この記事では、あなたのアカウントのために アプリ & データ API 保護 ポリシー用に Box コネクタを設定し、データ保護または脅威保護ポリシーでこのコネクタを使用するルールを作成する方法を説明します。
アプリ & データ API 保護 ポリシーには別途 Cato のライセンスが必要です。 詳細については、Cato の担当者または公式リセラーにお問い合わせください。
組織のために Box テナント用のコネクタを作成します。 その後、Box コネクタを含むデータ保護ポリシー内でルールを定義し、スキャンおよび検査されるファイルを指定します。 各テナントに対して、単一の Box コネクタを作成できます。
データ保護 API が Box アカウント内のファイルおよびフォルダをスキャンできるように、コネクタは、Box アプリを使用して Cato に次の権限とアクションを付与します:
-
Oauth2 を使用してアプリにアクセスを付与する
-
アプリからトークンを受信して、セキュアな接続を確立および維持する
-
アプリ & データ API 保護 ポリシーに従って Box API に接続し、データを取得し、ファイルをスキャン、以下を含めて:
-
監視アクションのために - Box に保存されたすべてのファイルおよびフォルダを読み取ります
-
その他のアクションのために - Box に保存されたすべてのファイルおよびフォルダへの書き込み権限
-
-
Box アカウント内のユーザーデータへのアクセス
-
Cato 管理者は Box ユーザーの代わりに操作を実行できます
-
このセクションでは、Box の API コネクタを作成し、組織の Box テナントを Cato アカウントに接続する方法を説明します。
Box コネクタを作成すると、Cato 管理アプリケーションがそのクライアントのクライアント ID を生成します。 次に、Box アカウントの管理者コンソールにログインし、新しいユーザー認証アプリケーションを作成します。 Cato Box アプリにクライアント ID を入力し、Box アカウントに接続するための Cato に認可します。 最後に、Cato 管理アプリケーションで Box コネクタを保存し、Cato は Box のファイルおよびフォルダーを監視する準備が整いました。
Box のコネクタを作成するには:
-
ナビゲーションメニューからリソース > 統合を選択し、統合アプリケーションタブをクリックします。
-
新規 をクリックします。 新規コネクタ パネルが開きます。
-
SaaSアプリケーション ドロップダウンから、Boxを選択します。
現在、Box アプリに対してサポートされているのは 参照のみ の権限とアクションのみです。 しかし、参照と編集 の権限とアクションは近日中にサポートされます。
-
機能 セクションで、データと脅威保護を選択します。
-
コネクタ名 を入力します。
-
クライアント ID を OS のクリップボードにコピーします。
-
このコネクタ用に Cato Box アプリを作成します:
-
リンクをクリックして、アカウントの Box 管理コンソールを開きます。
Box の画面が新しいブラウザタブで開きます。
-
Box テナントにログインします。
-
Box のナビゲーションメニューから、管理コンソール を選択します。
-
アプリ > プラットフォームアプリマネージャー > ユーザー認証アプリを選びます。
-
プラス記号をクリックします。
-
アプリを追加 ウィンドウで、クライアント ID を貼り付けます(上記のステップ 5 から)。
-
次へ をクリックします。
-
アプリを承認 ウィンドウで、承認する をクリックして、Cato が Box アプリにアクセスできる権限を付与します。
新しいアプリが Box アカウントに追加されます。
-
-
Cato 管理アプリケーションで、認証して保存 をクリックします。
Box の権限画面が新しいブラウザタブで開きます。
-
Cato アカウントが Box アプリにアクセスするための権限を付与します。
-
Box SaaSアプリケーションが統合 APIタブに追加されます。
コネクタ設定画面の ステータス 列には、Box アプリと Cato アカウント間の接続の状態が表示されます。 これらはステータスの説明です:
このセクションでは、データ保護ポリシーを使用して、ユーザーが Box を介してアップロードおよびダウンロードするファイルとフォルダを監視および管理する方法を説明します。
データ保護ルールを作成するときは、ルールが一致したときにポリシー違反を監視または是正するためのさまざまなアクションを定義できます。 各アクションは自動的にイベントを生成し、メール通知を受け取ることもできます。 データ保護APIイベントの詳細は、以下のデータ保護APIイベントの分析を参照してください。
これらは、ルールが一致したときにデータ保護エンジンが実行できるアクションです:
-
モニタ - ルールに一致するトラフィックを監視できるようにイベントを生成します。
-
共有を削除する - ユーザーがファイルを共有しようとすると、データ保護 API エンジンが許可されていない共有権限を削除し、共有ファイルへのリンクを受け取ったユーザーにはファイルへのアクセス権が与えられません。
注意
注: ルートフォルダに追加された新しいファイルは、スキャンされ、ルールアクションが適用されるまで最大 24 時間かかる場合があります。 サブフォルダ内のファイルは、アップロード後すぐにスキャンされます。
データ保護ページを使用して、データ保護ポリシーに SaaS アプリケーションルールを追加します。
データ保護 API によってスキャンされるトラフィックを定義するためにデータ保護ルールを作成します。 各 SaaS アプリコネクタ用に個別のルールを作成し、スキャンされるトラフィックを決定するための基準を定義します。
Boxルール設定の詳細については、以下のBoxルールの理解を参照してください。
Boxアプリの新しいデータ保護ルールを作成するには:
-
ナビゲーションペインから、セキュリティ > App & データ API 保護 を選択し、「データ保護」を選択または拡張します。
-
新規をクリックしてください。 新規ルールパネルが表示されます。
-
アプリケーションコネクタで Box アプリを選択します。
-
一般セクションでルールの設定を入力します。
-
所有者で監視対象のBoxユーザーを1人以上選択します (デフォルト値は任意)。
複数のユーザーを選択すると、それらの間には OR 関係があります。
-
共有オプションで、スキャンするファイルとフォルダの権限レベルを選択します (デフォルト値は任意)。
-
ファイル属性で、スキャンするファイルを指定するための基準を定義します (デフォルト設定はすべてのファイルをスキャンすることです)。
-
コンテンツプロファイルで、このルールの DLP コンテンツプロファイルを選択します。
DLPコンテンツプロファイルの詳細については、DLPコンテンツプロファイルの作成をご覧ください。
-
アクションを選択してください。
-
(オプション) ルールがメール通知を生成するようにトラッキングオプションを定義します。
イベントやメール通知の詳細については、アカウントレベルの通知とシステム通知を参照してください。
-
保存をクリックしてください。 ルールがデータ保護ポリシーに追加されます。
このセクションでは、データ保護ルールの設定を定義して正しい Box トラフィックをスキャンする方法を説明します。 各ルールは、以下の基準に従って定義できます:
-
所有者 - ワークスペース内の Box ユーザー (デフォルト値は任意)
-
内部 - 所有者は会社内の任意のユーザー
-
Box ユーザ - 所有者は特定のユーザー
-
-
共有オプション - このルールに一致するファイルとフォルダの共有権限の種類を選択してください (デフォルト値は任意)
-
ファイル属性 - スキャン対象の添付ファイルの基準(デフォルト値はすべての添付ファイル)
-
ファイルタイプ
-
ファイル名
-
ファイルサイズ(最大ファイルサイズは20MB)
-
-
コンテンツプロファイル - DLPコンテンツプロファイルはDLP内容検査を定義します
セキュリティ > DLPプロファイル > DLPプロファイル > コンテンツプロファイルでコンテンツプロファイルを作成または編集できます
-
アクション - ルールに一致する際にイベントまたは電子メール通知を生成するかどうかを選択
ルールに対して特定のファイル(または添付ファイル)を定義し、指定されたファイルのみをスキャンするようにSaaS APIエンジンを制限することができます。
複数のファイルをルールに追加する際、それらの間での関係を選択してください:
ルールでファイル名設定を使用して、正確なファイル名を定義するか、キーワードを定義するためにワイルドカードを使用できます。 例えば、ファイル名を内部として定義し、内部という単語を含むすべてのファイル名に一致させることができます。
データ保護APIエンジンはデータを順番に検査し、ルールに一致するかどうかを確認します。 データがルールに一致しない場合、それは検査されません。 ルールベースの上にあるルールは高い優先順位を持ち、ルールベース内の下位のルールよりも先に適用されます。 各タイプのアプリケーションまたはコネクタは、データに一度だけ適用されます。
ベストプラクティス - ルールベースの効率を最大化するために、各コネクタタイプの特定のユーザーのルールが任意ユーザーに適用されるルールよりも優先されることをお勧めします。
例えば、データがルール#2のコネクタに一致した場合、データはデータ保護APIエンジンによって検査されます。 エンジンは同じコネクタの場合、ルール#3およびそれ以降を適用し続けません。 ただし、異なるコネクタの低優先度ルールに一致する可能性があります。
アカウントに有効化されたアンチマルウェアおよび次世代アンチマルウェアエンジンを使用して、マルウェアやウイルスをスキャンするための脅威保護ルールをコネクタに作成できます。 データ保護APIエンジンはコネクタのトラフィックをスキャンし、ルールに設定されたアクションとトラッキングオプションを適用します。
脅威保護エンジンでルールが一致したときに実行するアクションは次のとおりです:
-
モニタ - ルールに一致するトラフィックをモニタリングするイベントを生成します。
-
共有を削除する - ユーザーがファイルを共有しようとした際、データ保護APIエンジンは許可されていない共有パーミッションを削除し、リンクを受け取ったユーザーにはファイルにアクセスする権限がありません。
各アクションは自動的にイベントを生成し、電子メール通知を受け取ることも選択できます。 データ保護APIイベントの詳細は、以下のデータ保護APIイベントの分析を参照してください。
アプリ&データAPIの保護ルールを作成する際、アカウントに有効化されたアンチマルウェアエンジン(セキュリティ > アンチマルウェア)は、コネクタアプリケーションに送信されたファイルのマルウェアスキャンを実行します。
以下のスクリーンショットは、OneDriveコネクタの脅威対策ルールで、内部ユーザーやゲストが送信したファイルをスキャンする様子を示しています:
時折、Catoのデータ保護APIエンジンによってブロックされたファイルが安全であり、ネットワークで許可する必要があります。 ファイルハッシュポリシーのマルウェア対策例外は、アプリ&データAPI保護にも適用されます。 ファイルハッシュポリシーへのファイル追加について詳しくは、マルウェア対策の例外管理を参照してください。
ホーム > イベント ページでは、アカウントのすべての データ保護 API イベントが表示されます。 強力な検索ツールにより、必要な関連データを含む少数のイベントを詳細に特定できます。
データ保護 API イベントは次のフィールドで識別できます:
-
イベントタイプ - セキュリティ
-
サブタイプ - SaaSセキュリティAPIデータ保護およびSaaSセキュリティAPIアンチマルウェア
イベントページの使用についての詳細はこちらをご覧ください。
|
フィールド名 |
説明 |
|---|---|
|
コネクタ名 |
ルールに定義されているコネクタの名前 |
|
コネクタの種類 |
このコネクタに定義されたSaaSアプリ |
|
DLPプロファイル |
このイベントを生成したDLPコンテンツプロファイル |
|
ファイル名 |
添付ファイルの名前 |
|
ファイルサイズ |
添付ファイルのサイズ |
|
ファイルタイプ |
添付ファイルのタイプ |
|
一致するデータの種類 |
ルールに一致したコンテンツプロファイル内のデータタイプ |
|
ユーザー |
ファイルを受信したユーザーのメールアドレス |
|
ルール |
データ保護ポリシーのルール名 |
|
所有者 |
ファイルの所有者 |
|
セベリティ |
ルールに定義されているセベリティ |
|
共有スコープ |
Box添付ファイルの共有オプション |
0件のコメント
記事コメントは受け付けていません。