この記事は、アカウントのアプリ&データAPI保護ポリシー用にMicrosoft OneDriveコネクタの設定方法とデータ保護ポリシーのOneDriveルールを作成する方法を説明します
アプリ&データAPI保護ポリシーは、Catoからの別のライセンスが必要です 詳細は、Catoの担当者または公式のリセラーにお問い合わせください。
注記
注記: SaaSecAPI@catonetworks.com または公式の Cato リセラーに、App & Data API Protection ポリシーの使用に関する詳細情報についてお問い合わせください。
Microsoft 365およびOneDriveのSaaSアプリのコネクタを作成します。
各Microsoft OneDriveアプリとAzureテナント(365アプリに従う)は、Microsoftのレート制限の対象となります。 詳細は、Microsoftのドキュメントを参照してください。
データ保護 APIがOneDriveファイルおよびフォルダのアセットとコンテンツをスキャンできるように、コネクタは次の権限とアクションをOneDriveアプリケーションと共にCatoに付与します:
-
Oauth2を使用してアプリへのアクセスを許可する
-
アプリからトークンを受け取り、安全な接続を確立し維持する
-
アプリ&データAPI保護ポリシーに従ってMicrosoft APIに接続し、データを取得しファイルをスキャン、この内容には以下が含まれます:
-
すべてのサイトコレクション内のファイルを読む
-
サインインしてユーザーの完全なプロファイルを参照する
-
すべてのサイトコレクションでのファイル書き込み(近日公開)
-
このセクションでは、Microsoft 365 および OneDrive の API コネクタの作成方法およびそれらを Cato アカウントに接続する方法を説明します。
Microsoft OneDrive のアセットとコンテンツをデータ保護 APIがスキャンできるようにするために、最初に Microsoft 365 コネクタを親アプリとして設定し、OneDrive コネクタに対して参照権限を与える必要があります。 親アプリはMicrosoftコネクタを管理する権限しか持っていません。 その後、必要に応じて、Azure テナントごとに別の Microsoft 365 コネクタを作成できます。
Cato 管理アプリケーションを使用して、データ保護 API でスキャン中の Microsoft OneDrive アプリ用に Azure テナント用の Microsoft 365 SaaS アプリケーション コネクタを作成します。 Microsoft OneDrive アプリに認証するための正しい資格が必要で、Cato アカウントに追加します。
コネクタ設定を作成および構成する前に、まずアカウントのデータ保護 APIを有効にする必要があります。
まず、MSテナント統合を親エンドポイントコネクタとして設定します。 このコネクタはすべての Microsoft 統合に使用できます。 既に親エンドポイントコネクタを作成している場合は、ステップ2に進んでください。
MSテナント統合を作成するには:
-
ナビゲーションメニューから Resources > Integrations を選択し、Integrated Apps タブをクリックします。
-
新規をクリックします。 新規コネクタ パネルが開きます。
-
新しいコネクタパネルで、MS Tenant (新しいMSテナントを構成する)アプリを選択します。
-
コネクタ名を入力します。
-
認証して保存をクリックします。
新しいブラウザタブが Microsoft 365 アプリに開きます。
-
新しいブラウザタブで、Microsoft 365 アプリに認証します:
-
Microsoft 365 アプリの Microsoft アカウントを選択します。
それ以外の場合は、Microsoftの認証エラーが発生する可能性があります。
-
アプリのパスワードを入力して承認します。
-
承認する権限を受け入れます。Catoが Microsoft 365 アプリにアクセスできるようにします。
-
画面には、アプリの権限が正常に適用されたことが通知されます。
ブラウザタブを閉じて、Cato 管理アプリケーションに戻ることができます。
-
-
Microsoft 365 SaaS アプリケーションが Integrated Apps タブに追加されました。
Microsoft OneDrive コネクタでは、データ保護 API エンジンがデータ保護ポリシーで定義したコンテンツをスキャンできます。
注
注: Microsoft 365 アプリ用の API コネクタを作成すると、認証証明書が生成され、3 ヶ月間有効で、有効期限の 7日前に証明書が更新されます。
Microsoft OneDrive のコネクタを作成するには:
-
ナビゲーションメニューから Resources > Integrations を選択し、Integrated Apps タブをクリックします。
-
新規をクリックします。 新規コネクタ パネルが開きます。
-
前のセクションで作成したOneDrive SaaS アプリケーション、およびコネクタ親 を新規で作成します。
-
認証して保存をクリックします。
-
新しいブラウザタブで OneDrive アプリに認証します。
-
OneDrive アプリの Microsoft アカウントを選択してログインします。
-
アプリのパスワードを入力して承認します。
-
承認するCato が OneDrive アプリにアクセスできるようにする許可を受諾します。
-
画面に、アプリケーションへの権限が正常に適用されたことが表示されます。
ブラウザのタブを閉じて、Cato管理画面に戻ることができます。
Microsoft Azureがリクエストを処理するのに数秒かかる場合があるので、エラーが発生した場合はブラウザを更新してください。
-
-
OneDrive SaaS アプリケーションが Integrated Apps タブに追加されました。
コネクター設定画面のステータス列には、MicrosoftアプリとCatoアカウント間の接続状況が表示されます。 これらはステータスの説明です:
このセクションでは、ユーザーがOneDriveのファイルで実行するアクションを監視および管理するために、データ保護ポリシーをどのように使用するかを説明します。 例えば、ファイルの共有、新しいファイルの作成、アップロードなど。
DLP コンテンツプロファイルの詳細については、Creating DLP Content Profiles をご覧ください。
データ保護ルールを作成する際に、ルールが一致した時のポリシー違反を監視または修正するための異なるアクションを定義できます。 各アクションは自動的にイベントを生成し、メール通知を受け取ることも選択できます。 Data Protection API イベントの詳細については、以下の Analyzing Data Protection API Events をご覧ください。
これらはルールが一致した時にデータ保護エンジンが実行するアクションです:
-
監視 - ルールに一致するトラフィックを監視するためのイベントを生成します。
-
共有を削除する - ユーザーがファイルを共有しようとすると、データ保護APIエンジンが無許可の共有権限を削除し、共有ファイルへのリンクを受け取ったユーザーにはファイルへのアクセス権がありません。
-
隔離 - ユーザーがファイルをアップロードしようとすると、データ保護APIエンジンはそれを隔離フォルダに移動し、ユーザーはそれにアクセスできなくなります。 OneDriveの管理者は隔離フォルダ内のファイルにアクセスできます。 隔離フォルダの構成情報については、Preparing for File Quarantine をご覧ください。
データ保護と脅威防止ルール用の隔離フォルダを設定し、フォルダにアクセスする権限を持つOneDriveの管理者を定義します。 テナントごとに各OneDriveの管理者用の隔離フォルダを設定できます。 フォルダを設定すると、隔離アクションを使ったルールを作成し、ファイルが移動されるフォルダを定義できます。
OneDrive管理者の隔離フォルダを設定するには:
-
ナビゲーションペインから、セキュリティ > アプリケーション & データAPI保護を選択し、設定タブを選択します。
-
ルールの名前を入力します。 隔離フォルダパネルが開きます。
-
OneDriveアプリケーションコネクタを選択します。
-
これらの隔離フォルダにアクセスするためにOneDriveの管理者を選択します。
-
保存をクリックしてください。
データ保護フォルダと脅威防止フォルダが管理者のために作成され、隔離アクションでルールに設定できます。 フォルダは管理者のメールアドレスで名付けられ、次のOneDriveディレクトリに配置されます:
-
データ保護フォルダ: Cato_Qarantine/Cato_Qarantine_DataProtection
-
脅威防止フォルダ: Cato_Qarantine/Cato_Qarantine_ThreatPrevention
-
データ保護ページを使用して、データ保護ポリシーにSaaSアプリケーションルールを追加します。
データ保護APIでスキャンされるトラフィックを定義するデータ保護ルールを作成します。 それぞれのSaaSアプリコネクタごとに個別のルールを作成し、どのトラフィックがスキャンされるかを決定する基準を定義します。
OneDrive ルール設定の詳細については、以下の Understanding the OneDrive Rules をご覧ください。
OneDriveアプリのための新しいデータ保護ルールを作成するには:
-
ナビゲーションペインから、セキュリティ > アプリケーション & データAPI保護を選択し、データ保護を選択または展開します。
-
ルールの名前を入力します。 新規ルール パネルが表示されます。
-
アプリケーションコネクタで、OneDrive アプリケーションを選択します。
-
一般設定セクションでは、ルールの設定を入力します。
-
所有者で、1人以上のOneDriveファイル所有者を選択します(デフォルト値はAnyです)。
複数の所有者を選択すると、それらの間にOR関係があります。
-
共有オプションで、1つ以上のファイルの権限タイプを選択します(デフォルト値はAnyです)。
-
添付ファイルで、スキャンされるファイルを指定するための基準を定義します(デフォルトの設定はすべてのファイルをスキャンします)。
-
コンテンツプロファイルで、このルール用のDLPコンテンツプロファイルを選択します。
-
アクションを選択します。
隔離アクションの場合、隔離フォルダのパスを選択します。 隔離フォルダに関する詳細は、上記を参照してください???。
-
(オプション)トラッキングオプションを設定して、イベントを生成し、通知を送信します。
通知に関する詳細情報は、アラートセクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事を参照してください。
-
保存をクリックしてください。 ルールはデータ保護ポリシーに追加されます。
このセクションでは、データ保護ルールの設定を定義し、適切なOneDriveトラフィックをスキャンする方法を説明します。 各ルールは、以下の基準に基づいて定義できます:
-
所有者 - 関連するOneDriveディレクトリの所有者である個々のユーザーまたはAzureのユーザータイプ(デフォルト値はAny)
-
共有オプション - このルールに一致するファイル共有権限のタイプを選択(デフォルト値はAny)
