SaaSセキュリティAPIとは何ですか?

この記事では、承認済みクラウドアプリダッシュボードへのトラフィックの監視と制御に用いるCatoのバンド外SaaSセキュリティAPIサービスの概要と背景について説明します。

注意

注意: SaaSセキュリティAPIポリシーの使用に関する詳細情報は、SaaSecAPI@catonetworks.com または公式Catoリセラーにお問い合わせください。

Cato社のSaaSセキュリティAPIの概要

SaaSセキュリティAPIは、承認済みのクラウドアプリダッシュボードに対してバンド外の可視性と制御を提供します。 その他のセキュリティ機能(CASBなど)はCato Cloudを経由するトラフィックのみを制御および監視できます。 SaaSセキュリティAPIは、リモートユーザーが直接クラウドアプリダッシュボードに接続する際のトラフィックを監視し、対応する機能を提供します。 これには、SDPクライアントを使用してトラフィックをCato Cloud経由で送信していない場合も含まれます。

SaaSセキュリティAPIは、TLSインスペクションを使用せずに接続の内容を検査します。 これは、TLSインスペクションが有効化されていないアカウントに特に有利です。 ただし、TLSインスペクションを使用しているアカウントでも、一部のクラウドアプリダッシュボードは、証明書ピニングに関する問題のため、検査できません。 SaaSセキュリティAPIは、カトのインラインCASBおよびDLPソリューションを補完し、最良のセキュリティカバレッジを提供します。

アカウントにおけるSaaSセキュリティAPIの実装

これは、SaaSセキュリティAPIを実装する手順の上位レベルの概要です。

  1. 関連するクラウドアプリダッシュボードのためのコネクタを作成します。

    Microsoftアプリケーションのためには、Microsoft 365親コネクタを作成し、その後各アプリケーションのために子コネクタを作成する必要があります。

  2. SaaSセキュリティAPIがスキャンしている機密データを定義するために、データ漏洩防止コンテンツプロファイルを作成します(または確認) (データ漏洩防止コンテンツプロファイルの作成)。

  3. データ保護ポリシーのルールを作成します。

サポートされているSaaSセキュリティAPIコネクタ

これらは、現在SaaSセキュリティAPIでサポートされているSaaSアプリケーションコネクタです。 Catoは、これらのアプリケーションを継続的に改善し、さらなるサポートを追加しています。

SaaSセキュリティAPIの既知の制限事項

これらは、データ保護ポリシーで使用される任意のコネクタに適用される制限です。 特定のSaaSアプリに関連する制限については、以下の特定のコネクタの既知の制限事項を参照してください。

  • SaaSセキュリティAPIコネクタを編集できません。

    回避策 - コネクタを削除して、必要な設定で新しいコネクタを作成してください。

  • It may take up to 15 minutes for file changes to be detected.

  • アンチマルウェアスキャンでは、ファイルハッシュによる許可リストの作成はサポートされていません。

  • フォルダやディレクトリへの権限の変更はスキャンされません。

  • グループに対するアクション(例えば、グループとのファイル共有)はスキャンされません。

  • DLPおよびアンチマルウェアスキャンでサポートされる最大ファイルサイズは20MBです。

  • DLPおよびアンチマルウェアスキャンの場合、SaaSセキュリティAPIはCato DLPおよびアンチマルウェアエンジンによってサポートされるファイルタイプのみをサポートします。

  • SaaSセキュリティAPIルールが作成、削除、または編集された場合、ルール内容に関する詳細を表示しないまま、変更が監査証跡でトラッキングされます

特定のコネクタの既知の制限事項

これらは、特定のSaaSセキュリティAPIコネクタの制限です。

  • Azure

    • コネクタが作成された後に追加された新規ユーザーはスキャンされません。

      回避策 - コネクタの新規ルールを作成するか、SaaSセキュリティAPIポリシーを無効にして再度有効にしてください。

  • Box

    • コネクタが作成された後に追加された新規ユーザーはスキャンされません。

      回避策 - コネクタの新規ルールを作成するか、SaaSセキュリティAPIポリシーを無効にして再度有効にしてください。

    • New files added to the root folder can take up to 24 hours before they are scanned and before rule actions are applied to them. サブフォルダ内のファイルは、アップロード後すぐにスキャンされます。

    • Only 1 connector per tenant is supported. (MicrosoftとGoogleのコネクタは、テナントごとに複数のコネクタをサポートしています)

  • Exchange

    • 電子メールアクティビティをスキャンするルールでは、イベントに添付ファイルを含むこともできます(ファイルがポリシーと一致しない場合でも)。

  • Google Drive

    • Google Driveコネクタは商用アカウントのみサポートされています。

  • OneDrive

    • 同じリソースにSharePointとOneDriveのコネクタがある場合、各コネクタは同じアクションのために別々のイベントを作成します。

    • One Drive can take up to 5 minutes to indicate a change in a file, which can cause delays in event generation.

  • SharePoint

    • Documents ディレクトリのみがスキャンされます。

    • 同じリソースにSharePointとOneDriveのコネクタがある場合、各コネクタは同じアクションのために別々のイベントを作成します。

  • Slack

    • Only 1 connector per tenant is supported. (MicrosoftとGoogleのコネクタは、テナントごとに複数のコネクタをサポートしています)

    • パブリックおよび共有チャンネルのみがサポートされています。

この記事は役に立ちましたか?

2人中2人がこの記事が役に立ったと言っています

0件のコメント