Este artigo explica como configurar os conectores Microsoft 365 e Microsoft Exchange para a Política de Proteção de Aplicações e Dados de API para a sua conta.
A Política de Proteção de Aplicações e Dados de API requer uma licença separada da Cato. Por favor, entre em contato com seu representante Cato ou revendedor oficial para mais informações.
Nota
Nota: Entre em contato com SaaSecAPI@catonetworks.com ou com seu revendedor oficial da Cato para mais informações sobre o uso da política de Proteção de API de Aplicativo e Dados.
A primeira etapa para a solução API de Proteção de Dados é criar os conectores para os aplicativos SaaS da Microsoft, Microsoft 365 e Exchange. Para contas com vários locatários do Azure AD, você pode criar vários conectores do Microsoft 365. Além disso, você pode criar vários conectores do Exchange para cada conector pai do Microsoft 365.
Cada aplicativo Microsoft Exchange e locatário do Azure (segundo o aplicativo 365) estão sujeitos às limitações de taxa da Microsoft. Para mais informações, veja a documentação da Microsoft.
Para permitir que a API de Proteção de Dados verifique ativos e conteúdo de emails do Exchange, o conector concede à Cato as seguintes permissões e ações com o aplicativo Exchange:
-
Conceder acesso ao aplicativo usando Oauth2
-
Receber um token do aplicativo para estabelecer e manter uma conexão segura
-
Conectar-se às APIs da Microsoft e buscar dados e escanear emails de acordo com a Política de Proteção de Aplicações e Dados de API
Para habilitar a API de Proteção de Dados para escanear ativos e conteúdo para o Microsoft Exchange, primeiro é necessário configurar o conector Microsoft 365 como o aplicativo pai para dar permissões de leitura para o conector Exchange. O aplicativo pai só tem permissões para gerenciar os conectores da Microsoft. Você pode facilmente criar o aplicativo no Aplicativo de Gerenciamento Cato, não é necessário configurar ajustes no Microsoft Azure. Em seguida, crie um conector Microsoft 365 separado para cada locatário do Azure.
Use o Aplicativo de Gerenciamento Cato para criar o conector do aplicativo SaaS Microsoft 365 para o locatário Azure para o aplicativo Microsoft Exchange que você está escaneando com a API de Proteção de Dados. Você deve ter as credenciais corretas para autenticar o aplicativo Microsoft Exchange para adicioná-lo à sua conta Cato.
Antes de poder criar e configurar as configurações do conector, primeiro é necessário ativar a API de Proteção de Dados para sua conta.
Primeiro, configure a Integração do Locatário do MS como o conector pai. Este conector pode ser usado para todas as Integrações Microsoft. Se você já criou o conector pai, vá para a etapa 2.
Para criar o conector pai do Microsoft 365:
-
No menu de navegação, selecione Recursos > Integrações e clique na aba APIs Integradas.
-
Clique em Novo. O painel Novo Conector é aberto.
-
No painel Novo Conector, selecione o aplicativo Microsoft 365.
-
Clique em Autorizar e Salvar.
Uma nova aba do navegador se abre para o aplicativo Microsoft 365.
-
Na nova aba do navegador, autentique-se no aplicativo Microsoft 365:
-
Selecione a conta Microsoft para o aplicativo Microsoft 365.
Caso contrário, pode haver um Erro de autenticação da Microsoft.
-
Digite a senha do aplicativo e aprove.
-
Aceitar as permissões para permitir que a Cato acesse o aplicativo Microsoft 365.
-
A tela mostra que você aplicou com sucesso as permissões para o aplicativo.
Você pode fechar a aba do navegador e retornar ao CMA.
-
-
O aplicativo Microsoft 365 SaaS é adicionado à aba APIs Integradas.
Após o conector Microsoft 365 estar conectado à sua conta Cato, você pode criar os conectores Exchange necessários. O conector Exchange permite que o motor de API de Segurança SaaS da Cato escaneie emails em busca do conteúdo que você define na política de Proteção de Dados. Eventos são gerados para qualquer email que corresponda a uma regra na política.
Nota
Nota: Ao criar um conector API para um aplicativo Microsoft 365, o conector cria um certificado de autenticação que é válido por 3 meses, e renova o certificado 7 dias antes da expiração.
Para criar o conector para Microsoft Exchange:
-
No menu de navegação, selecione Recursos > Integrações e clique na aba APIs Integradas.
-
Clique em Novo. O painel Novo Conector é aberto.
-
Crie um novo Aplicativo SaaS Exchange, para o Conector Pai que você criou na etapa anterior.
Atualmente, apenas permissões e ações de Ler são suportadas para o aplicativo Exchange. No entanto, permissões e ações de Ler/Escrever serão suportadas em breve.
-
Clique em Autorizar e Salvar.
-
Em uma nova aba do navegador, autentique-se no aplicativo Exchange.
-
Selecione a conta Microsoft para o aplicativo Exchange e faça login.
-
Digite a senha do aplicativo e aprove.
-
Aceitar as permissões para que a Cato acesse o aplicativo Exchange.
-
A tela mostra que você aplicou com sucesso as permissões para o aplicativo.
Você pode fechar a aba do navegador e retornar ao Aplicativo de Gerenciamento Cato.
Microsoft Azure pode levar vários segundos para processar a solicitação, então se você receber um erro, atualize o navegador.
-
-
O aplicativo Exchange SaaS é adicionado à aba APIs Integradas.
Esta seção explica como usar a política de Proteção de Dados para monitorar e gerenciar as mensagens e anexos que seus usuários enviam com o Microsoft Exchange.
Use a página de Proteção de Dados para adicionar as regras de aplicativos SaaS na sua política de Proteção de Dados.
Para mais informações sobre as configurações de regras do Exchange, veja abaixo Entendendo as Regras do Exchange.
Para criar uma nova regra de Proteção de Dados para o aplicativo do Exchange:
-
De o painel de navegação, selecione Segurança > Proteção de Aplicações e Dados API e selecione ou expanda Proteção de Dados.
-
Clique em Novo. O painel Nova Regra é aberto.
-
Em Conector de Aplicação, selecione o aplicativo Exchange.
-
Na seção Geral, insira as configurações para a regra.
-
Em Remetente, defina os usuários do Azure AD que estão enviando o email (a configuração padrão é Qualquer).
-
Em Destinatários, defina os usuários do Azure AD que estão recebendo o email (a configuração padrão é Qualquer).
-
Em Anexos, defina os critérios para especificar os anexos de email que são escaneados (a configuração padrão é escanear todos os anexos).
-
Em Perfil de Conteúdo, selecione o perfil de conteúdo DLP para esta regra.
Você pode inserir palavras-chave em Assunto do Email, para limitar as análises apenas aos emails que contêm essas palavras-chave.
Para obter mais informações sobre Perfis de Conteúdo DLP, veja Criando Perfis de Conteúdo DLP.
-
Em Ações, selecione Monitorar.
-
(Opcional) Configure as opções de rastreamento para gerar Eventos e enviar notificações.
Para mais informações sobre as notificações, consulte o artigo relevante para Grupos de Assinatura, Listas de Email e Integrações de Alerta na seção Alertas.
-
Clique em Salvar. A regra é adicionada à política de Proteção de Dados.
Esta seção explica como definir as configurações para as regras de Proteção de Dados para escanear o tráfego correto do Exchange.
-
Remetente - usuários individuais ou tipos de usuários do Azure que estão enviando o e-mail (o valor padrão é Qualquer)
-
Destinatários - usuários individuais, tipos de usuários do Azure ou domínios de e-mail que estão recebendo o e-mail (o valor padrão é Qualquer)
-
Anexos - Critérios para anexos que são escaneados (o valor padrão é todos os anexos)
-
Tipo de Arquivo
-
Nome do Arquivo
-
Tamanho do Arquivo (o tamanho máximo do arquivo é 100 MB)
-
-
Perfil de Conteúdo - Perfil de Conteúdo DLP que define a inspeção de conteúdo DLP (Segurança > Perfis de DLP > Perfis de DLP > Perfil de Conteúdo)
Você pode definir Remetentes e Destinatários específicos para cada regra na política de Proteção de Dados. O Aplicativo de Gerenciamento Cato conecta-se ao AD do Azure para o locatário definido no Conector do Office 365. Os usuários individuais que são mostrados para uma regra são baseados nesse AD do Azure e NÃO estão relacionados aos usuários definidos para sua conta Cato.
Se você não vir o usuário necessário, certifique-se de que o usuário esteja corretamente definido no locatário do Azure AD e, em seguida, configure a regra de Proteção de Dados.
O Azure AD define esses tipos de usuários:
-
Interno
-
Externo
-
Usuário
Para os Destinatários de uma regra, você também pode definir domínios de endereços de e-mail.
Você pode definir arquivos específicos (ou anexos) para uma regra e limitar o motor da API de Segurança SaaS a escanear apenas os arquivos especificados para ver se eles correspondem ao Perfil de Conteúdo DLP.
Quando você adiciona vários arquivos a uma regra, selecione a relação entre eles:
-
Satisfazer qualquer (OU) - Corresponder a apenas um dos Tipos de Arquivo na regra
-
Satisfazer todos (E) - Corresponder a todos os Tipos de Arquivo na regra (caso contrário, a regra é ignorada)
Você pode usar a configuração Nome do Arquivo em uma regra para definir o nome exato do arquivo ou usar curingas para definir palavras-chave. Por exemplo, você pode definir o Nome do Arquivo como interno para corresponder a todos os nomes de arquivos que contêm a palavra interno.
O motor API de Proteção de Dados inspeciona os dados sequencialmente e verifica se eles correspondem a uma regra. Se os dados não corresponderem a uma regra, eles não são inspecionados. As regras que estão no topo da base de regras têm prioridade mais alta e são aplicadas antes das regras na parte inferior da base de regras. Cada tipo de aplicação ou conector é aplicado aos dados apenas uma vez.
Melhores práticas - Para maximizar a eficiência da sua base de regras, recomendamos que para cada tipo de conector, regras para usuários específicos tenham prioridade mais alta do que regras que se aplicam a usuários Qualquer.
Por exemplo, se os dados corresponderem a um conector na regra #2, os dados são inspecionados pelo motor API de Proteção de Dados. O motor não continua a aplicar as regras nº 3 e abaixo para o mesmo conector. No entanto, os dados podem corresponder a uma regra de prioridade inferior com um conector diferente.
Você pode criar regras de Proteção contra Ameaças para o conector para escanear arquivos e anexos em busca de malwares e vírus usando os motores Anti-Malware e Motores de Terceiros ativados para sua conta. O motor API de Proteção de Dados escaneia o tráfego do conector e aplica as opções de ação e rastreamento que você configura para a regra:
-
Monitorar o tráfego (bloqueio será suportado em breve)
-
Gerar eventos
-
Enviar notificações por e-mail
Quando você cria uma regra de proteção de App & Dados API, os motores Anti-Malware que estão habilitados para sua conta (Segurança > Anti-Malware) realizam varreduras de malware nos arquivos enviados para aquela aplicação de conector.
A captura de tela a seguir mostra uma regra de Proteção contra Ameaças para o conector do OneDrive que escaneia arquivos enviados por usuários internos ou convidados:
Às vezes, há um Arquivo bloqueado pelos motores de Proteção de Dados da Cato que você sabe que é seguro, e você precisa permiti-lo na rede. Exceções de Anti-Malware na política Hash do Arquivo também se aplicam à Proteção de API de Aplicativo & Dados. Para mais detalhes sobre como adicionar arquivos à Política de Hash do Arquivo, consulte Gerenciar Exceções de Anti-Malware.
A página Inicial > Eventos mostra todos os eventos de Proteção de Dados de API de Segurança SaaS para a sua conta. As ferramentas de pesquisa poderosas permitem que você se aprofunde e identifique os poucos eventos que contêm os dados relevantes de que você precisa.
Os eventos de Proteção de Dados de API de Segurança SaaS podem ser identificados pelos seguintes campos:
-
Tipo de Evento - Segurança
-
Sub-Tipo - Proteção de Dados de API de Segurança SaaS e Proteção Anti-Malware da API de Segurança SaaS
Você pode saber mais sobre o uso da página de Eventos aqui.
0 comentário
Por favor, entre para comentar.