Microsoft OneDrive: Настройка коннектора API защиты данных

Эта статья объясняет, как настроить коннектор Microsoft OneDrive для политики API защиты приложений и данных для вашего аккаунта и создать правило OneDrive для Политики защиты данных.

Политика API защиты приложений и данных требует отдельной лицензии от Cato. Пожалуйста, свяжитесь с вашим представителем компании Cato или официальным реселлером для получения дополнительной информации.

Примечание

Примечание: Пожалуйста, свяжитесь с SaaSecAPI@catonetworks.com или вашим официальным реселлером Cato для получения дополнительной информации о использовании политики App & Data API Protection.

Обзор соединителей Microsoft

Создайте коннекторы для приложений Microsoft 365 и OneDrive SaaS.

Каждое приложение Microsoft OneDrive и арендатор Azure (в соответствии с приложением 365) подлежат ограничению скорости Microsoft. Для получения дополнительной информации см. документацию Microsoft.

Предварительные требования

  • Коннектор Microsoft 365 требует администратора с ролью глобального администратора для предоставления разрешений на API защиты данных

Необходимые разрешения для соединителей API для OneDrive

Чтобы включить API защиты данных для сканирования активов и содержимого файлов и папок OneDrive, коннектор предоставляет Cato следующие разрешения и действия с приложением OneDrive:

  • Предоставить доступ к приложению с использованием Oauth2

  • Получить токен от приложения для установления и поддержания безопасного соединения

  • Подключитесь к API Microsoft и извлечь данные и сканировать файлы в соответствии с политикой API защиты приложений и данных, включая:

    • Читать файлы во всех коллекциях сайтов

    • Войти и прочитать полные профили пользователей

    • Записывать файлы во всех коллекциях сайтов (скоро будет)

Работа с соединителями API Microsoft OneDrive

Этот раздел объясняет, как создать API коннекторы для Microsoft 365 и OneDrive и подключить их к вашему аккаунту Cato.

Понимание соединителей API для Microsoft OneDrive

Чтобы включить API защиты данных для сканирования активов и содержимого для Microsoft OneDrive, сначала необходимо настроить коннектор Microsoft 365 как родительское приложение для предоставления разрешений на чтение для коннектора OneDrive. Родительское приложение имеет только разрешения для управления коннекторами Microsoft. После этого, при необходимости, вы можете создать отдельный коннектор Microsoft 365 для каждого арендатора Azure.

Шаг 1: Создание коннектора Microsoft 365

Используйте Приложение Управления Cato для создания коннектора SaaS приложения Microsoft 365 для арендатора Azure для приложения Microsoft OneDrive, которое вы сканируете с помощью API защиты данных. У вас должны быть корректные учетные данные для аутентификации в приложении Microsoft OneDrive для его добавления в ваш аккаунт Cato.

Прежде чем вы сможете создать и настроить параметры коннектора, сначала необходимо включить API защиты данных для вашего аккаунта.

Первый, настроить MS Tenant интеграцию как родительский конечный коннектор. Этот коннектор может использоваться для всех интеграций Microsoft. Если вы уже создали родительский конечный коннектор, перейдите к шагу 2.

Create_API_Connector.png

Чтобы создать MS Tenant интеграцию:

  1. В меню навигации выберите Ресурсы > Интеграции и нажмите на вкладку Интегрированные приложения.

  2. Нажмите Новый. Откроется панель Новый коннектор.

  3. На панели Новый Коннектор выберите приложение MS Tenant (Настроить новый MS Tenant).

    New_Microsoft_365_Connector.png

  4. Введите Имя коннектора.

  5. Нажмите Авторизовать и сохранить.

    Откроется новая вкладка браузера с приложением Microsoft 365.

  6. На новой вкладке браузера выполните аутентификацию в приложении Microsoft 365:

    1. Выберите учетную запись Microsoft для приложения Microsoft 365.

      В противном случае может возникнуть ошибка аутентификации Microsoft.

    2. Введите пароль для приложения и одобрите его.

    3. Принять разрешения, чтобы Cato мог получить доступ к приложению Microsoft 365.

    4. На экране отображается, что вы успешно применили разрешения для приложения.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться в Приложение Управления Cato.

  7. Приложение Microsoft 365 SaaS добавлено на вкладку Интегрированные приложения.

Шаг 2: Создание коннектора Microsoft OneDrive

Коннектор Microsoft OneDrive позволяет двигателю Data Protection API сканировать файлы на предмет содержания, которое вы определяете в политике защиты данных.

Примечание

Note: When you create an API connector for a Microsoft 365 app, the connector creates an authentication certificate that is valid for 3 months, and renews the certificate 7 days before expiration.

Чтобы создать коннектор для Microsoft OneDrive:

  1. В меню навигации выберите Ресурсы > Интеграции и нажмите на вкладку Интегрированные приложения.

  2. Нажмите Новый. Откроется панель Новый коннектор.

  3. Создайте новое SaaS-приложение OneDrive, для родительского коннектора, который вы создали в предыдущем разделе.

  4. Нажмите Авторизовать и сохранить.

  5. В новой вкладке браузера выполните аутентификацию в приложении OneDrive.

    1. Выберите учетную запись Microsoft для приложения OneDrive и войдите в систему.

    2. Введите пароль для приложения и одобрите его.

    3. Принять разрешения для доступа Cato к приложению OneDrive.

      OneDrive_Permissions.png

    4. На экране отображается, что вы успешно применили разрешения для приложения.

      Вы можете закрыть вкладку браузера и вернуться в Приложение Управления Cato.

      Microsoft Azure может занять несколько секунд для обработки запроса, поэтому если вы получите ошибку, обновите браузер.

  6. Приложение OneDrive SaaS добавлено на вкладку Интегрированные приложения.

Понимание статуса коннектора

Колонка Статус на экране Настройки Соединителей показывает состояние соединения между приложением Microsoft и вашим аккаунтом Cato. Вот объяснения статусов:

  • Подключено - ваш аккаунт подключен к приложению и работает корректно

  • Предупреждение о соединении - Некоторые пользователи в арендаторе Azure не настроены должным образом для поддержки API защиты данных (например, для пользователя не определен адрес электронной почты). Пожалуйста, откройте тикет с Поддержка.

  • Ошибка соединения - Проблема с подключением или разрешениями, или ограничение скорости (ограничение Microsoft) с коннектором Microsoft. Пожалуйста, откройте тикет в Поддержке.

  • Pending User Consent - The OneDrive connector is created in the Connect Settings screen, however you haven't completed the process in the OneDrive account to authorize it to connect to Cato.

Добавление правил OneDrive в политику защиты данных

В этом разделе объясняется, как использовать политику Защиты данных для мониторинга и управления действиями, которые пользователи выполняют с файлами OneDrive. Например, делиться файлами, создавать новые файлы, загружать и так далее.

Для получения дополнительной информации о профилях контента DLP, смотрите Создание профилей контента DLP.

Понимание действий OneDrive

Когда вы создаете правило Защиты данных, вы можете задать различные действия для отслеживания или исправления нарушений политики, когда правило срабатывает. Каждое действие автоматически генерирует событие, и вы также можете выбрать получение уведомлений по электронной почте. Дополнительную информацию о событиях Data Protection API смотрите ниже Анализ событий Data Protection API.

Это действия, которые вы можете настроить для выполнения движком Защиты данных при срабатывании правила:

  • Мониторинг - Генерирует событие, чтобы вы могли отслеживать трафик, соответствующий правилу.

  • Удалить общий доступ - Когда пользователь пытается поделиться файлом, механизм API безопасности данных удаляет неправомерное разрешение на общий доступ, и пользователь, получивший ссылку на общий файл, не сможет получить доступ к файлу.

  • Карантин - Когда пользователь пытается загрузить файл, механизм API безопасности данных перемещает его в папку карантина, и пользователи больше не смогут получить к нему доступ. Администратор OneDrive может получить доступ к файлу в папке карантина. Для информации о настройке папок карантина смотрите Подготовка к карантину файлов.

Подготовка к карантину файлов

Настройте папки карантина для правил Защиты данных и Предотвращения угроз, и назначьте администратора OneDrive с разрешениями на доступ к папкам. Вы можете настроить папки карантина для каждого администратора OneDrive в аренде. Когда папки настроены, вы можете создавать правила с действием Карантин и определять папку, в которую перемещается файл.

SaaS_Security_API_Settings_Onedrive.png

Чтобы настроить папки карантина для администратора OneDrive:

  1. На панели навигации выберите Безопасность > Приложение & Защита данных API и выберите вкладку Настройки.

  2. Нажмите Новый. Откроется панель Папка карантина.

    SaaS_Security_API_Settings_Onedrive_Quarantine_Folder.png

  3. Выберите коннектор приложения OneDrive.

  4. Выберите администратора OneDrive, который будет иметь доступ к этим папкам карантина.

  5. Нажмите Сохранить.

    Для администратора создаются папка Защиты данных и папка Предотвращения угроз, которые могут быть настроены в правилах с использованием действия Карантин. Папки называются по адресу электронной почты администратора и находятся в следующих каталогах OneDrive:

    • Папка Защиты данных: Cato_Qarantine/Cato_Qarantine_DataProtection

    • Папка Предотвращения угроз: Cato_Qarantine/Cato_Qarantine_ThreatPrevention

Настройка правил OneDrive

Используйте страницу Защиты данных, чтобы добавить правила SaaS-приложений в свою политику Защиты данных.

Создайте правило Защиты данных, чтобы определить трафик, сканируемый API безопасности данных. Создайте отдельные правила для каждого коннектора приложения SaaS, а затем определите критерии, которые определяют, какой трафик сканируется.

Более подробную информацию о настройках правил OneDrive смотрите ниже Понимание правил OneDrive.

OneDrive_Data_Protection.png

Чтобы создать новое правило защиты данных для приложения OneDrive:

  1. На панели навигации выберите Безопасность > Приложение & Защита данных API и выберите или разверните Защита данных.

  2. Нажмите Новый. Откроется панель Новое правило.

  3. В Коннектор приложения выберите приложение OneDrive.

  4. В разделе Общие введите настройки для правила.

  5. В Владелец выберите одного или нескольких владельцев файлов OneDrive (значение по умолчанию — Любой).

    Когда вы выбираете несколько владельцев, между ними устанавливается отношение ИЛИ.

  6. В Параметры Совместного Использования выберите один или несколько типов прав доступа к файлам (значение по умолчанию — Любой).

    Когда вы выбираете несколько параметров, между ними устанавливается отношение ИЛИ.

  7. В Вложения определите критерии для указания файлов, которые будут сканироваться (по умолчанию сканируются все файлы).

  8. В Профиль контента выберите DLP Профиль контента для этого правила.

  9. Выберите Действие.

    Для действия Карантин выберите Путь к папке карантина. Для получения дополнительной информации о карантинных папках, смотрите выше ???.

  10. (По желанию) Настройте параметры отслеживания для генерации Событий и отправки уведомлений.

    Для получения дополнительной информации о уведомлениях смотрите соответствующую статью о Группы подписок, Списки рассылки и Интеграции оповещений в разделе Оповещения.

  11. Нажмите Сохранить. Правило добавлено в Политику защиты данных.

Понимание правил OneDrive

В этом разделе объясняется, как определить настройки правил Защиты данных для сканирования правильного трафика OneDrive. Каждое правило может быть определено в соответствии со следующими критериями:

  • Владелец — отдельные пользователи или типы пользователей Azure, которые являются владельцами соответствующих каталогов OneDrive (значение по умолчанию — Любой)

  • Параметры Совместного Использования — выберите типы разрешений на совместное использование файлов, которые соответствуют этому правилу (значение по умолчанию — Любой)

    Например, чтобы мониторить файлы, которые совместно используются с какими-либо внешними пользователями, выберите Внешняя Ссылка.

  • Вложения — критерии для вложений, которые сканируются (значение по умолчанию — все вложения)

    • Тип файла

    • Имя файла

    • Размер файла (максимальный размер файла — 100 МБ)

  • Профиль контента — DLP Профиль контента, определяющий проверку контента DLP (Безопасность > DLP Профили > DLP Профили > Профиль контента)

  • Действия - Смотрите выше Понимание действий OneDrive

Определение файлов или вложений для правила

Вы можете определить конкретные файлы (или вложения) для правила и ограничить механизм API SaaS только сканированием указанных файлов, чтобы узнать, соответствуют ли они DLP Профилю контента.

Когда вы добавляете несколько файлов в правило, выберите взаимоотношение между ними:

  • Удовлетворяет любому (ИЛИ) — Соответствует только одному из Типов файлов в правиле

  • Удовлетворить всем (И) — Соответствовать всем Типам файлов в правиле (в противном случае правило игнорируется)

Вы можете использовать параметр Имя файла в правиле, чтобы определить точное имя файла или использовать подстановочные знаки для определения ключевых слов. Например, вы можете определить Имя файла как внутренний, чтобы соответствовать всем именам файлов, содержащим слово внутренний.

Работа с упорядоченными правилами защиты данных

Движок API Защиты данных исследует данные последовательно и проверяет, совпадают ли они с правилом. Если данные не соответствуют правилу, то они не проверяются. Правила, находящиеся в верхней части базы правил, имеют более высокий приоритет и применяются перед правилами, расположенными ниже в базе правил. Каждый тип приложения или коннектора применяется к данным только один раз.

Лучшие практики - Для максимальной эффективности вашей базы правил мы рекомендуем, чтобы для каждого типа коннектора правила для конкретных пользователей имели более высокий приоритет, чем правила, применяющиеся к Любое пользователям.

Например, если данные соответствуют коннектору в правиле №2, то данные проверяются движком Защита данных API. Движок не продолжает применять правила №3 и ниже для того же коннектора. Однако данные могут соответствовать правилу с более низким приоритетом с другим коннектором.

Добавление защиты от угроз к коннектору

Вы можете создать правила Защиты от угроз для коннектора, чтобы сканировать файлы и вложения на наличие вредоносных программ и вирусов, используя движки Антивирус и NG Антивирус, которые включены для вашей учетной записи. Движок Защита данных API сканирует трафик коннектора и применяет действие и параметры отслеживания, которые вы настроили для правила.

Это действия, которые вы можете настроить для выполнения движком Защиты от угроз, когда правило срабатывает:

  • Мониторинг - Генерирует событие, чтобы вы могли мониторить трафик, который соответствует правилу.

  • Удалить общий доступ - Когда пользователь пытается поделиться файлом, движок Защита данных API удаляет несанкционированные права на общий доступ, и пользователь, которому отправляется ссылка на файл, не будет иметь права доступа к файлу.

  • Карантин - Когда пользователь пытается загрузить файл, движок Защита данных API перемещает его в папку карантина, и затем пользователи не смогут к нему получить доступ. Администратор OneDrive может получить доступ к файлу в папке карантина. Для информации о настройке папок карантина смотрите Подготовка к карантину файлов.

Каждое действие автоматически генерирует событие, и вы также можете выбрать получение уведомления по электронной почте. Дополнительную информацию о событиях Data Protection API смотрите ниже Анализ событий Data Protection API.

Когда вы создаёте правило Защита приложений и данных API, антивирусные движки, которые включены для вашей учетной записи (Безопасность > Антивирус), выполняют сканирование файлов на наличие вредоносных программ, которые отправляются для этого приложения-коннектора.

На следующем скриншоте показано правило Защиты от угроз для коннектора OneDrive, которое сканирует файлы, отправленные Внутренними пользователями или Гостями:

CAS_Threat_Protection.png

Создание исключения для файла

Иногда файл заблокирован движками Защиты данных от Cato, которые вы знаете как безопасные, и вам нужно разрешить его в сети. Исключения для защиты от вредоносных программ в политике Хеша файла также применяются к Защите приложений и данных API. Для получения дополнительной информации о добавлении файлов в Политику Хеша файла см. Managing Anti-Malware Exceptions.

Анализ событий Data Protection API

Страница Домашняя > События показывает все события API защиты данных для вашего аккаунта. Мощные инструменты поиска позволяют вам углубиться и идентифицировать несколько событий, содержащих нужные вам данные.

События API защиты данных могут быть идентифицированы по следующим полям:

  • Тип события - Безопасность

  • Подтип - Защита данных API безопасности SaaS и Антивирус для API безопасности SaaS

Вы можете узнать больше об использовании страницы События здесь.

Объяснение полей событий API защиты данных

Имя поля

Описание

Сотрудники

Адреса электронной почты пользователей, которые получили файл

Имя коннектора

Имя для коннектора, которое определено для правила

Тип коннектора

SaaS приложение, которое определено для этого коннектора

Профиль DLP

Профиль контента DLP, который сгенерировал это событие

Имя файла

Имя прикреплённого файла

Соответствующие типы данных

Типы данных в профиле контента, которые соответствуют правилу

Владелец

Владелец файла

Тип родительского коннектора

Родительский Microsoft 365 коннектор

Правило

Название правила в политике защиты данных

Серьезность

Серьезность, определенная для правила

Область Совместного Использования

Параметры Совместного Использования для файла OneDrive

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев