Este artigo fornece uma visão geral e informações de fundo sobre o serviço fora de banda API de Proteção de Dados da Cato para monitorar e controlar o tráfego para aplicativos SaaS autorizados na nuvem.
Nota
Nota: Por favor, contate SaaSecAPI@catonetworks.com ou seu Revendedor Cato oficial para mais informações sobre o uso da política de Proteção de Dados API.
A API de Proteção de Dados fornece visibilidade fora de banda e controle para aplicativos autorizados na nuvem. Outros recursos de segurança (como CASB) só podem controlar e monitorar o tráfego que passa pela Nuvem Cato. A API de Proteção de Dados dá a capacidade de também monitorar e reagir ao tráfego de usuários remotos que se conectam diretamente aos aplicativos na nuvem. Isso se aplica mesmo quando eles não estão usando o Cliente SDP para enviar tráfego pela Nuvem Cato.
API de Proteção de Dados inspeciona o conteúdo de uma conexão sem usar Inspeção TLS. Isso é especialmente benéfico para contas que não têm a Inspeção TLS ativada. No entanto, mesmo para contas que estão usando a Inspeção TLS, alguns aplicativos na nuvem não podem ser inspecionados devido a problemas relacionados ao pinagem de certificado. A API de Proteção de Dados complementa as soluções CASB e DLP em linha da Cato para proporcionar a melhor cobertura de segurança.
Para alguns aplicativos, você pode criar Regras de Proteção contra Ameaças para o conector fornecer proteção Anti-Malware fora de banda, escaneando arquivos e anexos em busca de malware e vírus usando os motores Anti-Malware e Next Gen Anti-Malware que estão ativados para sua conta. O motor de Proteção de Dados API escaneia o tráfego do conector e aplica as opções de ação e rastreamento que você configura para a regra.
- Para adicionar um conector, você deve ter permissão de editor para Integrações (na seção Recursos) e Proteção Aplicativo e Dados API (na seção Controle de Aplicativo e Dados). Para mais informações, veja Funções de Admin Usando RBAC.
Esta é uma visão geral de alto nível dos passos para implementar a API de Proteção de Dados.
-
Crie os conectores para os aplicativos na nuvem relevantes.
Para os aplicativos da Microsoft, é necessário criar um conector principal do Microsoft 365 e, em seguida, um conector secundário para cada aplicativo.
- Crie (ou revise) o Perfil de Conteúdo DLP que define os dados sensíveis que a Proteção de Dados API está escaneando (veja Criando Perfis de Conteúdo DLP).
- Crie as regras para a política de Proteção de Dados.
Cato oferece suporte a uma ampla gama de aplicações e expande continuamente a lista. Para visualizar a lista completa de aplicações suportadas, veja Proteção de Dados API.
Estas são limitações que se aplicam a qualquer conector usado na política de Proteção de Dados. Para limitações relativas a aplicativos SaaS específicos, veja abaixo Limitações Conhecidas para Conectores Específicos.
-
Não é possível editar conectores API de Proteção de Dados.
Solução alternativa - excluir o conector e criar um novo conector com as configurações necessárias.
- Pode levar até 15 minutos para que as mudanças nos arquivos sejam detectadas.
- Para verificações de Anti-malware, não é suportada a lista de permissões com hash de arquivo.
- Mudanças nas permissões para pastas e diretórios não são escaneadas.
- Ações para grupos (como compartilhamento de arquivos com um grupo) não são escaneadas.
- O tamanho máximo de arquivo suportado para escaneamentos de DLP e Anti-Malware é 500MB.
- Para verificações de Proteção Contra Perda de Dados e Anti-Malware, API de Proteção de Dados suporta apenas tipos de arquivo suportados pelos motores de Proteção Contra Perda de Dados e Anti-Malware da Cato.
- Quando regras de API de Proteção de Dados são criadas, excluídas ou editadas, as mudanças são rastreadas na Trilha de Auditoria sem mostrar detalhes relacionados ao conteúdo da regra
- Extensões de arquivo .log não são suportadas
- Arquivos binários não são suportados pelo conector do GitHub.
Estas são as limitações para os conectores API de Proteção de Dados específicos.
-
Azure
-
Novos usuários adicionados após a criação do conector não são escaneados.
Solução alternativa - criar uma nova regra para o conector, ou desative e, em seguida, reative a política de API de Proteção de Dados.
-
-
Box
- Os novos arquivos adicionados à pasta raiz podem levar até 24 horas antes de serem escaneados e antes das ações das regras serem aplicadas a eles. Os arquivos em subpastas são escaneados imediatamente após serem enviados.
- Apenas 1 conector por inquilino é suportado. (Os conectores Microsoft e Google suportam vários conectores por inquilino)
-
Exchange
- Para regras que escaneiam a atividade de e-mail, o evento pode também incluir um arquivo anexado (mesmo que o arquivo não corresponda à política).
-
Google Drive
- Apenas contas comerciais são suportadas para o conector Google Drive.
-
OneDrive
-
SharePoint
- Apenas o diretório Documents é escaneado.
- Quando existem conectores SharePoint e OneDrive para o mesmo recurso, cada conector cria um evento separado para a mesma ação.
-
- Apenas 1 conector por inquilino é suportado. (Microsoft e Google conectores suportam múltiplos conectores por locatário)
- Apenas canais públicos e Canal Compartilhado são suportados.
0 comentário
Por favor, entre para comentar.