Box: Настройка коннектора Data Protection API

В этой статье объясняется, как настроить коннектор Box для Политики защиты API приложений и данных для вашего аккаунта и создать правила, которые используют этот коннектор в Политике защиты или Защите от угроз.

Политика защиты API приложений и данных требует отдельной лицензии Cato. Пожалуйста, обратитесь к вашему представителю Cato или официальному реселлеру для получения дополнительной информации.

Обзор Box Connector

Создайте коннектор для арендатора Box для вашей организации. Затем определите правила в политике Защиты данных, включающие коннектор Box, и укажите, что файлы сканируются и проверяются. Вы можете создать один коннектор Box для каждого арендатора.

Предварительные требования

  • Разрешения администратора или соадминистратора для арендатора Box

  • Коннектор контролирует файлы, другие действия будут поддерживаться в ближайшее время

Требуемые разрешения для API-коннекторов для Box

Чтобы включить API Защиты данных для сканирования файлов и папок в вашем аккаунте Box, коннектор предоставляет Cato следующие разрешения и действия с приложением Box:

  • Предоставление доступа к приложению с использованием Oauth2

  • Получение токена от приложения для установления и поддержания безопасного соединения

  • Подключитесь к API Box, получите данные и сканируйте файлы в соответствии с Политикой защиты API приложений и данных, включая:

    • Для действий мониторинга - Чтение всех файлов и папок, сохраненных в Box

      • Для других действий - Разрешение на запись для всех файлов и папок, сохраненных в Box

    • Доступ к пользовательским данным в вашем аккаунте Box

    • Администратор Cato может выполнять вызовы от имени пользователей Box

Известные ограничения

  • Файлы, загруженные в корневую папку, могут стать доступными коннектору в течение 24 часов

    • Файлы, загруженные в подкаталоги и директории, доступны сразу

Работа с Box Connectors

Этот раздел объясняет, как создать API коннекторы для Box и подключить арендатора Box вашей организации к своему аккаунту Cato.

Создание Box Connector

Когда вы создаете коннектор Box, Приложение Управления Cato генерирует ID клиента для этого коннектора. Затем войдите в консоль администратора для вашего аккаунта Box и создайте новое приложение аутентификации пользователя. Введите идентификатор клиента в приложение Cato Box, затем авторизуйте Cato для подключения к вашему аккаунту Box. Наконец, сохраните коннектор Box в Приложении Управления Cato, и теперь Cato готов к мониторингу файлов и папок Box.

Чтобы создать коннектор для Box:

  1. В меню навигации выберите Ресурсы > Интеграции и нажмите вкладку Интегрированные API.

  2. Нажмите Новый. Открывается панель Новый коннектор.

  3. Из SaaS Приложение выпадающего списка выберите Box.

    В настоящее время для приложения Box поддерживаются только разрешения и действия Чтение. Однако в ближайшее время будут поддерживаться разрешения и действия Чтение/Запись.

  4. В разделе Возможность выберите Защита данных и от угроз.

  5. Введите Имя коннектора.

  6. Скопируйте ID клиента в буфер обмена ОС.

  7. Создайте приложение Cato Box для этого коннектора:

    1. Щелкните по ссылке, чтобы открыть консоль администратора Box для вашего аккаунта.

      Экран Box открывается в новой вкладке браузера.

    2. Войдите в свой арендатор Box.

    3. В меню навигации Box выберите Консоль администратора.

    4. Выберите Приложения > Менеджер Платформенных Приложений > Приложения Аутентификации Пользователей.

      Box_User_Apps.png

    5. Нажмите на символ плюса.

    6. В окне Добавить приложение вставьте ID клиента (из шага 5 выше).

      Box_Client_ID.png

    7. Нажмите Далее.

    8. В окне Авторизовать приложение нажмите Авторизовать, чтобы предоставить Cato разрешение на доступ к приложению Box.

      Box_Authorize_App.png

      Новое приложение добавлено в ваш аккаунт Box.

  8. В Приложении Управления Cato нажмите Авторизовать и сохранить.

    Экран разрешений Box открывается в новой вкладке браузера.

  9. Предоставьте разрешения вашему аккаунту Cato для доступа к приложению Box.

    1. Нажмите Предоставить доступ к Box, чтобы позволить Cato получить доступ к приложению Box.

      Grant_Access_Box.png

    2. Экран показывает, что вы успешно применили разрешения для арендатора.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться в Приложение Управления Cato. Box может занять несколько секунд для обработки запроса, поэтому если вы получите ошибку, обновите браузер.

      Пока Box обрабатывает запрос, статус соединителя — Ожидается согласие пользователя (см. ниже Понимание статуса соединителя).

  10. SaaS Приложение Box добавлено на вкладку Интегрированные API.

Понимание статуса коннектора

Столбец Статус на экране Настройки соединителей показывает статус подключения между приложением Box и вашим аккаунтом Cato. Это объяснения статусов:

  • Подключен - Ваш аккаунт подключен к приложению и работает правильно

  • Предупреждение о подключении - Некоторые пользователи в Box не настроены правильно для поддержки Data Protection API. Пожалуйста, откройте тикет с Поддержка.

  • Ошибка подключения - Проблема с подключением или разрешениями с коннектором Box. Пожалуйста, откройте тикет с Поддержка.

    Box поддерживает создание только одного соединителя на арендатора.

  • Ожидается согласие пользователя - Соединитель Box создан на экране Настройки соединителя, однако вы не завершили процесс авторизации Cato для подключения к вашему аккаунту Box.

Добавление правил Box к политике защиты данных

Этот раздел объясняет, как использовать политику Защиты данных для мониторинга и управления файлами и папками, которые ваши пользователи загружают и скачивают с Box.

Понимание действий Box

Когда вы создаете правило Защиты данных, вы можете определить различные действия для мониторинга или устранения нарушений политики, когда правило соответствует. Каждое действие автоматически создает событие, и вы также можете выбрать получение уведомления по email. Для получения дополнительной информации о событиях Data Protection API, смотрите ниже Анализ событий Data Protection API.

Это действия, которые вы можете задать для выполнения движком Защиты данных при соответствии правилу:

  • Мониторинг - Создает событие, чтобы позволить вам мониторить трафик, который соответствует правилу.

  • Удалить общий доступ - Когда пользователь пытается поделиться файлом, движок Data Protection API удаляет неавторизованное разрешение на общий доступ, и пользователь, который получает ссылку на общий файл, не будет иметь разрешений для доступа к файлу.

Примечание

Примечание: Новые файлы, добавленные в корневую папку, могут быть отсканированы и к ним могут быть применены действия по правилам в течение 24 часов. Файлы в подпапках сканируются сразу после загрузки.

Настройка правил Box

Используйте страницу Защиты данных для добавления правил SaaS приложений в вашу политику защиты данных.

Создайте правило защиты данных для определения трафика, который сканируется Data Protection API. Создавайте отдельные правила для каждого коннектора приложения SaaS, затем определяйте критерии, которые определяют, какой трафик сканируется.

Для получения дополнительной информации о настройках правил Box смотрите ниже Понимание правил Box.

Box_Data_Protection.png

Чтобы создать новое правило защиты данных для приложения Box:

  1. На панели навигации выберите Безопасность > Защита API приложения и данных и выберите или разверните Защита данных.

  2. Нажмите Новый. Откроется панель Новое Правило.

  3. В Коннектор приложения выберите приложение Box.

  4. В разделе Общие введите настройки для правила.

  5. В Владелец выберите одного или нескольких пользователей Box, за которыми вы ведёте мониторинг (значение по умолчанию - Любой).

    Когда вы выбираете нескольких пользователей, между ними существует отношение ИЛИ.

  6. В Параметры совместного использования выберите уровень разрешений для файлов и папок, которые сканируются (значение по умолчанию - Любое).

    Когда вы выбираете несколько опций, между ними существует отношение ИЛИ.

  7. В Атрибуты файла определите критерии для указания файлов, которые сканируются (настройка по умолчанию — сканировать все файлы).

  8. В Профиль контента выберите DLP профиль контента для этого правила.

    Для получения дополнительной информации о профилях DLP Content смотрите Создание DLP Content Profiles.

  9. Выберите Действие.

  10. (Опционально) Определите параметры отслеживания для правил для генерации уведомлений по электронной почте.

    Для получения дополнительной информации о событиях и уведомлениях по электронной почте см. Оповещения на уровне учетной записи и системные уведомления.

  11. Нажмите Сохранить. Правило добавлено в политику защиты данных.

Понимание правил Box

Этот раздел объясняет, как определить настройки для правил защиты данных, чтобы правильно сканировать трафик Box. Каждое правило может быть определено по следующим критериям:

  • Владелец - пользователи Box в вашей рабочей области (значение по умолчанию - Любой)

    • Внутренний - владелец может быть любым пользователем в вашей компании

    • Пользователь Box - владелец это конкретный пользователь

  • Параметры совместного использования - выберите типы разрешений на совместное использование файлов и папок, которые соответствуют этому правилу (значение по умолчанию - Любой)

    • Приватный - доступ только у пользователя

    • Люди с открытой ссылкой - общедоступен для любого с этой ссылкой (не нужно входить в Box)

    • Сотрудники компании - любой пользователь в вашей компании с этой ссылкой

    • Только приглашенные сотрудники компании - любой пользователь в вашей компании с этой ссылкой

    • Только приглашенные внешние люди - внешние пользователи, получившие приглашение с этой ссылкой

  • Атрибуты файла - Критерии для вложений, которые сканируются (значение по умолчанию — все вложения)

    • Тип файла

    • Имя файла

    • Размер файла (максимальный размер файла — 20 МБ)

  • Профиль контента - Профиль DLP, который определяет проверку контента DLP

    Вы можете создать или редактировать Профили контента в Безопасность > Профили DLP > Профили DLP > Профиль контента

  • Действия - Выберите, если хотите генерировать событие или уведомление по электронной почте при совпадении правила

Определение файлов или вложений для правила

Вы можете определить конкретные файлы (или вложения) для правила и ограничить механизм API SaaS для сканирования только указанных файлов, чтобы проверить, соответствуют ли они Профилю контента DLP.

Когда вы добавляете несколько файлов в правило, выберите отношения между ними:

  • Удовлетворяет любому (ИЛИ) - Соответствие одному из Типов файлов в правиле

  • Удовлетворить всем (И) - Совпадение со всеми Типами файлов в правиле (в противном случае правило игнорируется)

Вы можете использовать настройку Имя файла в правиле для определения точного имени файла или использовать шаблоны для определения ключевых слов. Например, вы можете определить Имя файла как внутренний, чтобы соответствовать всем именам файлов, содержащим слово внутренний.

Работа с упорядоченными правилами защиты данных

Движок API защиты данных проверяет данные последовательно и проверяет, соответствуют ли они правилу. Если данные не соответствуют правилу, они не проверяются. Правила, находящиеся в верхней части базы правил, имеют более высокий приоритет и применяются перед правилами, расположенными ниже в базе правил. Каждый тип приложения или коннектора применяется к данным только один раз.

Лучшие практики - Чтобы максимально повысить эффективность вашей базы правил, мы рекомендуем, чтобы для каждого типа коннектора правила для конкретных пользователей имели более высокий приоритет, чем правила, применяемые к Любой пользователи.

Например, если данные соответствуют коннектору в правиле №2, данные проверяются движком API защиты данных. Движок не продолжает применять правила №№3 и ниже для одного и того же коннектора. Однако данные могут соответствовать правилу с более низким приоритетом, но с другим коннектором.

Добавление защиты от угроз к коннектору

Вы можете создать правила защиты от угроз для коннектора, чтобы сканировать файлы и вложения на наличие вредоносных программ и вирусов, используя движки антивирусов и следующих поколений антивирусов, которые включены для вашего аккаунта. Движок API защиты данных сканирует трафик коннектора и применяет действия и параметры отслеживания, которые вы настроили для правила.

Это действия, которые вы можете задать, чтобы движок защиты от угроз выполнял, когда правило совпадает:

  • Мониторинг - Создает событие, чтобы позволить вам следить за трафиком, который соответствует правилу.

  • Удалить общий доступ - Когда пользователь пытается поделиться файлом, движок API защиты данных удаляет несанкционированное разрешение на совместное использование, и пользователь, получивший ссылку на общий файл, не будет иметь разрешения на доступ к файлу.

Каждое действие автоматически генерирует событие, и вы также можете выбрать получение уведомления по электронной почте. Для получения дополнительной информации о событиях Data Protection API смотрите ниже Анализ событий Data Protection API.

Когда вы создаете правило App & Data API Protection, движки Антивирусов, которые активированы для вашего аккаунта (Безопасность > Антивирусы), выполняют сканирование файлов на наличие вредоносных программ, отправленных для этого приложения коннектора.

На следующем скриншоте показано правило Защиты от угроз для коннектора OneDrive, которое сканирует файлы, отправленные Внутренние пользователи или Гости:

CAS_Threat_Protection.png

Создание исключения для файла

Иногда есть файл, заблокированный движками API защиты данных Cato, который вы знаете, что безопасен, и вам нужно разрешить его в сети. Исключения для антивируса в политике Хеш файла также применяются к Защита приложений и данных API. Для получения дополнительной информации о добавлении файлов в политику Хеш файла, см. Управление исключениями для антивируса.

Анализ событий Data Protection API

На странице Главная > События отображаются все события API защиты данных для вашей учетной записи. Мощные поисковые инструменты позволяют вам углубиться и идентифицировать немногие события, которые содержат необходимые вам релевантные данные.

События API защиты данных можно идентифицировать по следующим полям:

  • Тип события - Безопасность

  • Подтип - Защита данных API безопасности SaaS и Антивирус для SaaS Security API

Узнайте больше об использовании страницы События здесь.

Объяснение полей событий Data Protection API

Имя поля

Описание

Имя коннектора

Имя коннектора, который определен для правила

Тип Коннектора

Приложение SaaS, определенное для этого коннектора

Профиль DLP

Профиль контента DLP, который сгенерировал это событие

Имя файла

Имя прикрепленного файла

Размер файла

Размер прикрепленного файла

Тип файла

Тип файла для прикрепленного файла

Совпадающие типы данных

Типы данных в профиле контента, которые соответствуют правилу

Сотрудники

Адреса электронной почты пользователей, получивших файл

Правило

Имя правила в политике защиты данных

Владелец

Владелец файла

Серьезность

Серьезность, определенная для правила

Область Совместного Использования

Параметры совместного использования для вложения Box

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев