Este artigo explica como configurar o conector do Microsoft OneDrive para a Política de Proteção de API de Aplicativo e Dados para sua conta e criar uma regra OneDrive para a Política de Proteção de Dados
A Política de Proteção de API de Aplicativo e Dados requer uma licença separada da Cato. Por favor, entre em contato com seu representante Cato ou revendedor oficial para mais informações.
Nota
Nota: Por favor, entre em contato com o SaaSecAPI@catonetworks.com ou o revendedor oficial da Cato para mais informações sobre o uso da política de Proteção de Aplicativos & Dados por API.
Crie os conectores para os aplicativos SaaS do Microsoft 365 e OneDrive.
Cada aplicativo Microsoft OneDrive e locatário do Azure (de acordo com o aplicativo 365) estão sujeitos à limitação de taxa da Microsoft. Para mais informações, consulte a documentação da Microsoft.
-
O conector Microsoft 365 requer um administrador com a função de administrador global para conceder permissões à API de Proteção de Dados
Para permitir que a API de Proteção de Dados analise ativos e conteúdo para arquivos e pastas do OneDrive, o conector concede à Cato as seguintes permissões e ações com o aplicativo OneDrive:
-
Conceder acesso ao aplicativo usando Oauth2
-
Receber um token do aplicativo para estabelecer e manter uma conexão segura
-
Conectar-se às APIs da Microsoft e buscar dados e escanear arquivos de acordo com a Política de Proteção de API de Aplicativo e Dados, incluindo:
-
Ler arquivos em todas as coleções de sites
-
Entrar e ler os perfis completos dos usuários
-
Escrever arquivos em todas as coleções de sites (em breve)
-
Esta seção explica como criar conectores API para Microsoft 365 e OneDrive e conectá-los à sua conta Cato.
Para permitir que a API de Proteção de Dados analise ativos e conteúdo para Microsoft OneDrive, primeiro você precisa configurar o conector Microsoft 365 como o aplicativo pai para conceder permissões de leitura para o conector OneDrive. O aplicativo pai tem apenas permissões para gerenciar os conectores da Microsoft. Depois, se necessário, você pode criar um conector Microsoft 365 separado para cada locatário do Azure.
Use o Aplicativo de Gerenciamento Cato para criar o conector de aplicativo SaaS Microsoft 365 para o locatário do Azure para o aplicativo Microsoft OneDrive que você está analisando com a API de Proteção de Dados. Você deve ter as credenciais corretas para autenticar o aplicativo Microsoft OneDrive para adicioná-lo à sua conta Cato.
Antes que você possa criar e configurar as configurações do conector, primeiro você precisa ativar a API de Proteção de Dados para sua conta.
Primeiro, configure a integração do Locatário MS como o conector pai. Este conector pode ser usado para todas as Integrações Microsoft. Se você já criou o conector pai, vá para o passo 2.
Para criar a integração do Locatário MS:
-
No menu de navegação, selecione Recursos > Integrações e clique na guia Aplicativos Integrados.
-
Clique em Novo. O painel Novo Conector abre.
-
No painel Novo Conector, selecione o aplicativo Locatário MS (Configurar um novo Locatário MS).
-
Digite o Nome do Conector.
-
Clique em Autorizar e Salvar.
Uma nova aba do navegador abre para o aplicativo Microsoft 365.
-
Na nova aba do navegador, autentique-se no aplicativo Microsoft 365:
-
Selecione a conta Microsoft para o aplicativo Microsoft 365.
Caso contrário, pode haver um erro de autenticação da Microsoft.
-
Insira a senha do aplicativo e aprove-a.
-
Aceitar as permissões para permitir que a Cato acesse o aplicativo Microsoft 365.
-
A tela mostra que você aplicou com sucesso as permissões para o aplicativo.
Você pode fechar a aba do navegador e retornar ao Aplicativo de Gerenciamento Cato.
-
-
O aplicativo Microsoft 365 SaaS foi adicionado à guia Aplicativos Integrados.
O conector Microsoft OneDrive permite que o mecanismo de Proteção de API de Dados escaneie arquivos para o conteúdo que você define na política de Proteção de Dados.
Nota
Note: When you create an API connector for a Microsoft 365 app, the connector creates an authentication certificate that is valid for 3 months, and renews the certificate 7 days before expiration.
Para criar o conector para Microsoft OneDrive:
-
No menu de navegação, selecione Recursos > Integrações e clique na guia Aplicativos Integrados.
-
Clique em Novo. O painel Novo Conector abre.
-
Crie um novo Aplicação SaaS OneDrive, para o Pai do Conector que você criou na seção anterior.
-
Clique em Autorizar e Salvar.
-
Em uma nova aba do navegador, autentique-se no aplicativo OneDrive.
-
Selecione a conta Microsoft para o aplicativo OneDrive e faça login.
-
Insira a senha do aplicativo e aprove-a.
-
Aceitar as permissões para a Cato acessar o aplicativo OneDrive.
-
A tela mostra que você aplicou com sucesso as permissões para o aplicativo.
Você pode fechar a aba do navegador e retornar ao Aplicativo de Gerenciamento Cato.
Pode levar vários segundos para que o Microsoft Azure processe a solicitação, portanto, se você receber um erro, atualize o navegador.
-
-
O aplicativo OneDrive SaaS foi adicionado à guia Aplicativos Integrados.
A coluna Status na tela de Configurações dos Conectores mostra o status da conexão entre o aplicativo Microsoft e sua conta Cato. Estas são as explicações dos status:
-
Conectado - Sua conta está conectada ao aplicativo e funcionando corretamente
-
Aviso de Conexão - Alguns dos usuários no locatário do Azure não estão configurados corretamente para suportar a API de Proteção de Dados (por exemplo, nenhum endereço de e-mail definido para o usuário). Por favor abra um ticket com Suporte.
-
Erro de Conexão - Problema de conectividade ou permissões, ou limitação de taxa (limitação da Microsoft) com o conector da Microsoft. Por favor, abra um chamado com o Suporte.
-
Consentimento do usuário pendente - O conector do OneDrive é criado na tela de Configurações, mas você não completou o processo na conta do OneDrive para autorizá-lo a se conectar ao Cato.
Esta seção explica como usar a política de Proteção de Dados para monitorar e gerenciar as ações que seus usuários realizam com arquivos do OneDrive. Por exemplo, compartilhar arquivos, criar novos arquivos, fazer upload e assim por diante.
Para mais informações sobre os Perfis de Conteúdo DLP, veja Criando Perfis de Conteúdo DLP.
Quando você cria uma regra de Proteção de Dados, você pode definir diferentes ações para monitorar ou remediar as violações da política quando a regra é correspondida. Cada ação gera automaticamente um evento, e você também pode optar por receber uma Notificação por Email. Para mais informações sobre eventos de API de Proteção de Dados, veja abaixo Analisando Eventos de API de Proteção de Dados.
Estas são as ações que você pode definir para o motor de Proteção de Dados executar quando uma regra é correspondida:
-
Monitorar - Gera um evento para permitir que você monitore o tráfego que corresponde à regra.
-
Remover Compartilhamentos - Quando um usuário tenta compartilhar um arquivo, o motor API de Proteção de Dados remove a permissão de compartilhamento não autorizada, e o usuário que recebe um link para o arquivo compartilhado não terá permissão para acessar o arquivo.
-
Quarentena - Quando um usuário tenta fazer upload de um arquivo, o motor API de Proteção de Dados o move para uma pasta de quarentena e então os usuários não podem mais acessá-lo. O administrador do OneDrive pode acessar o arquivo na pasta de quarentena. Para informações sobre a configuração de pastas de quarentena, veja Preparando para Quarentena de Arquivos.
Configure pastas de quarentena para as regras de Proteção de Dados e Prevenção de Ameaças, e defina o Admin do OneDrive com Permissões para acessar as pastas. Você pode configurar pastas de quarentena para cada Admin do OneDrive para o locatário. Quando você configura as pastas, pode então criar regras com a ação de Quarentena, e definir a pasta para a qual o arquivo é movido.
Para configurar pastas de quarentena para um Admin do OneDrive:
-
No painel de navegação, selecione Segurança > Proteção de API de Aplicativo & Dados e selecione a aba Configurações.
-
Clique em Novo. O painel de Pasta de Quarentena é aberto.
-
Selecione o Conector de Aplicação OneDrive.
-
Selecione o Admin do OneDrive para ter acesso a essas pastas de quarentena.
-
Clique em Salvar.
Uma pasta de Proteção de Dados e uma pasta de Prevenção de Ameaças são criadas para o Admin, e podem ser configuradas em regras com a ação Quarentena. As pastas são nomeadas com o endereço de e-mail do Admin, e estão localizadas nos seguintes diretórios do OneDrive:
-
Pasta de Proteção de Dados: Cato_Qarantine/Cato_Qarantine_DataProtection
-
Pasta de Prevenção de Ameaças: Cato_Qarantine/Cato_Qarantine_ThreatPrevention
-
Use a página de Proteção de Dados para adicionar as regras do Aplicativo SaaS na sua Política de Proteção de Dados.
Crie uma Regra de Proteção de Dados para definir o tráfego que é verificado pelo API de Segurança SaaS. Crie regras separadas para cada Conector de Aplicativo SaaS, e então defina os Critérios que determinam qual tráfego é verificado.
Para mais informações sobre as configurações de regras do OneDrive, veja abaixo Compreendendo as Regras do OneDrive.
Para criar uma nova Regra de Proteção de Dados para o Aplicativo OneDrive:
-
From the navigation pane, select Security > App & Data API Protection and select or expand Data Protection.
-
Clique em Novo. O painel de Nova Regra é aberto.
-
Em Conector de Aplicação, selecione o Aplicativo OneDrive.
-
Na seção Geral, insira as Configurações para a Regra.
-
Em Proprietário, selecione um ou mais proprietários de arquivos OneDrive (o valor padrão é Qualquer).
Quando você seleciona vários proprietários, há uma relação OU entre eles.
-
Em Opções de Compartilhamento, selecione um ou mais tipos de permissão de arquivo (o valor padrão é Qualquer).
Quando você seleciona várias opções, há uma relação OU entre elas.
-
Em Anexos, defina os critérios para especificar os arquivos que são escaneados (a configuração padrão é escanear todos os arquivos).
-
Em Perfil de Conteúdo, selecione o Perfil de Conteúdo DLP para esta regra.
-
Selecione uma Ação.
Para a ação de Quarentena, selecione um Caminho da pasta de quarentena. Para mais sobre pastas de quarentena, veja acima ???.
-
(Opcional) Configure opções de rastreamento para gerar Eventos e Enviar Notificações.
Para mais informações sobre as notificações, consulte o artigo relevante para Grupos de Assinatura, Listas de Email e Integrações de Alerta na seção Alertas.
-
Clique em Salvar. A regra é adicionada à política de Proteção de Dados.
Esta seção explica como definir as configurações para as regras de Proteção de Dados para escanear corretamente o tráfego do OneDrive. Cada regra pode ser definida de acordo com os seguintes critérios:
-
Proprietário - usuários individuais ou tipos de usuários do Azure que são proprietários dos diretórios relevantes do OneDrive (o valor padrão é Qualquer)
-
Opções de Compartilhamento - Selecione os tipos de permissões de compartilhamento de arquivos que correspondem a esta regra (o valor padrão é Qualquer)
Por exemplo, para monitorar arquivos que são compartilhados com qualquer usuário externo, selecione Link Externo.
-
Anexos - Critérios para anexos que são escaneados (o valor padrão é Todos os anexos)
-
Tipo de Arquivo
-
Nome do Arquivo
-
Tamanho do Arquivo (o tamanho máximo do arquivo é 100 MB)
-
-
Perfil de Conteúdo - Perfil de Conteúdo DLP que define a inspeção de conteúdo DLP (Segurança > Perfis de DLP > Perfis de DLP > Perfil de Conteúdo)
-
Ações - Veja acima Compreendendo Ações do OneDrive
Você pode definir arquivos específicos (ou anexos) para uma regra e limitar o motor da API de SaaS a escanear apenas os arquivos especificados para ver se eles correspondem ao Perfil de Conteúdo DLP.
Quando você adiciona vários arquivos a uma regra, selecione a relação entre eles:
-
Satisfazer qualquer (OU) - Corresponde a apenas um dos Tipos de Arquivo na regra
-
Satisfazer todos (E) - Corresponder a todos os Tipos de Arquivo na regra (caso contrário, a regra é ignorada)
Você pode usar a configuração de Nome do Arquivo em uma regra para definir o nome exato do arquivo ou usar curingas para definir palavras-chave. Por exemplo, você pode definir o Nome do Arquivo como interno para corresponder a todos os nomes de arquivos que contêm a palavra interno.
O motor Proteção de Dados API inspeciona os dados sequencialmente e verifica se eles correspondem a uma regra. Se os dados não corresponderem a uma regra, eles não são inspecionados. As regras que estão no topo da base de regras têm maior prioridade e são aplicadas antes das regras mais abaixo na base de regras. Cada tipo de aplicação ou conector é aplicado aos dados apenas uma vez.
Melhores práticas - Para maximizar a eficiência da sua base de regras, recomendamos que, para cada tipo de conector, regras para usuários específicos tenham maior prioridade do que regras que se aplicam a Qualquer usuários.
Por exemplo, se os dados corresponderem a um conector na regra #2, os dados são inspecionados pelo motor Proteção de Dados API. O motor não continua a aplicar regras #3 e abaixo para o mesmo conector. No entanto, os dados podem corresponder a uma regra de menor prioridade com um conector diferente.
Você pode criar Regras de Proteção contra Ameaças para o conector para escanear arquivos e anexos em busca de malware e vírus usando os motores Anti-Malware e NG Anti-Malware que estão habilitados para sua conta. O motor Proteção de Dados API escaneia o tráfego do conector e aplica a ação e as opções de rastreamento que você configura para a regra.
Estas são as ações que você pode configurar para o motor de Proteção contra Ameaças executar quando uma regra for correspondente:
-
Monitorar - Gera um evento para permitir que você monitore o tráfego que coincide com a regra.
-
Remover Compartilhamentos - Quando um usuário tenta compartilhar um arquivo, o motor Proteção de Dados API remove a permissão de compartilhamento não autorizada, e o usuário que receber um link para o arquivo compartilhado não terá permissões para acessar o arquivo.
-
Quarentena - Quando um usuário tenta fazer upload de um arquivo, o motor Proteção de Dados API move-o para uma pasta de quarentena e, em seguida, os usuários não podem mais acessá-lo. O administrador do OneDrive pode acessar o arquivo na pasta de quarentena. Para informações sobre a configuração de pastas de quarentena, veja Preparando para Quarentena de Arquivos.
Cada ação gera automaticamente um evento, e você também pode escolher receber uma notificação por E-mail. Para mais informações sobre eventos de API de Proteção de Dados, veja abaixo Analisando Eventos de API de Proteção de Dados.
Ao criar uma regra de Proteção de API de Aplicativos & Dados, os mecanismos Anti-Malware ativados para a sua conta (Segurança > Anti-Malware) realizam verificações de malware nos arquivos enviados para aquela aplicação conectora.
A captura de tela a seguir mostra uma Regra de Proteção contra Ameaças para o conector OneDrive que escaneia arquivos enviados por Usuários Internos ou Convidados:
Às vezes, há um arquivo bloqueado pelos motores da API de Proteção de Dados da Cato que você sabe que é seguro e você precisa permiti-lo na rede. Exceções de Anti-Malware na política de Hash do Arquivo também se aplicam à Proteção de API de Aplicativo & Dados. Para mais informações sobre como adicionar arquivos à Política de Hash do Arquivo, confira Gerenciamento de Exceções de Anti-Malware.
A página Inicial > Eventos mostra todos os eventos de Proteção de Dados API para sua conta. As poderosas ferramentas de pesquisa permitem que você aprofunde e identifique os poucos eventos que contêm os dados relevantes dos quais você precisa.
Os eventos de Proteção de Dados API podem ser identificados pelos seguintes campos:
-
Tipo de Evento - Segurança
-
Sub-Tipo - Proteção de Dados de API de Segurança SaaS e Proteção Anti-Malware da API de Segurança SaaS
Você pode aprender mais sobre o uso da página de Eventos aqui.
|
Nome do campo |
Descrição |
|---|---|
|
Colaboradores |
Endereços de e-mail dos usuários que receberam o arquivo |
|
Nome do Conector |
Nome para o conector que é definido para a regra |
|
Tipo de Conector |
Aplicação SaaS que é definida para este conector |
|
Perfil DLP |
Perfil de Conteúdo DLP que gerou este evento |
|
Nome do Arquivo |
Nome do arquivo anexado |
|
Tipos de Dados Correspondentes |
Tipos de Dados no Perfil de Conteúdo que corresponderam à regra |
|
Proprietário |
Proprietário do arquivo |
|
Tipo de Conector Pai |
Conector pai Microsoft 365 |
|
Regra |
Nome da Regra na Política de Proteção de Dados |
|
Gravidade |
Gravidade definida para a regra |
|
Escopo de Compartilhamento |
Opções de Compartilhamento para o arquivo do OneDrive |
0 comentário
Por favor, entre para comentar.