Dropbox: Configurar o Conector do API de Proteção de Dados

Este artigo explica como configurar o conector do Dropbox para a política de Proteção de API de Aplicação & Dados para a sua conta e criar regras que usam este conector na Política de Proteção de Dados.

A política de Proteção de API de Aplicação & Dados requer uma licença Cato separada. Por favor, entre em contato com seu representante Cato ou revendedor oficial para mais informações.

Visão Geral do Conector do Dropbox

Crie o conector para o inquilino do Dropbox da sua organização. Em seguida, defina regras na política de Proteção de Dados que incluam o conector do Dropbox e definam que os arquivos serão verificados e inspecionados. Você pode criar um único conector do Dropbox para cada inquilino.

Pré-requisitos

Permissões de administrador de equipe para o inquilino do Dropbox
Suportado com o plano Dropbox Business Plus

Permissões Obrigatórias para os Conectores API do Dropbox

Para habilitar a API de Proteção de Dados a escanear arquivos e pastas em sua conta Dropbox, o conector dá à Cato as seguintes permissões e ações com o aplicativo Dropbox:

Permissões individuais
- Visualizar conteúdo dos arquivos e pastas do Dropbox dos membros
- Visualizar as solicitações de arquivo dos membros do Dropbox, as configurações de compartilhamento do Dropbox e os colaboradores
- Visualizar informações básicas sobre as contas do Dropbox dos membros, como nome de usuário, e-mail e país
Permissões da equipe
- Visualizar informações sobre os arquivos e pastas da sua equipe
- Visualizar e editar conteúdo de, dados de governança de, e informações sobre os arquivos e pastas da sua equipe
- Visualizar a adesão da sua equipe
- Visualizar o log de atividades da sua equipe
- Visualizar a estrutura das pastas da sua equipe e dos membros
- Visualizar informações básicas sobre sua equipe, incluindo nomes, quantidade de usuários e configurações da equipe

Limitações Conhecidas

O conector identifica uma atividade de compartilhar após qualquer atividade subsequente ser realizada no inquilino do Dropbox por qualquer dos usuários da conta (não na ação original de compartilhamento de arquivos).

Trabalhando com Conectores Dropbox

Esta seção explica como criar conectores de API para Dropbox e conectar o inquilino do Dropbox da sua organização à sua conta Cato.

Criando o Conector do Dropbox

Use o Aplicativo de Gerenciamento Cato para criar o conector do Dropbox, não há necessidade de configurar configurações no Dropbox. O conector do Dropbox permite que o motor de API de Segurança SaaS do Cato escaneie arquivos para o conteúdo que você define na política de Proteção contra Ameaças e Política de Proteção de Dados.

Para EA - Atualmente a ação de Monitoramento é suportada, que só requer permissões de Ler. No entanto, recomendamos configurar o conector do Dropbox com Ler/Escrever permissões para que não seja necessário fazer alterações no conector para aplicar ações adicionais no futuro (ou seja). Quarentena).

Para criar o conector para Dropbox:

No menu de navegação, selecione Recursos > Integrações e clique na aba Aplicativos Integrados.
Clique em Novo. O painel Novo Conector é aberto.
Em Conector de Aplicativo, selecione Dropbox.
Na seção Capacidade, selecione Proteção de Dados e Ameaças.
Digite o Nome do Conector.
No Aplicativo de Gerenciamento Cato, clique em Autorizar e Salvar.

Uma tela de permissões do Dropbox é aberta em uma nova aba do navegador.
Dê permissões para sua conta Cato acessar o locatário do Dropbox.
1. Clique em Continuar para confirmar que deseja que o Cato acesse o locatário do Dropbox.
2. Clique em Permitir para autorizar o Cato a acessar o locatário do Dropbox.
3. A tela indica que você aplicou corretamente as permissões para o locatário.
  
  Você pode fechar a aba do navegador e retornar ao Aplicativo de Gerenciamento Cato. Pode levar alguns segundos para que o Dropbox processe a solicitação, então se você receber um erro, atualize o navegador.
  
  Enquanto o Dropbox processa a solicitação, o Status do conector é Consentimento do usuário pendente (veja abaixo Entendendo o Status do Conector).
O conector SaaS do Dropbox é adicionado à aba Aplicativos Integrados.

Entendendo o Status do Conector

A coluna Status na tela de Configurações dos Conectores mostra o status da conexão entre o aplicativo Dropbox e sua conta Cato. Estas são as explicações dos status:

Conectado - Sua conta está conectada ao aplicativo e funcionando corretamente
Aviso de conexão - Alguns dos usuários no locatário Dropbox não estão configurados corretamente para suportar a API de Proteção de Dados. Por favor abra um ticket com Suporte.
Erro de conexão - Problema de conectividade ou permissões com o conector Dropbox. Por favor, abra um chamado com Suporte.

O Dropbox suporta apenas a criação de um conector por locatário.
Consentimento do usuário pendente - O conector Dropbox é criado na tela de Configurações dos Conectores, no entanto, você não completou o processo para autorizar o Cato a se conectar à sua conta do Dropbox.

Adicionando Regras do Dropbox à Política de Proteção de Dados

Esta seção explica como usar a política de Proteção de Dados para monitorar e gerenciar os arquivos e pastas que seus usuários carregam e baixam com o Dropbox.

Entendendo as Ações do Dropbox

Quando você cria uma regra de Proteção de Dados, você pode definir diferentes ações para monitorar ou corrigir as violações de política quando a regra é correspondente. Cada ação gera automaticamente um evento, e você também pode escolher receber uma notificação por e-mail. Para saber mais sobre eventos da API de Proteção de Dados, veja abaixo Analisando Eventos da API de Proteção de Dados.

Estas são as ações que você pode definir para que o motor de Proteção de Dados execute quando uma regra for correspondente:

Monitorar - Gera um evento para permitir que você monitore o tráfego que corresponde à regra.

Configurando Regras do Dropbox

Use a página de Proteção de Dados para adicionar as regras de aplicativos SaaS na sua política de Proteção de Dados.

Crie uma regra de Proteção de Dados para definir o tráfego que é escaneado pela API de Proteção de Dados. Crie regras separadas para cada conector de aplicativo SaaS e defina os critérios que determinam qual tráfego é escaneado.

Para mais informações sobre as configurações de regras do Dropbox, veja abaixo Entendendo as Regras do Dropbox.

Para criar uma nova regra de Proteção de Dados para o aplicativo Dropbox:

Do painel de navegação, selecione Segurança > Proteção de API de Aplicativo e Dados e selecione ou expanda Proteção de Dados.
Clique em Novo. O painel Nova Regra abre.
Em Conector de Aplicação, selecione o aplicativo Dropbox.
Na seção Geral, insira as configurações para a regra.
Em Proprietário, selecione um ou mais usuários do Dropbox que você está monitorando (o valor padrão é Qualquer).

Quando você seleciona vários usuários, existe uma relação OU entre eles.
Em Opções de Compartilhamento, selecione o nível de permissão para arquivos e pastas que são escaneados (o valor padrão é Qualquer).

Quando você seleciona várias opções, existe uma relação OU entre elas.
Em Atributos de Arquivo, defina os critérios para especificar os arquivos que são escaneados (a configuração padrão é escanear todos os arquivos).
Em Perfil de Conteúdo, selecione o Perfil de Conteúdo DLP para esta regra.

Para saber mais sobre Perfis de Conteúdo DLP, consulte Criando Perfis de Conteúdo DLP.
Selecione uma Ação.
(Opcional) Defina as opções de rastreamento para que as regras gerem notificações por e-mail.

Para mais informações sobre eventos e notificações por email, veja Alertas de Nível de Conta e Notificações do Sistema.
Clique em Salvar. A regra é adicionada à Política de Proteção de Dados.

Entendendo as Regras do Dropbox

Esta seção explica como definir as configurações para as regras de Proteção de Dados para escanear o tráfego correto do Dropbox. Cada regra pode ser definida de acordo com os seguintes critérios:

Proprietário - Usuários do Dropbox em seu espaço de trabalho (o valor padrão é Qualquer)
- Interno - O proprietário é qualquer usuário em sua empresa
- Usuário Dropbox - O proprietário é um usuário específico
Opções de Compartilhamento - Selecione os tipos de permissões de compartilhamento de arquivos e pastas que correspondem a esta regra (o valor padrão é Qualquer)
- Privado - Apenas o usuário tem acesso
- Link público - Acessível publicamente a qualquer pessoa com o link (não precisa fazer login no Dropbox)
- Pessoas da empresa - Qualquer usuário em sua empresa com o link
- Somente pessoas convidadas da empresa - Qualquer usuário em sua empresa que foi convidado a compartilhar o arquivo
- Somente pessoas públicas convidadas - Usuários externos que foram convidados a compartilhar o arquivo
Atributos de Arquivo - Critérios para anexos que são escaneados (o valor padrão é todos os anexos)
- Tipo de Arquivo
- Nome do Arquivo
- Tamanho do Arquivo (o tamanho máximo do arquivo é 20 MB)
Perfil de Conteúdo - Perfil de Conteúdo DLP que define a inspeção do conteúdo DLP

Você pode criar ou editar Perfis de Conteúdo em Segurança > Perfis de DLP > Perfis de DLP > Perfil de Conteúdo
Ações - Selecione se deseja gerar um evento ou notificação por e-mail quando a regra for correspondida

Definindo Arquivos ou Anexos para uma Regra

Você pode definir arquivos específicos (ou anexos) para uma regra e limitar o motor API SaaS a escanear apenas os arquivos especificados para verificar se eles correspondem ao Perfil de Conteúdo de DLP.

Quando você adiciona vários arquivos a uma regra, selecione o relacionamento entre eles:

Satisfazer qualquer (OU) - Correspondência com apenas um dos Tipos de Arquivos na regra
Satisfazer todos (E) - Correspondência com todos os Tipos de Arquivos na regra (caso contrário, a regra é ignorada)

Você pode usar a configuração do Nome do Arquivo em uma regra para definir o nome exato do arquivo ou usar curingas para definir palavras-chave. Por exemplo, você pode definir o Nome do Arquivo como interno para corresponder a todos os nomes de arquivos que contêm a palavra interno.

Trabalhando com Regras de Proteção de Dados Ordenadas

O motor de API de Proteção de Dados inspeciona os dados sequencialmente e verifica se eles correspondem a uma regra. Se os dados não corresponderem a uma regra, eles não são inspecionados. Regras que estão no topo da base de regras têm prioridade mais alta e são aplicadas antes das regras que estão mais abaixo na base de regras. Cada tipo de aplicação ou conector é aplicado aos dados apenas uma vez.

Melhores práticas - Para maximizar a eficiência da sua base de regras, recomendamos que para cada tipo de conector, regras para usuários específicos tenham uma prioridade mais alta que as regras que se aplicam a Qualquer usuários.

Por exemplo, se os dados corresponderem a um conector na regra #2, os dados são inspecionados pelo motor de API de Proteção de Dados. O motor não continua aplicando as regras #3 e abaixo para o mesmo conector. No entanto, os dados poderiam corresponder a uma regra de prioridade mais baixa com um conector diferente.

Adicionando Proteção contra Ameaças ao Conector

Você pode criar regras de Proteção contra Ameaças para o conector para escanear arquivos e anexos em busca de malware e vírus usando os motores Anti-Malware e Next Gen Anti-Malware que estão habilitados para sua conta. O motor de API de Proteção de Dados escaneia o tráfego do conector e aplica as opções de ação e rastreamento que você configura para a regra.

Estas são as ações que você pode definir para que o motor de Proteção contra Ameaças execute quando uma regra for correspondida:

Monitorar - Gera um evento para que você possa monitorar o tráfego que corresponde à regra.

Cada ação gera automaticamente um evento, e você também pode optar por receber uma notificação por email. Para saber mais sobre eventos da API de Proteção de Dados, veja abaixo Analisando Eventos da API de Proteção de Dados.

Quando você cria uma regra de Proteção de API de Aplicativo e Dados, os motores Anti-Malware que estão habilitados para sua conta (Segurança > Anti-Malware) realizam varreduras de malware nos arquivos enviados para aquele aplicativo conector.

A captura de tela a seguir mostra uma regra de Proteção contra Ameaças para o conector OneDrive que escaneia arquivos enviados por usuários Internos ou Convidados:

Criando uma Exceção para um Arquivo

Às vezes, há um arquivo bloqueado pelos motores de API de Proteção de Dados da Cato que você sabe que é seguro e precisa permitir na rede. As exceções de Anti-Malware na política de Hash do Arquivo também se aplicam à Proteção de API de Aplicativo e Dados. Para mais informações sobre como adicionar arquivos à Política de Hash do Arquivo, consulte Gerenciamento de Exceções de Anti-Malware.

Analisando Eventos da API de Proteção de Dados

A página Inicial > Eventos mostra todos os eventos de API de Proteção de Dados para sua conta. As poderosas ferramentas de pesquisa permitem que você aprofunde e identifique os poucos eventos que contêm os dados relevantes que você precisa.

Os eventos de API de Proteção de Dados podem ser identificados pelos seguintes campos:

Tipo de Evento - Segurança
Sub-Tipo - Proteção de Dados da API de Segurança SaaS e Proteção Anti-Malware da API de Segurança SaaS

Você pode aprender mais sobre como usar a página de Eventos aqui.

Explicando os Campos dos Eventos da API de Proteção de Dados

Nome do campo	Descrição
Nome do Conector	Nome do Conector definido para a regra
Tipo de Conector	Aplicativo SaaS definido para este conector
Perfil DLP	Perfil de Conteúdo DLP que gerou este evento
Nome do Arquivo	Nome do Arquivo anexado
Tamanho do Arquivo	Tamanho do Arquivo anexado
Tipo de Arquivo	Tipo de Arquivo para o Arquivo anexado
Tipos de Dados Correspondentes	Tipos de Dados no Perfil de Conteúdo que corresponderam à regra
Colaboradores	Endereços de e-mail dos usuários que receberam o arquivo
Regra	Nome da regra na Política de Proteção de Dados
Proprietário	Proprietário do Arquivo
Gravidade	Gravidade Definida para a Regra
Escopo de Compartilhamento	Opções de Compartilhamento para o Anexo do Dropbox