例えば、外部ユーザーと共有されているファイルを監視するには、外部リンクを選択してください。
-
添付ファイル - スキャンされる添付ファイルの基準(デフォルト値はすべての添付ファイル)
-
ファイルタイプ
-
ファイル名
-
ファイルサイズ(最大ファイルサイズは100 MB)
-
-
コンテンツプロファイル - DLPコンテンツ検査を定義するDLPコンテンツプロファイル(セキュリティ > DLPプロファイル > DLPプロファイル > コンテンツプロファイル)
-
アクション - 上記の Understanding OneDrive Actions をご覧ください
特定のファイル(または添付ファイル)をルール用に定義し、指定されたファイルのみをスキャンするようにSaaS APIエンジンを制限することができます。
複数のファイルをルールに追加する場合、それらの関係を選択します:
ルール内でファイル名の設定を使用して、正確なファイル名を定義したり、キーワードを定義するためにワイルドカードを使用したりすることができます。 例えば、ファイル名を内部と定義して、内部という単語を含むすべてのファイル名に一致させることができます。
データ保護APIエンジンはデータを順番に検査し、ルールに一致するかどうかを確認します。 データがルールに一致しない場合、それは検査されません。 ルールベースの上部にあるルールは優先度が高く、ルールベースの下にあるルールよりも先に適用されます。 各種のアプリケーションまたはコネクタは、データに対して一度だけ適用されます。
ベストプラクティス - ルールベースの効率を最大化するために、各コネクタタイプについて、特定のユーザーに対するルールは、誰でもユーザーに適用されるルールよりも優先度を高くすることをお勧めします。
例えば、データがルール#2のコネクタに一致する場合、データはデータ保護APIエンジンによって検査されます。 エンジンは、同じコネクタに対してルール#3およびそれ以下のルールを適用し続けません。 ただし、データは異なるコネクタで低優先度のルールに一致する可能性があります。
コネクタ用に脅威保護ルールを作成し、アカウントに有効なアンチマルウェアおよび次世代アンチマルウェアエンジンを使用して、ファイルや添付ファイルをマルウェアおよびウイルスのスキャンを行うことができます。 データ保護APIエンジンはコネクタトラフィックをスキャンし、ルールに対して設定したアクションおよびトラッキングオプションを適用します。
以下は、ルールが一致したときに脅威保護エンジンが実行するアクションです:
-
監視する - ルールに一致するトラフィックを監視できるようにイベントを生成します。
-
共有の削除 - ユーザーがファイルを共有しようとすると、データ保護APIエンジンが許可されていない共有権限を削除し、共有ファイルへのリンクを受け取るユーザーはファイルにアクセスする権限がありません。
-
隔離 - ユーザーがファイルをアップロードしようとすると、データ保護APIエンジンがそれを隔離フォルダに移動し、その後ユーザーはそれにアクセスできなくなります。 Onedriveの管理者は隔離フォルダ内のファイルにアクセスできます。 隔離フォルダの構成情報については、Preparing for File Quarantine をご覧ください。
各アクションは自動的にイベントを生成し、メール通知を受け取ることも選択できます。 Data Protection API イベントの詳細については、以下の Analyzing Data Protection API Events をご覧ください。
アプリ & データ API 保護ルールを作成すると、アカウントに対して有効になっているアンチマルウェアエンジン (セキュリティ > アンチマルウェア) が、そのコネクタアプリケーションに送信されるファイルのマルウェアスキャンを実行します。
次のスクリーンショットは、内部ユーザーまたはゲストによって送信されたファイルをスキャンするOneDriveコネクタの脅威保護ルールを示しています:
時々、Catoのデータ保護APIエンジンによって安全とわかっているファイルがブロックされることがあり、ネットワーク内でそれを許可する必要があります。 ファイルハッシュポリシーにおけるマルウェア対策の例外は、アプリ&データAPI保護にも適用されます。 ファイルハッシュポリシーにファイルを追加する方法については、マルウェア対策例外の管理を参照してください。
ホーム > イベントページでは、アカウントのすべてのデータ保護 APIイベントが表示されます。 強力な検索ツールを使用して、必要なデータを含む少数のイベントを絞り込んで特定することができます。
データ保護 APIイベントは、以下の項目によって識別できます:
-
イベントタイプ - セキュリティ
-
サブタイプ - SaaSセキュリティAPIデータ保護およびSaaSセキュリティAPIアンチマルウェア
こちらでイベントページの使用方法について詳しく学ぶことができます。
|
フィールド名 |
説明 |
|---|---|
|
共同作業者 |
ファイルを受け取ったユーザーのメールアドレス |
|
コネクタ名 |
ルールに対して定義されているコネクタの名前 |
|
コネクタの種類 |
このコネクタに対して定義されているSaaSアプリ |
|
DLPプロファイル |
このイベントを生成したDLPコンテンツプロファイル |
|
ファイル名 |
添付されたファイルの名前 |
|
一致したデータタイプ |
ルールに一致したコンテンツプロファイル内のデータタイプ |
|
所有者 |
ファイル所有者 |
|
親コネクタ種類 |
親Microsoft 365コネクタ |
|
ルール |
データ保護ポリシーでのルール名 |
|
セベリティ |
ルールに定義済みのセベリティ |
|
共有スコープ |
OneDriveファイルの共有オプション |
0件のコメント
サインインしてコメントを残してください。