この記事では、アカウントのためのSaaS セキュリティ API ポリシー用にMicrosoft 365とMicrosoft Exchangeのコネクタを設定する方法を説明します。
SaaSセキュリティAPIポリシーには、Catoからの別個のライセンスが必要です。 詳細については、Catoの担当者または公式リセラーにお問い合わせください。
注意
注意: SaaSセキュリティAPIポリシーの利用に関する詳細は、SaaSecAPI@catonetworks.comまたは公式Catoリセラーにお問い合わせください。
CatoのSaaS セキュリティ APIソリューションの最初のステップは、Microsoft SaaSアプリケーション、Microsoft 365およびExchange用のコネクタを作成することです。 複数のAzure ADテナントを持つアカウントには、複数のMicrosoft 365コネクタを作成できます。 さらに、各Microsoft 365親コネクタのために複数のExchangeコネクタを作成できます。
各Microsoft ExchangeアプリとAzureテナント(365アプリによる)には、Microsoftのレート制限が適用されます。 詳細については、Microsoftのドキュメントをご覧ください。
CatoのSaaS セキュリティ APIがMicrosoft Exchangeのアセットとコンテンツをスキャンできるようにするには、まずMicrosoft 365コネクタを親アプリとして構成し、Exchangeコネクタに読み取り権限を与える必要があります。 親アプリにはMicrosoftコネクタを管理するための権限しかありません。 Cato管理画面で簡単にアプリを作成でき、Microsoft Azureで設定を構成する必要はありません。 その後、各Azureテナントのために別々のMicrosoft 365コネクタを作成します。
Cato管理アプリケーションを使用して、SaaSセキュリティAPIでスキャンしているMicrosoft ExchangeアプリのAzureテナント用にMicrosoft 365 SaaSアプリケーションコネクタを作成します。 Microsoft ExchangeアプリをCatoアカウントに追加するためには、正しい認証情報が必要です。
コネクタ設定を作成・設定する前に、まずアカウントのためのSaaSセキュリティAPIを有効にする必要があります。
To create the Microsoft 365 parent connector:
-
ナビゲーションメニューから、リソース > 統合を選択し、SaaSセキュリティAPIデータ保護をクリックします。
-
新規をクリックします。 新規コネクタパネルが開きます。
-
新規コネクタパネルで、Microsoft 365アプリを選択します。
-
認証して保存をクリックします。
A new browser tab opens to the Microsoft 365 app.
-
In the new browser tab, authenticate to the Microsoft 365 app:
-
Select the Microsoft account for the Microsoft 365 app.
そうしないと、Microsoft認証エラーが発生する可能性があります。
-
アプリのパスワードを入力し、承認します。
-
Accept the permissions to let Cato access the Microsoft 365 app.
-
画面には、アプリ用の権限が正常に適用されたことが示されます。
ブラウザタブを閉じて、Cato管理アプリケーションに戻ることができます。
-
-
Microsoft 365 SaaSアプリケーションがインストール済みSaaSアプリケーションページに追加されます。
After the Microsoft 365 connector is connected to your Cato account, you can create the required Exchange connectors. Exchangeコネクタは、データ保護ポリシーで定義された内容の電子メールをスキャンするためのCato SaaS APIエンジンを可能にします。 ポリシー内のルールに一致する任意の電子メールのイベントが生成されます。
注意
Note: When you create an API connector for a Microsoft 365 app, the connector creates an authentication certificate that is valid for 3 months, and renews the certificate 7 days before expiration.
To create the connector for Microsoft Exchange:
-
ナビゲーションメニューから、リソース > 統合 を選択し、SaaS セキュリティ API データ保護 をクリックします。
-
新規をクリックします。 新規コネクタパネルが表示されます。
-
前のステップで作成したコネクタ親のために、新しいExchange SaaS アプリケーションを作成します。
現在、Exchange アプリケーションでは、参照のみの権限とアクションのみがサポートされています。 しかし、間もなく参照と編集の権限とアクションがサポートされる予定です。
-
認証して保存をクリックします。
-
新しいブラウザタブで、Exchange アプリケーションに認証します。
-
Exchange アプリケーションの Microsoft アカウントを選択してログインします。
-
アプリケーションのパスワードを入力して承認する。
-
Cato が Exchange アプリケーションにアクセスするための権限を承認する。
-
画面には、アプリケーションへの権限が正常に適用されていることが表示されます。
ブラウザタブを閉じて、Cato 管理アプリケーションに戻ります。
Microsoft Azure がリクエストを処理するのに数秒かかる場合があるため、エラーが表示された場合は、ブラウザをリフレッシュしてください。
-
-
Exchange SaaS アプリケーションが、SaaS セキュリティ API データ保護ページに追加されます。
このセクションでは、データ保護ポリシーを使用して、Microsoft Exchange でユーザーが送信するメッセージと添付ファイルを監視および管理する方法を説明します。
データ保護ページを使用して、データ保護ポリシーに SaaS アプリケーションルールを追加します。
Exchange ルール設定の詳細については、以下を参照してください。Exchange ルールの理解。
To create a new Data Protection rule for the Exchange app:
-
ナビゲーション ペインから、セキュリティ > SaaS セキュリティ API ポリシーを選択し、データ保護を選択または展開します。
-
新規をクリックします。 新規ルールパネルが表示されます。
-
アプリケーションコネクタで、Exchangeアプリを選択します。
-
一般セクションで、ルールの設定を入力します。
-
送信者で、メールを送信しているAzure ADユーザーを定義します(デフォルト設定は任意)。
-
受信者で、メールを受信しているAzure ADユーザーを定義します(デフォルト設定は任意)。
-
添付ファイルで、スキャンされるメール添付ファイルを指定する基準を定義します(デフォルト設定はすべての添付ファイルをスキャン)。
-
コンテンツプロファイルで、このルールのDLPコンテンツプロファイルを選択します。
メール件名にキーワードを入力して、スキャンをそれらのキーワードを含むメールのみに制限できます。
DLPコンテンツプロファイルの詳細については、DLPコンテンツプロファイルの作成をご覧ください。
-
アクションで、モニタを選択します。
-
(任意) 追跡オプションを設定してイベントを生成し通知を送信します。
通知に関する詳細は、サブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事をアラートセクションでご覧ください。
-
保存をクリックしてください。 ルールがデータ保護ポリシーに追加されます。
このセクションでは、正しいExchangeトラフィックをスキャンするためのデータ保護ルールの設定方法を説明します。
データ保護ポリシーの各ルールに対し、特定の送信者と受信者を定義できます。 Cato管理画面はOffice 365コネクタで定義されたテナントのAzure ADに接続します。 ルールに表示される個別のユーザーはこのAzure ADに基づいており、Catoアカウントで定義されたユーザーとは関係ありません。
必要なユーザーが表示されない場合、ユーザーがAzure ADテナントで正しく定義されていることを確認し、データ保護ルールを設定します。
Azure ADは以下の種類のユーザーを定義します:
-
内部
-
外部
-
ユーザー
ルールの受信者について、メールアドレスドメインも定義できます。
ルールに特定のファイル(または添付ファイル)を定義し、SaaSセキュリティAPIエンジンが指定されたファイルのみをスキャンするよう制限して、DLPコンテンツプロファイルと一致するかどうかを確認できます。
ルールに複数のファイルを追加する場合、それらの関係を選択します:
ルールでファイル名設定を使って正確なファイル名を定義するか、ワイルドカードを使ってキーワードを定義できます。 例えば、ファイル名を内部として、単語内部を含むすべてのファイル名と一致させることができます。
SaaSセキュリティAPIエンジンはデータを順次検査し、ルールに一致するかどうかを確認します。 データがルールに一致しない場合、それは検査されません。 ルールベースのトップにあるルールは優先順位が高く、それらはルールベースの下位にあるルールよりも先に適用されます。 各種のアプリケーションやコネクタはデータに1度だけ適用されます。
ベストプラクティス - ルールベースの効率を最大化するため、各コネクタタイプについて、特定のユーザーのルールがすべてのユーザーに適用されるルールよりも高い優先順位を持つことをお勧めします。
例えば、データがルール#2のコネクタと一致する場合、データはSaaSセキュリティAPIエンジンによって検査されます。 ただし、エンジンは同じコネクタに対してルール#3以下を適用することはありません。 データは異なるコネクタを持つ低い優先順位のルールと一致する場合があります。
アカウントに有効化されているマルウェア対策および次世代アンチマルウェアエンジンを使用して、コネクタに対する脅威保護ルールを作成し、ファイルと添付ファイルをマルウェアとウイルスからスキャンできます。 SaaS セキュリティ API エンジンはコネクタトラフィックをスキャンし、ルールのために設定したアクションとトラッキングオプションを適用します:
-
トラフィックを監視する(ブロックはまもなくサポートされます)
-
イベントを生成する
-
メール通知を送信する
SaaS セキュリティ API 脅威保護ルールを作成すると、アカウントに有効化されている悪性ソフトウェア対策エンジン(セキュリティ > アンチマルウェア)が、そのコネクタアプリケーションのために送信されたファイルに対してマルウェアスキャンを実施します。
以下のスクリーンショットは、OneDrive コネクタに対する脅威保護ルールを示しており、内部ユーザーまたはゲストが送信したファイルをスキャンします:
時には、カトのSaaS セキュリティ API エンジンによってブロックされたファイルがあり、それが安全であることを知っていて、ネットワークで許可する必要があります。 イベントページでは、ファイルハッシュを使用して、脅威保護のスキャンをバイパスする例外を作成できます。 特定のブロックされたファイルのイベントを開いた後、例外の構成 パネルを開くためにファイルハッシュをクリックし、アカウントの例外としてファイルを追加します。 ファイル例外の期間を選択するか、例外を永続化するように構成できます。
アンチマルウェアとSaaSセキュリティAPIのファイル例外
ファイル例外は、アンチマルウェアおよびSaaS セキュリティ API 脅威保護ポリシーに適用されます。 アンチマルウェアと次世代アンチマルウェアイベントから例外を作成すると、これらの例外はSaaS セキュリティ API 脅威保護ポリシーにも適用されます。 同様に、SaaS セキュリティ API アンチマルウェアイベントからファイル例外を作成すると、これらの例外もアンチマルウェアポリシーに適用されます。 完全なファイル例外リストは、アンチマルウェアページとSaaS セキュリティ API 脅威保護ページの両方に表示されます。
ホーム > イベントページには、アカウントのSaaS セキュリティ API の全てのイベントが表示されます。 強力な検索ツールを使用すれば、必要な関連データを含むイベントを絞り込み、特定することができます。
SaaS セキュリティ API イベントは以下のフィールドで識別できます:
イベント画面の使用についてサイナー証明書の拇印コードを 40 文字で入力してください。チーム識別子を入力してください。から詳細をご確認ください。 SaaS セキュリティ API データ保護プリセットを使用してイベントをフィルタリングすることができます。
0件のコメント
サインインしてコメントを残してください。