Este artigo explica como configurar o conector do Microsoft SharePoint para a política de Proteção de API de Aplicação & Dados para sua conta e criar uma regra do SharePoint para a Política de Proteção de Dados
A política de Proteção de API de Aplicação & Dados requer uma licença separada da Cato. Por favor, entre em contato com seu representante da Cato ou revendedor oficial para mais informações.
Nota
Nota: Entre em contato com SaaSecAPI@catonetworks.com ou com seu revendedor oficial Cato para mais informações sobre o uso da política de Proteção de API de Aplicativos & Dados.
Crie os conectores para os aplicativos SaaS Microsoft 365 e SharePoint.
Cada aplicativo Microsoft SharePoint e locatário do Azure (de acordo com o aplicativo 365) estão sujeitos à limitação de taxa da Microsoft. Para mais informações, consulte a documentação da Microsoft.
-
O conector Microsoft 365 requer um administrador com a função de administrador global para conceder permissões para a Proteção de API de Dados
Para permitir que a API de Proteção de Dados escaneie ativos e conteúdo dos arquivos e pastas do SharePoint, o conector fornece à Cato as seguintes permissões e ações com o aplicativo SharePoint:
-
Conceder acesso ao aplicativo usando Oauth2
-
Receber um token do aplicativo para estabelecer e manter uma conexão segura
-
Conectar às APIs da Microsoft e buscar dados e escanear arquivos de acordo com a política de Proteção de Dados da API de Proteção de Dados, incluindo:
-
Ler itens e arquivos em todas as coleções de sites
-
Entrar e ler os perfis completos dos usuários
-
Escrever arquivos em todas as coleções de sites (em breve)
-
Esta seção explica como criar conectores de API para Microsoft 365 e SharePoint e conectá-los à sua conta da Cato.
Para permitir que a API de Proteção de Dados escaneie ativos e conteúdo do Microsoft SharePoint, primeiro você precisa configurar o conector do Microsoft 365 como o aplicativo pai para conceder permissões de leitura para o conector do SharePoint. O aplicativo pai tem apenas permissões para gerenciar os conectores da Microsoft. Posteriormente, se necessário, você pode criar um conector Microsoft 365 separado para cada locatário do Azure.
Use o Aplicativo de Gerenciamento Cato para criar o conector de aplicação SaaS do Microsoft 365 para o locatário do Azure para o Microsoft SharePoint aplicativo que você está escaneando com API de Proteção de Dados. Você deve ter as credenciais corretas para autenticar no aplicativo Microsoft SharePoint para adicioná-lo à sua conta Cato.
Primeiro, configure a Integração MS Tenant como o conector pai. Este conector pode ser usado para todos os Integrações de Microsoft. Se você já criou o conector pai, vá para o passo 2.
Para criar o conector pai do Microsoft 365:
-
No menu de navegação, selecione Recursos > Integrações e clique na aba Aplicativos Integrados.
-
Clique em Novo. O painel Novo Conector é aberto.
-
Em painel Novo Conector, selecione o aplicativo MS Tenant (Configurar um novo MS Tenant).
-
Clique em Autorizar e Salvar.
Uma nova aba do navegador é aberta para o aplicativo Microsoft 365.
-
Na nova aba do navegador, autentique-se no aplicativo Microsoft 365:
-
Selecione a conta Microsoft para o aplicativo Microsoft 365.
Caso contrário, pode haver um erro de autenticação da Microsoft.
-
Insira a senha para o aplicativo e aprove.
-
Aceitar as permissões para permitir que Cato acesse o aplicativo Microsoft 365.
-
A tela mostra que você aplicou com sucesso as permissões para o aplicativo.
Você pode fechar a aba do navegador e retornar ao Aplicativo de Gerenciamento Cato.
-
-
A aplicação Microsoft 365 SaaS é adicionada à aba Aplicativos Integrados.
O conector Microsoft SharePoint permite que o motor de API de Segurança SaaS da Cato escaneie e-mails para o conteúdo que você define na Política de Proteção de Dados.
Nota
Note: When you create an API connector for a Microsoft 365 app, the connector creates an authentication certificate that is valid for 3 months, and renews the certificate 7 days before expiration.
Para criar o conector para Microsoft SharePoint:
-
No menu de navegação, selecione Recursos > Integrações e clique na aba APIs Integradas.
-
Clique em Novo. O painel Novo Conector é aberto.
-
Em Aplicativo SaaS, selecione Microsoft SharePoint.
-
Em Inquilino do Conector, selecione o conector pai Microsoft 365 que você criou na seção anterior.
-
Insira o Nome do Conector.
-
Em Permissões, selecione Ler/Escrever.
-
Clique em Salvar. O aplicativo do conector Cato é criado. Isso pode levar até 30 segundos.
-
Clique em Autorizar para autorizar a criação do conector.
-
Em uma nova aba do navegador, autentique-se no aplicativo SharePoint.
-
Selecione a conta Microsoft para o aplicativo SharePoint.
-
Insira a senha para o aplicativo e aprove.
-
Aceitar as permissões para a Cato acessar o aplicativo.
-
A tela mostra que você aplicou com sucesso as permissões para o aplicativo.
Você pode fechar a aba do navegador e retornar ao Aplicativo de Gerenciamento Cato.
Pode levar alguns segundos para o Microsoft SharePoint processar o pedido, então se você receber um erro, atualize o navegador.
-
-
A aplicação SharePoint SaaS é adicionada à aba APIs Integradas.
A coluna Status na tela de Configurações dos Conectores mostra o status da conexão entre o aplicativo Microsoft e sua conta Cato. Estas são as explicações dos status:
-
Conectado - Sua conta está conectada ao aplicativo e funcionando corretamente
-
Aviso de Conexão - Alguns dos usuários no inquilino do Azure não estão configurados corretamente para suportar API de Proteção de Dados (por exemplo, nenhum endereço de email definido para o usuário). Por favor abra um ticket com Suporte.
-
Erro de Conexão - Problema de conectividade ou permissões, ou limitação de taxa (limitação da Microsoft) com o conector Microsoft. Por favor abra um ticket com Suporte.
Esta seção explica como usar a política de Proteção de Dados para monitorar e gerenciar as ações que seus usuários realizam com arquivos SharePoint. Por exemplo, compartilhar arquivos, criar novos arquivos, fazer upload e assim por diante.
Para mais sobre Perfis de Conteúdo DLP, veja Criando Perfis de Conteúdo DLP.
Quando você cria uma regra de Proteção de Dados, pode definir diferentes ações para monitorar ou remediar as violações da política quando a regra é direcionada. Cada ação gera automaticamente um evento, e você também pode optar por receber uma notificação por Email. Para mais sobre eventos de Proteção de Dados API, veja abaixo Analisando Eventos de Proteção de Dados API.
Estas são as ações que você pode definir para que o motor de Proteção de Dados execute quando uma regra for direcionada:
-
Monitorar - Gera um evento para permitir que você monitore o tráfego que coincide com a regra.
-
Quarentena - Quando um usuário tenta enviar um arquivo, o motor de API de Proteção de Dados o move para uma pasta de quarentena e, em seguida, os usuários não podem mais acessá-lo. O administrador do SharePoint pode acessar o arquivo na pasta de quarentena. Para informação sobre a configuração de pastas de quarentena, veja abaixo Preparando para a Quarentena de Arquivos.
Configure pastas de quarentena para regras de Proteção de Dados e Prevenção de Ameaças, e defina o administrador do SharePoint com permissões para acessar as pastas. Você pode configurar pastas de quarentena para cada administrador do SharePoint do locatário. Quando você configura as pastas, pode então criar regras com a ação Quarentena, e definir a pasta para a qual o arquivo é movido.
Para configurar pastas de quarentena para um administrador do SharePoint:
-
No painel de navegação, selecione Segurança > Proteção de API de Aplicativo & Dados e selecione a aba Configurações.
-
Clique em Novo. O painel Pasta de Quarentena abre.
-
Selecionar o conector de aplicação SharePoint.
-
Selecione o administrador do SharePoint para ter acesso a estas pastas de quarentena.
-
Clique em Salvar.
Uma pasta de Proteção de Dados e uma pasta de Prevenção de Ameaças são criadas para o administrador, e podem ser configuradas nas regras com a ação Quarentena. As pastas são nomeadas com o endereço de e-mail do administrador e localizadas nos seguintes diretórios do SharePoint:
-
Pasta de Proteção de Dados: Cato_Qarantine/Cato_Qarantine_DataProtection
-
Pasta de Prevenção de Ameaças: Cato_Qarantine/Cato_Qarantine_ThreatPrevention
-
Use a página de Proteção de Dados para adicionar as regras de aplicação SaaS em sua política de Proteção.
Crie uma regra de Proteção de Dados para definir o tráfego que é escaneado pela API de Proteção de Dados. Crie regras separadas para cada conector de aplicativo SaaS, e então defina os critérios que determinam qual tráfego é escaneado.
Os arquivos escaneados também incluem arquivos do Teams e OneNote que são compartilhados com o SharePoint.
Para mais informações sobre as configurações de regra do SharePoint, veja abaixo Compreendendo as Regras do SharePoint.
Para criar uma nova regra de Proteção de Dados para o aplicativo SharePoint:
-
No painel de navegação, selecione Segurança > Proteção de API de Aplicativo & Dados e selecione ou expanda Proteção de Dados.
-
Clique em Novo. O painel Nova Regra abre.
-
Em Conector de Aplicação, selecione o aplicativo SharePoint.
-
Na seção Geral, entre as configurações para a regra.
-
Em Proprietário, selecione um ou mais proprietários de arquivos do SharePoint (o valor padrão é Qualquer).
Quando você seleciona vários proprietários, existe uma relação OU entre eles.
-
Em Opções de Compartilhamento, selecione um ou mais tipos de permissão de arquivos (valor padrão é Qualquer).
Quando você seleciona várias opções, existe uma relação OU entre elas.
-
Em Anexos, defina os critérios para especificar os arquivos que são escaneados (a configuração padrão é escanear todos os arquivos).
-
Em Perfil de Conteúdo, selecione o Perfil de Conteúdo DLP para esta regra.
Para mais sobre Perfis de Conteúdo DLP, veja Criando Perfis de Conteúdo DLP.
-
Selecione uma Ação.
Para a ação de Quarentena, selecione um Caminho da pasta de quarentena. Para mais sobre pastas de quarentena, veja acima Preparando para a Quarentena de Arquivos.
-
(Opcional) Configure opções de rastreamento para gerar Eventos e Enviar Notificações.
Para mais informações sobre as notificações, consulte o artigo relevante para Grupos de Assinatura, Listas de Email e Integrações de Alerta na seção Alertas.
-
Clique em Salvar. A regra é adicionada à política de Proteção de Dados.
Esta seção explica como definir as Configurações para as regras de Proteção de Dados para escanear o tráfego correto do SharePoint. Cada regra pode ser definida de acordo com os seguintes critérios:
-
Proprietário - Sites individuais ou tipos de Usuários no Azure que são os proprietários dos diretórios SharePoint relevantes (valor padrão é Qualquer)
-
Opções de Compartilhamento - Selecione os tipos de permissão de compartilhamento de arquivos que correspondem a esta regra (valor padrão é Qualquer)
Por exemplo, para monitorar arquivos que são compartilhados com quaisquer Usuários Externos, selecione Link Externo.
-
Anexos - Critérios para anexos que são escaneados (valor padrão é todos os anexos)
-
Tipo de Arquivo
-
Nome do Arquivo
-
Tamanho do Arquivo (tamanho máximo do arquivo é 100 MB)
-
-
Perfil de Conteúdo - Perfil de Conteúdo DLP que define a inspeção de conteúdo DLP (Segurança > Perfis de DLP > Perfis de DLP > Perfil de Conteúdo)
-
Ações - Selecione se deseja gerar um Evento quando a Regra for correspondida
Você pode definir arquivos específicos (ou anexos) para uma Regra e limitar o motor de API SaaS para apenas escanear os arquivos especificados para verificar se eles correspondem ao Perfil de Conteúdo DLP.
Quando você adiciona múltiplos arquivos a uma Regra, selecione a relação entre eles:
-
Satisfazer qualquer (OU) - Corresponder apenas a um dos Tipos de Arquivo na regra
-
Satisfazer todos (E) - Corresponder a todos os Tipos de Arquivo na regra (caso contrário, a regra é ignorada)
Você pode usar a configuração de Nome do Arquivo em uma regra para definir o nome exato do arquivo ou usar curingas para definir palavras-chave. Por exemplo, você pode definir o Nome do Arquivo como interno para corresponder a todos os nomes de arquivos que contêm a palavra interno.
O motor do API de Proteção de Dados inspeciona os dados sequencialmente e verifica se eles correspondem a uma regra. Se os dados não corresponderem a uma regra, então eles não são inspecionados. As regras que estão no topo da base de regras têm maior prioridade e são aplicadas antes das regras mais abaixo na base de regras. Cada tipo de aplicação ou conector é aplicado aos dados apenas uma vez.
Melhor Prática - Para maximizar a eficiência da sua base de regras, recomendamos que para cada tipo de conector, as regras para usuários específicos tenham prioridade mais alta do que as regras que se aplicam a Qualquer usuário.
Por exemplo, se os dados corresponderem a um conector na regra #2, os dados são inspecionados pelo motor do API de Proteção de Dados. O motor não continua aplicando as regras #3 e subsequentes para o mesmo conector. No entanto, os dados podem corresponder a uma regra de prioridade inferior com um conector diferente.
Você pode criar Regras de Proteção contra Ameaças para o conector para escanear Arquivos e Anexos em busca de Malware e vírus usando os motores Anti-Malware e Motores de Terceiros que estão habilitados para sua conta. O motor do API de Proteção de Dados escaneia o tráfego do conector e aplica as opções de ação e rastreamento que você configurou para a regra:
-
Monitorar o tráfego (bloquear será suportado em breve)
-
Gerar eventos
-
Enviar notificações por Email
Quando você cria uma regra de Proteção de API de Aplicativos & Dados, os motores Anti-Malware que estão habilitados para a sua conta (Segurança > Anti-Malware) realizam escaneamentos de malware nos arquivos enviados para essa aplicação de conector.
A captura de tela a seguir mostra uma regra de Proteção contra Ameaças para o conector do OneDrive que escaneia os arquivos enviados por usuários internos ou convidados:
Às vezes, há um arquivo bloqueado pelos motores de API de Proteção de Dados da Cato que você sabe que é seguro e precisa permitir na Rede. Exceções de Anti-Malware na política de Hash do Arquivo também se aplicam à Proteção de API de Aplicativo & Dados. Para mais informações sobre como adicionar arquivos à Política de Hash do Arquivo, veja Gerenciando Exceções de Anti-Malware.
A página Inicial > Eventos mostra todos os eventos de API de Proteção de Dados para a sua conta. Os poderosos instrumentos de busca lhe permitem detalhar e identificar os poucos eventos que contém os dados relevantes que você necessita.
Os eventos de API de Proteção de Dados podem ser identificados pelos seguintes campos:
-
Tipo de Evento - Segurança
-
Subtipo - Proteção de Dados da API de Segurança SaaS e Proteção Anti-Malware da API de Segurança SaaS
Você pode aprender mais sobre como usar a página de Eventos aqui.
|
Nome do campo |
Descrição |
|---|---|
|
Colaboradores |
Endereço de e-mail dos usuários que receberam o arquivo |
|
Nome do Conector |
Nome do conector definido para a regra |
|
Tipo de Conector |
Aplicativo SaaS definido para este conector |
|
Perfil DLP |
Perfil de Conteúdo DLP que gerou este evento |
|
Nome do Arquivo |
Nome do arquivo anexado |
|
Tipos de Dados Correspondentes |
Tipos de Dados no Perfil de Conteúdo que corresponderam à regra |
|
Regra |
Nome da regra na Política de Proteção de Dados |
|
Proprietário |
Proprietário do arquivo |
|
Severidade |
Severidade definida para a regra |
|
Escopo de Compartilhamento |
Opções de Compartilhamento para o arquivo do SharePoint |
0 comentário
Por favor, entre para comentar.