Google Drive 및 Gmail용 SaaS 보안 API 커넥터를 구성하는 방법

이 문서는 계정의 SaaS 보안 API 정책에 대해 Google Drive 및 Gmail 커넥터를 구성하고 데이터 보호 정책에서 이 커넥터를 사용하는 규칙을 만드는 방법을 설명합니다.

참고

참고: SaaS 보안 API 정책 사용에 대한 자세한 정보는 SaaSecAPI@catonetworks.com 또는 공식 Cato 리셀러에게 문의하십시오.

Google Drive 및 Gmail 커넥터 개요

조직의 Google 테넌트를 위한 커넥터를 만듭니다. 커넥터는 Cato 계정을 위한 API 호출을 허용하고 활성화하기 위해 Google Cloud 및 Google Admin 콘솔을 구성해야 합니다. 그런 다음 커넥터를 포함하고 스캔 및 검사되는 파일 또는 이메일을 정의하는 데이터 보호 정책의 규칙을 정의합니다.

필수 조건

  • Google Cloud 및 Google Admin 계정에 대한 관리자 권한

  • Google Drive 커넥터는 Google Admin 콘솔의 비즈니스 라이선스가 필요합니다

  • Gmail 커넥터는 Gmail 엔터프라이즈 라이선스가 필요합니다

  • Google Drive 및 Gmail 계정이 활성화됩니다

  • 커넥터는 파일을 모니터링하며, 다른 작업도 곧 지원될 예정입니다

초기 Google 커넥터 생성

이 섹션에서는 Google Drive 및 Gmail의 초기 API 커넥터를 생성하고 조직의 Google 테넌트를 Cato 계정에 연결하는 방법을 설명합니다.

Google Drive 및 Gmail 커넥터를 사용하면 Cato SaaS API 엔진이 데이터 보호 정책에서 정의한 콘텐츠에 대해 파일(첨부 파일), 폴더 및 이메일을 스캔할 수 있습니다. 정책의 규칙과 일치하는 콘텐츠에 대한 이벤트가 생성됩니다.

참고

참고: 처음으로 Google 커넥터를 생성할 때 Cato가 API를 사용하여 Google 계정에 연결하도록 허용해야 합니다. 이미 Google 커넥터를 생성했으며 추가적으로 생성 중이라면, 추가 Google 커넥터 생성을 계속하십시오.

초기 Cato Google Drive 및 Gmail 커넥터 구성 개요

Google Drive 및 Gmail에 대한 Cato 커넥터를 생성하는 프로세스의 상위 개요입니다:

  1. Cato 관리 애플리케이션에서 Google Drive 또는 Gmail용 새로운 SaaS 애플리케이션 커넥터를 생성하십시오.

    1. 커넥터의 oAuth 범위를 복사합니다.

  2. 회사 계정의 Google Cloud 콘솔에서:

    1. Cato 커넥터를 위한 새 프로젝트를 만듭니다.

    2. 필요한 Google API를 활성화하고 서비스 계정 ID를 생성합니다.

  3. Google Admin 콘솔에서 도메인 전체 위임을 Cato 커넥터에 대해 정의합니다.

    1. Google Admin 콘솔에 커넥터에서 복사한 oAuth 범위를 붙여 넣습니다.

  4. Google Cloud 콘솔에서 Cato 커넥터를 위한 API 키를 생성합니다.

  5. Cato 관리 애플리케이션에서 API 키를 Google Drive 또는 Gmail용 SaaS 애플리케이션 커넥터에 업로드합니다.

1단계 - Google Drive 또는 Gmail SaaS 애플리케이션 생성

Cato 관리 애플리케이션에서 Google 계정의 커넥터를 위한 Google Drive 또는 Gmail SaaS 애플리케이션을 생성합니다.

Google_Drive_Connector.png

Google Drive 또는 Gmail의 커넥터를 생성하려면:

  1. 네비게이션 메뉴에서 자원 > 통합을 선택하고 SaaS API 데이터 보호를 클릭합니다.

  2. 새로 만들기를 클릭합니다. 새 커넥터 패널이 열립니다.

  3. 새로운 SaaS 애플리케이션Google Drive 또는 Gmail에 생성합니다.

  4. 커넥터 이름을 입력합니다.

  5. 관리자 권한이 있는 Google 관리자 계정의 관리자 이메일을 입력합니다.

  6. oAuth 범위 복사를 클릭합니다.

    OAuth 범위의 전체 목록을 검토하려면 아래 Google Drive 및 Gmail 커넥터의 oAuth 범위를 참조하십시오

  7. 아래의 단계 2 - Google Cloud 콘솔에서 프로젝트 구성하기를 계속합니다.

단계 2 - Google Cloud 콘솔에서 프로젝트 구성하기

Google Cloud Platform 콘솔에서 새 프로젝트를 생성하고 관리자 SDK API 및 Cloud Identity를 계정에 활성화합니다. 그런 다음 새 서비스 계정을 생성하고 고유 ID를 복사합니다(3단계에서 필요합니다).

Google Cloud 콘솔에서 프로젝트를 구성하려면:

  1. Google Cloud 콘솔에 로그인하고 기존 프로젝트를 선택하거나 새 프로젝트를 생성합니다.

  2. 커넥터를 위한 Google API를 활성화합니다:

    1. 프로젝트를 선택하고 탐색 창에서 API & 서비스 > 라이브러리를 선택합니다.

    2. API 라이브러리에서 Admin SDK API를 검색합니다.

      Google_Admin_SDK_API.png

    3. Admin SDK API를 클릭하고 새 창에서 활성화를 클릭합니다.

    4. API 라이브러리로 돌아가고 Google Drive API를 클릭합니다.

    5. 다음 창에서 활성화를 클릭합니다.

  3. Cato 커넥터용 서비스 계정을 생성합니다:

    1. 탐색 창에서 API & 서비스 > 자격 증명을 선택합니다.

    2. 메뉴 바에서 자격 증명 생성 > 서비스 계정을 클릭합니다.

      Google_Create_Service_Account.png

    3. 서비스 계정 이름을 입력합니다.

    4. 생성하고 계속하기를 클릭한 다음, 완료를 클릭합니다.

  4. 서비스 계정 창에서 새 계정을 편집합니다.

  5. 서비스 계정의 고유 ID를 복사하여 저장합니다. Google 관리자 콘솔(아래)에 이 ID를 입력합니다.

  6. 아래의 단계 3 - Google Admin 콘솔에서 도메인 전체 위임 정의하기를 계속합니다.

단계 3 - Google Admin 콘솔에서 도메인 전체 위임 정의하기

Google은 Google Workspace 환경에서 앱이 데이터를 액세스할 수 있도록 도메인 전체 위임을 사용합니다. 이전 섹션에서 활성화한 API에 액세스할 수 있는 권한이 있는 도메인 전체의 위임을 정의합니다.

Google Admin 콘솔에서 새 API 클라이언트를 생성하고 단계 2 - Google Cloud 콘솔에서 프로젝트 구성하기에서 저장한 서비스 계정의 고유 ID를 사용하도록 구성합니다.

Google Admin 콘솔에서 도메인 전체의 위임을 정의하려면:

  1. Google 관리 콘솔에 로그인합니다.

  2. 탐색 창에서 보안 > 액세스 및 데이터 제어 > API 컨트롤을 선택합니다.

  3. API 컨트롤 창의 화면 하단에 있는 도메인 전역 위임 섹션에서 도메인 전역 위임 관리를 클릭합니다.

  4. API 클라이언트 섹션에서 새로 추가하기를 클릭합니다.

    새 클라이언트 ID 추가 팝업 창이 열립니다.

    Google_Add_Client_ID.png

  5. 클라이언트 ID에 이전 섹션에서 복사한 고유 ID를 붙여넣습니다.

  6. 커넥터가 접근할 수 있는 프로토콜/포트(예: TCP/80, TCP_UDP/1000, UDP/999, ICMP(포트 없음)) 사용자 정의 서비스 이메일 플로팅 서브넷를 붙여넣습니다.

    • Cato 관리 애플리케이션에서 1단계 - Google Drive 또는 Gmail SaaS 애플리케이션 생성을 참고하여 프로토콜/포트(예: TCP/80, TCP_UDP/1000, UDP/999, ICMP(포트 없음)) 사용자 정의 서비스 이메일 플로팅 서브넷 복사에 대한 자세한 정보를 확인하십시오.

  7. 승인을 클릭합니다.

    Cato 커넥터의 도메인 전역 위임은 Google API에 대한 고유 ID를 사용하도록 정의되어 있습니다.

  8. 아래에서 4단계 - Google Cloud 콘솔에서 API 키 파일 생성으로 계속합니다.

4단계 - Google Cloud 콘솔에서 API 키 파일 생성

Cato 커넥터의 서비스 계정에 대해 Google의 도메인 전역 위임을 활성화한 후 Google Cloud 콘솔을 사용하여 서비스 계정에 대한 API 키 파일을 생성합니다.

API 키 파일을 생성하려면:

  1. Google Cloud 콘솔에서 탐색 창에서 IAM & 관리자 > 서비스 계정을 선택합니다.

  2. Cato 커넥터의 서비스 계정을 선택하고 작업 > 키 관리를 선택합니다.

    Google_Manage_Keys.png

    서비스 계정의 탭이 열립니다.

  3. 키 추가 > 새 키 만들기를 클릭합니다.

  4. 팝업 창에서 JSON을 선택하고 확인을 클릭합니다.

    브라우저가 지정된 폴더에 API 키 파일을 저장합니다.

  5. 아래에서 5단계 - Cato 관리 애플리케이션에 API 키 파일 업로드를 계속합니다.

5단계 - Cato 관리 애플리케이션에 API 키 파일 업로드

이전 섹션에서 생성한 API 키 파일을 Cato 관리 애플리케이션의 Google Drive 또는 Gmail 커넥터에 업로드합니다. 그런 다음 커넥터가 구성되고 계정의 파일 및 폴더를 스캔할 준비가 완료됩니다.

Gmail 커넥터의 경우 Google 관리 콘솔의 타사 이메일 아카이빙 설정에 규칙을 추가해야 합니다.

참고

참고: API 키 파일에는 민감한 데이터가 포함되어 있으므로 Cato 관리 애플리케이션에 업로드한 후 삭제할 것을 권장합니다.

API 키 파일을 Cato 관리 애플리케이션에 업로드하려면:

  1. Cato 관리 애플리케이션에서 브라우저 탭을 열어 Google Drive 또는 Gmail 커넥터 구성을 시작합니다 (위의 1단계 - Google Drive 또는 Gmail SaaS 애플리케이션 생성).

  2. Google 콘솔에서 다운로드한 키 파일 업로드 섹션에서, 생성한 API 키 파일을 업로드하십시오 (위의 4단계 - Google Cloud 콘솔에서 API 키 파일 생성).

  3. 저장을 클릭합니다.

  4. Google Drive 또는 Gmail SaaS 애플리케이션이 커넥터 설정 화면에 추가됩니다.

    Slack_Connector.png

  5. Gmail 애플리케이션에 대해 다음 추가 단계를 수행하십시오:

    1. 완료 화면에서 이메일 주소를 복사하십시오.

    2. Google Admin 콘솔을 엽니다.

    3. 앱 > Google Workspace > Gmail > 라우팅 > 타사 이메일 아카이빙으로 이동하십시오.

    4. 다른 규칙 추가를 클릭합니다.

    5. 설정 추가 팝업 창에서 위의 단계 a에서 복사한 이메일 주소를 붙여넣습니다.

    6. 저장을 클릭합니다.

커넥터 상태 이해

커넥터 설정 화면의 상태 열은 Google Drive 커넥터와 Cato 계정 간의 연결 상태를 보여줍니다. 다음은 상태에 대한 설명입니다:

  • 연결됨 - 계정이 애플리케이션과 연결되어 정상적으로 작동합니다.

  • 연결 오류 - Google Drive 커넥터의 연결성 또는 권한 문제. 지원 티켓을 열어 주세요.

추가 Google 커넥터 생성

계정에 대한 추가 Google 커넥터를 생성할 때, Google 계정이 이미 API를 사용하여 Cato 계정에 연결하도록 구성되어 있습니다. 커넥터는 동일한 oAuth 범위를 사용합니다.

새 Google Drive 또는 Gmail API를 위한 Google API를 활성화합니다. 그런 다음 Google 계정에서 키 파일을 생성 및 다운로드한 후, 커넥터에 업로드하십시오.

추가 Google 커넥터를 생성하려면:

  1. 계정에 대한 Google Admin 콘솔에 로그인합니다.

  2. 커넥터에 대한 Google API를 활성화합니다:

    1. 프로젝트를 선택하고, 탐색 창에서 API & Services > Library를 선택합니다.

    2. API 라이브러리에서, 새로운 Google Drive API 또는 Gmail API를 검색합니다.

    3. 다음 창에서, 활성화를 클릭합니다.

  3. Google 계정을 위한 키 파일을 생성 및 다운로드합니다:

    1. Google Cloud 콘솔에서, 탐색 창에서 IAM & Admin > Service Accounts를 선택합니다.

    2. Cato 커넥터에 대한 서비스 계정을 선택하고, 작업 > 키 관리를 선택합니다.

    3. 키 추가 > 새 키 생성을 클릭합니다.

    4. 팝업 창에서 JSON을 선택하고 확인을 클릭합니다.

      브라우저가 API 키 파일을 지정된 폴더에 저장합니다.

  4. 새 Google 커넥터를 만듭니다:

    1. 네비게이션 메뉴에서 자원 > 통합을 선택하고 SaaS 보안 API 데이터 보호를 클릭합니다.

    2. 새로운을 클릭합니다. 새 커넥터 패널이 열립니다.

    3. Google Drive 또는 Gmail 커넥터에 대한 설정을 정의하고 Google 관리자 이메일을 입력합니다.

    4. Google 콘솔에서 다운로드한 키 파일 업로드 섹션에서 위에서 만든 API 키 파일을 업로드합니다.

    5. 저장을 클릭합니다.

  5. Gmail 애플리케이션의 경우, 다음 추가 단계를 수행합니다:

    1. 완료 화면에서 이메일 주소를 복사합니다.

    2. Google 관리 콘솔을 엽니다.

    3. 앱 > Google Workspace > Gmail > 라우팅 > 타사 이메일 아카이빙으로 이동합니다.

    4. 다른 규칙 추가를 클릭합니다.

    5. 설정 추가 팝업 창에서, 단계 a (위)에서 복사한 이메일 주소를 붙여넣습니다.

    6. 저장을 클릭합니다.

Google Drive 또는 Gmail 규칙을 데이터 보호 정책에 추가

이 섹션은 데이터 보호 정책을 사용하여 Google 계정에 저장된 파일, 폴더 및 이메일을 모니터링 및 관리하는 방법을 설명합니다.

Google Drive 및 Gmail 활동 이해

데이터 보호 규칙을 만들 때, 사용자가 규칙을 충족할 경우 정책 위반을 모니터링하거나 조치 취할 수 있도록 다양한 작업을 정의할 수 있습니다. 각 작업은 자동으로 이벤트를 생성하며, 이메일 알림을 받을지 선택할 수도 있습니다. SaaS 보안 API 이벤트에 대한 자세한 내용은 아래를 참조하십시오 SaaS 보안 API 이벤트 분석

다음은 데이터 보호 엔진이 규칙이 일치할 때 수행할 수 있는 작업입니다:

(공유 제거격리 작업은 Google Drive에만 제공되며, Gmail 규칙은 모니터링 작업으로만 정의할 수 있습니다.)

  • 모니터링 - 규칙에 일치하는 트래픽을 모니터링하기 위한 이벤트를 생성합니다.

  • 공유 제거 - 사용자가 파일을 공유하려고 할 때, SaaS 보안 API 엔진이 허가되지 않은 공유 권한을 제거하므로 파일 공유 링크를 받는 사용자가 파일에 접근할 수 없습니다.

  • 격리 - 사용자가 파일을 업로드하려고 시도할 때 SaaS 보안 API 엔진이 이를 격리 폴더로 이동하여 사용자가 더 이상 파일에 접근할 수 없도록 합니다. Google 관리자는 격리 폴더의 파일에 접근할 수 있습니다. 격리 폴더 구성에 대한 정보는 파일 격리 준비를 참조하십시오.

참고

참고: 다음의 알려진 제한 사항은 Google Drive 작업에 적용됩니다:

  • 공유 제거 작업은 공유 폴더 내의 파일에 적용될 수 없으며, 공유 권한은 공유 폴더 외부에 있는 파일에 대해서만 제거할 수 있습니다.

  • 공유 제거 작업이 적용되면, Google Drive는 사용자가 파일을 공유한 사용자에게 파일에 대한 접근을 요청할 수 있도록 하며, 약 10분 동안 접근 권한을 부여할 수 있습니다.

  • 격리 작업은 파일에 적용되기까지 최대 10분이 걸릴 수 있습니다.

파일 격리를 준비하기

데이터 보호 및 위협 방지 규칙에 대한 격리 폴더를 구성하고, 폴더에 접근할 수 있는 권한을 가진 Google 관리자를 정의합니다. 테넌트의 각 Google 관리자에 대해 격리 폴더를 구성할 수 있습니다. 폴더를 구성하면 격리 작업이 포함된 규칙을 생성하고, 파일이 이동될 폴더를 정의할 수 있습니다.

SaaS_Security_API_Settings_GoogleDrive2.png

Google 관리자를 위한 격리 폴더를 구성하려면:

  1. 네비게이션 창에서 보안 > SaaS 보안 API 정책을 선택하고 설정 탭을 선택하십시오.

  2. 새로운을 클릭하십시오. 격리 폴더 패널이 열립니다.

    SaaS_Security_API_Settings_Onedrive_Quarantine_Folder.png

  3. Google Drive 애플리케이션 커넥터를 선택하십시오.

  4. 격리 폴더에 접근할 수 있도록 할 Google 관리자를 선택하십시오.

  5. 저장을 클릭하십시오.

    관리자를 위해 데이터 보호 폴더와 위협 방지 폴더가 생성되며, 격리 작업과 함께 규칙으로 구성할 수 있습니다. 폴더는 관리자의 이메일 주소로 명명되며, 다음 Google Drive 디렉토리에 위치합니다:

    • 데이터 보호 폴더: Cato_Qarantine/Cato_Qarantine_DataProtection

    • 위협 방지 폴더: Cato_Qarantine/Cato_Qarantine_ThreatPrevention

Google Drive 및 Gmail 규칙 구성

데이터 보호 정책에서 SaaS 애플리케이션 규칙을 추가하려면 데이터 보호 페이지를 사용하십시오.

SaaS 보안 API가 스캔하는 트래픽을 정의하는 데이터 보호 규칙을 생성하십시오. 각 SaaS 애플리케이션 커넥터에 대해 별도의 규칙을 생성하고, 어떤 트래픽을 스캔할지를 결정하는 기준을 정의하세요.

Google Drive 및 Gmail 규칙 설정에 대한 더 많은 정보는 아래 Google 연결기 규칙 이해를 참조하십시오.

Google Drive 또는 Gmail 앱을 위한 새로운 데이터 보호 규칙을 생성하려면:

  1. 네비게이션 창에서 보안 > SaaS 보안 API 정책을 선택하고 데이터 보호를 선택하거나 확장하십시오.

  2. 새로운을 클릭하십시오. 새 규칙 패널이 열립니다.

  3. 애플리케이션 커넥터에서 Google Drive 또는 Gmail 앱을 선택하십시오.

  4. 일반 섹션에서 규칙에 대한 설정을 입력하십시오.

  5. 소유자(Google Drive의 경우) 또는 발신자(Gmail의 경우)에서 모니터링 중인 하나 이상의 Google 사용자를 선택하십시오 (기본값은 모두입니다).

    여러 사용자를 선택하면 사용자 간에 OR 관계가 생깁니다.

  6. (Gmail의 경우) 수신자에서 메일을 수신하는 Google 사용자를 정의합니다 (기본 설정은 모두입니다).

  7. 공유 옵션에서 스캔된 파일과 폴더의 권한 수준을 선택합니다(기본값은 모두입니다).

    여러 옵션을 선택하면 옵션 간에는 또는 관계가 있습니다.

  8. 파일 속성(Google Drive용) 또는 첨부 파일(Gmail용)에서 스캔할 파일을 지정하는 기준을 정의합니다(기본값은 모든 파일을 스캔하는 것입니다).

  9. 콘텐츠 프로필에서 이 규칙의 DLP 콘텐츠 프로필을 선택합니다.

  10. 작업을 선택합니다.

    Google Drive의 격리 작업의 경우, 격리 폴더 경로를 선택합니다. 격리 폴더에 대한 자세한 내용은 위의 ???를 참조하세요???.

  11. (선택 사항) 이벤트를 생성하고 알림을 보내기 위해 추적 옵션을 구성합니다.

    알림에 대한 자세한 내용은 알림 섹션의 구독 그룹, 메일링 리스트 및 알림 통합 관련 기사를 참조하세요.

  12. 저장을 클릭합니다. 해당 규칙이 데이터 보호 정책에 추가됩니다.

Google 커넥터 규칙 이해

이 섹션에서는 정확한 Google Drive 또는 Gmail 트래픽을 스캔하기 위해 데이터 보호 규칙의 설정을 정의하는 방법을 설명합니다. 각 규칙은 다음 기준에 따라 정의할 수 있습니다:

  • 소유자 또는 발신자 - 작업 공간의 Google 사용자(기본값은 모두)

    • 내부 - 소유자는 회사의 모든 사용자입니다

    • Google 사용자 - 소유자가 특정 사용자입니다

  • 수신자(Gmail용) - 이메일을 받는 사용자

    • 내부 - 소유자는 회사의 모든 사용자입니다

    • 외부 - Google 계정에서 회사 외부로 정의된 사용자

    • Google 사용자 - 소유자가 특정 사용자입니다

    • 도메인 - 이메일 수신자의 도메인을 입력합니다

  • 공유 옵션 - 이 규칙과 일치하는 파일 및 폴더 공유 권한 유형을 선택합니다(기본값은 모두)

    • 비공개 - 사용자만 접근 가능

    • 제한된 - TBD

    • 조직 구성 단위 - Google Drive 사용자 계층 구조에서 정의된 단위의 모든 사용자

    • 외부 - 링크와 함께 초대를 받은 외부 사용자

    • 열림 - 링크를 가진 누구나 공공적으로 접근 가능

  • 파일 속성 또는 첨부 파일 - 스캔된 첨부 파일의 기준(기본값은 모든 첨부 파일)

    • 파일 유형

    • 파일 이름

    • 파일 크기(최대 파일 크기 100 MB)

  • 콘텐츠 프로필 - DLP 콘텐츠 검사 지정하는 DLP 콘텐츠 프로필

    보안 > DLP 프로필 > DLP 프로필 > 콘텐츠 프로필에서 콘텐츠 프로필을 생성하거나 편집할 수 있습니다

  • 작업 - 규칙이 일치할 때 이벤트를 생성하거나 이메일 알림을 통해 규칙을 모니터링할지 선택합니다. Google Drive의 경우 규칙에 일치하는 파일의 공유 제거 권한을 설정하거나 격리할 수도 있습니다. Google Drive 작업에 대한 자세한 내용은 Google Drive 및 Gmail 작업 이해를 참조하십시오.

규칙에 대한 파일 또는 첨부 파일 정의

규칙을 위한 특정 파일(또는 첨부 파일)을 정의하고 SaaS 보안 API 엔진을 지정된 파일만 검사하도록 제한할 수 있습니다. 파일이 DLP 콘텐츠 프로필과 일치하는지 확인할 수 있습니다.

여러 파일을 규칙에 추가할 때는 파일 간의 관계를 선택하십시오:

  • 모든 조건 만족 (OR) - 규칙에서 파일 유형 중 하나만 일치하는 경우

  • 모든 조건 만족 (AND) - 규칙의 모든 파일 유형이 일치하는 경우 (그렇지 않으면 규칙이 무시됨)

파일 이름 설정을 사용하여 규칙에서 정확한 파일 이름을 정의하거나 와일드카드를 사용하여 키워드를 정의할 수 있습니다. 예를 들어, 파일 이름을 내부로 정의하여 내부라는 단어를 포함하는 모든 파일 이름과 일치시킬 수 있습니다.

주문된 데이터 보호 규칙 작업

SaaS 보안 API 엔진은 데이터를 순차적으로 검사하고 규칙과 일치하는지 확인합니다. 데이터가 규칙과 일치하지 않으면 검사되지 않습니다. 규칙베이스 상단에 있는 규칙은 우선순위가 높으며 규칙베이스 아래쪽에 있는 규칙보다 먼저 적용됩니다. 각 애플리케이션 또는 커넥터 유형은 데이터에 한 번만 적용됩니다.

모범 사례 - 규칙베이스의 효율성을 최대화하기 위해, 각 커넥터 유형에 대해 특정 사용자를 위한 규칙이 모든 사용자에게 적용되는 규칙보다 더 높은 우선순위를 갖도록 권장합니다.

예를 들어, 데이터가 규칙 2의 커넥터와 일치하면 데이터가 SaaS 보안 API 엔진에 의해 검사됩니다. 엔진은 동일한 커넥터에 대해 규칙 3 및 그 이하를 계속 적용하지 않습니다. 그러나 데이터는 다른 커넥터가 있는 우선순위가 낮은 규칙과 일치할 수 있습니다.

커넥터에 위협 방지를 추가하기

커넥터에 대한 위협 방지 규칙을 생성하여 계정에 활성화된 안티멀웨어 및 실시간 보호 엔진을 사용하여 파일 및 첨부 파일을 악성 소프트웨어 및 바이러스 스캔할 수 있습니다. SaaS 보안 API 엔진은 커넥터 트래픽을 검사하고 규칙에 대해 구성한 작업 및 추적 옵션을 적용합니다.

다음은 규칙이 일치할 때 위협 방지 엔진이 수행할 수 있는 작업입니다:

  • 모니터링 - 규칙과 일치하는 트래픽을 모니터링할 수 있도록 이벤트를 생성합니다.

  • 공유 제거 - 사용자가 파일을 공유하려고 할 때, SaaS 보안 API 엔진은 승인되지 않은 공유 권한을 제거하며, 공유 파일의 링크를 받는 사용자는 파일에 대한 권한이 없습니다.

  • 격리 - 사용자가 파일을 업로드하려고 할 때, SaaS 보안 API 엔진은 그것을 격리 폴더로 이동시키고 사용자가 더 이상 접근할 수 없습니다. Google 관리자는 격리 폴더에 있는 파일에 접근할 수 있습니다. 격리 폴더 구성에 대한 정보는 파일 격리 준비를 참조하십시오.

참고

참고: 다음과 같은 알려진 제한이 Google Drive 작업에 적용됩니다:

  • 공유 제거 작업은 공유 폴더 내의 파일에 적용할 수 없습니다. 공유 권한은 공유 폴더에 없는 파일에만 제거할 수 있습니다.

  • 공유 제거 작업이 적용되면, Google Drive는 사용자가 파일을 공유한 사용자에게 파일에 대한 접근을 요청하도록 허용하며, 약 10분 동안 접근 권한을 부여할 수 있습니다.

  • 격리 조치는 파일에 적용하는 데 최대 10분이 걸릴 수 있습니다.

각 작업은 자동으로 이벤트를 생성하며, 이메일 알림을 받을 수도 있습니다. SaaS 보안 API 이벤트에 대한 자세한 내용은 아래의 SaaS 보안 API 이벤트 분석을 참조하십시오.

SaaS 보안 API 위협 방지 규칙을 만들 때, 계정에 활성화된 상위 애플리케이션 엔진(보안 > 안티멀웨어)이 해당 커넥터 애플리케이션으로 전송된 파일에서 악성 코드를 수행합니다.

다음 스크린샷은 온드라이브 커넥터에 대한 위협 방지 규칙을 보여주며, 내부 사용자 또는 게스트가 보낸 파일을 검사합니다:

CAS_Threat_Protection.png

파일에 대한 예외 생성

때때로 카토의 SaaS 보안 API 엔진에 의해 차단된 파일이 안전하다는 것을 알고 있으며, 네트워크에서 허용해야 합니다. 이벤트 페이지에서는 파일 해시를 사용하여 위협 방지 스캔을 우회하는 예외를 만들 수 있습니다. 차단된 특정 파일에 대한 이벤트를 열고 파일 해시를 클릭하여 예외 구성 패널을 열고 파일을 계정의 예외로 추가합니다. 파일 예외의 시간을 선택하거나 예외가 영구적으로 유지되도록 구성할 수 있습니다.

안티멀웨어 및 SaaS 보안 API를 위한 파일 예외

파일 예외는 안티멀웨어SaaS 보안 API 위협 방지 정책에 적용됩니다. 안티멀웨어 및 NG 안티멀웨어 이벤트에서 예외를 만들 때, 이러한 예외는 SaaS 보안 API 위협 방지 정책에도 적용됩니다. 마찬가지로 SaaS 보안 API 안티멀웨어 이벤트에서 파일 예외를 만들 때, 이러한 예외는 안티멀웨어 정책에도 적용됩니다. 전체 파일 예외 목록은 안티멀웨어 페이지와 SaaS 보안 API 위협 방지 페이지에서 확인할 수 있습니다.

파일에 대한 예외를 생성하려면:

  1. 내비게이션 메뉴에서 홈페이지 > 이벤트를 선택합니다.

  2. SaaS 보안 API 악성코드 방지유형으로 이벤트를 필터링합니다.

  3. 시간 열에서 이벤트를 확장합니다.

  4. 이벤트에서 파일 해시 링크를 클릭합니다.

    예외 구성 패널이 열립니다.

    exception_configuration.png

  5. 기간 드롭다운 메뉴에서 파일이 안티멀웨어 및 NG 안티멀웨어 엔진에서 제외되는 시간을 선택합니다.

    영구 예외를 생성하려면 영구적을 선택합니다.

  6. 적용을 클릭합니다.

    예외가 생성되어 위협 방지 탭의 파일 예외 섹션 및 안티멀웨어 페이지에 추가됩니다.

    AM_FileExceptions.png

파일 예외 제거

위협 방지를 위한 정책에서 더 이상 필요하지 않은 예외를 제거하십시오.

위협 방지 정책을 위한 파일 예외를 제거하려면:

  1. 네비게이션 메뉴에서 보안 > SaaS 보안 API 정책을 클릭하십시오.

  2. 위협 방지 탭을 선택하십시오.

  3. 파일 예외 섹션에서 Delete.png 표시를 클릭하여 제거하고자 하는 예외를 선택하십시오.

  4. 저장을 클릭하십시오.

    예외가 제거되었습니다.

SaaS 보안 API 이벤트 분석

홈페이지 > 이벤트 페이지는 계정의 모든 SaaS 보안 API 이벤트를 표시합니다. 강력한 검색 도구를 사용하여 필요한 관련 데이터를 포함하는 몇몇 이벤트를 심층적으로 식별할 수 있습니다.

SaaS 보안 API 이벤트는 다음 필드를 통해 식별할 수 있습니다:

  • 이벤트 유형 - 보안

  • 하위 유형 - SaaS 보안 API 데이터 보호 및 SaaS 보안 API 악성코드 방지

서명자 인증서 지문 코드 40자를 입력하세요.에서 이벤트 화면 사용에 대해 더 알아볼 수 있습니다. 이벤트를 필터링하기 위해 SaaS 보안 API 데이터 보호 프리셋을 사용할 수 있습니다.

SaaS 보안 API 이벤트 필드 설명

필드 이름

설명

커넥터 이름

규칙에 정의된 커넥터 이름

커넥터 유형

이 커넥터에 대해 정의된 SaaS 앱

DLP 프로필

이 이벤트를 생성한 DLP 콘텐츠 프로필

파일 이름

첨부된 파일의 이름

일치하는 데이터 유형

규칙과 일치하는 콘텐츠 프로필의 데이터 유형

협력자

파일을 받은 사용자의 이메일 주소

규칙

데이터 보호 정책의 규칙 이름

소유자

파일 소유자

심각도

규칙에 정의된 심각도

채널 공유 범위

Google Drive 첨부 파일의 공유 옵션

Google Drive 그리고 Gmail 커넥터의 oAuth 범위

이것은 다른 Google 커넥터 유형에 필요한 oAuth 범위입니다:

  • Google 드라이브 읽기 -

    • https://www.googleapis.com/auth/admin.directory.user.readonly

    • https://www.googleapis.com/auth/admin.directory.domain.readonly

    • https://www.googleapis.com/auth/admin.directory.customer.readonly

    • https://www.googleapis.com/auth/admin.reports.audit.readonly

    • https://www.googleapis.com/auth/drive.readonly

    • https://www.googleapis.com/auth/admin.reports.usage.readonly

  • Google 드라이브 쓰기 -

    • https://www.googleapis.com/auth/admin.directory.user.readonly

    • https://www.googleapis.com/auth/admin.directory.domain.readonly

    • https://www.googleapis.com/auth/admin.directory.customer.readonly

    • https://www.googleapis.com/auth/admin.reports.audit.readonly

    • https://www.googleapis.com/auth/drive.readonly

    • https://www.googleapis.com/auth/admin.reports.usage.readonly

    • https://www.googleapis.com/auth/drive

    • https://www.googleapis.com/auth/drive.file

  • Gmail -

    • https://www.googleapis.com/auth/admin.directory.user.readonly

    • https://www.googleapis.com/auth/admin.directory.domain.readonly

    • https://www.googleapis.com/auth/admin.directory.customer.readonly

    • https://www.googleapis.com/auth/admin.reports.audit.readonly

    • https://www.googleapis.com/auth/drive.readonly

    • https://www.googleapis.com/auth/admin.reports.usage.readonly

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개