Microsoft SharePoint: データ保護APIコネクタの設定

この記事では、アプリ & データ API 保護ポリシーのMicrosoft SharePointコネクタを設定し、データ保護ポリシー用のSharePointルールを作成する方法を説明します

アプリ & データ API 保護ポリシーには、Catoの個別のライセンスが必要です。 詳細は、Catoの担当者または公式リセラーにお問い合わせください。

注意

注意: SaaSecAPI@catonetworks.com または公式のCato再販業者に、アプリ & データ API 保護ポリシーの使用に関する詳細をお問い合わせください。

Microsoftコネクタの概要

Microsoft 365およびSharePoint SaaSアプリケーションのコネクタを作成します。

各Microsoft SharePointアプリおよびAzureテナント(365アプリに基づく)は、Microsoftのレート制限に従います。 詳細は、Microsoftのドキュメントをご覧ください。

前提条件

  • Microsoft 365コネクタには、データ保護APIの権限を与えるためのグローバル管理者ロールを持つ管理者が必要です

SharePoint用APIコネクタの必要な権限

データ保護APIがSharePointファイルとフォルダーのアセットと内容をスキャンするのを可能にするため、コネクタはSharePointアプリと以下の権限とアクションをCatoに提供します:

  • Oauth2を使用してアプリへのアクセスを許可

  • 安全な接続を確立し維持するためにアプリからトークンを受け取る

  • Microsoft APIに接続し、データ保護APIデータ保護ポリシーに従いデータを取得しファイルをスキャンすることを含む:

    • すべてのサイトコレクション内のアイテムとファイルを読み取る

    • サインインしてユーザーの完全なプロフィールを読む

    • すべてのサイトコレクションでのファイル書き込み(近日公開予定)

Microsoft SharePoint APIコネクタの操作

このセクションでは、Microsoft 365およびSharePointのAPIコネクタを作成し、それらをCatoアカウントに接続する方法を説明します。

Microsoft SharePoint APIコネクタの理解

データ保護APIがMicrosoft SharePointのアセットと内容をスキャンできるようにするには、まずMicrosoft 365コネクタを親アプリとして設定し、SharePointコネクタに読み取り権限を与える必要があります。 親アプリはMicrosoftコネクタを管理する権限しか持っていません。 その後、必要に応じて、Azureテナントごとに別のMicrosoft 365コネクタを作成することができます。

ステップ1:Microsoft 365 コネクタの作成

Cato Management アプリケーションを使用して、Azure テナント用の Microsoft 365 SaaS アプリケーションコネクタを作成します。Microsoft SharePoint アプリケーションを Data Protection API でスキャンしています。 Microsoft SharePoint アプリケーションを Cato アカウントに追加するには、正しい資格情報を持っている必要があります。

最初に、MSテナント統合を親エンドポイントコネクタとして設定します。 このコネクタは、すべての Microsoft 統合に使用できます。 すでに親エンドポイントコネクタを作成している場合は、ステップ2に進んでください。

Create_API_Connector.png

Microsoft 365親コネクタを作成するには:

  1. ナビゲーションメニューからリソース > 統合を選択し、統合アプリケーションタブをクリックします。

  2. 新規をクリックします。 新規コネクタパネルが開きます。

  3. 新規コネクタパネルで、MSテナント(新規MSテナントを設定)アプリを選択します。

    New_Microsoft_365_Connector.png

  4. 認証して保存をクリックします。

    新しいブラウザタブがMicrosoft 365アプリ用に開きます。

  5. 新しいブラウザタブで、Microsoft 365アプリに認証します:

    1. Microsoft 365アプリ用のMicrosoftアカウントを選択します。

      そうしないと、Microsoft認証エラーが発生する可能性があります。

    2. アプリのパスワードを入力し、それを承認します。

    3. 承認するを権限によりCatoがMicrosoft 365アプリにアクセスできるようにします。

    4. 画面にアプリの権限が正常に適用されたことが表示されます。

      Success_Connector_Permissions.png

      ブラウザタブを閉じてCato管理アプリケーションに戻ることができます。

  6. Microsoft 365 SaaS アプリケーションが統合アプリケーションタブに追加されます。

ステップ2:Microsoft SharePoint コネクタの作成

Microsoft SharePointコネクタにより、Cato SaaS APIエンジンがメールのスキャンを行い、データ保護ポリシーで定義されている内容に対して内容をスキャンできます。

注意: Microsoft 365アプリのAPIコネクタを作成する際、コネクタは3ヶ月間有効な認証証明書を作成し、期限の7日前に証明書を更新します。

Microsoft SharePoint用コネクタを作成するには:

  1. ナビゲーションメニューからリソース > 統合を選択し、統合 APIタブをクリックします。

  2. 新規をクリックします。 新規コネクタパネルが開きます。

  3. SaaS アプリケーションで、Microsoft SharePointを選択します。

  4. 親コネクタで、前のセクションで作成したMicrosoft 365親コネクタを選択します。

  5. コネクタ名を入力します。

  6. 権限で、読み取り/書き込み権限を選択します。

  7. 保存をクリックします。 Catoコネクタアプリが作成されます。 これには最大30秒かかることがあります。

    SaaS_Security_API_App_Created.png

  8. コネクタの作成を承認するには承認するをクリックします。

    SaaS_Security_API_Authorize.png

  9. 新しいブラウザタブで、SharePointアプリケーションに認証します。

    1. SharePointアプリケーション用のMicrosoftアカウントを選択します。

    2. アプリケーションのパスワードを入力し、承認する。

    3. Catoがアプリケーションにアクセスするための権限を受け入れます。

      Sharepoint_Permissions.png

    4. 画面には、アプリケーションに対する権限が正常に適用されたことが示されています。

      ブラウザタブを閉じて、Cato管理画面に戻ることができます。

      Microsoft SharePointがリクエストを処理するのに数秒かかることがありますので、エラーが発生した場合は、ブラウザを更新してください。

  10. SharePoint SaaS アプリケーションが統合 APIタブに追加されます。

コネクタステータスの理解

コネクタ設定画面のステータス列には、MicrosoftアプリケーションとCatoアカウント間の接続ステータスが表示されます。 These are the explanations of the statuses:

  • 接続済み - アカウントがアプリケーションに接続されており、正常に動作しています

  • 接続警告 - Azureのテナント内の一部のユーザーは、データ保護APIをサポートするように正しく設定されていません(例:ユーザーのメールアドレスが定義されていない)。 サポートと共にチケットを開いてください。

  • 接続エラー - 接続性または権限の問題、またはMicrosoftコネクタに関連するレート制限(Microsoftの制限)。 サポートと共にチケットを開いてください。

SharePointルールをデータ保護ポリシーに追加する

このセクションでは、ユーザーがSharePointファイルで行う操作を監視および管理するためにデータ保護ポリシーを使用する方法について説明します。 例えば、ファイルの共有、新しいファイルの作成、アップロードなど。

DLPコンテンツプロファイルの詳細については、DLPコンテンツプロファイルの作成をご覧ください。

SharePointアクションの理解

データ保護ルールを作成するときに、ルールに一致した場合のポリシー違反を監視または修正するためのさまざまなアクションを定義できます。 各アクションは自動的にイベントを生成し、メール通知を受け取ることも選択できます。 データ保護 APIイベントについての詳細は、「データ保護 API イベントの分析」をご覧ください。

These are the actions you can set for the Data Protection engine to perform when a rule is matched:

  • モニタ - ルールに一致するトラフィックを監視するためのイベントを生成します。

  • 隔離 - ユーザーがファイルをアップロードしようとしたとき、データ保護APIエンジンがそのファイルを隔離フォルダーに移動し、ユーザーはそれにアクセスできなくなります。 SharePoint管理者は隔離フォルダー内のファイルにアクセスできます。 隔離フォルダの設定については、以下の「ファイル隔離の準備」をご覧ください。

ファイル隔離の準備

データ保護および脅威防止ルールのために隔離フォルダーを設定し、SharePoint管理者にフォルダーへのアクセス権限を定義します。 テナントごとにSharePoint管理者のために隔離フォルダーを設定できます。 フォルダーを設定すると、隔離アクションを使用してルールを作成し、ファイルが移動されるフォルダーを定義できます。

SaaS_Security_API_Settings_SharePoint.png

SharePoint管理者のために隔離フォルダーを設定するには:

  1. ナビゲーションペインからセキュリティ > アプリ & データAPI保護を選択し、設定タブを選択します。

  2. 新規をクリックします。 隔離フォルダーパネルが開きます。

    SaaS_Security_API_Settings_Onedrive_Quarantine_Folder.png

  3. SharePointアプリケーションコネクタを選択します。

  4. SharePoint管理者を選択し、これらの隔離フォルダーにアクセスできるようにします。

  5. 保存をクリックしてください。

    データ保護フォルダーと脅威防止フォルダーが管理者のために作成されており、隔離アクションを使用したルールで構成することができます。 The folders are named with the admin's email address, and located in the following SharePoint directories:

    • データ保護フォルダー:Cato_Qarantine/Cato_Qarantine_DataProtection

    • 脅威防止フォルダー:Cato_Qarantine/Cato_Qarantine_ThreatPrevention

SharePointルールの設定

データ保護ページを使用して、データ保護ポリシーにSaaSアプリケーションルールを追加します。

データ保護APIでスキャンするトラフィックを定義するために、データ保護ルールを作成します。 それぞれのSaaSアプリコネクタに対して個別のルールを作成し、どのトラフィックがスキャンされるかを決定する基準を定義します。

スキャンされたファイルには、SharePointと共有されているTeamsおよびOneNoteのファイルも含まれます。

SharePoint ルール設定の詳細については、以下の「SharePoint ルールの理解」をご覧ください。

SharePoint_Rule.png

SharePointアプリのために新しいデータ保護ルールを作成するには:

  1. ナビゲーションペインからセキュリティ > アプリ & データAPI保護を選択し、データ保護を選択または展開します。

  2. 新規をクリックします。 新規ルール パネルが表示されます。

  3. アプリケーションコネクタ で、SharePoint アプリを選択します。

  4. 一般 セクションで、ルールの設定を入力します。

  5. 所有者 で、1人以上の SharePoint ファイル所有者を選択します(デフォルト値は どのようなアクセス権限でも可能 です)。

    複数の所有者を選択すると、それらの間にまたは関係があります。

  6. 共有オプション で、1つ以上のファイル権限タイプを選択します(デフォルト値は どのようなアクセス権限でも可能 です)。

    複数のオプションを選択すると、それらの間にまたは関係があります。

  7. 添付 で、スキャンするファイルを指定する基準を定義します(デフォルトの設定は、すべてのファイルをスキャンすることです)。

  8. コンテンツプロファイル で、このルールに対する DLP コンテンツプロファイルを選択します。

    DLPコンテンツプロファイルの詳細については、DLPコンテンツプロファイルの作成をご覧ください。

  9. アクション を選択します。

    隔離 アクションの場合、隔離フォルダのパス を選択します。 隔離フォルダについての詳細は、上の「ファイル隔離の準備」をご覧ください。

  10. (オプション) トラッキングオプションを設定して、イベントを生成し、通知を送信します。

    通知に関する詳細情報は、アラート セクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事を参照してください。

  11. 保存 をクリックしてください。 ルールがデータ保護ポリシーに追加されます。

SharePoint ルールの理解

このセクションでは、データ保護ルールの設定を定義して、正しい SharePoint トラフィックをスキャンする方法を説明します。 各ルールは、次の基準に従って定義できます:

  • 所有者 - 関連する SharePoint ディレクトリの所有者である個々のサイトまたは Azure ユーザータイプ(デフォルト値は 任意)

  • 共有オプション - このルールに一致するファイル共有権限のタイプを選択します(デフォルト値は 任意)

    たとえば、外部のユーザーと共有されているファイルを監視するには、外部リンク を選択します。

  • 添付 - スキャンする添付ファイルの基準(デフォルト値はすべての添付ファイル)

    • ファイルタイプ

    • ファイル名

    • ファイルサイズ(最大ファイルサイズは100 MB)

  • コンテンツプロファイル - DLP コンテンツプロファイルで DLP コンテンツ検査を定義します(セキュリティ > DLP プロファイル > DLP プロファイル > コンテンツプロファイル)

  • アクション - ルールが一致したときにイベントを生成するかどうかを選択します

ルールに対するファイルまたは添付ファイルの定義

ルールに特定のファイル(または添付ファイル)を定義し、それらのファイルが DLP コンテンツプロファイルに一致するかどうかを確認するために、SaaS API エンジンを指定されたファイルのみスキャンするように制限することができます。

ルールに複数のファイルを追加する際、それらの間の関係を選択します:

  • すべてを満たす(OR) - ルール内のファイルタイプのうち1つ以上一致

  • すべて満たす(AND) - ルール内のすべてのファイルタイプに一致(それ以外の場合、ルールは無視されます)

ルールの中でファイル名の設定を使用して、完全なファイル名を定義したり、ワイルドカードを使用してキーワードを定義したりできます。 たとえば、ファイル名を 内部 と定義して、内部 という単語を含むすべてのファイル名に一致させることができます。

順番に並べたデータ保護ルールの利用

データ保護 API エンジンはデータを順次検査し、ルールに一致するかどうかを確認します。 データがルールと一致しない場合、それは検査されません。 ルールベースの上にあるルールは優先順位が高く、それらはルールベースの下にあるルールよりも先に適用されます。 各種のアプリケーションまたはコネクタは、データには一度だけ適用されます。

ベストプラクティス - ルールベースの効率を最大化するために、各コネクタタイプに対して特定のユーザーに対するルールは、どのようなアクセス権限でも可能 ユーザーに適用されるルールよりも優先順位が高くなることをお勧めします。

たとえば、データがルール #2 のコネクタに一致する場合、そのデータは データ保護 API エンジンによって検査されます。 エンジンは同じコネクタに対してルール #3 以降を適用し続けません。 ただし、データは異なるコネクタで下位の優先順位ルールと一致する場合があります。

コネクタに脅威保護を追加

コネクタに対する脅威保護ルールを作成して、アカウントに有効なアンチマルウェアおよび次世代アンチマルウェアエンジンを使用して、ファイルおよび添付ファイルのマルウェアとウイルスをスキャンできます。 データ保護 API エンジンはコネクタトラフィックをスキャンし、ルールのために構成したアクションとトラッキングオプションを適用します:

  • トラフィックを監視(まもなくブロックがサポートされる予定)

  • イベントを生成する

  • 電子メール通知を送信する

App & Data API Protection ルールを作成する場合、アカウントに有効なアンチマルウェアエンジン(セキュリティ > アンチマルウェア)がそのコネクタアプリケーションに送信されたファイルのマルウェアをスキャンします。

以下のスクリーンショットは、内部ユーザーまたはゲストによって送信されたファイルをスキャンする OneDrive コネクタ用の脅威保護ルールを示しています:

CAS_Threat_Protection.png

ファイルの例外を作成

時には、Catoのデータ保護APIエンジンによってブロックされたファイルが安全であることを知っている場合、そのファイルをネットワークで許可する必要があります。 ファイルハッシュポリシーのマルウェア対策例外は、アプリ & データAPI保護にも適用されます。 ファイルをファイルハッシュポリシーに追加する方法の詳細については、マルウェア対策例外の管理を参照してください。

データ保護APIイベントの分析

ホーム > イベント ページには、アカウントに関するすべてのデータ保護APIイベントが表示されます。 強力な検索ツールを使用すると、必要なデータを含むいくつかのイベントを絞り込んで識別することができます。

データ保護APIイベントは、次の項目で識別できます:

  • イベントタイプ - セキュリティ

  • サブタイプ - SaaS セキュリティ API データ保護およびSaaSセキュリティAPIマルウェア対策

イベントページの使用についての詳細はこちらをご覧ください。

データ保護APIイベント項目の説明

項目名

説明

共同作業者

ファイルを受け取ったユーザーのメールアドレス

コネクタ名

ルールに定義されたコネクタ名

コネクタの種類

このコネクタに定義されたSaaSアプリ

DLPプロファイル

このイベントを生成したDLPコンテンツプロファイル

ファイル名

添付されたファイルの名前

一致したデータの種類

ルールに一致したコンテンツプロファイル内のデータタイプ

親コネクタの種類

親Microsoft 365コネクタ

ルール

データ保護ポリシーのルール名

所有者

ファイルの所有者

セベリティ

ルールに定義されたセベリティ

共有スコープ

SharePointファイルの共有オプション

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント