この記事では、アカウントのSaaS セキュリティ API ポリシー用のMicrosoft SharePointコネクタの設定方法とデータ保護ポリシーのためのSharePointルールの作成方法を説明します
SaaSセキュリティAPIポリシーにはCatoからの別のライセンスが必要です。 更なる情報のために、Cato担当者または公式リセラーにお問い合わせください。
注意
注意: SaaSセキュリティAPIポリシーの使用に関する更なる情報については、SaaSecAPI@catonetworks.com または公式Catoリセラーにお問い合わせください。
Microsoft 365およびSharePoint SaaSアプリケーションのコネクタを作成します。
すべてのMicrosoft SharePointアプリとAzureテナント(365アプリによる)はMicrosoftのレート制限の対象になります。 詳細については、Microsoft ドキュメンテーション を参照してください。
SharePointファイルおよびフォルダのアセットおよびコンテンツをスキャンするために、コネクタはSharePointアプリに対して以下の権限とアクションをCatoに付与します:
-
Oauth2を使用してアプリにアクセスを付与する
-
安全な接続を確立し維持するためにアプリからトークンを受け取る
-
MicrosoftのAPIに接続し、SaaSセキュリティAPIデータ保護ポリシーに従ってデータを取得しファイルをスキャンします。これには次のものが含まれます:
-
すべてのサイトコレクションのアイテムおよびファイルを読む
-
サインインしてユーザーの完全なプロファイルを読む
-
すべてのサイトコレクションにファイルを書く(近日公開)
-
このセクションでは、Microsoft 365およびSharePointのAPIコネクタを作成し、それらをCatoアカウントに接続する方法を説明します。
Microsoft SharePointのアセットおよびコンテンツをスキャンするためにCatoのSaaS セキュリティ APIを有効化するには、最初にMicrosoft 365コネクタを親アプリとして構成し、SharePointコネクタに読み取り権限を付与する必要があります。 親アプリはMicrosoftコネクタを管理する権限のみを持っています。 その後、必要に応じて、各Azureテナント用に別々のMicrosoft 365コネクタを作成できます。
Microsoft SharePoint アプリを SaaS セキュリティ API でスキャンしている Microsoft 365 SaaS アプリ ケーション コネクタを Azure テナント用に作成するために、Cato管理画面を使用します。 Microsoft SharePoint アプリケーションを Cato アカウントに追加するには、正しい資格情報を持っている必要があります。
To create the Microsoft 365 parent connector:
-
ナビゲーションメニューからリソース > 統合を選択し、SaaS セキュリティAPIデータ保護をクリックします。
-
クリック新規。 新規コネクタ パネルが開きます。
-
新規コネクタ パネルで、Microsoft 365 (新しいテナント) アプリを選択します。
-
承認して保存をクリックします。
-
新しいブラウザタブで、Microsoft 365 アプリへの認証を行います:
-
Microsoft 365 アプリのための Microsoft アカウントを選択します。
そうしないと Microsoft 認証エラーが発生する可能性があります。
-
アプリのパスワードを入力し、承認します。
-
Cato が Microsoft 365 アプリにアクセスすることを許可するために 承認するを選択します。
-
画面にアプリの権限が正常に適用されたことが表示されます。
ブラウザ タブを閉じて Cato管理画面に戻ることができます。
-
-
Microsoft 365 SaaS アプリケーションがSaaS セキュリティAPIデータ保護ページに追加されます。
Microsoft SharePoint コネクタにより、Cato SaaS API エンジンがデータ保護ポリシーに定義された内容を含むメールをスキャンできます。
注意
Note: When you create an API connector for a Microsoft 365 app, the connector creates an authentication certificate that is valid for 3 months, and renews the certificate 7 days before expiration.
Microsoft SharePoint用のコネクタを作成するには:
-
ナビゲーションメニューからリソース > 統合を選択し、SaaS セキュリティAPIデータ保護をクリックします。
-
クリック新規。 新規コネクタ パネルが表示されます。
-
SaaS アプリケーション で、Microsoft SharePoint を選択します。
-
親コネクタ で、前のセクションで作成した親 Microsoft 365 コネクタを選択します。
-
コネクタ名 を入力します。
-
権限 で、読み取り/書き込み権限 を選択します。
-
保存をクリックしてください。 カトコネクタアプリケーションが作成されます。 これには最大30秒かかる場合があります。
-
コネクタ作成の承認を行うために、承認するをクリックしてください。
-
新しいブラウザタブで、SharePoint アプリに認証します。
-
SharePoint アプリ用の Microsoft アカウントを選択します。
-
アプリ用のパスワードを入力し、承認します。
-
Cato がアプリにアクセスするための権限を承認する。
-
画面には、アプリへの権限の適用が成功したことが表示されます。
ブラウザタブを閉じて、Cato 管理画面に戻ることができます。
Microsoft SharePoint がリクエストを処理するのに数秒かかる場合がありますので、エラーが発生した場合はブラウザを更新してください。
-
-
SharePoint SaaS アプリケーションが インストール済み SaaS アプリケーション ページに追加されます。
コネクター設定画面のステータス 列は、Microsoft アプリと Cato アカウントの接続状態を示しています。 これらはステータスの説明です:
このセクションでは、SharePointファイルでユーザーが実行するアクションを監視および管理するためにデータ保護ポリシーを使用する方法を説明します。 例えば、ファイルの共有、新しいファイルの作成、アップロードなどです。
DLPコンテンツプロファイルの詳細については、DLPコンテンツプロファイルを作成するを参照してください。
データ保護ルールを作成すると、ルールが適合した場合にポリシー違反を監視または是正するためのさまざまなアクションを定義できます。 各アクションは自動的にイベントを生成し、メール通知を受け取ることも選択できます。 SaaS セキュリティ API イベントの詳細については、下記のSaaS セキュリティ API イベントの分析を参照してください。
これらは、ルールが一致したときにデータ保護エンジンが実行できるアクションです:
-
モニタ - ルールと一致するトラフィックを監視するためのイベントを生成します。
-
隔離 - ユーザがファイルをアップロードしようとしたとき、SaaS セキュリティ API エンジンはそれを隔離フォルダに移動し、以降のユーザのアクセスを防ぎます。 SharePoint管理者は隔離フォルダ内のファイルにアクセスできます。 隔離フォルダの構成に関する情報については、以下のファイル隔離の準備を参照してください。
データ保護および脅威防御ルールの隔離フォルダを構成し、フォルダにアクセスするための権限を持つSharePoint管理者を定義してください。 テナントの各SharePoint管理者に対して隔離フォルダを構成することができます。 フォルダを構成した後、隔離アクションを伴うルールを作成し、ファイルが移動されるフォルダを定義できます。
SharePoint 管理者のために隔離フォルダを設定するには:
-
ナビゲーションペインから、セキュリティ > SaaS セキュリティ API ポリシー を選択し、設定 タブを選択します。
-
新規をクリックします。 隔離フォルダ パネルが開きます。
-
SharePoint アプリケーションコネクタを選択します。
-
これらの隔離フォルダにアクセスするためにSharePoint管理者を選択します。
-
保存をクリックします。
データ保護フォルダと脅威防止フォルダが管理者のために作成され、隔離アクションでルール内に設定できます。 フォルダは管理者のメールアドレスで命名され、以下のSharePointディレクトリに配置されます:
-
データ保護フォルダ:Cato_Qarantine/Cato_Qarantine_DataProtection
-
脅威防止フォルダ:Cato_Qarantine/Cato_Qarantine_ThreatPrevention
-
データ保護ページを使用して、データ保護ポリシーにSaaSアプリケーションルールを追加します。
SaaS セキュリティ API によってスキャンされるトラフィックを定義するデータ保護ルールを作成します。 各SaaSアプリケーションコネクタごとに個別のルールを作成し、どのトラフィックがスキャンされるかを決定する基準を定義します。
スキャンされたファイルには、SharePointと共有されるTeamsおよびOneNoteファイルも含まれます。
SharePointルールの設定についての詳細は、以下を参照してください SharePointルールを理解する。
SharePointアプリ用の新しいデータ保護ルールを作成するには:
-
ナビゲーションペインから、セキュリティ > SaaS セキュリティ API ポリシー を選択し、データ保護 を選択または展開します。
-
新規をクリックします。 新規ルール パネルが表示されます。
-
アプリケーションコネクタで、SharePointアプリを選択します。
-
一般 セクションに、ルールの設定を入力します。
-
所有者で、1人以上のSharePointファイル所有者を選択します(デフォルト値はいずれかです)。
複数の所有者を選択する場合、それらの間にはまたは関係があります。
-
共有オプションで、1つ以上のファイル権限の種類を選択します(デフォルト値はいずれかです)。
-
添付ファイルで、スキャンされるファイルを指定するための基準を定義します(デフォルト設定はすべてのファイルをスキャンです)。
-
コンテンツプロファイルで、このルールのDLPコンテンツプロファイルを選択します。
DLPコンテンツプロファイルの詳細については、DLPコンテンツプロファイルの作成を参照してください。
-
アクションを選択します。
隔離アクションの場合、隔離フォルダのパスを選択します。 隔離フォルダの詳細については、上記のファイル隔離の準備を参照してください。
-
(オプション) イベントを生成し、通知を送信するためにトラッキングオプションを設定します。
通知の詳細については、アラートセクションでサブスクリプショングループ、メーリングリスト、アラート統合に関する関連記事をご確認ください。
-
保存をクリックしてください。 ルールはデータ保護ポリシーに追加されます。
このセクションでは、正しいSharePointトラフィックをスキャンするためにデータ保護ルールの設定を定義する方法を説明します。 各ルールは以下の条件に基づいて定義できます:
-
所有者 - 関連するSharePointディレクトリの所有者である個々のサイトまたはAzureタイプのユーザー(デフォルト値はすべて)
-
共有オプション - このルールに一致するファイル共有権限の種類を選択します(デフォルト値はいずれか)
例えば、外部ユーザーと共有されているファイルを監視するためには、外部リンクを選択します。
-
添付ファイル - スキャンする添付ファイルの基準(デフォルト値はすべての添付ファイル)
-
ファイルタイプ
-
ファイル名
-
ファイルサイズ(最大ファイルサイズは100 MB)
-
-
コンテンツプロファイル - DLPコンテンツプロファイルはDLPコンテンツインスペクションを定義します(セキュリティ > DLPプロファイル > DLPプロファイル > コンテンツプロファイル)
-
アクション - ルールが一致したときにイベントを生成したい場合は選択します
特定のファイル(または添付ファイル)をルールに定義し、SaaSセキュリティAPIエンジンを指定されたファイルのみをスキャンするように制限し、それらがDLPコンテンツプロファイルに一致するかどうかを確認できます。
ルールに複数のファイルを追加する場合、それらの間の関係を選択します:
ファイル名設定を使用して、正確なファイル名を定義したり、ワイルドカードを使用してキーワードを定義できます。 例えば、すべてのファイル名が内部という単語を含むように、ファイル名を内部として定義することができます。
SaaSセキュリティAPIエンジンはデータを順次検査し、それがルールに一致するかどうかを確認します。 データがルールに一致しない場合、それは検査されません。 ルールベースの上にあるルールは優先順位が高く、より下のルールよりも先に適用されます。 各種アプリケーションまたはコネクタは、データに対して一度だけ適用されます。
ベストプラクティス - ルールベースの効率を最大化するために、各コネクタタイプごとに、特定ユーザーのルールが任意のユーザーに適用されるルールよりも優先されることをお勧めします。
例えば、データがルール#2のコネクタに一致する場合、データはSaaSセキュリティAPIエンジンによって検査されます。 エンジンは同じコネクタに対してルール#3以下を適用し続けません。 ただし、データは異なるコネクタと一致する低優先順位のルールに一致する可能性があります。
お客様のアカウントに有効なアンチマルウェアおよび次世代アンチマルウェアエンジンを使用して、コネクタに対する脅威保護ルールを作成し、ファイルと添付ファイルをマルウェアやウイルスのためにスキャンできます。 SaaSセキュリティAPIエンジンはコネクタトラフィックをスキャンし、ルールに設定したアクションとトラッキングオプションを適用します:
-
トラフィックを監視する(ブロックはまもなくサポートされます)
-
イベントを生成する
-
メール通知を送信する
SaaSセキュリティAPI脅威保護ルールを作成すると、アカウントに有効なマルウェア対策エンジン(セキュリティ > アンチマルウェア)がそのコネクタアプリケーションに送信されるファイルに対してマルウェアスキャンを行います。
以下のスクリーンショットは、OneDriveコネクタの内部ユーザーまたはゲストによって送信されたファイルをスキャンする脅威保護ルールを示しています:
時には、CatoのSaaSセキュリティAPIエンジンによってブロックされるが安全だとわかっているファイルがあり、ネットワーク内で許可する必要があります。 イベントページでは、ファイルハッシュを使用して、脅威保護スキャンをバイパスする例外を作成できます。 ブロックされた特定のファイルのイベントを開いた後、ファイルハッシュをクリックして例外の構成パネルを開き、そのファイルをアカウントの例外として追加します。 ファイル例外の持続時間を選択することも、例外を永遠に設定することもできます。
アンチマルウェアおよびSaaSセキュリティAPIのファイル例外
ファイル例外はアンチマルウェアおよびSaaSセキュリティAPI脅威保護ポリシー全体に適用されます。 アンチマルウェアおよび次世代アンチマルウェアイベントから例外を作成すると、これらの例外はSaaSセキュリティAPI脅威保護ポリシーにも適用されます。 同様に、SaaSセキュリティAPIアンチマルウェアイベントからファイル例外を作成すると、例外はアンチマルウェアポリシーにも適用されます。 完全なファイル例外リストは、アンチマルウェアページおよびSaaSセキュリティAPI脅威保護ページの両方に表示されます。
ファイルの例外を作成するには:
-
ナビゲーションメニューから、ホーム > イベント を選択します。
-
SaaSセキュリティAPIマルウェア対策のサブタイプを使用して、イベントをフィルタします。
-
時間列から、イベントを展開します。
-
イベント内で、ファイルハッシュ リンクをクリックします。
例外の構成パネルが開きます。
-
期間のドロップダウンメニューから、ファイルがマルウェア対策と次世代アンチマルウェアエンジンから除外される長さを選択します。
永続的な例外を作成するには、永遠を選択します。
-
適用をクリックします。
例外が作成され、脅威保護タブとアンチマルウェアページのファイル例外セクションに追加されます。
ホーム > イベント ページは、あなたのアカウントのすべてのSaaS セキュリティ API イベントを表示します。 強力な検索ツールを使用すると、必要な関連データを含む少数のイベントを詳細に確認し、特定することができます。
SaaS Security API events can be identified by the following fields:
-
イベントタイプ - セキュリティ
-
サブタイプ - SaaS セキュリティ API データ保護と SaaS セキュリティ API マルウェア対策
イベント画面 の詳細を見る。 イベントをフィルタするために、SaaSセキュリティAPIデータ保護プリセットを使用できます。
|
フィールド名 |
説明 |
|---|---|
|
協力者 |
ファイルを受け取ったユーザーのメールアドレス |
|
コネクタ名 |
ルールに定義されているコネクタの名前 |
|
コネクタの種類 |
このコネクタに定義されているSaaSアプリケーション |
|
DLPプロファイル |
このイベントを生成したDLPコンテンツプロファイル |
|
ファイル名 |
添付されたファイルの名前 |
|
一致したデータの種類 |
ルールに一致したコンテンツプロファイルのデータの種類 |
|
ルール |
データ保護ポリシーのルール名 |
|
所有者 |
ファイルの所有者 |
|
セベリティ |
ルールに定義されたセベリティ |
|
共有スコープ |
SharePointファイルの共有オプション |
0件のコメント
サインインしてコメントを残してください。