Использование меток конфиденциальности MIP в политике Предотвращения утечки данных Cato

Эта статья объясняет, как использовать метки конфиденциальности Microsoft из структуры Microsoft Information Protection (MIP) в политике Предотвращения утечки данных Cato.

Обзор использования меток MIP с системами DLP Cato

Вы можете упростить управление контролем данных, используя вашу существующую политику Microsoft Information Protection с Cato Предотвращение утечки данных. Используя метки MIP как типы данных, вы можете разработать четкую и управляемую политику Предотвращения утечки данных, согласованную с вашей политикой MIP. Это позволяет использовать метки MIP для защиты вашей конфиденциальной информации за пределами экосистемы Azure в любом трафике, обрабатываемом Cato.

Высокоуровневый обзор работы с метками MIP

Это высокоуровневое описание рабочего процесса по использованию меток MIP с Предотвращение утечки данных:

  1. Создайте Метки конфиденциальности в Приложение управления Cato.

  2. Добавьте метки в Профили контента.

  3. Создайте правила Предотвращения утечки данных для управления доступом к контенту для разных пользователей и групп согласно Метки конфиденциальности.

Например, если у вас есть файлы с меткой MIP Classified, создайте метку в вашей политике Предотвращения утечки данных Cato и добавьте её в Профиль контента Ограниченные документы. Затем определите правило Предотвращения утечки данных, которое блокирует доступ для групп пользователей без достаточного уровня безопасности.

Добавление меток MIP в политику DLP

Существует два способа добавить метки MIP к политике Предотвращения утечки данных в Приложение управления Cato:

  • Автоматический импорт с использованием API-коннектора, который извлекает метки из вашего Microsoft 365 аккаунт

  • Ручная настройка путем ввода необходимых данных метки

Сканирование файлов с метками конфиденциальности

Движок Предотвращения утечки данных сканирует определенные метки в метаданных файла, а не в фактическом содержимом, что помогает сократить количество ложных срабатываний. Движок применяет Метка конфиденциальности в соответствии с ID метки, которую вы настроили, а не в соответствии с Имя. При ручной настройке метки убедитесь, что ID метки Метка конфиденциальности точно соответствует ID метки MIP.

Для получения дополнительной информации о поиске ID меток MIP для аккаунт вашей организации см. документацию Microsoft.

Известные ограничения

  • DLP-сканирование для меток чувствительности не поддерживается для зашифрованных файлов DOCX
  • Ограничение размера файла для проверки содержимого составляет от 1 КБ до 20 МБ, включая метаданные
    Более крупные или мелкие файлы не проверяются

Автоматический импорт меток MIP

Вы можете настроить API-коннектор в Приложение управления Cato для автоматического получения ваших существующих меток конфиденциальности Microsoft для использования в качестве пользовательских типов данных Предотвращение утечки данных. Коннектор одновременно извлекает все необходимые данные метки MIP и делает метки доступными для легкой настройки как пользовательские типы данных. Если вы вносите изменения в политику меток конфиденциальности в вашем аккаунте Microsoft 365, вы можете использовать коннектор для получения вашей последней конфигурации метки конфиденциальности, а затем обновить типы данных Предотвращение утечки данных Cato, чтобы они соответствовали.

Обзор коннекторов Microsoft

Чтобы настроить коннектор меток MIP Cato для получения меток конфиденциальности вашей организации, вам сначала нужно настроить коннектор Microsoft 365 как родительское Приложение для предоставления разрешений на чтение для коннектора меток MIP. Родительское приложение имеет только разрешения на управление коннекторами Microsoft. После настройки коннектора Microsoft 365 вы можете настроить коннектор меток MIP для получения меток конфиденциальности.

Если вы хотите импортировать метки конфиденциальности из политик MIP различных подорганизаций в вашей организации, создайте отдельный коннектор Microsoft 365 для каждого соответствующего арендатора Azure, а затем настройте коннектор меток MIP для каждого арендатора.

Предварительные условия

  • Коннектор Microsoft 365 требует администратора с ролью глобального администратора для предоставления разрешений коннектору меток MIP Cato.

Требуемые разрешения для коннектора меток MIP

Чтобы позволить коннектору меток MIP извлекать метки конфиденциальности из вашего аккаунта Microsoft 365, коннектор предоставляет Cato следующие разрешения и действия с Microsoft 365:

  • Подключиться к API Microsoft и прочитать все опубликованные метки конфиденциальности и политики меток для организации

  • Войти и прочитать профиль пользователя

Настройка коннекторов Microsoft

Настройте родительский коннектор Microsoft 365, а затем определите коннектор меток MIP для аккаунта Microsoft 365 с метками конфиденциальности, которые вы хотите использовать.

Если в вашей организации настроена политика API безопасности SaaS для приложений Microsoft, соответствующий родительский коннектор Microsoft 365 может уже быть настроен и отображаться на странице Типы данных и профили. В этом случае необходимо настроить коннектор меток MIP.

Настройка коннектора Microsoft 365

Используйте Приложение Управления Cato для создания коннектора SaaS приложения Microsoft 365 для арендатора Azure с метками конфиденциальности MIP, которые вы хотите использовать. У вас должны быть правильные учетные данные для аутентификации в Microsoft 365, чтобы добавить коннектор в вашу учетную запись Cato.

MIP_DLP_Connectors_Settings.png

Чтобы настроить родительский коннектор Microsoft 365:

  1. В меню навигации выберите Безопасность > Типы данных & Профили, а затем на вкладке Настройки выберите DLP-коннекторы.

  2. Нажмите Новый. Откроется панель Новый коннектор.

  3. В выпадающем меню SaaS Приложение выберите приложение Microsoft 365.

    MIP_New_Connector_MS365.png

  4. Введите уникальное Имя коннектора.

  5. Нажмите Авторизовать и сохранить.

    Откроется новая вкладка браузера с приложением Microsoft 365.

  6. На новой вкладке браузера выполните аутентификацию в приложении Microsoft 365:

    1. Выберите учетную запись Microsoft для приложения Microsoft 365.

      В противном случае может возникнуть ошибка аутентификации Microsoft.

    2. Введите пароль для приложения и одобрите его.

    3. Принять разрешения для предоставления Cato доступа к приложению Microsoft 365.

      MIP_Labels_Parent_Connector_Permissions.png

    4. Экран показывает, что вы успешно применили разрешения для приложения.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться к Приложению Управления Cato.

  7. Приложение SaaS Microsoft 365 добавлено на экран Настройки DLP-коннекторов.

    Microsoft Azure может потребоваться несколько секунд для обработки запроса, поэтому, если Статус показывает Ожидание согласия пользователя, обновите браузер.

Настройка коннектора меток MIP

Используйте Приложение Управления Cato для создания коннектора SaaS приложения для меток MIP для арендатора Azure с метками конфиденциальности MIP, которые вы хотите использовать. У вас должны быть правильные учетные данные для аутентификации в Microsoft 365, чтобы добавить коннектор в вашу учетную запись Cato.

Заметка

Note: When you create an API connector for a Microsoft 365 app, the connector creates an authentication certificate that is valid for 3 months, and renews the certificate 7 days before expiration.

Чтобы настроить коннектор меток MIP:

  1. В меню навигации выберите Безопасность > Типы данных & Профили, а затем на вкладке Настройки выберите DLP-коннекторы.

  2. Нажмите Новый. Откроется панель Новый коннектор.

  3. В выпадающем меню SaaS-приложение выберите приложение Метки MIP.

    MIP_New_Connector_MIP_Con.png

  4. В выпадающем меню Тенант коннектора выберите родительский коннектор Microsoft 365 для арендатора с метками, которые вы хотите использовать.

  5. Введите уникальное Имя коннектора для коннектора меток MIP.

  6. Нажмите Сохранить.

    Подождите не менее 30 секунд, пока Microsoft создаст приложение Cato Connector в Azure.

  7. После успешного создания коннектора кликните Авторизовать.

    MIP_Labels_SuccessCreate_Authorize.png

    Откроется новая вкладка браузера с приложением Microsoft 365.

  8. На новой вкладке браузера выполните аутентификацию в приложении Microsoft 365:

    1. Подождите не менее 30 секунд, пока Microsoft создаст приложение Cato Connector в Azure, прежде чем выбрать учетную запись Microsoft для приложения Microsoft 365.

      В противном случае может возникнуть ошибка аутентификации Microsoft.

    2. Введите пароль для приложения и одобрите его.

    3. Принять разрешения, чтобы позволить Cato доступ к приложению Microsoft 365.

      MIP_Labels_MIP_Connector_Permissions.png

    4. На экране отображается, что вы успешно применили разрешения для приложения.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться в Приложение Управления Cato.

  9. SaaS-приложение MIP Labels добавлено на экран Настройки DLP-коннекторов.

    Microsoft Azure может занять несколько секунд для обработки запроса, поэтому, если Статус показывает Ожидание согласия пользователя, обновите браузер.

Понимание статуса коннектора

Столбец Статус на экране Настройки DLP-коннекторов отображает статус соединения между приложением Microsoft и вашим аккаунтом Cato. Это объяснения статусов:

  • Подключено - Ваш счет подключен к приложению и работает корректно

  • Ожидание согласия пользователя - Разрешения не были предоставлены для предоставления доступа Cato к приложению Microsoft 365. Чтобы решить эту проблему, обновите браузер. Если Статус изменится на Подключено, то проблема решена, если Статус не изменится, удалите и воссоздайте коннектор.

  • Ошибка - Проблемы с соединением, разрешениями или другие проблемы с Microsoft-коннектором. Удалите и воссоздайте коннектор.

Importing MIP Labels to the DLP Policy

Получите метки конфиденциальности MIP из вашего аккаунта Microsoft 365 и выберите метки, которые вы хотите использовать в качестве типов данных в вашей политике DLP Cato.

DLP_Sensitivity_Labels.png

Для импорта меток конфиденциальности MIP в политику DLP:

  1. В меню навигации выберите Безопасность > Типы данных & Профили, а затем выберите вкладку Типы данных.

  2. В разделе Метки конфиденциальности нажмите Новый. Панель Добавить метку конфиденциальности открыта.

    MIP_Add_Sensitivity_Label_Panel.png

  3. Выберите опцию Получить метки.

  4. В выпадающем меню Выберите коннектор выберите коннектор MIP Labels для арендатора Microsoft 365, откуда вы хотите получить метки.

    Выпадающее меню Импортированное имя метки заполняется полученными метками.

  5. В выпадающем меню Импортированное имя метки выберите метку для импорта. Обязательные поля автоматически заполняются данными метки.

  6. Нажмите Применить.

    Метка добавляется в список меток конфиденциальности и может быть добавлена в профиль контента в качестве пользовательского типа данных DLP.

Manually Configuring MIP Labels in Cato DLP

Вы также можете выбрать ручную настройку меток MIP в приложении управления Cato. Этот метод может быть удобен, если, например, вам нужно всего несколько меток MIP в вашей политике DLP Cato. Настройте метки под Метки конфиденциальности на вкладке Типы данных на странице Типы данных & Профили. Чтобы настроить новую метку, введите сведения для метки, включая Имя, Описание и ID метки. Убедитесь, что введенный вами ID метки точно соответствует ID метки MIP.

DLP_Метки_Конфиденциальности.png

Чтобы вручную настроить метку конфиденциальности:

  1. В меню навигации выберите Безопасность > Типы данных & Профили, а затем выберите вкладку Типы данных.

  2. В Метки конфиденциальности, нажмите Добавить. Откроется панель Добавить метку конфиденциальности.

  3. Выберите параметр Пользовательские метки.

  4. Введите Имя и Описание для метки.

  5. Введите тот же ID метки, что и ID метки MIP.

  6. Нажмите Применить.

    Метка добавлена в список Меток конфиденциальности и может быть добавлена в Профиль контента как пользовательский тип данных DLP.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев