GitHub: Настройка Коннектора API Защиты Данных

В этой статье объясняется, как настроить коннектор GitHub для политики App & Data API Protection для вашего аккаунта и создать правила, которые используют этот коннектор в политике Защиты от Угроз и Политике Защиты Данных.

Политика App & Data API Protection требует отдельной лицензии Cato. Пожалуйста, свяжитесь с вашим представителем Cato или официальным реселлером для получения дополнительной информации.

Бинарные файлы не поддерживаются для коннектора GitHub.

Обзор

Коннектор GitHub Data Protection API контролирует содержимое коммитов, которые пользователи отправляют в репозитории, и сканирует установленный вами чувствительный контент в Профилях Контента DLP. Когда коннектор идентифицирует чувствительные данные в коммите, он создает событие с деталями. Например, вы можете сканировать коммиты на предмет токенов API, SSH-ключей, учетных данных базы данных и многое другое.

Чтобы контролировать содержимое в коммитах, создайте коннектор для организации GitHub, затем настройте правила в политиках Защиты от Угроз и Защиты Данных, которые определяют пользователей и репозитории, которые проверяются и контролируются.

Необходимые условия

  • Разрешения администратора для аккаунта вашей организации в GitHub

Требуемые разрешения для API-коннекторов для GitHub

Чтобы включить API защиты данных для сканирования коммитов GitHub, коннектор предоставляет Cato следующие разрешения в аккаунте GitHub:

  • Доступ для чтения к коду, пользователям и метаданным

Работа с коннекторами GitHub

В этом разделе объясняется, как создать коннекторы API для GitHub для сканирования коммитов на наличие чувствительных данных и угроз.

Создание коннектора GitHub

Используйте Приложение Управления Cato для создания коннектора GitHub, а затем войдите в свой аккаунт GitHub. Выберите организацию для установки коннектора, а затем выберите репозитории, к которым коннектор может получить доступ. Вы можете выбрать все репозитории для организации или только определенные.

Вы можете создать один коннектор для каждой организации GitHub. Для нескольких организаций требуется отдельный коннектор для каждой из них.

Коннектор GitHub позволяет движку API защиты данных сканировать содержимое, которое вы определяете в политике защиты данных.

Примечание

Примечание:

  • Вы не можете установить более одного коннектора для организации. Попытка установить второй коннектор для той же организации может повлиять на функциональность, и организация может больше не контролироваться.

  • Изменение настроек существующего коннектора в консоли управления GitHub может повлиять на функциональность, и организация может больше не контролироваться.

Чтобы создать коннектор для GitHub:

  1. В меню навигации выберите Ресурсы > Интеграции и нажмите на вкладку Интегрированные API.

  2. Нажмите Новый. Откроется панель Новый Коннектор.

  3. В SaaS Приложение выпадающем списке выберите GitHub.

  4. В разделе Возможность выберите Защита данных и угроз.

  5. Введите Имя Коннектора.

  6. Нажмите Авторизовать и сохранить. Вы будете перенаправлены на GitHub.

  7. Установите приложение в GitHub:

    1. В GitHub войдите как администратор. Если вы уже вошли в GitHub, убедитесь, что вы вошли как администратор.

    2. Выберите организацию для коннектора.

      GitHub_Select_Org.png

    3. Если необходимо, войдите в организацию.

    4. Выберите репозитории, к которым коннектор имеет разрешение на доступ, и нажмите Установить. Вы можете выбрать все репозитории в организации или определенные.

      GitHub_Select_repos.png

    5. Экран показывает, что вы успешно применили разрешения для арендатора.

      Success_Connector_Permissions.png

    6. Коннектор GitHub создан и добавлен во вкладку Интегрированные API.

Понимание статуса коннектора

Столбец Статус на странице Установленные SaaS Приложения показывает статус соединения между вашим аккаунтом GitHub и вашим аккаунтом Cato. Вот объяснения статусов:

  • Подключено - Ваш аккаунт подключен и работает правильно

  • Ошибка соединения - Проблемы с подключением или разрешениями коннектора GitHub. Пожалуйста, откройте тикет с Поддержка.

  • Ожидание согласия пользователя - Коннектор GitHub создан на странице Настройки Подключения, однако вы не смогли успешно аутентифицироваться в GitHub. Аутентификация может занять несколько секунд, поэтому если вы получили этот статус, обновите браузер.

Добавление правил GitHub к Политике Защиты Данных

Этот раздел объясняет, как использовать Политику Защиты Данных для мониторинга коммитов GitHub на наличие конфиденциальных данных. Когда пользователь отправляет коммит в репозиторий, движок Защиты Данных сканирует новое содержимое коммита, чтобы обнаружить конфиденциальные данные, определенные в Профилях Контента. Содержимое, ранее отправленное в репозиторий, не сканируется, только новое содержимое, отличающееся в коммите.

Понимание настроек правил GitHub

Этот раздел объясняет, как определить настройки для правил Защиты Данных для сканирования коммитов GitHub. Каждое правило может быть определено со следующими настройками:

  • Пользователи - Определите пользователей GitHub для мониторинга. Выберите Любой или определите одного или нескольких конкретных пользователей.

  • Объекты - Определите, какие репозитории GitHub сканируются. Выберите Любой или укажите один или несколько конкретных репозиториев.

    • Доступные для сканирования репозитории включают те, к которым коннектор имеет разрешение на доступ, как определено при создании коннектора. См. выше Создание коннектора GitHub.

  • Атрибуты файла - Исключите файлы из сканирования на основе Имя Файла и Тип Файла. Файлы, которые соответствуют заданным атрибутам, не проверяются на наличие конфиденциального контента.

  • Профиль контента - Профиль контента DLP, который определяет инспекцию DLP контента

    Вы можете создать или редактировать Профили Контента в Защита > Профили DLP > Профили DLP > Профиль Контента

  • Действия - Выберите, хотите ли вы создать событие или отправить уведомление, когда правило будет выполнено

Настройка правил GitHub

Используйте страницу Защита Данных, чтобы добавить правила приложения SaaS в вашу Политику защиты данных.

Slack_Data_Protection_Rule.png

Чтобы создать новое правило Защиты данных для приложения GitHub:

  1. Из области навигации выберите Безопасность > API Приложения и Данных Защита и выберите или разверните Защита данных.

  2. Нажмите Новый. Открывается панель Новое правило.

  3. В Коннектор приложения, выберите приложение GitHub.

  4. В разделе Общие введите настройки для правила.

  5. В Пользователи определите пользователей GitHub, которых вы мониторите:

    • Любой - Мониторинг всех пользователей GitHub в организации (значение по умолчанию)

    • Пользователь GitHub - Выберите специфических пользователей организации для мониторинга

  6. В Объекты определите репозитории GitHub, которые сканируются. Значение по умолчанию - Любое.

  7. В Атрибуты Файла, определите критерии для указания файлов, которые сканируются (по умолчанию сканируются все файлы).

  8. В Профиль контента выберите DLP Профиль контента для этого правила.

    Для получения дополнительной информации о DLP Content Profiles, см. Создание DLP Content Profiles.

  9. В Действия выберите Мониторинг.

  10. (Опционально) Настройте параметры отслеживания для создания Событий и отправки уведомлений.

    Для получения дополнительной информации о уведомлениях смотрите соответствующую статью о Группы подписок, Списки рассылки и Интеграции оповещений в разделе Оповещения.

  11. Нажмите Сохранить. Правило добавлено в Политику защиты данных.

Работа с упорядоченными правилами защиты данных

Движок API Защиты данных последовательно инспектирует данные и проверяет, соответствует ли они правилу. Если данные не соответствуют правилу, они не инспектируются. Правила, находящиеся в верхней части базы правил, имеют более высокий приоритет и применяются перед правилами ниже. Каждый тип приложения или коннектора применяется к данным только один раз.

Лучшие практики - Чтобы максимизировать эффективность вашей базы правил, рекомендуется, чтобы для каждого типа коннектора правила для конкретных пользователей имели более высокий приоритет, чем правила, которые применяются к Любой пользователь.

Например, если данные соответствуют коннектору в правиле №2, данные инспектируются движком API Защиты данных. Движок не продолжает применять правила №3 и ниже для того же коннектора. Однако данные могут соответствовать правилу с более низким приоритетом с другим коннектором.

Добавление защиты от угроз к коннектору

Вы можете создать правила Защиты от угроз для коннектора для сканирования файлов и вложений на наличие вредоносных программ и вирусов, используя движки Антивирусной защиты и Антивирус следующего поколения, которые включены для вашего аккаунта. Движок API Защиты данных сканирует трафик коннектора и применяет действия и параметры отслеживания, которые вы настраиваете для правила:

  • Мониторинг трафика (блокировка будет поддерживаться скоро)

  • Создание событий

  • Отправка уведомлений по электронной почте

Когда вы создаете правило защиты API Приложений & Данными, движки антивирусной защиты, которые включены для вашего аккаунта (Безопасность > Антивирусная защита), выполняют сканирование на наличие вредоносных программ на файлах, отправленных для этого приложения-коннектора.

Следующий скриншот показывает правило защиты от угроз для коннектора OneDrive, которое сканирует файлы, отправленные внутренними пользователями или гостями:

CAS_Threat_Protection.png

Создание исключения для файла

Иногда есть файл, заблокированный движками API Защиты данных Cato, который вы знаете как безопасный, и вам нужно разрешить его в сети. Исключения антивируса в политике хеша файла также применяются к Защите API приложения и данных. Для получения дополнительной информации о добавлении файлов в Политику Хеш Файла смотрите Управление Исключениями Антивируса.

Анализ Событий API защиты данных

На странице Мониторинг > События отображаются все события API защиты данных для вашей учетной записи. Мощные инструменты поиска позволяют вам детализировать и идентифицировать немногие события, которые содержат необходимую вам релевантную информацию.

События API защиты данных можно идентифицировать по следующим полям:

  • Тип события - Безопасность

  • Подтип - Защита данных API безопасности SaaS и Антивирус для SaaS Security API

Вы можете узнать больше об использовании страницы События здесь.

Это пример события коннектора GitHub для SaaS Security API:

GitHub_Event.png

Объяснение полей Событий API защиты данных

Имя поля

Описание

Активность приложения

Отправка

Имя коннектора

Название для коннектора, который определён для правила

Тип соединения

SaaS-приложение, определенное для этого соединения

Профиль DLP

Профиль контента DLP, который сгенерировал это событие

Полный путь URL

Ссылка на сравнение различий для коммита

Соответствующие типы данных

Типы данных в профиле контента, которые соответствуют правилу

Правило

Название правила в политике защиты данных

Имя объекта

Название репозитория, в который был загружен коммит

Тип объекта

Тип объекта, который сканировался

Владелец

Адрес электронной почты пользователя, загрузившего коммит

Серьезность

Серьезность, определенная для правила

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев