ネットワーク内のイベントを分析するこの記事では、アカウント用の SaaS セキュリティ API ポリシーの Microsoft OneDrive コネクタを設定し、データ保護ポリシー用の OneDrive ルールを作成する方法を説明します
SaaS セキュリティ API ポリシーには Cato からの個別のライセンスが必要です。 詳細については、Cato の担当者または公式リセラーにお問い合わせください。
注意
注意:SaaS セキュリティ API ポリシーの使用についての詳細は、SaaSecAPI@catonetworks.com または公式 Cato リセラーにお問い合わせください。
Microsoft 365 および OneDrive SaaS アプリのコネクタを作成します。
Microsoft OneDrive アプリと Azure テナント (365 アプリに従って) は Microsoft の速度制限の対象です。 詳細については、Microsoft ドキュメントを参照してください。
Cato の SaaS セキュリティ API に OneDrive ファイルとフォルダのアセットとコンテンツをスキャンさせるために、コネクタは OneDrive アプリで Cato に次の権限とアクションを付与します:
-
Oauth2 を使用してアプリへのアクセスを付与
-
アプリからトークンを受信して安全な接続を確立し維持します
-
SaaS セキュリティ API データ保護ポリシーに従って Microsoft API に接続し、データを取得してファイルをスキャンします。これには次のものが含まれます:
-
すべてのサイトコレクション内のファイルを読み取ります
-
ユーザーの完全なプロファイルにサインインして読み取ります
-
すべてのサイトコレクションにファイルを書き込む(近日公開)
-
このセクションでは、Microsoft 365 および OneDrive の API コネクタを作成し、それらを Cato アカウントに接続する方法を説明します。
Microsoft OneDrive の資産とコンテンツをスキャンするために SaaS セキュリティ API を有効にするには、まず Microsoft 365 コネクタを親アプリとして設定し、OneDrive コネクタに読み取り権限を付与する必要があります。 親アプリは Microsoft コネクタを管理するための権限のみを持っています。 その後、必要に応じて、各 Azure テナントのための個別の Microsoft 365 コネクタを作成することができます。
SaaS セキュリティ API でスキャンしている Microsoft OneDrive アプリ用の Azure テナントに対して、Microsoft 365 SaaS アプリケーションコネクタを作成するには、Cato 管理アプリケーションを使用します。 Cato アカウントに追加するために Microsoft OneDrive アプリに認証するには、正しい認証情報が必要です。
コネクタ設定を作成および構成する前に、最初にアカウント用の SaaS セキュリティ API を有効にする必要があります。
To create the Microsoft 365 parent connector:
-
ナビゲーションメニューからリソース > 統合を選択し、SaaSセキュリティAPIデータ保護をクリックします。
-
新規作成をクリックしてください。 新規コネクタパネルが開きます。
-
新規コネクタパネルで、Microsoft 365 (新しいテナント)アプリを選択します。
-
コネクタ名を入力します。
-
認証して保存をクリックします。
新しいブラウザタブが Microsoft 365 アプリに開きます。
-
In the new browser tab, authenticate to the Microsoft 365 app:
-
Microsoft 365 アプリの Microsoft アカウントを選択します。
そうしないと、Microsoft 認証エラーが発生する可能性があります。
-
アプリのパスワードを入力し、承認します。
-
CatoがMicrosoft 365 アプリにアクセスできるように権限を承認します。
-
画面にアプリの権限を正常に適用したことが表示されます。
ブラウザタブを閉じて、Cato 管理アプリケーションに戻ることができます。
-
-
Microsoft 365 SaaS アプリケーションがSaaSセキュリティAPIデータ保護ページに追加されます。
Microsoft OneDrive コネクタにより、SaaS セキュリティ API エンジンが、データ保護ポリシーで定義されたコンテンツについてメールをスキャンできるようになります。
注意
Note: When you create an API connector for a Microsoft 365 app, the connector creates an authentication certificate that is valid for 3 months, and renews the certificate 7 days before expiration.
To create the connector for Microsoft OneDrive:
-
ナビゲーションメニューから、リソース > 統合を選択して、SaaSセキュリティAPIデータ保護をクリックします。
-
新規をクリックします。 新規コネクタパネルが開きます。
-
前のセクションで作成したコネクタの親用に新しいOneDrive SaaS アプリケーションを作成します。
-
認証して保存をクリックします。
-
新しいブラウザタブで、OneDriveアプリケーションに認証してください。
-
OneDriveアプリケーション用のMicrosoftアカウントを選択し、ログインします。
-
アプリケーションのパスワードを入力して承認します。
-
CatoがOneDriveアプリにアクセスするための権限を承認してください。
-
画面は、アプリケーションの権限が正常に適用されたことを示しています。
ブラウザタブを閉じて、Cato管理画面に戻ることができます。
Microsoft Azureがリクエストを処理するのに数秒かかる場合がありますので、エラーが発生した場合はブラウザを更新してください。
-
-
OneDrive SaaS アプリケーションがインストール済みSaaSアプリケーションページに追加されます。
コネクター設定画面のステータス列は、MicrosoftアプリケーションとあなたのCatoアカウント間の接続状態を示しています。 These are the explanations of the statuses:
-
Connected - Your account is connected to the app and working correctly
-
接続警告 - Azureテナント内の一部のユーザーがSaaSセキュリティAPIをサポートするように正しく構成されていません(例えば、ユーザーに電子メールアドレスが定義されていません)。 サポート にチケットを開いてください。
-
接続エラー - Microsoftコネクタとの接続や権限の問題、またはレート制限(Microsoftの制限)。 サポート にチケットを開いてください。
-
ユーザ承諾の保留 - OneDriveコネクタは設定画面で作成されていますが、Catoに接続するための承認がOneDriveアカウントで完了していません。
このセクションでは、ユーザーがOneDriveファイルに対して行う操作を監視し管理するためにデータ保護ポリシーを使用する方法を説明します。 例として、ファイルの共有、新しいファイルの作成、アップロードなどがあります。
DLPコンテンツプロファイルの詳細については、DLPコンテンツプロファイルの作成をご参照ください。
データ保護ルールを作成すると、ルールが一致した際にポリシー違反を監視または是正するためのさまざまなアクションを定義できます。 各アクションは自動的にイベントを生成し、メール通知を受信することも選択できます。 SaaSセキュリティAPIイベントの詳細については、以下のSaaSセキュリティAPIイベントの分析を参照してください。
データ保護エンジンでルールが一致した場合に実行できるアクションは以下の通りです:
-
監視 - ルールに一致するトラフィックを監視するためにイベントを生成します。
-
共有を削除する - ユーザーがファイルを共有しようとすると、SaaSセキュリティAPIエンジンが未承認の共有権限を削除し、共有ファイルのリンクを受け取ったユーザーにはファイルにアクセスするための権限がありません。
-
隔離 - ユーザーがファイルをアップロードしようとすると、SaaSセキュリティAPIエンジンはそれを隔離フォルダに移動し、その後ユーザーはアクセスできなくなります。 OneDrive管理者は隔離フォルダ内のファイルにアクセスできます。 隔離フォルダの設定方法については、ファイルの隔離準備を参照してください。
データ保護と脅威防止ルールのために隔離フォルダを設定し、フォルダへの権限を持つOneDrive管理者を定義します。 テナントの各OneDrive管理者のために隔離フォルダを設定できます。 フォルダを設定すると、隔離アクションを使用したルールを作成し、ファイルが移動されるフォルダを定義できます。
OneDrive管理者用の隔離フォルダを設定するには:
-
ナビゲーションペインからセキュリティ > SaaS セキュリティ API ポリシーを選択し、設定タブを選択します。
-
新規をクリックします。 隔離フォルダパネルが開きます。
-
OneDriveアプリケーションコネクタを選択します。
-
これらの隔離フォルダへアクセスできるOneDrive管理者を選択します。
-
保存をクリックしてください。
管理者のためにデータ保護フォルダと脅威防止フォルダが作成され、隔離アクションを使用したルールで設定できます。 フォルダは管理者のメールアドレスで命名され、以下のOneDriveディレクトリに配置されます:
-
データ保護フォルダ: Cato_Qarantine/Cato_Qarantine_DataProtection
-
脅威防止フォルダ: Cato_Qarantine/Cato_Qarantine_ThreatPrevention
-
データ保護ページを使用して、データ保護ポリシーにSaaSアプリケーションルールを追加します。
SaaSセキュリティAPIでスキャンされるトラフィックを定義するためにデータ保護ルールを作成します。 各SaaSアプリケーションコネクタに対して個別のルールを作成し、どのトラフィックがスキャンされるかを決定する基準を定義します。
OneDriveルール設定の詳細については、以下のOneDriveルールの理解を参照してください。
OneDriveアプリのために新しいデータ保護ルールを作成するには:
-
ナビゲーションペインからセキュリティ > SaaS セキュリティ API ポリシーを選択し、データ保護を選択または展開します。
-
新規をクリックします。 新規ルール パネルが表示されます。
-
アプリケーションコネクタで、OneDriveアプリを選択します。
-
一般セクションに、ルールの設定を入力します。
-
所有者で、OneDriveファイル所有者を1人以上選択します(デフォルト値はすべて)。
複数の所有者を選択すると、それらの間にはまたは関係があります。
-
共有オプションで、ファイル権限タイプを1つ以上選択します(デフォルト値はすべて)。
-
添付ファイルで、スキャンされるファイルを指定する基準を定義します(デフォルト設定はすべてのファイルをスキャン)。
-
コンテンツプロファイルで、このルールのDLPコンテンツプロファイルを選択します。
-
アクションを選択します。
隔離アクションについては、隔離フォルダのパスを選択します。 隔離フォルダの詳細については、上の???を参照してください。
-
(オプション) イベントを生成し通知を送信するためのトラッキングオプションを設定します。
通知に関する詳細は、アラートセクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事を参照してください。
-
保存をクリックしてください。 ルールはデータ保護ポリシーに追加されます。
このセクションでは、適切なOneDriveトラフィックをスキャンするためのデータ保護ルールの設定方法を説明します。 各ルールは、次の基準に基づいて定義できます:
-
所有者 - 関連するOneDriveディレクトリの所有者である個々のユーザーまたはAzureユーザータイプ(デフォルトは誰でも)
-
共有オプション - このルールに一致するファイル共有権限のタイプを選択します(デフォルトはすべての)
たとえば、外部ユーザーと共有されているファイルを監視するには、外部リンクを選択します。
-
添付ファイル - スキャンされた添付ファイルの基準(デフォルトはすべての添付ファイル)
-
ファイルタイプ
-
ファイル名
-
ファイルサイズ(最大ファイルサイズは100 MB)
-
-
コンテンツプロファイル - DLP コンテンツインスペクションを定義する DLP コンテンツプロファイル (セキュリティ > DLP プロファイル > DLP プロファイル > コンテンツプロファイル)
-
アクション - OneDrive アクションの理解を参照してください
特定のファイル(または添付ファイル)をルールに定義して、指定されたファイルのみをスキャンするように SaaS セキュリティ API エンジンを制限することができます。
複数のファイルをルールに追加する際には、それらの間の関係を選択します:
ルールのファイル名設定を使用して、正確なファイル名を定義するか、キーワードを定義するためにワイルドカードを使用することができます。 たとえば、ファイル名として内部を定義することで、内部という単語が含まれるすべてのファイル名に一致させることができます。
SaaS セキュリティ API エンジンはデータを順次検査し、ルールに一致するかどうかを確認します。 データがルールに一致しない場合は、検査されません。 ルールベースの上部にあるルールは優先度が高く、ルールベースの下位にあるルールよりも先に適用されます。 各種アプリケーションまたはコネクタタイプは、データに対して一度だけ適用されます。
ベストプラクティス - ルールベースの効率を最大化するために、各コネクタタイプに対し、特定ユーザー用のルールがいずれかユーザーに適用されるルールよりも高い優先度を持つことをお勧めします。
例として、データがルール #2 のコネクタに一致する場合は、データは SaaS セキュリティ API エンジンによって検査されます。 エンジンは、同じコネクタのためにルール #3以下を適用し続けることはありません。 しかし、データは異なるコネクタによる低い優先度のルールに一致する可能性があります。
マルウェア対策および次世代アンチマルウェアエンジンを使用して、ファイルと添付ファイルをマルウェアとウイルスのためにスキャンするコネクタ用の脅威保護ルールを作成することができます。 SaaS セキュリティ API エンジンはコネクタトラフィックをスキャンし、ルールに対して設定したアクションとトラッキングオプションを適用します。
これらはルールが一致した場合に脅威保護エンジンで実行するアクションです:
-
監視 - ルールに一致するトラフィックを監視するためにイベントを生成します。
-
共有を削除する - ユーザーがファイルを共有しようとすると、SaaS セキュリティ API エンジンが許可されていない共有権限を削除し、共有ファイルのリンクを受け取ったユーザーにはファイルへのアクセス権限がありません。
-
隔離 - ユーザーがファイルをアップロードしようとすると、SaaS セキュリティ API エンジンがそのファイルを隔離フォルダに移動し、その後ユーザーはアクセスできなくなります。 OneDrive 管理者は隔離フォルダ内のファイルにアクセスできます。 隔離フォルダの設定に関する情報は、ファイルの隔離の準備を参照してください。
各アクションは自動的にイベントを生成し、メール通知を受け取るように選択することもできます。 SaaS セキュリティ API イベントについての詳細は、下記のSaaS セキュリティ API イベントの分析を参照してください。
SaaS セキュリティ API 脅威保護ルールを作成する際、アカウントに対して有効になっているマルウェア対策エンジン(セキュリティ > マルウェア対策)は、そのコネクタ アプリケーションに送信されたファイルをマルウェア検査します。
次のスクリーンショットは、内部ユーザーまたはゲストによって送信されたファイルをスキャンするための OneDrive コネクタの脅威保護ルールを示しています:
場合によっては、カトの SaaS セキュリティ API エンジンによってブロックされたファイルが安全であることがわかっていて、それをネットワークで許可する必要があります。 イベントページでは、ファイルハッシュを使用して脅威保護スキャンを回避する例外を作成できます。 ブロックされた特定のファイルのイベントを開いた後、ファイルハッシュをクリックして例外の構成パネルを開き、アカウントの例外としてファイルを追加します。 ファイル例外の期間を選択するか、永遠に続くように例外を構成できます。
マルウェア対策と SaaS セキュリティ API のファイル例外
ファイル例外はマルウェア対策およびSaaSセキュリティAPI脅威保護ポリシー全体に適用されます。 マルウェア対策および次世代アンチマルウェアイベントから例外を作成すると、これらの例外はSaaSセキュリティAPI脅威保護ポリシーにも適用されます。 同様に、SaaSセキュリティAPIアンチマルウェアイベントからファイル例外を作成すると、その例外はマルウェア対策ポリシーにも適用されます。 完全なファイル例外リストは、マルウェア対策ページとSaaSセキュリティAPI脅威保護ページの両方に表示されます。
ファイルの例外を作成するには:
-
ナビゲーションメニューから、ホーム > イベントを選択します。
-
SaaSセキュリティAPIアンチマルウェアのサブタイプを使用してイベントをフィルターします。
-
時間列からイベントを展開します。
-
イベントでファイルハッシュリンクをクリックします。
例外の構成パネルが開きます。
-
期間ドロップダウンメニューから、ファイルがマルウェア対策および次世代アンチマルウェアエンジンから除外される期間を選択します。
永続的な例外を作成するには、永遠を選択します。
-
適用をクリックします。
例外は作成され、脅威保護タブのファイル例外セクションおよびアンチマルウェアページに追加されます。
ホーム > イベントページには、あなたのアカウントのすべての SaaS セキュリティ API イベントが表示されます。 強力な検索ツールを使用することで、必要な関連データを含む少数のイベントを絞り込み、特定することができます。
SaaSセキュリティAPIイベントは、以下の項目によって識別されます:
-
イベントタイプ - セキュリティ
-
サブタイプ - SaaS セキュリティ API データ保護と SaaS セキュリティ API アンチマルウェア
イベント画面の使用については、サイナー証明書の拇印コードを 40 文字で入力してください。チーム識別子を入力してください。の詳細をご覧ください。 イベントをフィルタリングするために、SaaS セキュリティ API データ保護のプリセットを使用することができます。
|
フィールド名 |
説明 |
|---|---|
|
協力者 |
ファイルを受け取ったユーザーのメールアドレス |
|
コネクタ名 |
ルールのために定義されたコネクタの名前 |
|
コネクタタイプ |
このコネクタのために定義された SaaS アプリケーション |
|
DLPプロファイル |
このイベントを生成した DLP コンテンツプロファイル |
|
ファイル名 |
添付されたファイルの名前 |
|
一致したデータタイプ |
ルールに一致したコンテンツプロファイル内のデータタイプ |
|
所有者 |
ファイルの所有者 |
|
親コネクタタイプ |
親 Microsoft 365 コネクタ |
|
ルール |
データ保護ポリシーでのルールの名前 |
|
セベリティ |
ルールに定義されたセベリティ |
|
共有スコープ |
OneDrive ファイルの共有オプション |
0件のコメント
サインインしてコメントを残してください。