Slack: Настройка API-коннектора для защиты данных

Эта статья объясняет, как настроить коннектор Slack для политики Защиты данных API приложений для вашего аккаунта и создать правила, использующие этот коннектор в Политике Защиты от Угроз и Защиты Данных.

Политика Защиты данных API приложений требует отдельной лицензии Cato. Пожалуйста, свяжитесь с вашим представителем Cato или официальным реселлером для получения дополнительной информации.

Обзор коннектора Slack

Создайте коннектор для рабочей области Slack вашей организации. Затем определите правила в Политике Защиты от Угроз и Защиты Данных, которые включают коннектор Slack и определяют, что трафик сканируется и проверяется. Вы можете создать один коннектор Slack для каждого арендатора.

Предварительные условия

  • Администраторские разрешения для рабочей области Slack

  • Коннектор мониторит файлы, другие действия будут поддерживаться в ближайшее время

  • Примечание: Поддерживаются только публичные и общие каналы Slack.

Требуемые разрешения для API-коннекторов Slack

Чтобы включить API защиты данных для сканирования активов и контента в Slack, коннектор предоставляет Cato следующие разрешения и действия для приложения Slack:

  • Предоставить доступ к приложению, используя Oauth2

  • Получить токен от приложения для установки и поддержки безопасного соединения

  • Подключиться к API Slack и получить данные, а также сканировать файлы в соответствии с политикой Защиты данных API приложений, включая:

    • Чтение сообщений и файлов в рабочей области

    • Просмотр контента и информации о:

      • Аккаунт администратора (вы)

      • Каналы и беседы

      • Рабочая область организации

Известные ограничения

  • Частные каналы поддерживаются только в случае, если пользователь Slack, создавший коннектор, включен в частный канал

Работа с коннекторами Slack

Этот раздел объясняет, как создать API-коннекторы для Slack и подключить рабочую область Slack вашей организации к вашему аккаунту Cato.

Создание коннектора Slack

Используйте Приложение Управления Cato для создания коннектора Slack, настраивать параметры в Slack не нужно. Коннектор Slack позволяет движку API Cato сканировать сообщения и вложения на содержание, которое вы определяете в Политике Защиты Данных.

Чтобы создать коннектор для Slack:

  1. В навигационном меню выберите Ресурсы > Интеграции и нажмите на вкладку Интегрированные API.

  2. Нажмите Новый. Открывается панель Новый коннектор.

  3. В раскрывающемся списке SaaS Приложение выберите Slack.

    В настоящее время для приложения Slack поддерживаются только права и действия на Чтение. Однако скоро появятся права и действия на Чтение/Запись.

  4. В разделе Возможность выберите Защита данных и угроз.

  5. Введите Имя коннектора API.

  6. Нажмите Авторизовать и сохранить.

    Экран разрешений Slack откроется в новой вкладке браузера.

  7. Предоставьте разрешения вашему аккаунту Cato для доступа к приложению Slack.

    1. Разрешить разрешения для Cato для доступа к приложению Slack.

      Slack_Permissions.png

    2. На экране показано, что вы успешно применили разрешения для арендатора.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться в Приложение Управления Cato. Slack может занять несколько секунд для обработки запроса, так что если вы получаете ошибку, обновите браузер.

      Пока Slack обрабатывает запрос, статус коннектора Ожидание согласия пользователя (см. ниже Понимание статуса коннектора).

  8. Приложение Slack SaaS добавлено на вкладку Интегрированные API.

Понимание статуса коннектора

Колонка Статус на экране настроек соединителей показывает статус соединения между приложением Slack и вашим аккаунтом Cato. Это объяснения статусов:

  • Подключено - Ваш аккаунт подключен к приложению и работает корректно

  • Ошибка соединения - Проблема с подключением или разрешениями в коннекторе Slack. Пожалуйста, откройте тикет с Поддержка.

  • Ожидание согласия пользователя - Коннектор Slack создан на экране настоек соединителей, однако вы не завершили процесс авторизации в аккаунте Slack для подключения к Cato.

Добавление правил Slack в политику защиты данных

Этот раздел объясняет, как использовать политику защиты данных для мониторинга и управления сообщениями и вложениями, которые ваши пользователи отправляют и получают через Slack.

Настройка правил Slack

Используйте страницу защиты данных для добавления правил SaaS приложения в вашу политику защиты данных.

Для пользователей Slack коннектор различает ботов и учетные записи пользователей. Вы можете определить одно правило для пользователей и отдельное правило для ботов.

Для получения дополнительной информации о настройках правил Slack, смотрите ниже Понимание правил Slack.

Slack_Data_Protection_Rule.png

Чтобы создать новое правило защиты данных для приложения Slack:

  1. From the navigation pane, select Security > App & Data API Protection and select or expand Data Protection.

  2. Нажмите Новый. Панель Новое правило открывается.

  3. В Коннектор приложения выберите приложение Slack.

  4. В разделе Общие введите параметры для правила.

  5. В Отправитель выберите одного или нескольких Пользователей Slack, которые являются сообщениями Slack (значение по умолчанию - Любой).

    Когда вы выбираете нескольких пользователей, между ними существует отношение ИЛИ.

  6. В разделе Параметры совместного использования выберите один или несколько типов сообщений и каналов Slack, которые сканируются (значение по умолчанию - Любое).

    Когда вы выбираете несколько параметров, между ними существует отношение ИЛИ.

  7. В разделе Вложения определите критерии для указания файловых вложений, которые сканируются (настройка по умолчанию - сканировать все файлы).

  8. В разделе Профиль контента выберите DLP профиль контента для этого правила.

    Для получения дополнительной информации о Профилях Контента DLP, смотрите раздел Создание Профилей Контента DLP.

  9. В разделе Действия выберите Мониторинг.

  10. (Необязательно) Настройте параметры отслеживания для генерации Событий и отправки уведомлений.

    Для получения дополнительной информации о уведомлениях смотрите соответствующую статью о Группы подписок, Списки рассылки и Интеграции оповещений в разделе Оповещения.

  11. Нажмите Сохранить. Правило добавлено в политику защиты данных.

Понимание правил Slack

Этот раздел объясняет настройки для правил защиты данных, использующих коннектор Slack.

  • Отправитель - Пользователи Slack в вашем рабочем пространстве (значение по умолчанию - Любой)

  • Параметры Совместного Использования - Выберите типы разрешений на совместное использование файлов, соответствующих этому правилу (значение по умолчанию: Любое)

    • Публичный канал - Канал Slack, к которому может присоединиться любой пользователь

    • Общий канал - Каналы Slack, содержащие пользователей из других организаций

  • Вложения - Критерии для вложений, которые сканируются (значение по умолчанию: все вложения)

    • Тип файла

    • Имя файла

    • Размер файла (максимальный размер файла 100 МБ)

  • Профиль контента - DLP Профиль контента, который определяет проверку контента DLP

    Вы можете создать или отредактировать Профили Контента в Безопасность > Профили DLP > Профили DLP > Профиль контента

  • Действия - Выберите, если хотите создать событие при совпадении правила

Определение Файлов или Вложений для Правила

Вы можете определить конкретные файлы (или вложения) для правила и ограничить API безопасности SaaS двигателем только для сканирования указанных файлов, чтобы проверить, соответствуют ли они Профилю Контента DLP.

Когда вы добавляете несколько файлов к правилу, выберите связь между ними:

  • Удовлетворяет любому (ИЛИ) - Соответствует только одному из типов файла в правиле

  • Удовлетворить всем (И) - Соответствует всем типам файлов в правиле (в противном случае правило игнорируется)

Вы можете использовать настройку Имя файла в правиле для определения точного имени файла или использовать подстановочные символы для определения ключевых слов. Например, вы можете определить Имя файла как внутренний, чтобы соответствовать всем именам файлов, содержащим слово внутренний.

Работа с Упорядоченными Правилами Защиты Данных

Двигатель Защиты данных последовательно проверяет данные и проверяет, соответствуют ли они правилу. Если данные не соответствуют правилу, то они не проверяются. Правила, которые находятся в верхней части базы правил, имеют более высокий приоритет, и они применяются до правил, находящихся ниже в базе правил. Каждый тип приложения или коннектора применяется к данным только один раз.

Лучшие практики - Чтобы максимально повысить эффективность вашей базы правил, мы рекомендуем для каждого типа коннектора, чтобы правила для конкретных пользователей имели более высокий приоритет, чем правила, которые применяются к Любое пользователя.

Например, если данные соответствуют коннектору в правиле №2, данные проверяются движком Защиты данных. Двигатель не продолжает применять правила №3 и ниже для того же коннектора. Однако данные могут соответствовать правилу более низкого приоритета с другим коннектором.

Добавление Защиты от угроз к Коннектору

Вы можете создать правила Защиты от угроз для коннектора, чтобы сканировать файлы и вложения на наличие вредоносных программ и вирусов, используя Антивирус и Антивирус нового поколения, которые включены для вашего аккаунта. Двигатель Защиты данных сканирует трафик коннектора и применяет параметры действия и отслеживания, которые вы настроили для правила:

  • Мониторинг трафика (блокировка будет поддерживаться вскоре)

  • Сгенерировать события

  • Отправить уведомления по электронной почте

Когда вы создаете правило App & Data API Protection, Антивирусные двигатели, которые включены для вашего аккаунта (Безопасность > Антивирус), выполняют сканирование на наличие вредоносных программ в файлах, которые отправляются для этого прилojения-коннектора.

Следующий скриншот показывает правило Защиты от угроз для коннектора OneDrive, которое сканирует файлы, отправленные Внутренними пользователями или Гостями:

Защита от угроз CAS_Threat_Protection.png

Создание исключения для файла

Иногда существует файл, заблокированный движками Data Protection API Cato, который вы знаете, что безопасен, и вам нужно разрешить его в сети. Исключения для антивируса в политике хеша файла также применяются к Защита АРМ и данных API. Для получения информации о добавлении файлов в политику хеша файла, смотрите Управление исключениями для антивируса.

Анализ событий API безопасности данных

Страница Главная > События показывает все события API безопасности данных для вашего аккаунта. Мощные инструменты поиска позволяют углубиться и выявить те немногие события, которые содержат необходимые данные.

События API безопасности данных могут быть идентифицированы по следующим полям:

  • Тип события - Безопасность

  • Подтип - Защита данных API безопасности SaaS и Антивирус для SaaS Security API

Вы можете узнать больше об использовании страницы События здесь.

Объяснение полей событий API безопасности данных

Название поля

Описание

Имя коннектора

Имя для коннектора, который определен для правила

Тип коннектора

SaaS приложение, которое определено для этого коннектора

Профиль DLP

Профиль контента DLP, который сгенерировал это событие

Имя файла

Имя прикрепленного файла

Соответствующие типы данных

Типы данных в профиле контента, которые соответствуют правилу

Сотрудники

Адреса электронной почты пользователей, получивших файл

Правило

Имя правила в политике защиты данных

Отправитель

Пользователь Slack, который отправил сообщение или файл

Серьезность

Серьезность, определенная для правила

Область Совместного Использования

Параметры Совместного Использования для вложения Slack

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев