이 기사는 계정용 앱 및 데이터 API 보호 정책에 대한 Microsoft OneDrive 커넥터를 구성하고 데이터 보호 정책에 대한 OneDrive 규칙을 만들기 위한 방법을 설명합니다
앱 및 데이터 API 보호 정책에는 카토에서 별도의 라이선스가 필요합니다. 자세한 내용은 카토 담당자 또는 공식 리셀러에게 문의하시기 바랍니다.
참고사항
참고: SaaSecAPI@catonetworks.com 또는 공식 Cato 재판매업체에 App & Data API Protection 정책 사용에 대한 추가 정보를 문의하십시오.
Microsoft 365 및 OneDrive SaaS 앱용 커넥터를 생성합니다.
각 Microsoft OneDrive 앱 및 Azure 테넌트(365 앱에 따라)가 Microsoft의 레이트 제한을 따릅니다. 더 많은 정보는 Microsoft documentation를 참고하세요.
데이터 보호 API가 OneDrive 파일 및 폴더의 자산과 콘텐츠를 스캔할 수 있도록 하려면, 커넥터가 OneDrive 앱과 함께 카토에 다음 권한과 작업을 부여합니다:
-
Oauth2를 사용하여 앱에 대한 접근을 허용합니다
-
앱에서 토큰을 받아 안전한 연결을 설정 및 유지합니다
-
앱 및 데이터 API 보호 정책에 따라 Microsoft API에 연결하여 데이터를 가져오고 파일을 스캔합니다. 여기에는 다음이 포함됩니다:
-
모든 사이트 컬렉션에서 파일을 읽습니다
-
사용자의 전체 프로필을 읽고 로그인합니다
-
모든 사이트 컬렉션에 파일을 작성합니다 (곧 제공 예정)
-
이 섹션에서는 Microsoft 365와 OneDrive의 API 커넥터를 생성하고 이를 카토 계정에 연결하는 방법을 설명합니다.
데이터 보호 API가 Microsoft OneDrive의 자산과 콘텐츠를 스캔할 수 있도록 설정하려면, 먼저 Microsoft 365 커넥터를 부모 앱으로 구성하여 OneDrive 커넥터에 대한 읽기 권한을 부여해야 합니다. 부모 앱은 Microsoft 커넥터를 관리할 수 있는 권한만 갖습니다. 후에 필요에 따라 Azure 테넌트별로 별도의 Microsoft 365 커넥터를 생성할 수 있습니다.
Cato 관리 애플리케이션을 사용하여 데이터 보호 API로 스캔중인 Microsoft OneDrive 애플리케이션에 Azure 테넌트를 위한 Microsoft 365 SaaS 애플리케이션 커넥터를 생성합니다. Cato 계정에 추가하기 위해 Microsoft OneDrive 앱에 인증하려면 올바른 자격 증명이 필요합니다.
커넥터 설정을 생성하고 구성하기 전에, 먼저 계정에 대한 데이터 보호 API를 활성화해야 합니다.
첫 번째, MS 테넌트 통합을 상위 엔드포인트 커넥터로 구성하다. 이 커넥터는 전체 Microsoft 통합에 사용될 수 있습니다. 이미 상위 엔드포인트 커넥터를 생성한 경우, 2단계로 넘어갑니다.
MS 테넌트 통합을 생성하려면:
-
탐색 메뉴에서 자원 > 통합을 선택하고 통합된 앱 탭을 클릭합니다.
-
신규를 클릭합니다. 신규 커넥터 창이 열립니다.
-
새 커넥터 패널에서 MS 테넌트 (새로운 MS 테넌트 구성) 앱을 선택합니다.
-
커넥터 이름을 입력합니다.
-
승인 및 저장을 클릭합니다.
새 브라우저 탭이 열리며 Microsoft 365 앱으로 이동합니다.
-
새로운 브라우저 탭에서 Microsoft 365 앱에 인증합니다:
-
Microsoft 365 앱의 Microsoft 계정을 선택합니다.
그렇지 않으면 Microsoft 인증 오류가 발생할 수 있습니다.
-
앱의 비밀번호를 입력하고 승인합니다.
-
카토가 Microsoft 365 앱에 접근할 수 있도록 권한을 수락하기합니다.
-
화면에서 앱에 대한 권한이 성공적으로 적용되었음을 보여줍니다.
브라우저 탭을 닫고 Cato 관리 애플리케이션으로 돌아갈 수 있습니다.
-
-
Microsoft 365 SaaS 애플리케이션이 통합된 앱 탭에 추가됩니다.
Microsoft OneDrive 커넥터는 데이터 보호 API 엔진이 데이터 보호 정책에서 정의한 콘텐츠에 대해 파일을 스캔할 수 있도록 합니다.
참고
참고: Microsoft 365 앱용 API 커넥터를 생성하면 커넥터는 3개월 동안 유효한 인증서를 생성하며, 만료 7일 전에 인증서를 갱신합니다.
Microsoft OneDrive용 커넥터를 생성하려면:
-
탐색 메뉴에서 자원 > 통합을 선택하고 통합된 앱 탭을 클릭합니다.
-
새로 만들기를 클릭합니다. 새 커넥터 패널이 열립니다.
-
이전 섹션에서 생성한 커넥터 부모 및 OneDrive SaaS 애플리케이션을 생성합니다.
-
승인 및 저장을 클릭합니다.
-
새 브라우저 탭에서 OneDrive 앱에 인증합니다.
-
OneDrive 앱에 대한 Microsoft 계정을 선택하고 로그인합니다.
-
앱의 비밀번호를 입력하고 승인합니다.
-
Cato가 OneDrive 앱에 액세스할 수 있도록 수락하기 권한을 수락합니다.
-
화면에 앱에 대한 권한이 성공적으로 적용되었음을 표시합니다.
브라우저 탭을 닫고 Cato 관리 애플리케이션으로 돌아갈 수 있습니다.
Microsoft Azure가 요청을 처리하는 데 몇 초가 걸릴 수 있으므로 오류가 발생하면 브라우저를 새로고침하세요.
-
-
OneDrive SaaS 애플리케이션이 통합된 앱 탭에 추가됩니다.
커넥터 설정 화면의 상태 열에 Microsoft 앱과 Cato 계정 간의 연결 상태가 표시됩니다. 이들은 상태에 대한 설명입니다:
-
연결됨 - 계정이 앱에 연결되어 정상 작동 중입니다
-
연결 경고 - Azure 테넌트의 일부 사용자가 데이터 보호 API를 지원하도록 올바르게 구성되어 있지 않습니다 (예: 사용자에 대한 이메일 주소가 정의되지 않음). 지원과 티켓을 열어주세요.
-
연결 오류 - Microsoft 커넥터와의 연결성 또는 권한 문제, 또는 속도 제한(마이크로소프트 제한) 발생. 지원에 티켓을 열어 주십시오.
-
사용자 동의 대기 중 - 커넥터 설정 화면에서 OneDrive 커넥터가 생성되었으나, Cato에 연결할 수 있도록 OneDrive 계정에서 승인을 완료하지 않았습니다.
이 섹션에서는 OneDrive 파일로 사용자가 수행하는 작업을 모니터링하고 관리하기 위해 데이터 보호 정책을 사용하는 방법을 설명합니다. 예를 들어, 파일 공유, 새 파일 생성, 업로드 등.
DLP 콘텐츠 프로파일에 대한 자세한 내용은 DLP 콘텐츠 프로파일 생성을 참조하십시오.
데이터 보호 규칙을 생성할 때, 규칙이 일치할 경우 정책 위반을 모니터링하거나 수정하기 위한 다양한 작업을 정의할 수 있습니다. 각 작업은 자동으로 이벤트를 생성하고 이메일 알림을 받도록 선택할 수 있습니다. 데이터 보호 API 이벤트에 대한 자세한 내용은 아래 데이터 보호 API 이벤트 분석을 참조하십시오.
이것들은 규칙이 일치할 때 데이터 보호 엔진이 실행할 수 있는 작업입니다:
-
모니터링 - 규칙에 일치하는 트래픽을 모니터링할 수 있도록 이벤트를 생성합니다.
-
공유 제거 - 사용자가 파일을 공유하려고 하면, 데이터 보호 API 엔진이 무단 공유 권한을 제거하며, 공유된 파일의 링크를 받은 사용자는 파일에 접근할 권한이 없습니다.
-
격리 - 사용자가 파일을 업로드하려고 할 때, 데이터 보호 API 엔진이 파일을 격리 폴더로 이동하여 사용자들이 더 이상 접근할 수 없습니다. OneDrive 관리자는 격리 폴더에 있는 파일에 접근할 수 있습니다. 격리 폴더 구성에 대한 정보는 파일 격리 준비를 참조하십시오.
데이터 보호 및 위협 방지 규칙을 위한 격리 폴더를 구성하고, 폴더에 접근할 권한이 있는 OneDrive 관리자를 정의하십시오. 각 테넌트의 OneDrive 관리자별로 격리 폴더를 구성할 수 있습니다. 폴더를 구성하면 격리 작업으로 규칙을 만들고 파일이 이동되는 폴더를 정의할 수 있습니다.
OneDrive 관리자의 격리 폴더를 구성하려면:
-
탐색 창에서 보안 > 앱 & 데이터 API 보호를 선택하고 설정 탭을 선택합니다.
-
새로 만들기를 클릭합니다. 격리 폴더 패널이 열립니다.
-
OneDrive 애플리케이션 커넥터를 선택합니다.
-
이 격리 폴더에 대한 액세스 권한을 갖게 할 OneDrive 관리자를 선택합니다.
-
저장을 클릭합니다.
데이터 보호 폴더와 위협 방지 폴더가 관리자용으로 생성되며, 격리 작업으로 규칙에 구성할 수 있습니다. 폴더는 관리자의 이메일 주소로 이름이 지정되며, 다음의 OneDrive 디렉토리에 위치합니다:
-
데이터 보호 폴더: Cato_Qarantine/Cato_Qarantine_DataProtection
-
위협 방지 폴더: Cato_Qarantine/Cato_Qarantine_ThreatPrevention
-
데이터 보호 페이지를 사용하여 데이터 보호 정책에 SaaS 애플리케이션 규칙을 추가하십시오.
데이터 보호 API에 의해 스캔되는 트래픽을 정의하는 데이터 보호 규칙을 만드십시오. 각 SaaS 앱 커넥터에 대해 별도의 규칙을 만들고, 스캔할 트래픽을 결정하는 기준을 설정합니다.
OneDrive 규칙 설정에 대한 자세한 정보는 아래 OneDrive 규칙 이해하기를 참조하십시오.
OneDrive 앱을 위한 새로운 데이터 보호 규칙을 생성하려면:
-
탐색 창에서 보안 > 앱 & 데이터 API 보호를 선택하고 데이터 보호를 선택 또는 확장합니다.
-
새로 만들기를 클릭합니다. 새 규칙 패널이 열립니다.
-
애플리케이션 커넥터에서 OneDrive 앱을 선택합니다.
-
일반 섹션에서 규칙의 설정을 입력합니다.
-
소유자에서 하나 이상의 OneDrive 파일 소유자를 선택합니다 (기본값은 모두입니다).
여러 소유자를 선택하면 그들 간에는 OR 관계가 있습니다.
-
공유 옵션에서 하나 이상의 파일 권한 유형을 선택합니다 (기본값은 모두입니다).
-
첨부 파일에서 스캔할 파일을 지정하는 기준을 정의하십시오 (기본 설정은 모든 파일을 스캔합니다).
-
콘텐츠 프로필에서 이 규칙에 대한 DLP 콘텐츠 프로필을 선택합니다.
-
작업을 선택합니다.
격리 작업에 대해서는 격리 폴더 경로를 선택합니다. 격리 폴더에 대한 자세한 내용은 위 ???를 참조하세요.
-
(선택 사항) 추적 옵션을 구성하여 이벤트를 생성하고 알림을 보냅니다.
알림에 대한 추가 정보는 알림 섹션의 구독 그룹, 메일링 리스트 및 경고 통합에 관한 관련 기사를 참조하십시오.
-
저장을 클릭합니다. 규칙이 데이터 보호 정책에 추가됩니다.
이 섹션에서는 적절한 OneDrive 트래픽을 스캔하기 위해 데이터 보호 규칙의 설정을 정의하는 방법을 설명합니다. 각 규칙은 다음 기준에 따라 정의될 수 있습니다:
-
소유자 - 관련 OneDrive 디렉토리의 소유자인 개별 사용자 또는 Azure 사용자 유형 (기본값은 모든)
-
공유 옵션 - 이 규칙과 일치하는 파일 공유 권한 유형 선택 (기본값은 모든)
예를 들어, 외부 사용자와 공유된 파일을 모니터링하려면 외부 링크를 선택하십시오.
-
첨부 파일 - 스캔되는 첨부 파일의 기준 (기본값은 모든 첨부 파일)
-
파일 유형
-
파일 이름
-
파일 크기 (최대 파일 크기는 100 MB입니다)
-
-
콘텐츠 프로필 - DLP 콘텐츠 검사를 정의하는 DLP 콘텐츠 프로필 (보안 > DLP 프로필 > DLP 프로필 > 콘텐츠 프로필)
-
작업 - 위의 OneDrive 작업 이해하기를 참조하십시오.
규칙에 특정 파일(또는 첨부 파일)을 정의하고 SaaS API 엔진의 파일 검사를 지정 파일에만 제한하여 DLP 콘텐츠 프로필과 일치하는지 확인할 수 있습니다.
규칙에 여러 파일을 추가할 때 각 파일 간의 관계를 선택하십시오:
규칙에서 특정 파일 이름을 정의하거나 키워드를 지정하기 위해 와일드카드를 사용하여 파일 이름 설정을 사용할 수 있습니다. 예를 들어, 단어 내부를 포함하는 모든 파일 이름과 일치하도록 파일 이름을 내부로 정의할 수 있습니다.
데이터 보호 API 엔진은 데이터를 순차적으로 검사하고, 규칙과 일치하는지 확인합니다. 데이터가 규칙과 일치하지 않으면 검사되지 않습니다. 규칙베이스 상단에 있는 규칙은 우선순위가 높으며, 규칙베이스 하단의 규칙보다 먼저 적용됩니다. 각 애플리케이션 또는 커넥터 유형은 데이터에 한 번만 적용됩니다.
모범 사례 - 규칙베이스의 효율성을 극대화하려면, 각 커넥터 유형에 대해 특정 사용자에게 적용되는 규칙을 모든 사용자에게 적용되는 규칙보다 높게 설정하는 것이 좋습니다.
예를 들어, 데이터가 규칙 2의 커넥터와 일치하는 경우, 데이터 보호 API 엔진이 데이터를 검사합니다. 엔진은 같은 커넥터에 대해 규칙 3과 그 이하의 규칙을 계속해서 적용하지 않습니다. 그러나 데이터는 다른 커넥터와 낮은 우선순위 규칙에 일치할 수 있습니다.
커넥터를 위한 위협 방지 규칙을 생성하여 계정에 활성화된 안티멀웨어 및 NG 안티멀웨어 엔진을 사용해 파일과 첨부 파일에 대해 악성코드 및 바이러스를 스캔할 수 있습니다. 데이터 보호 API 엔진은 커넥터 트래픽을 스캔하고 규칙에 대해 구성한 작업 및 추적 옵션을 적용합니다.
다음은 규칙이 일치할 때 위협 방지 엔진이 수행할 수 있는 작업입니다:
-
모니터링 - 규칙과 일치하는 트래픽을 모니터링할 수 있도록 이벤트를 생성합니다.
-
공유 제거 - 사용자가 파일을 공유하려고 할 때, 데이터 보호 API 엔진이 승인되지 않은 공유 권한을 제거하고, 공유 파일에 대한 링크를 받는 사용자는 파일에 대한 권한이 없습니다.
-
격리 - 사용자가 파일을 업로드하려고 할 때, 데이터 보호 API 엔진이 해당 파일을 격리 폴더로 이동시키며, 그 이후로 사용자는 접근할 수 없게 됩니다. OneDrive 관리자는 격리 폴더에서 파일에 접근할 수 있습니다. 격리 폴더 구성에 대한 정보는 파일 격리 준비를 참조하십시오.
각 작업은 자동으로 이벤트를 생성하며, 이메일 알림을 수신하려는 옵션도 선택할 수 있습니다. 데이터 보호 API 이벤트에 대한 자세한 내용은 아래 데이터 보호 API 이벤트 분석을 참조하십시오.
애플리케이션 & 데이터 API 보호 규칙을 생성하면, 계정에 대해 활성화된 안티멀웨어 엔진(보안 > 안티멀웨어)이 해당 커넥터 애플리케이션에 전송된 파일에 대해 악성코드 검사를 수행합니다.
다음 스크린샷은 내부 사용자 또는 게스트가 보낸 파일을 스캔하는 OneDrive 커넥터에 대한 위협 방지 규칙을 보여줍니다:
데이터 보호 API 엔진에 의해 차단된 파일이 안전하다고 확인된 경우 네트워크에서 허용해야 할 때가 있습니다. 파일 해시 정책의 안티멀웨어 예외 사항은 앱 및 데이터 API 보호에도 적용됩니다. 파일 해시 정책에 파일을 추가하는 방법에 대한 자세한 내용은 안티멀웨어 예외 관리를 참조하세요.
홈 > 이벤트 페이지는 계정의 모든 데이터 보호 API 이벤트를 보여줍니다. 강력한 검색 도구를 통해 필요한 관련 데이터를 포함하는 몇 가지 이벤트를 심층 탐색하고 식별할 수 있습니다.
데이터 보호 API 이벤트는 다음 필드로 식별할 수 있습니다:
-
이벤트 유형 - 보안
-
서브 타입 - SaaS 보안 API 데이터 보호 및 SaaS 보안 API 악성코드 방지
이벤트 페이지 사용에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
|
필드 이름 |
설명 |
|---|---|
|
협업자 |
파일을 받은 사용자의 이메일 주소 |
|
커넥터 이름 |
규칙에 대해 정의된 커넥터의 이름 |
|
커넥터 유형 |
이 커넥터에 대해 정의된 SaaS 앱 |
|
DLP 프로필 |
이 이벤트를 생성한 DLP 콘텐츠 프로필 |
|
파일 이름 |
첨부 파일의 이름 |
|
일치하는 데이터 유형 |
규칙과 일치하는 콘텐츠 프로필의 데이터 유형 |
|
소유자 |
파일 소유자 |
|
상위 커넥터 유형 |
상위 Microsoft 365 커넥터 |
|
규칙 |
데이터 보호 정책 내의 규칙 이름 |
|
심각도 |
규칙에 정의된 심각도 |
|
채널 공유 범위 |
OneDrive 파일에 대한 공유 옵션 |
댓글 0개
댓글을 남기려면 로그인하세요.