Este artigo explica como configurar o conector do GitHub para a Política de API de Segurança SaaS da sua conta e criar regras que utilizam este conector na Proteção contra Ameaças e Política de Proteção de Dados.
A Política de API de Segurança SaaS requer uma licença Cato separada. Por favor, entre em contato com seu representante Cato ou revendedor oficial para mais informações.
O conector de API de Segurança SaaS do GitHub monitora o conteúdo em commits que os usuários enviam para repositórios e verifica dados sensíveis que você define nos Perfis de Conteúdo de proteção contra perda de dados. Quando o conector identifica dados sensíveis em um commit, ele gera um evento com os detalhes. Por exemplo, você pode escanear commits para tokens de API, chaves SSH, credenciais de banco de dados e mais.
Para monitorar o conteúdo em commits, crie o conector para a organização do GitHub e depois configure regras nas políticas de Proteção contra Ameaças e Proteção de Dados que definem os usuários e repositórios que são escaneados e monitorados.
Esta seção explica como criar conectores de API para o GitHub para escanear commits em busca de dados sensíveis e ameaças.
Use o Aplicativo de Gerenciamento Cato para criar o conector do GitHub e depois entre na sua conta do GitHub. Selecione a organização para instalar o conector e depois selecione os repositórios que o conector pode acessar. Você pode selecionar todos os repositórios para a organização ou apenas específicos.
Você pode criar um único conector para cada organização do GitHub. Para várias organizações, é necessário um conector separado para cada uma.
O conector do GitHub permite que o motor da API de Segurança SaaS Cato escaneie o conteúdo que você define na política de Proteção de Dados.
Nota
Nota:
-
Você não pode instalar mais de um conector para uma organização. Tentar instalar um segundo conector para a mesma organização pode impactar a funcionalidade, e a organização pode não ser mais monitorada.
-
Alterar as configurações de um conector existente no console de gerenciamento do GitHub pode impactar a funcionalidade, e a organização pode não ser mais monitorada.
Para criar o conector para GitHub:
-
No menu de navegação, selecione Recursos > Integrações e clique em Proteção de Dados da API de Segurança SaaS.
-
Clique em Novo. O painel Novo Conector é aberto.
-
Em Aplicativo SaaS, selecione GitHub.
-
Digite o Nome do Conector.
-
Clique em Autorizar e Salvar. Você será redirecionado para o GitHub.
-
Instale o aplicativo no GitHub:
-
No GitHub, entre como administrador. Se você já estiver conectado ao GitHub, verifique se está conectado como administrador.
-
Selecione a organização para o conector.
-
Se necessário, entre na organização.
-
Selecione os repositórios que o conector tem permissão para acessar e clique em Instalar. Você pode selecionar todos os repositórios na organização ou específicos.
-
A tela mostra que você aplicou com sucesso as permissões para o tenant.
-
O conector do GitHub é criado e adicionado à página Aplicações SaaS Instaladas.
-
A coluna Status na página de Aplicações SaaS Instaladas mostra o status da conexão entre sua conta GitHub e sua conta Cato. Estas são as explicações dos statuses:
-
Conectado - Sua conta está conectada à conta e funcionando corretamente
-
Erro de conexão - Problema de conectividade ou permissões com o conector do GitHub. Por favor abra um ticket com Suporte.
-
Consentimento do usuário pendente - O conector do GitHub é criado na página de Configurações de Conexão, porém você não autenticou com sucesso no GitHub. Pode levar vários segundos para processar a autenticação, então se você receber este status, atualize o navegador.
Esta seção explica como usar a política de Proteção de Dados para monitorar commits do GitHub em busca de dados sensíveis. Quando um usuário envia um commit para um repositório, o mecanismo de Proteção de Dados escaneia o novo conteúdo contido no commit para detectar os dados sensíveis definidos nos Perfis de Conteúdo. Conteúdo que foi anteriormente enviado para o repositório não é escaneado, apenas o novo conteúdo que é diferente no commit.
Esta seção explica como definir as configurações para as regras de Proteção de Dados para escanear commits do GitHub. Cada regra pode ser definida com as seguintes configurações:
-
Usuários - Defina os usuários do GitHub para monitorar. Selecione Qualquer ou defina um ou mais usuários específicos.
-
Objetos - Defina quais repositórios GitHub são escaneados. Selecione Qualquer ou defina um ou mais repositórios específicos.
-
Os repositórios disponíveis para escaneamento incluem aqueles aos quais o conector tem permissão para acessar, conforme definido quando o conector foi criado. Veja acima Criando o Conector GitHub.
-
-
Atributos de Arquivo - Excluir arquivos da verificação com base no Nome do Arquivo e Tipo de Arquivo. Arquivos que atendem aos atributos definidos não são escaneados quanto a conteúdo sensível.
-
Perfil de Conteúdo - Perfil de Conteúdo DLP que define a inspeção de conteúdo DLP
Você pode criar ou editar Perfis de Conteúdo em Segurança > Perfis de DLP > Perfis de DLP > Perfil de Conteúdo
-
Ações - Selecione se você deseja gerar um evento ou enviar uma notificação quando a regra for correspondida
Use a página de Proteção de Dados para adicionar as regras de Aplicativo SaaS na sua política de Proteção de Dados.
Para criar uma nova Regra de Proteção de Dados para o aplicativo GitHub:
-
No painel de navegação, selecione Segurança > Política de API de Segurança SaaS e selecione ou expanda Proteção de Dados.
-
Clique em Novo. O painel Nova Regra abre.
-
Em Conector de Aplicação, selecione o aplicativo GitHub.
-
Na seção Geral, insira as configurações para a regra.
-
Em Usuários, defina os usuários do GitHub que você está monitorando:
-
Qualquer - Monitore todos os usuários do GitHub na organização (valor padrão)
-
Usuário GitHub - Selecione os usuários específicos da organização para monitorar
-
-
Em Objetos, defina os repositórios GitHub que são escaneados. O valor padrão é Qualquer.
-
Em Atributos de Arquivo, defina os critérios para especificar os arquivos que são escaneados (a configuração padrão é escanear todos os arquivos).
-
Em Perfil de Conteúdo, selecione o Perfil de Conteúdo DLP para esta regra.
Para mais informações sobre Perfis de Conteúdo DLP, veja Criando Perfis de Conteúdo DLP.
-
Em Ações, selecione Monitorar.
-
(Opcional) Configure as opções de rastreamento para gerar Eventos e enviar Notificações.
Para mais informações sobre notificações, consulte o artigo relevante para Grupos de Assinatura, Listas de Correio e Integrações de Alertas na seção Alertas.
-
Clique em Salvar. A regra é adicionada à política de Proteção de Dados.
O motor de API de Segurança SaaS inspeciona os dados sequencialmente e verifica se eles correspondem a uma regra. Se os dados não corresponderem a uma regra, eles não são inspecionados. Regras que estão no topo da base de regras têm uma prioridade mais alta e são aplicadas antes das regras mais abaixo na base de regras. Cada tipo de aplicação ou conector é aplicado aos dados apenas uma vez.
Melhor Prática - Para maximizar a eficiência da sua base de regras, recomendamos que para cada tipo de conector, regras para usuários específicos tenham uma prioridade mais alta do que regras que se aplicam a Qualquer usuário.
Por exemplo, se os dados corresponderem a um conector na regra #2, os dados são inspecionados pelo motor de API de Segurança SaaS. O motor não continua aplicando regras #3 e abaixo para o mesmo conector. No entanto, os dados poderiam corresponder a uma regra de prioridade inferior com um conector diferente.
Você pode criar Regras de Proteção contra Ameaças para o conector para Escanear arquivos e Anexos para Malware e vírus usando os Motores Anti-Malware e Next Gen Anti-Malware que estão habilitados para sua Conta. O motor SaaS Security API escaneia o tráfego do conector e aplica as opções de ação e rastreamento que você configurar para a regra:
-
Monitorar o tráfego (bloquear será suportado em breve)
-
Gerar eventos
-
Enviar notificações por Email
Quando você cria uma regra de Proteção contra Ameaças da API de Segurança SaaS, os motores Anti-Malware que estão habilitados para sua conta (Segurança > Anti-Malware) realizam escaneamentos de malware nos arquivos enviados para aquela Aplicação de Conector.
A seguinte captura de tela mostra uma regra de Proteção contra Ameaças para o conector OneDrive que escaneia arquivos enviados por usuários Internos ou Convidados:
Às vezes, há um arquivo bloqueado pelos motores da API de Segurança SaaS da Cato que você sabe que é seguro, e você precisa permiti-lo na rede. A página de Eventos permite que você use o hash do arquivo para criar exceções que contornam os escaneamentos de Proteção contra Ameaças. Após você abrir um evento para o arquivo específico que foi bloqueado, clique no hash do arquivo para abrir o painel de Configuração de Exceção e adicione o arquivo como uma exceção para a conta. Você pode escolher a duração do tempo para a exceção do arquivo, ou configurar a exceção para durar para sempre.
Exceções de Arquivos para Anti-Malware e API de Segurança SaaS
As exceções de arquivos se aplicam às políticas de Anti-Malware e Proteção contra Ameaças da API de Segurança SaaS. Da mesma forma, quando você cria exceções de arquivos a partir de eventos Anti-Malware e NG Anti-Malware, essas exceções também se aplicam à política de Proteção contra Ameaças da API de Segurança SaaS. Da mesma forma, quando você cria uma exceção de arquivo a partir de eventos da API de Segurança SaaS Anti-Malware, a exceção também se aplica à política de Anti-Malware. A lista completa de exceções de arquivo é mostrada tanto na página Anti-Malware quanto na página de Proteção contra Ameaças da API de Segurança SaaS.
Para criar uma exceção para um arquivo:
-
No menu de navegação, selecione Inicial > Eventos.
-
Filtre o evento usando o Subtipo de Proteção Anti-Malware da API de Segurança SaaS.
-
Na coluna Tempo, expanda o evento.
-
No evento, clique no link Hash do Arquivo.
O painel de Configuração de Exceção abre.
-
No menu suspenso Duração, selecione por quanto tempo o arquivo é excluído dos mecanismos de Anti-Malware e NG Anti-Malware.
Para criar uma exceção permanente, selecione Para Sempre.
-
Clique em Aplicar.
A exceção é criada e adicionada à seção de Exceções de Arquivos na guia Proteção contra Ameaças e na Página Anti-Malware.
Remova uma exceção para a política de Proteção contra Ameaças quando não for mais necessária.
Para remover exceções de arquivos para a política de Proteção contra Ameaças:
-
No menu de navegação, clique em Segurança > Política de API de Segurança SaaS.
-
Selecione a guia Proteção contra Ameaças.
-
Na seção Exceções de Arquivos, clique em
para a exceção que você quer remover.
-
Clique em Salvar.
A exceção é removida.
A página Inicial > Eventos mostra todos os eventos da API de Segurança SaaS para sua conta. As poderosas ferramentas de pesquisa permitem que você aprofunde e identifique os poucos eventos que contêm os dados relevantes que você precisa.
Eventos da API de Segurança SaaS podem ser identificados pelos seguintes campos:
-
Tipo de Evento - Segurança
-
Subtipo - Proteção de Dados da API de Segurança SaaS e Proteção Anti-Malware da API de Segurança SaaS
You can learn more about using the Events screen here. Você pode usar a predefinição de Proteção de Dados da API de Segurança SaaS para filtrar os eventos.
Este é um evento de conector de API de Segurança SaaS do GitHub de exemplo:
|
Nome do campo |
Descrição |
|---|---|
|
Atividade da Aplicação |
Push |
|
Nome do Conector |
Nome para o conector que é definido para a regra |
|
Tipo de Conector |
Aplicativo SaaS que é definido para este conector |
|
Perfil DLP |
Perfil de Conteúdo DLP que gerou este evento |
|
URL Completo |
Link para a comparação de diffs para o commit |
|
Tipos de Dados Correspondentes |
Tipos de Dados no Perfil de Conteúdo que corresponderam à regra |
|
Regra |
Nome da regra na política de Proteção de Dados |
|
Nome do Objeto |
Nome do repositório em que o commit foi enviado |
|
Tipo de Objeto |
O tipo de objeto escaneado |
|
Proprietário |
Endereço de e-mail do usuário que fez o push do commit |
|
Severidade |
Severidade definida para a regra |
0 comentário
Por favor, entre para comentar.