DropboxのSaaSセキュリティAPIコネクタの設定

この記事では、アカウントのSaaSセキュリティAPIポリシーにおけるDropboxコネクタの設定方法と、データ保護ポリシーでこのコネクタを使用するルールの作成方法について説明します。

SaaSセキュリティAPIポリシーには、別途Catoのライセンスが必要です。 詳細情報は、Catoの担当者または公式リセラーにお問い合わせください。

Dropboxコネクタの概要

組織のDropboxテナント用コネクタを作成します。 次に、データ保護ポリシーでDropboxコネクタを含むルールを定義し、スキャンおよび検査されるファイルを指定します。 各テナントごとに1つのDropboxコネクタを作成できます。

前提条件

  • Dropboxテナントの管理者権限

  • Dropbox Business Plusプランに対応

DropboxのAPIコネクタに必要な権限

CatoのSaaSセキュリティAPIでDropboxアカウント内のファイルとフォルダをスキャンするため、コネクタはDropboxアプリでCatoに次の権限とアクションを提供します:

  • 個別の権限

    • メンバーのDropboxファイルとフォルダーの内容を表示

    • メンバーのDropboxファイル要求とDropbox共有設定および協力者を表示

    • メンバーのDropboxアカウントに関する基本情報、ユーザー名、電子メール、国などを表示

  • チーム権限

    • チームのファイルとフォルダーに関する情報を表示

    • チームのファイルとフォルダーの内容、ガバナンスデータ、情報を表示および編集

    • チームのメンバーシップを表示

    • チームのアクティビティログを表示

    • チームとメンバーのフォルダーの構造を表示

    • チームに関する基本的な情報を表示、名前、ユーザー数、チーム設定を含む

既知の制限

  • コネクタは、アカウントユーザーのうち任意のユーザーがDropboxテナントで任意の後続アクティビティを実行した後に共有アクティビティを識別します(元のファイル共有アクション時には識別しません)

Dropboxコネクタを使用する

このセクションでは、DropboxのAPIコネクタを作成し、組織のDropboxテナントをCatoアカウントに接続する方法について説明します。

Dropboxコネクタの作成

Cato管理アプリケーションを使用してDropboxコネクタを作成し、Dropboxでの設定を構成する必要はありません。 Dropboxコネクタは、Cato SaaS APIエンジンが脅威保護およびデータ保護ポリシーで定義されたコンテンツをスキャンするファイルを可能にします。

EAの場合 - 現在、監視アクションがサポートされており、参照のみの権限が必要です。 ただし、今後追加のアクションを適用する際にコネクタを変更する必要がないよう、Dropboxコネクタを読み取り/書き込み権限で構成することをお勧めします。 隔離)。

Dropboxのコネクタを作成するには:

  1. ナビゲーションメニューからリソース > 統合を選択し、SaaS APIs データ保護をクリックします。

  2. 新規をクリック。 新しいコネクタパネルが開きます。

  3. 新しいDropboxアプリケーションを作成します。

  4. コネクタ名を入力します。

  5. Cato管理アプリケーションで、認証して保存をクリックします。

    新しいブラウザタブでDropboxの権限画面が開きます。

  6. CatoアカウントがDropboxテナントにアクセスする許可を与えます。

    1. CatoがDropboxテナントにアクセスしたいことを確認するために続行をクリックします。

      01_Dropbox_permissions.png

    2. 許可をクリックして、CatoがDropboxテナントにアクセスできるようにします。

      02_Dropbox_permissions.png

    3. 画面には、テナントの権限を正常に適用したことが表示されます。

      Success_Connector_Permissions.png

      ブラウザタブを閉じて、Cato管理アプリケーションに戻ることができます。 Dropboxがリクエストを処理するのに数秒かかることがありますので、エラーを受け取った場合はブラウザを更新してください。

      Dropboxがリクエストを処理している間、コネクタのステータスはユーザ承諾の保留です(下のコネクタステータスの理解をご覧ください)。

  7. Dropbox SaaSコネクタがSaaS APIs データ保護ページに追加されます。

    Dropbox_connectors.png

コネクタステータスの理解

コネクタ設定画面のステータス列には、DropboxアプリとCatoアカウント間の接続の状態が表示されます。 これらはステータスの説明です:

  • 接続済み - アカウントはアプリに接続され、正常に動作しています

  • 接続警告 - Dropboxテナント内の一部ユーザーがCatoのSaaS セキュリティ APIをサポートするよう正しく構成されていません。 サポートにチケットを開いてください。

  • 接続エラー - Dropboxコネクタの接続性や権限の問題です。 サポートにチケットを開いてください。

    Dropboxは、テナントごとに1つのコネクタのみの作成をサポートします。

  • ユーザ承諾の保留 - Dropboxコネクタは接続設定画面で作成されますが、CatoがあなたのDropboxアカウントに接続を許可するプロセスはまだ完了していません。

データ保護ポリシーにDropboxルールを追加

このセクションでは、データ保護ポリシーを使用して、ユーザーがDropboxでアップロードおよびダウンロードするファイルやフォルダを監視および管理する方法を説明します。

Dropboxのアクションの理解

データ保護ルールを作成すると、ルールが一致した場合にポリシー違反を監視または修正するための異なるアクションを定義できます。 各アクションは自動的にイベントを生成し、電子メール通知を受け取ることも選択できます。 SaaS セキュリティ API イベントの詳細については、以下のSaaS セキュリティ API イベントの分析を参照してください。

これらは、ルールが一致したときにデータ保護エンジンが実行するよう設定できるアクションです:

  • 監視 - ルールに一致するトラフィックを監視するためのイベントを生成します。

Dropboxのルール設定

データ保護ページを使用して、データ保護ポリシーにSaaSアプリケーションのルールを追加します。

SaaS セキュリティ API によってスキャンされるトラフィックを定義するためにデータ保護ルールを作成します。 各SaaSアプリケーションコネクタに対して個別のルールを作成し、どのトラフィックがスキャンされるかを決定する基準を定義します。

Dropboxルール設定の詳細については、以下のDropboxルールの理解を参照してください。

Dropbox_rules.png

Dropboxアプリの新しいデータ保護ルールを作成するには:

  1. ナビゲーションペインからセキュリティ > SaaS セキュリティ API ポリシーを選択し、データ保護を選択または展開します。

  2. 新規をクリックしてください。 新規ルールパネルが表示されます。

  3. アプリケーションコネクタで、Dropboxアプリケーションを選択します。

  4. 一般セクションで、ルールの設定を入力します。

  5. 所有者で、監視している1人以上のDropboxユーザーを選択します(デフォルト値はすべてです)。

    複数のユーザーを選択すると、彼らの間にはまたは関係があります。

  6. 共有オプションで、スキャンされるファイルとフォルダの権限レベルを選択します(デフォルト値はすべてです)。

    複数のオプションを選択すると、それらの間にはまたは関係があります。

  7. ファイル属性で、スキャンされるファイルを指定する基準を定義します(デフォルト設定ではすべてのファイルをスキャンします)。

  8. コンテンツプロファイルで、このルールのためのDLPコンテンツプロファイルを選択します。

    DLPコンテンツプロファイルの詳細については、Creating DLP Content Profilesを参照してください。

  9. アクションを選択します。

  10. (オプション)メール通知を生成するためのルールの追跡オプションを定義します。

    イベントとメール通知の詳細については、Account Level Alerts and System Notificationsを参照してください。

  11. 保存をクリックしてください。 ルールがデータ保護ポリシーに追加されます。

Dropboxルールの理解

このセクションでは、正しいDropboxトラフィックをスキャンするためのデータ保護ルールの設定方法を説明します。 各ルールは次の基準に従って定義できます:

  • 所有者 - あなたのワークスペース内のDropboxユーザー(デフォルト値はすべて)

    • 内部 - 所有者は会社内の任意のユーザー

    • Dropboxユーザー - 所有者は特定のユーザーです

  • 共有オプション - このルールに一致するファイルとフォルダ共有の権限タイプを選択してください(デフォルト値は Any です)

    • プライベート - ユーザーのみがアクセスできる

    • リンクを持つ全員 - リンクを持つすべての人が公開にアクセス可能(Dropboxにサインインする必要はありません)

    • 会社の人々 - リンクを持つ貴社のすべてのユーザー

    • 招待された会社の人々のみ - ファイル共有に招待された貴社のすべてのユーザー

    • 招待された外部の人々のみ - ファイル共有に招待された外部ユーザー

  • ファイル属性 - スキャンされる添付ファイルの基準(デフォルト値はすべての添付ファイル)

    • ファイルタイプ

    • ファイル名

    • ファイルサイズ(最大ファイルサイズは20 MBです)

  • コンテンツプロファイル - データ漏洩防止コンテンツプロファイルでDLPコンテンツの検査を定義します

    ナビゲーションメニューから、セキュリティ > DLPプロファイル > DLPプロファイル > コンテンツプロファイルに進んでコンテンツプロファイルを作成または編集することができます

  • アクション - ルールに一致した場合にイベントまたはメール通知を生成するかどうかを選択してください

ルールのためのファイルまたは添付ファイルの定義

ルールに対して特定のファイル(または添付ファイル)を定義し、SaaS セキュリティ API エンジンを指定されたファイルのみをスキャンするように制限して、DLPコンテンツプロファイルに一致するかどうかを確認できます。

複数のファイルをルールに追加する場合は、ファイル間の関係を選択してください:

  • すべてを満たす(OR) - ルール内のファイルテンプレート名のいずれか一つと一致する

  • すべて満たす(AND) - ルール内のすべてのファイルタイプと一致(そうでない場合、ルールは無視されます)

ルールでファイル名設定を使用して、正確なファイル名を定義するか、ワイルドカードを使用してキーワードを定義できます。 例えば、内部としてファイル名を定義して、内部という単語を含むすべてのファイル名と一致させることができます。

順序付けされたデータ保護ルールの作業

SaaS セキュリティ API エンジンはデータを順次検査し、ルールに一致するかどうかを確認します。 ルールに一致しないデータは検査されません。 ルールベースの上にあるルールは優先順位が高く、ルールベースの下にあるルールよりも先に適用されます。 各アプリケーションまたはコネクタの種類はデータに対して一度だけ適用されます。

ベストプラクティス - ルールベースの効率を最大限に活用するには、各コネクタタイプにおいて、特定のユーザーに適用されるルールをAnyユーザーに適用されるルールよりも高い優先度にすることをお勧めします。

例えば、データがルール#2のコネクタに一致する場合、データはSaaSセキュリティAPIエンジンによって検査されます。 エンジンは同じコネクタに対してルール#3以下を適用し続けません。 しかし、データは異なるコネクタを持つより低い優先順位のルールに一致する可能性があります。

コネクタに脅威保護を追加する

アカウントで有効になっているマルウェア対策および次世代アンチマルウェアエンジンを使用して、コネクタのファイルおよび添付ファイルをマルウェアおよびウイルスのためにスキャンする脅威防御ルールを作成できます。 SaaSセキュリティAPIエンジンはコネクタトラフィックをスキャンし、ルールのために設定したアクションおよびトラックオプションを適用します。

ルールに一致した場合に脅威保護エンジンが実行するよう設定できるアクションは以下の通りです:

  • モニター - ルールに合致するトラフィックを監視するためのイベントを生成します。

各アクションは自動的にイベントを生成し、電子メール通知を受け取ることも選択できます。 SaaSセキュリティAPIイベントの詳細については、以下のSaaSセキュリティAPIイベントの分析をご覧ください。

SaaSセキュリティAPI脅威防御ルールを作成すると、アカウントで有効になっているマルウェア対策エンジン(セキュリティ > マルウェア対策)は、そのコネクタアプリケーションに送信されるファイルに対してマルウェアスキャンを実行します。

以下のスクリーンショットは、内部ユーザーまたはゲストが送信したファイルをスキャンするOneDriveコネクタに対する脅威防御ルールを示しています:

CAS_Threat_Protection.png

ファイルの例外を作成する

CatoのSaaSセキュリティAPIエンジンによってブロックされたファイルがある場合、そのファイルが安全であると知っているなら、ネットワークで許可する必要があります。 イベントページを利用してファイルハッシュを使用し、脅威防御スキャンをバイパスする例外を作成できます。 特定のブロックされたファイルのイベントを開いた後、ファイルハッシュをクリックして例外の構成パネルを開き、アカウントの例外としてファイルを追加します。 ファイルの例外の期間を選択するか、例外を永続的に設定することができます。

マルウェア対策およびSaaSセキュリティAPI用のファイル例外

ファイルの例外は、アンチマルウェアおよびSaaSセキュリティAPI脅威保護ポリシー全体に適用されます。 アンチマルウェアイベントおよびNGアンチマルウェアイベントから例外を作成すると、これらの例外もSaaSセキュリティAPI脅威保護ポリシーに適用されます。 同様に、SaaSセキュリティAPIアンチマルウェアイベントからファイルの例外を作成すると、その例外はアンチマルウェアポリシーにも適用されます。 完全なファイル例外リストは、アンチマルウェアページとSaaSセキュリティAPI脅威保護ページの両方で表示されます。

ファイルの例外を作成するには:

  1. ナビゲーションメニューから、ホーム > イベントを選択します。

  2. SaaSセキュリティAPIアンチマルウェアサブタイプを使用してイベントをフィルターします。

  3. 時間列からイベントを展開します。

  4. イベントでファイルハッシュリンクをクリックします。

    例外の構成パネルが開きます。

    exception_configuration.png

  5. 期間ドロップダウンメニューから、ファイルがアンチマルウェアおよび次世代アンチマルウェアエンジンから除外される期間を選択します。

    永続的な例外を作成するには、永遠を選択します。

  6. 適用をクリックします。

    例外が作成され、脅威保護タブのファイル例外セクションおよびアンチマルウェアページに追加されます。

    AM_FileExceptions.png

ファイルの例外を削除

脅威保護ポリシーの例外が不要になった場合には削除します。

脅威保護ポリシーのファイル例外を削除するには:

  1. ナビゲーションメニューから、セキュリティ > SaaS セキュリティ API ポリシー をクリックします。

  2. 脅威保護 タブを選択します。

  3. ファイル例外 のセクションで、削除したい例外のDelete.png をクリックします。

  4. 保存をクリックしてください。

    例外が削除されます。

SaaS セキュリティ API イベントの分析

ホーム > イベント ページには、アカウントのすべての SaaS セキュリティ API イベントが表示されます。 強力な検索ツールを使用すると、必要な関連データを含むいくつかのイベントを詳しく調査して特定することができます。

SaaSセキュリティAPIイベントは、次のフィールドで識別できます:

  • イベントタイプ - セキュリティ

  • サブタイプ - SaaS セキュリティ API データ保護 と SaaS セキュリティ API マルウェア対策

イベント画面の使用についての詳細はサイナー証明書の拇印コードを 40 文字で入力してください。チーム識別子を入力してください。。 イベントをフィルタするために、SaaSセキュリティAPIデータ保護 プリセットを使用できます。

SaaS セキュリティ API イベントフィールドの説明

フィールド名前

説明

コネクタ名

ルールに定義されたコネクタの名前

コネクタの種類

このコネクタのために定義された SaaS アプリ

DLPプロファイル

このイベントを生成した DLP コンテンツプロファイル

ファイル名

添付ファイルの名前

ファイルサイズ

添付ファイルのサイズ

ファイルタイプ

添付ファイルのファイルタイプ

一致したデータタイプ

ルールと一致したコンテンツプロファイルのデータタイプ

協力者

ファイルを受け取ったユーザーのメールアドレス

ルール

データ保護ポリシーのルール名

所有者

ファイル所有者

セベリティ

ルールのために定義済みの重大度

共有スコープ

Dropbox 添付ファイルの共有オプション

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント