この記事では、アカウントのSaaSセキュリティAPIポリシーのためのGitHubコネクタの設定方法と、このコネクタを使用して脅威保護とデータ保護ポリシーで使用されるルールを作成する方法を説明します。
SaaSセキュリティAPIポリシーには、個別のCatoライセンスが必要です。 詳細については、Catoの担当者または公式リセラーにお問い合わせください。
GitHub SaaSセキュリティAPIコネクタは、ユーザーがリポジトリにプッシュしたコミット内のコンテンツを監視し、DLPコンテンツプロファイルで定義された機密データをスキャンします。 コネクタがコミット内の機密データを特定すると、詳細を含むイベントが生成されます。 例えば、APIトークン、SSHキー、データベース資格情報などのためにコミットをスキャンすることができます。
コミットのコンテンツを監視するには、GitHub組織のためのコネクタを作成し、脅威保護ポリシーとデータ保護ポリシーにスキャンおよび監視されるユーザーとリポジトリを定義するルールを設定してください。
このセクションでは、GitHubのためのAPIコネクタを作成して、コミットを機密データおよび脅威のためにスキャンする方法を説明します。
Cato管理アプリケーションを使用してGitHubコネクタを作成し、次にGitHubアカウントにサインインします。 コネクタをインストールする組織を選択し、その後コネクタがアクセスできるリポジトリを選択します。 組織のすべてのリポジトリ、または特定のもののみを選択できます。
各GitHub組織ごとに単一のコネクタを作成できます。 複数の組織の場合、各組織のために別々のコネクタが必要です。
GitHubコネクタは、Cato SaaSセキュリティAPIエンジンがデータ保護ポリシーで定義したコンテンツをスキャンすることを許可します。
注意
注意:
-
組織のために複数のコネクタをインストールすることはできません。 同じ組織のために2番目のコネクタをインストールしようとする試みは機能に影響を与える可能性があり、組織はもはや監視されないかもしれません。
-
GitHub管理コンソール内で既存のコネクタの設定を変更すると、機能に影響を与え、組織がもはや監視されない可能性があります。
GitHubのためのコネクタを作成するには:
-
ナビゲーションメニューから、リソース > 統合 を選択し、SaaSセキュリティAPIデータ保護 をクリックします。
-
新規をクリックします。 新規コネクタ パネルが開きます。
-
SaaS アプリケーション で、GitHub を選択します。
-
コネクタ名 を入力します。
-
認証して保存をクリックします。 GitHubにリダイレクトされます。
-
GitHubでアプリをインストールします:
-
GitHubで管理者としてサインインします。 すでにGitHubにサインインしている場合は、管理者としてサインインしていることを確認します。
-
コネクタの組織を選択します。
-
必要に応じて、組織にサインインします。
-
コネクタがアクセスする権限のあるリポジトリを選択し、インストールをクリックします。 組織内のすべてのリポジトリまたは特定のものを選択できます。
-
画面には、テナントの権限が正常に適用されていることが表示されます。
-
GitHubコネクタが作成され、インストール済みのSaaSアプリケーションページに追加されます。
-
インストール済みSaaSアプリケーションページのステータス列には、GitHubアカウントとCatoアカウント間の接続ステータスが表示されます。 ステータスの説明は以下の通りです:
-
接続済み - アカウントに接続され、正常に動作しています
-
接続エラー - GitHubコネクタとの接続性または権限の問題があります。 サポートにチケットを開いてください。
-
ユーザ承諾の保留 - コネクト設定ページでGitHubコネクタが作成されましたが、まだGitHubへの認証が成功していません。 認証処理には数秒かかることがありますので、このステータスが表示された場合は、ブラウザをリフレッシュしてください。
このセクションでは、データ保護ポリシーを使用してGitHubコミットを監視する方法を説明します。 ユーザーがリポジトリにコミットをプッシュすると、データ保護エンジンがコミット内の新しいコンテンツをスキャンして、コンテントプロファイルで定義された機密データを検出します。 リポジトリに以前プッシュされたコンテンツはスキャンされず、コミットの新しい異なるコンテンツのみがスキャンされます。
このセクションでは、GitHubコミットをスキャンするデータ保護ルールの設定を定義する方法を説明します。 各ルールは次の設定で定義できます:
-
ユーザー - 監視するGitHubユーザーを定義します。 すべてを選択するか、1人以上の特定のユーザーを定義します。
-
オブジェクト - スキャンするGitHubリポジトリを定義します。 すべてを選択するか、一つ以上の特定のリポジトリを定義します。
-
スキャン可能なリポジトリには、コネクタがアクセス権を持つリポジトリが含まれます。これらはコネクタ作成時に定義されます。 上記のGitHubコネクタの作成を参照してください。
-
-
ファイル属性 - ファイル名およびファイルタイプに基づいてスキャンからファイルを除外します。 定義された属性に一致するファイルは、機密コンテンツのスキャン対象にはなりません。
-
コンテンツプロファイル - データ漏洩防止コンテンツ検査を定義するコンテンツプロファイル
セキュリティ > DLPプロファイル > DLPプロファイル > コンテンツプロファイルでコンテンツプロファイルを作成または編集できます
-
アクション - ルールが一致したときにイベントを生成するか通知を送信するかを選択します
データ保護ページを使用して、データ保護ポリシーにSaaSアプリケーションルールを追加します。
GitHubアプリ用の新規データ保護ルールを作成するには:
-
ナビゲーションペインから、セキュリティ > SaaSセキュリティAPIポリシーを選択し、データ保護を選択または展開します。
-
ルールの名前を入力します。 新規ルール パネルが表示されます。
-
アプリケーションコネクタで、GitHub アプリを選択します。
-
一般セクションで、ルールの設定を入力します。
-
ユーザーで、監視する GitHub ユーザーを定義します:
-
すべて - 組織内のすべての GitHub ユーザーを監視します(デフォルト値)
-
GitHubユーザー - 監視する特定の組織ユーザーを選択します
-
-
オブジェクトで、スキャンされる GitHub リポジトリを定義します。 デフォルト値は全てです。
-
ファイル属性で、スキャンされるファイルを指定するための条件を定義します(デフォルトの設定ではすべてのファイルをスキャンします)。
-
コンテンツプロファイルで、このルール用の DLP コンテンツプロファイルを選択します。
DLP コンテンツプロファイルについて詳しくは、DLP コンテンツプロファイルの作成をご覧ください。
-
アクションで、モニタを選択します。
-
(オプション) 追跡オプションを 生成する イベントして通知を送信します。
通知についての詳細は、アラートのセクションで、サブスクリプショングループ、メーリングリスト、アラート統合に関する関連する記事を参照してください。
-
保存をクリックしてください。 ルールがデータ保護ポリシーに追加されました。
SaaS セキュリティ API エンジンは、データを順に検査し、それがルールと一致するかどうかを確認します。 データがルールと一致しない場合、検査は行われません。 ルールベースの上にあるルールは優先順位が高く、ルールベースの下にあるルールよりも先に適用されます。 各アプリケーションまたはコネクタの種類は、データに一度だけ適用されます。
ベストプラクティス - ルールベースの効率を最大化するために、特定のユーザーに対するルールがすべてユーザーに適用されるルールよりも高い優先度を持つことを各コネクタタイプごとに推奨します。
例えば、データがルール#2でコネクタに一致する場合、データはSaaSセキュリティAPIエンジンによって検査されます。 エンジンは同じコネクタに対してルール#3以降を適用し続けません。 しかし、データは異なるコネクタを持つ低い優先順位のルールに一致する可能性があります。
アカウントのために有効化されたアンチマルウェアと次世代アンチマルウェアエンジンを使用して、マルウェアとウイルスのためにファイルや添付ファイルをスキャンするための脅威保護ルールをコネクタに対して作成できます。 SaaSセキュリティAPIエンジンはコネクタトラフィックをスキャンし、あなたがルールのために設定したアクションとトラッキングオプションを適用します:
-
トラフィックの監視(ブロックは間もなくサポートされます)
-
イベントを生成
-
電子メール通知を送信
SaaSセキュリティAPIの脅威保護ルールを作成すると、アカウントに有効化されたアンチマルウェアエンジン(セキュリティ > アンチマルウェア)がそのコネクタアプリケーションに送信されたファイルに対してマルウェアスキャンを実行します。
次のスクリーンショットは、内部ユーザーまたはゲストが送信したファイルをスキャンするOneDriveコネクタの脅威保護ルールを示しています:
CatoのSaaSセキュリティAPIエンジンによってブロックされた、あなたが安全だと知っているファイルが時々存在し、ネットワークでそれを許可する必要があります。 イベントページでは、ファイルハッシュを使用して脅威保護スキャンをバイパスする例外を作成することができます。 ブロックされた特定のファイルのイベントを開いた後、ファイルハッシュをクリックして例外の構成パネルを開き、ファイルをアカウントの例外として追加します。 ファイル例外の適用期間を選択したり、例外を永続化するように設定することができます。
アンチマルウェアおよびSaaSセキュリティAPIのファイル例外
マルウェア対策とSaaS セキュリティ API 脅威保護ポリシーには、ファイル例外が適用されます。 マルウェア対策と次世代アンチマルウェアイベントから例外を作成すると、これらの例外はSaaS セキュリティ API 脅威保護ポリシーにも適用されます。 同様に、SaaS セキュリティ API マルウェア対策イベントからファイル例外を作成すると、その例外はマルウェア対策ポリシーにも適用されます。 完全なファイル例外リストは、アンチマルウェアページとSaaS セキュリティ API 脅威保護ページの両方に表示されます。
ファイルの例外を作成するには:
-
ナビゲーションメニューから、ホーム > イベント を選択します。
-
SaaSセキュリティAPIマルウェア対策のサブタイプを使用してイベントをフィルタします。
-
時間列から、イベントを展開します。
-
イベントで、ファイルハッシュリンクをクリックします。
例外の構成パネルが開きます。
-
期間ドロップダウンメニューから、ファイルがマルウェア対策エンジンと次世代アンチマルウェアエンジンから除外される期間を選択します。
永続的な例外を作成するには、永遠を選択します。
-
保存をクリックします。
例外が作成され、脅威保護タブのファイル例外セクションおよびアンチマルウェアページに追加されます。
ホーム > イベント ページは、アカウントのすべてのSaaSセキュリティAPIイベントを表示します。 強力な検索ツールを使用して、必要な関連データを含むいくつかのイベントを絞り込んで特定することができます。
SaaSセキュリティAPIイベントは、次のフィールドによって識別できます:
-
イベントタイプ - セキュリティ
-
サブタイプ - SaaSセキュリティAPIデータ保護とSaaSセキュリティAPIアンチマルウェア
イベント画面の使用についてはサイナー証明書の拇印コードを 40 文字で入力してください。チーム識別子を入力してください。で詳細をご確認ください。 イベントをフィルタリングするために、SaaSセキュリティAPIデータ保護 プリセットを使用できます。
こちらは、SaaSセキュリティAPI GitHubコネクタイベントのサンプルです:
|
フィールド名 |
説明 |
|---|---|
|
アプリケーションアクティビティ |
プッシュ |
|
コネクタ名 |
ルールに定義されたコネクタの名前 |
|
コネクタの種類 |
このコネクタに対して定義されたSaaSアプリケーション |
|
DLPプロファイル |
このイベントを生成したDLPコンテンツプロファイル |
|
フローのフルパスURL |
コミットの差分比較へのリンク |
|
一致したデータタイプ |
ルールに一致したコンテンツプロファイルのデータタイプ |
|
ルール |
データ保護ポリシーのルール名 |
|
オブジェクト名 |
コミットがプッシュされたリポジトリの名前 |
|
オブジェクト種類 |
スキャンされたオブジェクトの種類 |
|
所有者 |
コミットをプッシュしたユーザーのメールアドレス |
|
重要度 |
ルールに定義された重要度 |
0件のコメント
サインインしてコメントを残してください。