 新規をクリックします。 新規コネクタパネルが開きます。

  3. SaaSアプリケーションドロップダウンで、Dropboxを選択します。

  4. 機能セクションで、データ脅威保護を選択します。

  5. コネクタ名を入力します。

  6. Cato管理アプリケーションで、認証して保存をクリックします。

    新しいブラウザタブでDropboxの許可画面が開きます。

  7. CatoアカウントがDropboxテナントにアクセスする権限を付与します。

    1. DropboxテナントにCatoを接続したいことを確認するために続行をクリックします。

      01_Dropbox_permissions.png

    2. 許可をクリックしてCatoにDropboxテナントへのアクセスを許可します。

      02_Dropbox_permissions.png

    3. 画面には、テナントに適用した権限が成功したことが表示されます。

      Success_Connector_Permissions.png

      ブラウザタブを閉じてCato管理アプリケーションに戻ることができます。 Dropboxがリクエストを処理するのに数秒かかる場合があるので、エラーを受け取った場合はブラウザを更新してください。

      Dropboxがリクエストを処理している間、コネクタのステータスはユーザ承諾の保留です(下記のコネクタステータスの理解を参照してください)。

  8. Dropbox SaaS コネクタが 統合アプリケーション タブに追加されます。

コネクタのステータスの理解

コネクタ設定画面のステータス列では、DropboxアプリとCatoアカウントの接続状態が表示されます。 これらは各ステータスの説明です:

  • 接続済み - アカウントがアプリに接続され、正しく動作しています

  • 接続警告 - Dropboxテナント内の一部のユーザーがデータ保護APIをサポートするために正しく設定されていません。 サポートと共にチケットを開いてください。

  • 接続エラー - Dropboxコネクタの接続または権限の問題です。 サポートにチケットを発行してください。

    Dropboxはテナント当たり1つのコネクタの作成のみをサポートします。

  • ユーザ承諾の保留 - コネクタ設定画面でDropboxコネクタが作成されましたが、CatoをあなたのDropboxアカウントに接続するプロセスを完了していません。

データ保護ポリシーへのDropboxルールの追加

このセクションでは、Dropboxを使用してユーザーがアップロードおよびダウンロードするファイルやフォルダを監視および管理するためのデータ保護ポリシーの使用方法を説明します。

Dropbox アクションの理解

データ保護ルールを作成する際に、ルールが一致したときにポリシー違反を監視または修正するためのさまざまなアクションを定義できます。 各アクションは自動的にイベントを生成し、メール通知を受け取ることも選択できます。 データ保護 API イベントの詳細については、以下のデータ保護 API イベントの分析をご覧ください。

これらは、ルールが一致したときにデータ保護エンジンに実行させるために設定できるアクションです:

  • モニタ - ルールに一致するトラフィックを監視するためのイベントを生成します。

Dropbox ルールの設定

データ保護ページを使用して、SaaSアプリケーションのルールをデータ保護ポリシーに追加します。

データ保護APIによってスキャンされるトラフィックを定義するデータ保護ルールを作成します。 各SaaSアプリコネクタに対して個別のルールを作成し、どのトラフィックがスキャンされるかを決定する基準を定義します。

Dropbox ルール設定の詳細については、以下のDropbox ルールの理解をご覧ください。

Dropbox_rules.png

Dropboxアプリ用の新しいデータ保護ルールを作成するには:

  1. ナビゲーションペインから、セキュリティ > アプリケーション & データAPI保護を選択し、データ保護を選択または展開します。

  2. 新規をクリックしてください。 新規ルール パネルが表示されます。

  3. アプリケーションコネクタでDropboxアプリを選択します。

  4. 一般セクションで、ルールの設定を入力します。

  5. 所有者で、監視しているDropboxユーザーを選択します(デフォルトは任意)。

    複数のユーザーを選択すると、それらの間にはまたは関係があります。

  6. 共有オプションで、スキャンされるファイルとフォルダーの権限レベルを選択します(デフォルトは任意)。

    複数のオプションを選択すると、それらの間にはまたは関係があります。

  7. ファイル属性で、スキャンされるファイルを指定する基準を定義します(デフォルト設定はすべてのファイルをスキャン)。

  8. コンテンツプロファイルで、このルールのDLPコンテンツプロファイルを選択します。

    DLPコンテンツプロファイルの詳細については、DLPコンテンツプロファイルの作成をご覧ください。

  9. アクションを選択してください。

  10. (オプション)ルールに基づいてメール通知を生成するトラッキングオプションを定義します。

    イベントと電子メール通知の詳細については、アカウントレベルのアラートとシステム通知をご覧ください。

  11. 保存をクリックしてください。 ルールがデータ保護ポリシーに追加されます。

Dropbox ルールの理解

このセクションでは、Dropboxトラフィックを正しくスキャンするためのデータ保護ルールの設定を定義する方法を説明します。 各ルールは以下の基準に従って定義できます:

  • 所有者 - ワークスペース内のDropboxユーザー(デフォルトは任意)

    • 内部 - 所有者が会社内の任意のユーザー

    • Dropboxユーザー - 所有者が特定のユーザー

  • 共有オプション - このルールに一致するファイルおよびフォルダの共有権限のタイプを選択します(デフォルトは任意)

    • プライベート - ユーザーのみがアクセス可能

    • リンクを持つ全員 - ドロップボックスにサインインすることなく、リンクを持つ誰でも公開にアクセス可能

    • 社員 - リンクを持つ会社内の任意のユーザー

    • 招待された会社の人々のみ - ファイルを共有するために招待された会社の任意のユーザー

    • 招待された外部の人々のみ - ファイルを共有するために招待された外部ユーザー

  • ファイル属性 - スキャン対象の添付ファイルの基準(デフォルトはすべての添付ファイル)

    • ファイルタイプ

    • ファイル名

    • ファイルサイズ(最大ファイルサイズは20MB)

  • コンテンツプロファイル - DLPコンテンツプロファイルはDLPコンテンツの検査を定義します

    セキュリティ > DLPプロファイル > DLPプロファイル > コンテンツプロファイルでコンテンツプロファイルを作成または編集できます

  • アクション - ルールが一致したときにイベントやメール通知を生成する場合に選択

ルールのためのファイルや添付ファイルの定義

特定のファイル(または添付ファイル)をルールに定義し、特定のファイルのみにSaaS APIエンジンでスキャンを制限し、それらがDLPコンテンツプロファイルに一致するか確認できます。

ルールに複数のファイルを追加する際に、それらの間の関係を選択します:

  • いずれかを満たす (OR) - ルール内のファイルタイプのいずれか1つにのみ一致する

  • すべて満たす(AND) - ルール内のすべてのファイルタイプと一致させる(それ以外の場合、ルールは無視されます)

ルールにファイル名設定を使用して正確なファイル名を定義するか、ワイルドカードを使用してキーワードを定義できます。 例えば、ファイル名を内部として定義し、内部という単語を含むすべてのファイル名と一致させることができます。

順序付けされたデータ保護ルールの作業

データ保護 APIエンジンはデータを順次検査し、ルールに一致するかどうかを確認します。 データがルールに一致しない場合、それは検査されません。 ルールベースの上にあるルールは優先順位が高く、ルールベースの下のルールよりも先に適用されます。 各種類のアプリケーションまたはコネクタは、データに一度だけ適用されます。

ベストプラクティス - ルールベースの効率を最大化するために、各コネクタタイプについて、特定のユーザーに対するルールはどのようなアクセス権限でも可能なユーザーに適用されるルールよりも高い優先順位を持つことをお勧めします。

例えば、データがルール#2のコネクタに一致すると、データはデータ保護 APIエンジンによって検査されます。 エンジンは同じコネクタに対してルール#3以降を適用し続けません。 しかし、データは異なるコネクタで優先順位が低いルールに一致する可能性があります。

コネクタへの脅威保護の追加

アンチマルウェアおよび次世代アンチマルウェアエンジンを使用して、ファイルや添付をマルウェアやウイルスからスキャンする脅威保護ルールをコネクタに対して作成できます。 データ保護 APIエンジンはコネクタトラフィックをスキャンし、ルールに対して構成したアクションと追跡オプションを適用します。

ルールが一致したときに脅威保護エンジンに実行させるアクションは次の通りです:

  • モニター - ルールに一致するトラフィックを監視できるようにイベントを生成します。

各アクションは自動的にイベントを生成し、メール通知を受け取ることも選択できます。 データ保護 API イベントの詳細については、以下のデータ保護 API イベントの分析をご覧ください。

App & Data API Protectionルールを作成すると、アカウントで有効になっているアンチマルウェアエンジン(Security > Anti-Malware)が、そのコネクタアプリケーションに送信されるファイルでマルウェアスキャンを実行します。

次のスクリーンショットは、内部ユーザーまたはゲストが送信したファイルをスキャンするOneDriveコネクタの脅威保護ルールを示しています:

CAS_Threat_Protection.png

ファイルの例外作成

時々、Catoのデータ保護 APIエンジンによってブロックされたファイルが安全であることが分かっており、ネットワーク内で許可する必要があります。 ファイルハッシュポリシーのマルウェア対策例外はアプリ&データAPI保護にも適用されます。 ファイルをファイルハッシュポリシーに追加する方法について詳しくは、マルウェア対策例外の管理を参照してください。

データ保護API イベントの分析

ホーム > イベントページには、アカウントのすべてのデータ保護APIイベントが表示されます。 強力な検索ツールを使用すると、必要な関連データを含む数少ないイベントを絞り込んで特定できます。

データ保護APIイベントは、次のフィールドによって識別できます:

  • イベントタイプ - セキュリティ

  • サブタイプ - SaaSセキュリティAPIデータ保護とSaaSセキュリティAPIアンチマルウェア

イベントページの使用についての詳細はこちらをご覧ください。

データ保護API イベント項目の説明

項目名

説明

コネクタ名

ルールに定義されたコネクタの名称

コネクタタイプ

このコネクタに定義されたSaaSアプリ

DLPプロファイル

このイベントを生成したDLPコンテンツプロファイル

ファイル名

添付されたファイルの名称

ファイルサイズ

添付されているファイルのサイズ

ファイルタイプ

添付ファイルのファイルタイプ

一致したデータタイプ

ルールに一致したコンテンツプロファイル内のデータタイプ

共同作業者

ファイルを受け取ったユーザーのメールアドレス

ルール

データ保護ポリシーのルール名

所有者

ファイル所有者

セベリティ

ルールに定義されたセベリティ

共有スコープ

Dropbox添付ファイルの共有オプション

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント