Microsoft Exchange: データ保護 API コネクタの設定

この記事は、アプリケーション & データ API 保護ポリシーのために、Microsoft 365 と Microsoft Exchange コネクタを構成する方法を説明します。

アプリケーション & データ API 保護ポリシーはCatoの別ライセンスが必要です。 詳細については、Catoの担当者または公式リセラーにお問い合わせください。

注記

注記: SaaSecAPI@catonetworks.com または公式な Cato のリセラーにお問い合わせいただくことで、App & Data API Protectionポリシーの使用についてさらに詳しく知ることができます。

Microsoft Exchange コネクタの概要

データ保護 API ソリューションの最初のステップは、Microsoft 365 と Exchange の Microsoft SaaS アプリケーション用のコネクターを作成することです。 複数のAzure ADテナントを持つアカウントの場合、複数のMicrosoft 365コネクタを作成できます。 さらに、各Microsoft 365 親コネクタには複数のExchange コネクタを作成することができます。

各Microsoft ExchangeアプリケーションとAzureテナント (365アプリケーションによる) は、Microsoftのレート制限の対象となります。 詳細については、Microsoft ドキュメントを参照してください。

前提条件

  • Microsoft 365コネクタは、データ保護 APIへの権限を与えるためにグローバル管理者ロールを持つ管理者が必要です

  • コネクタはファイルを監視しており、他のアクションは今後サポートされる予定です

Microsoft Exchange 用 API コネクタに必要な権限

データ保護 API に Exchange メールのアセットとコンテンツをスキャンさせるために、コネクタは Exchange アプリケーションによる以下の権限とアクションを Cato に付与します:

  • Oauth2 を使用してアプリにアクセスを許可

  • アプリからトークンを受け取り、安全な接続を確立および維持する

  • アプリケーション & データ API 保護ポリシーに従って、Microsoft API に接続し、データを取得しメールをスキャン

Microsoft Exchange コネクタの操作

Microsoft Exchange のアセットとコンテンツをスキャンするためにデータ保護 API を有効にするには、まず Microsoft 365 コネクタを親アプリケーションとして構成し、Exchange コネクタへの読み取り権限を与える必要があります。 親アプリケーションは、Microsoft コネクタを管理する権限しか持っていません。 Cato 管理アプリケーションでアプリを簡単に作成できます。Microsoft Azure の設定を構成する必要はありません。 その後、各Azureテナントごとに個別のMicrosoft 365 コネクタを作成します。

ステップ 1: Microsoft 365 コネクタの作成

Cato管理アプリケーションを使用して、スキャンするMicrosoft Exchangeアプリケーション用にAzureテナント向けMicrosoft 365 SaaSアプリケーションコネクタを作成します。 Microsoft Exchange アプリケーションを Cato アカウントに追加するには、正しい認証情報が必要です。

コネクタ設定を作成して構成する前に、まずデータ保護 APIをアカウントで有効にする必要があります。

最初に、親コネクターとしてMS テナント統合を設定します。 このコネクタはすべての Microsoft 統合に使用できます。 既に親コネクタを作成済みの場合は、ステップ2に進みます。

Create_API_Connector.png

Microsoft 365親コネクタを作成するには:

  1. ナビゲーションメニューから リソース > 統合 を選択し、統合 API タブをクリックしてください。

  2. 新規 をクリックします。 新規コネクタ パネルが開きます。

  3. 新規コネクタ パネルで、Microsoft 365 アプリを選択します。

    New_Microsoft_365_Connector.png

  4. 認証して保存をクリックします。

    新しいブラウザタブが開き、Microsoft 365 アプリへ進みます。

  5. 新しいブラウザタブで、Microsoft 365アプリに認証します:

    1. Microsoft 365 アプリの Microsoft アカウントを選択します。

      それ以外の場合は、Microsoft 認証エラーが発生する可能性があります。

    2. アプリのパスワードを入力し、承認します。

    3. Cato が Microsoft 365 アプリにアクセスできるように権限を承認する

    4. 画面にアプリに対する権限が正常に適用されたことが表示されます。

      Success_Connector_Permissions.png

      ブラウザタブを閉じ、CMA に戻ることができます。

  6. Microsoft 365 SaaS アプリケーションが 統合 API タブに追加されます。

ステップ 2: Microsoft Exchange コネクタの作成

Microsoft 365 コネクタが Cato アカウントに接続された後、必要な Exchange コネクタを作成できます。 Exchange コネクタを使って、Cato の SaaS API エンジンがデータ保護ポリシーで定義された内容をスキャンします。 ポリシーのルールに一致するメールはすべてイベントが生成されます。

注記

注意: Microsoft 365アプリ用のAPIコネクタを作成する場合、コネクタは3か月有効な認証証明書を作成し、有効期限の7日前に証明書を更新します。

Microsoft Exchange用コネクタを作成するには:

  1. ナビゲーションメニューから リソース > 統合 を選択し、統合 API タブをクリックしてください。

  2. 新規 をクリックします。 新規コネクタ パネルが開きます。

  3. 前のステップで作成したコネクタの親のために、新しいExchange SaaS アプリケーションを作成します。

    現在、Exchange アプリでは参照権限とアクションのみがサポートされています。 しかし、近いうちに参照と編集権限とアクションがサポートされる予定です。

  4. 認証して保存をクリックします。

  5. 新しいブラウザタブで、Exchange アプリに認証します。

    1. Exchange アプリの Microsoft アカウントを選択し、ログインします。

    2. アプリのパスワードを入力し、承認します。

    3. 承認 Cato の権限を承認し、Exchange アプリケーションにアクセスします。

    4. 画面には、アプリの権限が正常に適用されたことが表示されています。

      ブラウザタブを閉じて Cato 管理アプリケーションに戻ります。

      Microsoft Azure がリクエストを処理するには数秒かかることがあります。エラーが出た場合は、ブラウザを更新してください。

  6. Exchange SaaS アプリケーションが 統合 API タブに追加されます。

データ保護ポリシーへのExchangeルールの追加

このセクションでは、データ保護ポリシーを使用して、ユーザーが Microsoft Exchange で送信するメールや添付ファイルを監視および管理する方法を説明します。

Exchangeルールの設定

データ保護ページを使用して、SaaS アプリケーションルールをデータ保護ポリシーに追加します。

Exchange ルール設定の詳細については、下記のExchange ルールの理解をご覧ください。

SaaS_API_Data_Protection.png

Exchange アプリの新規データ保護ルールを作成するには:

  1. ナビゲーションペインから セキュリティ > アプリ&データAPI保護 を選択し、データ保護 を選択または展開します。

  2. 新規 をクリックしてください。 新規ルール パネルが表示されます。

  3. アプリケーションコネクタ で、Exchange アプリを選択します。

  4. 一般 セクションで、ルールの設定を入力します。

  5. 送信者 で、メールを送信する Azure AD ユーザーを定義します (デフォルト設定はすべて)。

  6. 受信者 で、メールを受信する Azure AD ユーザーを定義します (デフォルト設定はすべて)。

  7. 添付 で、スキャンされるメールの添付ファイルを指定する条件を定義します (デフォルト設定はすべての添付ファイルをスキャン)。

  8. コンテンツプロファイル で、このルール用の DLP コンテンツプロファイルを選択します。

    メール件名 にキーワードを入力して、それらのキーワードを含むメールのみをスキャンするように制限できます。

    DLPコンテンツプロファイルの詳細については、DLPコンテンツプロファイルの作成をご覧ください。

  9. アクション で、モニター を選択します。

  10. (任意) トラッキングオプションを設定して、イベント を生成し通知を送信します。

    通知に関する詳細情報は、アラートセクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事を参照してください。

  11. 保存 をクリックしてください。 ルールがデータ保護ポリシーに追加されます。

Exchangeルールの理解

本セクションでは、適切な Exchange トラフィックをスキャンするためにデータ保護ルールの設定を定義する方法を説明します。

  • 送信者 - メールを送信する個人ユーザーまたは Azure タイプのユーザー (デフォルト値はすべて)

  • 受信者 - メールを受信する個人ユーザー、Azure タイプのユーザー、またはメールドメイン (デフォルト値はすべて)

  • 添付ファイル - スキャンされる添付ファイルの基準 (デフォルト値はすべての添付ファイル)

    • ファイルタイプ

    • ファイル名

    • ファイルサイズ (最大ファイルサイズは 100 MB)

  • コンテンツプロファイル - DLP コンテンツプロファイルが DLP コンテンツの検査を定義 (セキュリティ > DLP プロファイル > DLP プロファイル > コンテンツプロファイル)

送信者および受信者の操作

データ保護ポリシーの各ルールに特定の 送信者 および 受信者 を定義できます。 Cato 管理アプリケーションは、Office 365 コネクタで定義されたテナントの Azure AD に接続します。 ルールに表示される個々のユーザーは、この Azure AD に基づいており、あなたの Cato アカウントに定義されたユーザーとは関連していません。

必要なユーザーが見つからない場合、ユーザーが Azure AD テナントで正しく定義されていることを確認し、その後でデータ保護ルールを設定します。

Azure AD はこれらのタイプのユーザーを定義します:

  • 内部

  • 外部

  • ユーザー

ルールの 受信者 に対して、メールアドレスドメインを定義することもできます。

ルール用のファイルまたは添付ファイルの定義

特定のファイル(または添付ファイル)をルールに定義し、SaaS API エンジンが指定されたファイルのみをスキャンして DLP コンテンツプロファイルに一致するかどうか確認するように制限できます。

複数のファイルをルールに追加する場合、それらの関係を選択します:

  • いずれかの満足 (OR) - ルール内のファイルタイプのいずれかに一致する

  • すべてを満たす (AND) - ルール内のすべてのファイルタイプに一致する (そうでなければ、ルールは無視される)

ルール内のファイル名設定を使用して、正確なファイル名を定義するか、ワイルドカードを使用してキーワードを定義できます。 たとえば、ファイル名を internal と定義して、単語 internal を含むすべてのファイル名に一致させることができます。

順序付きデータ保護ルールの操作

データ保護API エンジンは、データを逐次的に検査し、ルールに一致するかどうかを確認します。 データがルールに一致しない場合、検査されません。 ルールベースの上にあるルールは優先度が高く、ルールベースの下にあるルールよりも適用されます。 各種アプリケーションやコネクタはデータに一度だけ適用されます。

ベストプラクティス - ルールベースの効率を最大化するために、各コネクタタイプに対して、特定のユーザーに対するルールが任意のユーザーに適用されるルールよりも高い優先度を持っていることをお勧めします。

例えば、データがルール#2のコネクタに一致する場合、データはデータ保護 APIエンジンによって検査されます。 エンジンは、同じコネクタに対してルール#3以降の適用を続けません。 しかし、データは異なるコネクタを持つ低い優先度のルールに一致する可能性があります。

コネクタへの脅威保護の追加

コネクタのファイルと添付ファイルをスキャンしてマルウェアとウイルスを検出するために、アカウントで有効になっているアンチマルウェアと次世代アンチマルウェアエンジンを使用して脅威保護ルールを作成できます。 データ保護 APIエンジンはコネクタのトラフィックをスキャンし、ルールに対して設定したアクションとトラッキングオプションを適用します:

  • トラフィックを監視する(ブロックは近日中にサポートされる予定です)

  • イベントを生成する

  • メール通知を送信する

アプリ&データ API 保護ルールを作成すると、アカウントで有効化されているアンチマルウェアエンジン(セキュリティ > アンチマルウェア)が、そのコネクタアプリケーションに送信されるファイルに対してマルウェアスキャンを実行します。

次のスクリーンショットは、内部ユーザーまたはゲストによって送信されたファイルをスキャンするOneDriveコネクタのための脅威保護ルールを示しています:

CAS_Threat_Protection.png

ファイルの例外を作成する

時々、安全であると分かっているファイルがCatoのデータ保護APIエンジンによってブロックされることがあり、ネットワークでそれを許可する必要があります。 ファイルハッシュポリシーのマルウェア対策例外は、アプリ&データAPI保護にも適用されます。 ファイルをファイルハッシュポリシーに追加する方法について詳しくは、マルウェア対策例外の管理をご覧ください。

データ保護APIイベントの分析

ホーム > イベントページでは、アカウントのすべてのデータ保護 APIイベントを表示します。 強力な検索ツールを使用して、必要な関連データを含むいくつかのイベントを絞り込み、特定することができます。

データ保護 APIイベントは、次のフィールドで識別できます:

  • イベントタイプ - セキュリティ

  • サブタイプ - SaaS セキュリティ API データ保護と SaaS セキュリティ API アンチマルウェア

イベントページの使用についての詳細はこちらをご覧ください。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント