Configurando o Conector de API de Segurança SaaS para Dropbox

Este artigo explica como configurar o conector do Dropbox para a política de API de Segurança SaaS da sua conta e criar regras que utilizem este conector na Política de Proteção de Dados.

A política de API de Segurança SaaS requer uma licença Cato separada. Por favor, entre em contato com seu representante Cato ou revendedor oficial para mais informações.

Visão geral do Conector Dropbox

Crie o conector para o locatário do Dropbox da sua organização. Em seguida, defina regras na política de Proteção de Dados que incluam o conector Dropbox e determine quais arquivos são escaneados e inspecionados. Você pode criar um único conector Dropbox para cada locatário.

Pré-requisitos

Permissões de administrador de equipe para o locatário do Dropbox
Compatível com o plano Dropbox Business Plus

Permissões necessárias para os Conectores de API do Dropbox

Para habilitar a API de Segurança SaaS da Cato para escanear arquivos e pastas na sua conta do Dropbox, o conector dá à Cato as seguintes permissões e ações com o aplicativo Dropbox:

Permissões individuais
- Visualizar o conteúdo dos arquivos e pastas do Dropbox dos membros
- Visualizar solicitações de arquivos do Dropbox dos membros e as configurações de compartilhamento do Dropbox e colaboradores
- Visualizar informações básicas sobre as contas do Dropbox dos membros, como nome de usuário, e-mail e país
Permissões da equipe
- Visualizar informações sobre os arquivos e pastas da sua equipe
- Visualizar e editar o conteúdo de, dados de governança de, e informações sobre os arquivos e pastas da sua equipe
- Visualizar a composição do seu time
- Visualizar o log de atividade da sua equipe
- Visualizar a estrutura das pastas da sua equipe e dos membros
- Visualizar informações básicas sobre sua equipe, incluindo nomes, contagem de usuários e configurações da equipe

Limitações Conhecidas

O conector identifica uma atividade de compartilhar após qualquer atividade subsequente realizada no locatário do Dropbox por qualquer dos usuários da conta (não na ação de compartilhamento de arquivo original)

Trabalhando com Conectores Dropbox

Esta seção explica como criar conectores de API para Dropbox e conectar o locatário do Dropbox da sua organização à sua conta Cato.

Criando o Conector Dropbox

Use o Aplicativo de Gerenciamento Cato para criar o conector Dropbox, não há necessidade de configurar definições no Dropbox. O conector Dropbox permite que o motor de API SaaS da Cato escaneie arquivos para o conteúdo que você define na política de Proteção contra Ameaças e Proteção de Dados.

Para EA - Atualmente, a ação Monitorar é suportada, o que requer apenas permissões de Ler. No entanto, recomendamos configurar o conector Dropbox com permissões de Ler/Escrever para que você não precise fazer alterações no conector para aplicar ações adicionais no futuro. Quarentena).

Para criar o conector para Dropbox:

No menu de navegação, selecione Recursos > Integrações e clique em SaaS APIs Proteção de Dados.
Clique em Novo. O painel do Novo Conector é aberto.
Crie um novo aplicativo Dropbox.
Digite o Nome do Conector.
No Aplicativo de Gerenciamento Cato, clique em Autorizar e Salvar.

Uma tela de permissões do Dropbox é aberta em uma nova guia do navegador.
Conceda permissões para que sua conta Cato acesse o locatário do Dropbox.
1. Clique em Continuar para confirmar que deseja que a Cato acesse o locatário do Dropbox.
2. Clique em Permitir para permitir que a Cato acesse o locatário do Dropbox.
3. A tela mostra que você aplicou com sucesso as permissões para o locatário.
  
  Você pode fechar a guia do navegador e retornar ao Aplicativo de Gerenciamento Cato. Pode levar alguns segundos para que o Dropbox processe o pedido, então, se você receber um erro, atualize o navegador.
  
  Enquanto o Dropbox está processando a solicitação, o Status do conector está Consentimento do usuário pendente (veja abaixo Entendendo o Estado do Conector).
O conector SaaS do Dropbox é adicionado à página SaaS APIs Proteção de Dados.

Entendendo o Estado do Conector

A coluna Status na tela de Configurações dos Conectores mostra o estado da conexão entre o aplicativo Dropbox e sua conta Cato. Estas são as explicações dos estados:

Conectado - Sua conta está conectada ao aplicativo e funcionando corretamente
Aviso de conexão - Alguns dos usuários no locatário do Dropbox não estão configurados corretamente para suportar a API de Segurança SaaS da Cato. Por favor, abra um ticket com Suporte.
Erro de conexão - Problema de conectividade ou permissões com o conector do Dropbox. Por favor, abra um ticket com Suporte.

Dropbox suporta a criação de apenas um conector por locatário.
Consentimento do usuário pendente - O conector do Dropbox é criado na tela de Configurações de Conexão, entretanto você não completou o processo para autorizar a Cato a se conectar à sua conta do Dropbox.

Adicionando Regras do Dropbox à Política de Proteção de Dados

Esta seção explica como usar a política de Proteção de Dados para monitorar e gerenciar os arquivos e pastas que seus usuários carregam e baixam com o Dropbox.

Entendendo as Ações do Dropbox

Ao criar uma regra de Proteção de Dados, você pode definir diferentes ações para monitorar ou remediar as violações de política quando a regra é correspondida. Cada ação gera automaticamente um evento, e você também pode optar por receber uma notificação por e-mail. Para mais sobre eventos de API de Segurança SaaS, veja abaixo Analisando Eventos de API de Segurança SaaS.

Estas são as ações que você pode definir para o motor de Proteção de Dados realizar quando uma regra é correspondida:

Monitorar - Gera um evento para permitir que você monitore o tráfego que corresponde à regra.

Configurando Regras do Dropbox

Use a página de Proteção de Dados para adicionar as regras de aplicativo SaaS à sua política de Proteção de Dados.

Crie uma regra de Proteção de Dados para definir o tráfego que é escaneado pela API de Segurança SaaS. Crie regras separadas para cada conector de aplicativo SaaS e, em seguida, defina os critérios que determinam qual tráfego é escaneado.

Para mais informações sobre as configurações de regras do Dropbox, veja abaixo Entendendo as Regras do Dropbox.

Para criar uma nova regra de Proteção de Dados para o aplicativo Dropbox:

No painel de navegação, selecione Segurança > Política de API de Segurança SaaS e selecione ou expanda Proteção de Dados.
Clique em Novo. O painel Nova Regra é aberto.
Em Conector de Aplicação, selecione o aplicativo Dropbox.
Na seção Geral, insira as configurações para a regra.
Em Proprietário, selecione um ou mais usuários do Dropbox que você está monitorando (o valor padrão é Qualquer).

Quando você seleciona vários usuários, há uma relação OU entre eles.
Em Opções de Compartilhamento, selecione o nível de permissão para arquivos e pastas que são escaneados (o valor padrão é Qualquer).

Quando você seleciona várias opções, há uma relação OU entre elas.
Em Atributos de Arquivo, defina os critérios para especificar os arquivos que são escaneados (a configuração padrão é escanear todos os arquivos).
Em Perfil de Conteúdo, selecione o Perfil de Conteúdo DLP para esta regra.

Para mais informações sobre Perfis de Conteúdo DLP, veja Criando Perfis de Conteúdo DLP.
Selecione uma Ação.
(Opcional) Defina as opções de rastreamento para as regras gerarem notificações por e-mail.

Para mais informações sobre eventos e notificações por e-mail, veja Alertas de Nível de Conta e Notificações do Sistema.
Clique em Salvar. A regra é adicionada à política de Proteção de Dados.

Entendendo as Regras do Dropbox

Esta seção explica como definir as configurações para as regras de Proteção de Dados para escanear o tráfego correto do Dropbox. Cada regra pode ser definida de acordo com os seguintes critérios:

Proprietário - Usuários do Dropbox no seu espaço de trabalho (o valor padrão é Qualquer)
- Interno - Proprietário é qualquer usuário da sua empresa
- Usuário Dropbox - Proprietário é um usuário específico
Opções de Compartilhamento - Selecione os tipos de permissões de compartilhamento de arquivos e pastas que correspondem a esta regra (o valor padrão é Qualquer)
- Privado - Somente o usuário tem acesso
- Link público - Acessível publicamente a qualquer pessoa com o link (não é necessário entrar no Dropbox)
- Pessoas da empresa - Qualquer usuário da sua empresa com o link
- Somente pessoas convidadas da empresa - Qualquer usuário da sua empresa que foi convidado a compartilhar o arquivo
- Somente pessoas públicas convidadas - Usuários externos que foram convidados a compartilhar o arquivo
Atributos de Arquivo - Critérios para anexos que são escaneados (o valor padrão é todos os anexos)
- Tipo de Arquivo
- Nome do Arquivo
- Tamanho do Arquivo (o tamanho máximo do arquivo é de 20 MB)
Perfil de Conteúdo - Perfil de Conteúdo DLP que define a inspeção de conteúdo DLP

Você pode criar ou editar Perfis de Conteúdo em Segurança > Perfis de DLP > Perfis de DLP > Perfil de Conteúdo
Ações - Selecione se deseja gerar um evento ou notificação por e-mail quando a regra for correspondida

Definindo Arquivos ou Anexos para uma Regra

Você pode definir arquivos específicos (ou anexos) para uma regra e limitar o motor API de Segurança SaaS a escanear apenas os arquivos especificados para ver se eles correspondem ao Perfil de Conteúdo DLP.

Quando você adiciona vários arquivos a uma regra, selecione a relação entre eles:

Satisfazer qualquer (OU) - Corresponder a apenas um dos Tipos de Arquivo na regra
Satisfazer todos (E) - Corresponder a todos os Tipos de Arquivo na regra (caso contrário, a regra é ignorada)

Você pode usar a configuração de Nome do Arquivo em uma regra para definir o nome exato do arquivo ou usar curingas para definir palavras-chave. Por exemplo, você pode definir o Nome do Arquivo como interno para corresponder a todos os nomes de arquivos que contêm a palavra interno.

Trabalhando com Regras de Proteção de Dados Ordenadas

O motor API de Segurança SaaS inspeciona os dados sequencialmente, e verifica se eles correspondem a uma regra. Se os dados não corresponderem a uma regra, eles não são inspecionados. As regras que estão no topo da base de regras têm uma prioridade mais alta e são aplicadas antes das regras mais abaixo na base de regras. Cada tipo de aplicação ou conector é aplicado aos dados apenas uma vez.

Melhores práticas - Para maximizar a eficiência da sua base de regras, recomendamos que para cada tipo de conector, as regras para usuários específicos tenham prioridade mais alta do que as regras que se aplicam a Qualquer usuário.

Por exemplo, se os dados corresponderem a um conector na regra #2, os dados são inspecionados pelo motor API de Segurança SaaS. O motor não continua a aplicar as regras #3 e abaixo para o mesmo conector. No entanto, os dados podem corresponder a uma regra de menor prioridade com um conector diferente.

Adicionando Proteção contra Ameaças ao Conector

Você pode criar Regras de Proteção contra Ameaças para o conector para escanear Arquivos e Anexos em busca de Malware e vírus usando os Motores de Terceiros Anti-Malware e Next Gen Anti-Malware que estão habilitados para a sua Conta. O motor API de Segurança SaaS escaneia o tráfego do conector e aplica as opções de ação e rastreamento que você configura para a regra.

Estas são as ações que você pode definir para o motor de Proteção contra Ameaças realizar quando uma regra for correspondida:

Monitorar - Gera um evento para permitir que você monitore o tráfego que corresponde à regra.

Cada ação gera automaticamente um evento, e você também pode optar por receber uma notificação por e-mail. Para saber mais sobre eventos da API de Segurança SaaS, veja abaixo Analisando eventos da API de Segurança SaaS.

Quando você cria uma regra de Proteção contra Ameaças da API de Segurança SaaS, os motores Anti-Malware que estão habilitados para a sua conta (Segurança > Anti-Malware) realizam varreduras de malware nos arquivos que são enviados para essa aplicação de conector.

A seguinte captura de tela mostra uma regra de Proteção contra Ameaças para o conector do OneDrive que escaneia arquivos enviados por usuários Internos ou Convidados:

Criando uma Exceção para um Arquivo

Às vezes, há um arquivo bloqueado pelos motores API de Segurança SaaS da Cato que você sabe que é seguro, e você precisa permiti-lo na rede. A página Eventos permite que você use o hash do arquivo para criar exceções que bypassam as varreduras de Proteção contra Ameaças. Após você abrir um evento para o arquivo específico que foi bloqueado, clique no hash do arquivo para abrir o painel de Configuração de Exceção e adicione o arquivo como uma exceção para a conta. Você pode escolher a duração do tempo para a exceção do arquivo, ou configurar a exceção para durar para sempre.

Exceções de Arquivos para Anti-Malware e API de Segurança SaaS

As exceções de arquivos se aplicam às políticas de Anti-Malware e de Proteção contra Ameaças da API de Segurança SaaS. Quando você cria exceções a partir de eventos de Anti-Malware e NG Anti-Malware, essas exceções também se aplicam à política de Proteção contra Ameaças da API de Segurança SaaS. Da mesma forma, quando você cria exceções de arquivos a partir de eventos de Anti-Malware da API de Segurança SaaS, as exceções também se aplicam à política de Anti-Malware. A lista completa de exceções de arquivos é exibida tanto na página Anti-Malware quanto na página de Proteção contra Ameaças da API de Segurança SaaS.

Para criar uma exceção para um arquivo:

No menu de navegação, selecione Inicial > Eventos.
Filtre o evento usando o Subtipo de Proteção Anti-Malware da API de Segurança SaaS.
Na coluna Hora, expanda o evento.
No evento, clique no link Hash do Arquivo.

O painel de Configuração de Exceção é aberto.
No menu suspenso Duração, selecione por quanto tempo o arquivo será excluído dos motores Anti-Malware e NG Anti-Malware.

Para criar uma exceção permanente, selecione Para Sempre.
Clique em Aplicar.

A exceção é criada e adicionada à seção Exceções de Arquivos na aba Proteção contra Ameaças e na página Anti-Malware.

Removendo uma Exceção de Arquivo

Remova uma exceção da política de Proteção contra Ameaças quando não for mais necessário.

Para remover exceções de arquivos da política de Proteção contra Ameaças:

No menu de navegação, clique em Segurança > Política de API de Segurança SaaS.
Selecione a aba Proteção contra Ameaças.
Na seção Exceções de Arquivos, clique em para a exceção que você deseja remover.
Clique em Salvar.

A exceção é removida.

Analisando Eventos da API de Segurança SaaS

A página Inicial > Eventos mostra todos os eventos da API de Segurança SaaS da sua conta. As poderosas ferramentas de pesquisa permitem que você detalhe e identifique os poucos eventos que contêm os dados relevantes que você precisa.

Os eventos da API de Segurança SaaS podem ser identificados pelos seguintes campos:

Tipo de Evento - Segurança
Subtipo - Proteção de Dados de API de Segurança SaaS e Proteção Anti-Malware da API de Segurança SaaS

Você pode aprender mais sobre o uso da tela de Eventos Insira o código de impressão digital de 40 caracteres. Você pode usar a predefinição de Proteção de Dados de API de Segurança SaaS para filtrar os eventos.

Explicando os Campos de Eventos da API de Segurança SaaS

Nome do campo	Descrição
Nome do Conector	Nome definido para o conector que está definido para a regra
Tipo de Conector	Aplicação SaaS que está definida para este conector
Perfil DLP	Perfil de Conteúdo DLP que gerou este evento
Nome do Arquivo	Nome do arquivo anexado
Tamanho do Arquivo	Tamanho do arquivo anexado
Tipo de Arquivo	Tipo de arquivo para o arquivo anexado
Tipos de Dados Correspondentes	Tipos de Dados no Perfil de Conteúdo que corresponderam à regra
Colaboradores	Endereços de e-mail dos usuários que receberam o arquivo
Regra	Nome da regra na política de Proteção de Dados
Proprietário	Proprietário do arquivo
Gravidade	Gravidade definida para a regra
Escopo de Compartilhamento	Opções de Compartilhamento para o anexo do Dropbox