GitHub: データ保護APIコネクタの設定

この記事では、アプリ & データ API 保護ポリシーのためにGitHubコネクタを設定し、このコネクタを使用するルールを脅威保護およびデータ保護ポリシーで作成する方法を説明します。

アプリ & データ API 保護ポリシーには別途Catoライセンスが必要です。 詳細はCatoの担当者または公式リセラーにお問い合わせください。

GitHubコネクタではバイナリファイルはサポートされていません。

概要

GitHubのデータ保護APIコネクタは、ユーザーがリポジトリにプッシュするコミットの内容を監視し、DLPコンテンツプロファイルで定義した非公開データをスキャンします。 コネクタがコミット内の機密データを認識した場合、詳細を含むイベントを生成します。 例えば、APIトークン、SSHキー、データベースの資格情報などをコミットでスキャンできます。

コミットの内容を監視するには、GitHub組織にコネクタを作成して、スキャンおよび監視するユーザーやリポジトリを定義する脅威保護およびデータ保護ポリシーでルールを構成します。

前提条件

  • 貴社のGitHubアカウントの管理者権限

GitHubのAPIコネクタに必要な権限

データ保護APIでGitHubコミットをスキャンするには、コネクタがGitHubアカウントにCatoに以下の権限を付与します:

  • コード、メンバー、およびメタデータへの参照アクセス

GitHubコネクタの操作

このセクションでは、GitHubのコミット内の機密データや脅威をスキャンするためのAPIコネクタを作成する方法を説明します。

GitHubコネクタの作成

Cato管理アプリケーションを使用してGitHubコネクタを作成し、GitHubアカウントにサインインします。 コネクタをインストールする組織を選択し、コネクタがアクセス可能なリポジトリを選択します。 組織全体のリポジトリまたは特定のリポジトリを選ぶことができます。

各GitHub組織に対して単一のコネクタを作成できます。 複数の組織の場合、各組織に対して別々のコネクタが必要です。

GitHubコネクタは、データ保護APIエンジンがデータ保護ポリシーで定義した内容をスキャンすることを可能にします。

注記

注意

  • 組織に対して1つ以上のコネクタをインストールすることはできません。 同じ組織に対して2つ目のコネクタをインストールしようとすると、機能に影響を与えることがあり、組織の監視が継続しない可能性があります。

  • GitHub管理コンソールで既存のコネクタの設定を変更すると、機能に影響を及ぼし、組織がもう監視されない可能性があります。

GitHubコネクタを作成するには:

  1. ナビゲーションメニューからリソース > 統合を選択し、統合 APIタブをクリックします。

  2. 新規をクリックします。 新規コネクタパネルが表示されます。

  3. SaaS アプリケーション ドロップダウンで、GitHubを選択します。

  4. 機能セクションで、データかつ脅威保護を選択します。

  5. コネクタ名を入力します。

  6. 認証して保存をクリックします。 GitHubにリダイレクトされます。

  7. GitHubでアプリをインストールします:

    1. GitHubで、管理者としてサインインします。 すでにGitHubにサインインしている場合は、管理者としてサインインしていることを確認してください。

    2. コネクタ用の組織を選択します。

      GitHub_Select_Org.png

    3. 必要に応じて、組織にサインインしてください。

    4. コネクタがアクセスする権限を持っているリポジトリを選択し、インストールをクリックします。 組織内のすべてのリポジトリまたは特定のリポジトリを選択できます。

      GitHub_Select_repos.png

    5. テナントの権限が正常に適用されたことが画面に表示されます。

      Success_Connector_Permissions.png

    6. GitHubコネクタが作成され、統合 APIタブに追加されます。

コネクタステータスの理解

ステータス列は、インストール済みSaaSアプリケーションページにおいて、GitHubアカウントとCatoアカウント間の接続の状態を表示します。 こちらがステータスの説明です:

  • 接続済み - アカウントが接続されて正常に機能しています

  • 接続エラー - GitHubコネクタにおける接続または権限の問題です。 サポートと共にチケットを開いてください。

  • ユーザ承諾の保留 - GitHubコネクタはコネクト設定ページで作成されていますが、まだGitHubへの認証が成功していません。 認証処理には数秒かかることがあるため、このステータスを受け取った場合はブラウザを更新してください。

GitHubルールをデータ保護ポリシーに追加する

このセクションでは、GitHubのコミットを監視するためにデータ保護ポリシーを使用する方法を説明します。 ユーザーがリポジトリにコミットをプッシュする際、データ保護エンジンはコミットに含まれる新規コンテンツをスキャンし、コンテンツプロファイルで定義したデータを検出します。 以前リポジトリにプッシュされた内容はスキャンされず、コミットで異なる新規内容のみがスキャンされます。

GitHubルール設定の理解

このセクションでは、GitHubコミットをスキャンするためのデータ保護ルールの設定を定義する方法を説明します。 各ルールは以下の設定で定義できます:

  • ユーザー - 監視するGitHubユーザーを定義します。 全てを選ぶか、1つ以上の特定のユーザーを定義します。

  • オブジェクト - スキャンするGitHubリポジトリを定義します。 全てを選ぶか、1つ以上の特定のリポジトリを定義します。

    • スキャン可能なリポジトリには、コネクタが作成された際に定義されたアクセス権を持つリポジトリが含まれます。 上記のGitHub コネクタの作成を参照。

  • ファイル属性 - ファイル名ファイルタイプに基づいてファイルをスキャンから除外します。 定義された属性を満たすファイルは、機密性のあるコンテンツのスキャン対象になりません。

  • コンテンツプロファイル - DLPコンテンツプロファイルはDLPコンテンツ検査を定義します

    セキュリティ > DLPプロファイル > DLPプロファイル > コンテンツプロファイルでコンテンツプロファイルを作成または編集できます

  • アクション - ルールが一致したときにイベントを生成するか、通知を送信するかを選択します

GitHubルールの設定

データ保護ポリシーにSaaSアプリケーションルールを追加するにはデータ保護ページを使用します。

Slack_Data_Protection_Rule.png

To create a new Data Protection rule for the GitHub app:

  1. ナビゲーションペインで セキュリティ > App & Data API 保護 を選択し、データ保護 を選択または展開します。

  2. 新規 をクリックします。 新規ルール パネルが開きます。

  3. アプリケーションコネクタでGitHubアプリを選択します。

  4. 一般セクションで、ルールの設定を入力します。

  5. In Users, define the GitHub users that you are monitoring:

    • すべて - 組織内の全てのGitHubユーザーを監視します(デフォルト値)

    • GitHubユーザー - 監視する特定の組織ユーザーを選択します

  6. オブジェクトでスキャンされるGitHubリポジトリを定義します。 デフォルト値は全てです。

  7. ファイル属性でスキャンされるファイルを指定するための基準を定義します(デフォルト設定はすべてのファイルをスキャンすることです)。

  8. コンテンツプロファイルでこのルールのDLPコンテンツプロファイルを選択します。

    DLPコンテンツプロファイルの詳細については、DLPコンテンツプロファイルの作成をご覧ください。

  9. アクション監視を選択します。

  10. (オプション) トラッキングオプションを構成して イベントを生成し、通知を送信します。

    通知に関する詳細情報は、アラートセクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事を参照してください。

  11. 保存をクリックしてください。 このルールはデータ保護ポリシーに追加されます。

順序付きデータ保護ルールの作業

データ保護API エンジンがデータを逐次検査し、ルールに一致するかどうかを確認します。 データがルールに一致しない場合、それは検査されません。 ルールベースの上位にあるルールは優先度が高く、ルールベースの下位にあるルールよりも先に適用されます。 各アプリケーションまたはコネクタのタイプは、データに一度だけ適用されます。

ベストプラクティス - ルールベースの効率を最大化するために、各コネクタタイプに対して特定のユーザーに適用されるルールが任意のユーザーに適用されるルールよりも優先度が高くなることをお勧めします。

For example, if the data matches a connector in rule #2, the data is inspected by the Data Protection API engine. The engine does not continue to apply rules #3 and below for the same connector. しかし、データは異なるコネクタとの優先度の低いルールに一致する可能性があります。

コネクタに脅威保護を追加する

アカウントに有効化されたアンチマルウェアと次世代アンチマルウェアエンジンを使用して、ファイルや添付ファイルを悪意のあるソフトウェアやウイルスをスキャンするためにコネクタの脅威保護ルールを作成できます。 The Data Protection API engine scans the connector traffic and applies the action and tracking options that you configure for the rule:

  • Monitor the traffic (block will be supported soon)

  • Generate events

  • Send email notifications

App & Data API 保護ルールを作成すると、アカウントに有効化されたアンチマルウェアエンジン(セキュリティ > アンチマルウェア)がそのコネクタアプリケーションに送信されるファイルに対してマルウェアスキャンを実行します。

The following screenshot shows a Threat Protection rule for the OneDrive connector that scans files sent by Internal users or Guests:

CAS_Threat_Protection.png

ファイルの例外を作成する

時々、Catoのデータ保護APIエンジンによってブロックされたファイルが安全であることを知っており、ネットワーク内でそれを許可する必要があります。 ファイルハッシュポリシーのマルウェア対策例外は、アプリ&データAPI保護にも適用されます。 ファイルハッシュポリシーにファイルを追加する方法については、マルウェア対策例外を管理をご覧ください。

データ保護APIイベントの分析

ホーム > イベントページは、アカウントのすべてのデータ保護APIイベントを表示します。 強力な検索ツールで詳細を掘り下げ、必要な関連データを含む少数のイベントを特定できます。

データ保護APIイベントは、次の項目で識別できます:

  • イベントタイプ - セキュリティ

  • サブタイプ - SaaSセキュリティAPIデータ保護およびSaaSセキュリティAPIアンチマルウェア

イベントページの使用についての詳細はこちらをご覧ください。

これはSaaSセキュリティAPI GitHubコネクタイベントのサンプルです:

GitHub_Event.png

データ保護APIイベントの項目の説明

項目名

説明

アプリケーション活動

プッシュ

コネクタ名

ルールに定義されたコネクタの名前

コネクタ種類

このコネクタに定義されたSaaSアプリ

DLPプロファイル

このイベントを生成したDLPコンテンツプロファイル

フローのフルパスURL

コミットの差分比較へのリンク

一致したデータの種類

ルールに一致したコンテンツプロファイルのデータの種類

ルール

データ保護ポリシーのルール名

オブジェクト名

コミットがプッシュされたリポジトリの名前

オブジェクト種類

スキャンされたオブジェクトの種類

所有者

コミットをプッシュしたユーザーのメールアドレス

セベリティ

ルールに定義されたセベリティ

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント