Microsoft SharePoint: Настройка Коннектора API Защиты Данных

Эта статья объясняет, как настроить коннектор Microsoft SharePoint для Политика Приложений и Данных API вашей учетной записи и создать правило SharePoint для Политика защиты данных.

Политика Приложения и Данных API требует отдельной лицензии от Cato. Пожалуйста, свяжитесь с вашим представителем Cato или официальным реселлером для получения дополнительной информации.

Примечание

Примечание: Пожалуйста, свяжитесь с SaaSecAPI@catonetworks.com или с вашим официальным реселлером Cato для получения дополнительной информации об использовании политики App & Data API Protection.

Обзор коннекторов Microsoft

Создать коннекторы для приложений SaaS Microsoft 365 и SharePoint.

Каждое приложение Microsoft SharePoint и арендодатель Azure (в соответствии с приложением 365) подпадают под ограничение скорости Microsoft. Для получения дополнительной информации см. документация Microsoft.

Предварительные условия

  • Коннектор Microsoft 365 требует администратора с ролью глобального администратора для предоставления разрешений на API Защиты Данных

Необходимые разрешения для коннекторов API для SharePoint

Чтобы разрешить API Защиты Данных сканировать ресурсы и контент для файлов и папок SharePoint, коннектор предоставляет Cato следующие разрешения и действия с приложением SharePoint:

  • Предоставить доступ к приложению с использованием Oauth2

  • Получить токен от приложения для установления и поддержания надежного соединения

  • Подключение к API Microsoft и получение данных и сканирование файлов в соответствии с Политикой API Защиты Данных, включая:

    • Чтение элементов и файлов во всех коллекциях сайтов

    • Войти и прочитать полные профили пользователей

    • Запись файлов во всех коллекциях сайтов (скоро будет)

Работа с коннекторами API для Microsoft SharePoint

Этот раздел объясняет, как создать коннекторы API для Microsoft 365 и SharePoint и подключить их к вашей учетной записи Cato.

Понимание коннекторов API для Microsoft SharePoint

Для того чтобы API Защиты Данных мог сканировать активы и содержимое для Microsoft SharePoint, сначала нужно настроить коннектор Microsoft 365 как родительское приложение для предоставления разрешений на чтение для коннектора SharePoint. Родительское приложение имеет только разрешения на управление коннекторами Microsoft. Впоследствии, если необходимо, вы можете создать отдельный коннектор Microsoft 365 для каждого арендодателя Azure.

Шаг 1: Создание коннектора Microsoft 365

Используйте Приложение управления Cato для создания коннектора SaaS приложения Microsoft 365 для арендатора Azure для приложения Microsoft SharePoint, которое вы сканируете с помощью API защиты данных . Вы должны иметь правильные учетные данные для аутентификации в приложении Microsoft SharePoint, чтобы добавить его в вашу учетную запись Cato.

Сначала настройте интеграцию MS Tenant как конечный коннектор. Этот коннектор можно использовать для всех интеграций Microsoft. Если вы уже создали конечный коннектор, перейдите к шагу 2.

Create_API_Connector.png

Чтобы создать родительский коннектор Microsoft 365:

  1. В меню навигации выберите Ресурсы > Интеграции и нажмите на вкладку Интегрированные приложения.

  2. Нажмите Новый. Панель Новый Коннектор открывается.

  3. В панели Новый коннектор выберите приложение MS Tenant (Настроить новый MS Tenant).

    New_Microsoft_365_Connector.png

  4. Нажмите Авторизовать и сохранить.

    Открывается новая вкладка браузера для приложения Microsoft 365.

  5. В новой вкладке браузера аутентификация в приложение Microsoft 365:

    1. Выберите учетную запись Microsoft для приложения Microsoft 365.

      В противном случае может возникнуть ошибка аутентификации Microsoft.

    2. Введите пароль для приложения и одобрите его.

    3. Принять разрешения, чтобы позволить Cato доступ к приложению Microsoft 365.

    4. Экран показывает, что разрешения для приложения успешно применены.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться к Приложению Управления Cato.

  6. Приложение Microsoft 365 SaaS добавлено на вкладку Интегрированные приложения.

Шаг 2: Создание коннектора Microsoft SharePoint

Соединитель Microsoft SharePoint позволяет движку SaaS-приложения Cato сканировать электронные письма на содержание, определенное в Политика защиты.

Примечание

Примечание: Когда вы создаёте API соединитель для приложения Microsoft 365, соединитель создаёт сертификат аутентификации, который действителен в течение 3 месяцев, и обновляет сертификат за 7 дней до истечения.

Для создания коннектора для Microsoft SharePoint:

  1. В меню навигации выберите Ресурсы > Интеграции и нажмите на вкладку Интегрированные API.

  2. Нажмите Новое. Откроется панель Новый коннектор.

  3. В SaaS Приложение выберите Microsoft SharePoint.

  4. В Тенант коннектора выберите родительский коннектор Microsoft 365, который вы создали в предыдущем разделе.

  5. Введите Имя коннектора.

  6. В Разрешения выберите Чтение/Запись.

  7. Нажмите Сохранить. Приложение коннектора Cato создано. Это может занять до 30 секунд.

    SaaS_Security_API_App_Created.png

  8. Нажмите Авторизовать для авторизации создания коннектора.

    SaaS_Security_API_Authorize.png

  9. В новой вкладке браузера аутентифицируйтесь в приложении SharePoint.

    1. Выберите учетную запись Microsoft для приложения SharePoint.

    2. Введите пароль для приложения и одобрите его.

    3. Принять разрешения для Cato для доступа к приложению.

      Sharepoint_Permissions.png

    4. На экране отображается, что вы успешно применили разрешения для приложения.

      Вы можете закрыть вкладку браузера и вернуться к приложению управления Cato.

      SharePoint может потребоваться несколько секунд для обработки запроса, поэтому если вы получили ошибку, обновите браузер.

  10. Приложение SharePoint SaaS добавлено на вкладку Интегрированные API.

Понимание статуса коннектора

Столбец Статус на экране настроек коннекторов показывает статус соединения между приложением Microsoft и вашим аккаунтом Cato. Вот объяснения статусов:

  • Connected - Your account is connected to the app and working correctly

  • Предупреждение соединения - Некоторые пользователи в арендаторе Azure не настроены должным образом для поддержки API защиты данных (например, не указан адрес электронной почты для пользователя). Пожалуйста, откройте тикет с Поддержка.

  • Ошибка соединения - Проблема с подключением или разрешениями, или ограничение скорости (ограничение Microsoft) с коннектором Microsoft. Пожалуйста, откройте тикет с Поддержка.

Добавление правил SharePoint в политику защиты данных

В этом разделе объясняется, как использовать политику Защиты данных для мониторинга и управления действиями, которые ваши пользователи выполняют с файлами SharePoint. Например, обмен файлами, создание новых файлов, загрузка и так далее.

Для получения дополнительной информации о профилях контента DLP, смотрите Создание профилей контента DLP.

Понимание действий SharePoint

Создавая правило Защиты данных, вы можете определить различные действия для мониторинга или исправления нарушений политики, когда правило срабатывает. Каждое действие автоматически генерирует событие, и вы также можете выбрать получение уведомления по электронной почте. Для получения дополнительной информации о событиях Data Protection API, смотрите ниже Анализ событий Data Protection API.

Это действия, которые вы можете установить для движка Защиты данных, чтобы выполнить их при совпадении правила:

  • Мониторинг - Создает событие, чтобы позволить вам отслеживать трафик, соответствующий правилу.

  • Карантин - Когда пользователь пытается загрузить файл, движок API защиты данных перемещает его в папку карантина, и затем пользователи больше не могут получить к нему доступ. Администратор SharePoint может получить доступ к файлу в папке карантина. Для получения информации о настройке папок карантина, смотрите ниже Подготовка к карантину файлов.

Подготовка к карантину файлов

Настройте папки карантина для правил Защиты данных и Предотвращения угроз и определите администратора SharePoint с разрешением на доступ к этим папкам. Вы можете настроить папки карантина для каждого администратора SharePoint для арендатора. Когда вы настраиваете папки, вы можете создать правила с действием Карантин и определить папку, в которую перемещается файл.

SaaS_Security_API_Settings_SharePoint.png

Чтобы настроить папки карантина для администратора SharePoint:

  1. Из панели навигации выберите Безопасность > Приложение & Защита данных API и выберите вкладку Настройки.

  2. Нажмите Новый. Панель Папка карантина открывается.

    SaaS_Security_API_Settings_Onedrive_Quarantine_Folder.png

  3. Выберите коннектор приложения SharePoint.

  4. Выберите администратора SharePoint для доступа к этим папкам карантина.

  5. Нажмите Сохранить.

    Папка защиты данных и папка предотвращения угроз создаются для администратора и могут быть настроены в правилах с помощью действия Карантин. Папки называются по адресу электронной почты администратора и находятся в следующих директориях SharePoint:

    • Папка защиты данных: Cato_Qarantine/Cato_Qarantine_DataProtection

    • Папка предотвращения угроз: Cato_Qarantine/Cato_Qarantine_ThreatPrevention

Настройка правил SharePoint

Используйте страницу Защиты данных для добавления правил SaaS приложения в вашу политику Защиты данных.

Создайте правило Защиты данных, чтобы определить трафик, сканируемый API защиты данных. Создайте отдельные правила для каждого коннектора приложения SaaS, а затем определите критерии, которые определяют, какой трафик сканируется.

Сканируемые файлы также включают в себя файлы Team и OneNote, которые совместно используются с SharePoint.

Для получения дополнительной информации о настройках правил SharePoint, смотрите ниже Понимание правил SharePoint.

SharePoint_Rule.png

Чтобы создать новое правило Защиты данных для приложения SharePoint:

  1. Из панели навигации выберите Безопасность > Приложение & Защита данных API и выберите или разверните Защита данных.

  2. Нажмите Новый. Панель Новое правило открывается.

  3. В Коннектор приложения выберите приложение SharePoint.

  4. В разделе Общие настройки введите параметры для правила.

  5. В Владелец выберите одного или нескольких владельцев файлов SharePoint (значение по умолчанию Любой).

    Когда вы выбираете нескольких владельцев, между ними существует связь ИЛИ.

  6. В Параметры совместного использования выберите один или несколько типов разрешений файлов (значение по умолчанию Любое).

    Когда вы выбираете несколько опций, между ними существует связь ИЛИ.

  7. В разделе Вложения определите критерии доверенных сетей для указания файлов, которые сканируются (установка по умолчанию - сканировать все файлы).

  8. В Профиле Контента выберите DLP Профиль Контента для этого правила.

    Для получения дополнительной информации о профилях контента DLP, смотрите Создание профилей контента DLP.

  9. Выберите Действие.

    Для действия Карантин выберите Путь к папке карантина. Для получения дополнительной информации о папках карантина, смотрите выше Подготовка к карантину файлов.

  10. (Опционально) Настройте параметры отслеживания для создания Событий и Отправки Уведомлений.

    Для получения дополнительной информации о уведомлениях смотрите соответствующую статью о Группы подписок, Списки рассылки и Интеграции оповещений в разделе Оповещения.

  11. Нажмите Сохранить. Правило добавляется в Политику Защиты данных.

Понимание правил SharePoint

Этот раздел объясняет, как определить настройки для правил Защиты данных, чтобы сканировать правильный трафик SharePoint. Каждое правило можно определить согласно следующим критериям:

  • Владелец - Отдельные сайты или Azure типы пользователей, которые являются владельцами соответствующих директорий SharePoint (значение по умолчанию - Любой)

  • Параметры Совместного Использования - Выберите типы разрешений на совместное использование файлов, которые соответствуют этому правилу (значение по умолчанию - Любое)

    Например, для мониторинга файлов, которые поделены с любыми внешними пользователями, выберите Внешняя Ссылка.

  • Вложения - Критерии доверенных сетей для вложений, которые сканируются (значение по умолчанию - все вложения)

    • Тип файла

    • Имя файла

    • Размер файла (максимальный размер файла 100 МБ)

  • Профиль Контента - DLP Профиль Контента, который определяет инспекцию контента DLP (Безопасность > DLP Профили > DLP Профили > Профиль Контента)

  • Действия - Выберите, хотите ли вы создавать событие, когда правило соблюдается

Определение файлов или вложений для правила

Вы можете определить специфические файлы (или вложения) для правила и ограничить движок API безопасности SaaS сканированием только указанных файлов, чтобы проверить их соответствие Профилю Контента DLP.

Когда вы добавляете несколько файлов в правило, выберите отношение между ними:

  • Удовлетворяет любому (ИЛИ) - Соответствует только одному из Типов Файлов в правиле

  • Удовлетворить всем (И) - Соответствует всем Типам Файлов в правиле (в противном случае правило игнорируется)

Вы можете использовать настройку Имя Файла в правиле, чтобы определить точное имя файла или использовать подстановочные знаки, чтобы определить ключевые слова. Например, вы можете определить Имя Файла как внутренний, чтобы соответствовать всем именам файлов, содержащим слово внутренний.

Работа с приведенными в порядок правилами защиты данных

Движок API Защиты данных инспектирует данные последовательно и проверяет, соответствует ли оно правилу. Если данные не соответствуют правилу, они не инспектируются. Правила, которые находятся вверху базы правил, имеют более высокий приоритет и применяются до правил, находящихся ниже в базе правил. Каждый тип приложения или коннектора применяется к данным только один раз.

Лучшие практики - Чтобы максимально увеличить эффективность вашей базы правил, рекомендуем, чтобы для каждого типа коннектора правила для специфических пользователей имели более высокий приоритет, чем правила, которые применяются к Любым пользователям.

Например, если данные соответствуют коннектору в правиле №2, данные инспектируются движком API защиты данных. Движок не продолжает применять правила №3 и ниже для того же коннектора. Однако данные могут соответствовать правилу с более низким приоритетом для другого коннектора.

Добавление защиты от угроз в коннектор

Вы можете создать Правила защиты от угроз для коннектора, чтобы сканировать файлы и вложения на вредоносное ПО и вирусы, используя Антивирусные движки и движки NG Антивирус, которые включены для вашего аккаунта. Движок API защиты данных сканирует трафик коннектора и применяет действия и параметры отслеживания, которые вы настраиваете для правила:

  • Мониторинг трафика (блокировка будет поддерживаться вскоре)

  • Генерировать события

  • Отправка уведомлений по электронной почте

Когда вы создаете правило защиты API приложений & данных, Антивирусные движки, которые включены для вашего аккаунта (Безопасность > Антивирусная защита), выполняют сканирование на вредоносное ПО файлов, которые отправляются для этой коннекторной программы.

Следующий скриншот показывает правило защиты от угроз для коннектора OneDrive, которое сканирует файлы, отправленные внутренними пользователями или гостями:

CAS_Threat_Protection.png

Создание исключения для файла

Иногда файл блокируется движками API защиты данных Cato и вам нужно разрешить его в сети, так как вы знаете, что он безопасен. Исключения защиты от вредоносных программ в политике хеша файла также применяются к защите API приложения и данных. Для получения дополнительной информации о добавлении файлов в политику хеша файла, смотрите управление исключениями антивируса.

Анализ событий Защиты API данных

Страница Мониторинг > События показывает все события API защиты данных для вашей учетной записи. Мощные инструменты поиска позволяют углубиться и идентифицировать несколько событий, содержащих необходимые вам данные.

События API защиты данных можно определить по следующим полям:

  • Тип события - Безопасность

  • Подтип - API безопасности SaaS Защита данных и Антивирус для SaaS Security API

Вы можете узнать больше о использовании страницы События здесь.

Объяснение полей событий API защиты данных

Имя поля

Описание

Сотрудники

Адреса электронной почты пользователей, получивших файл

Имя коннектора

Имя коннектора, который определен для этого правила

Тип соединения

Приложение SaaS, которое определено для этого коннектора

Профиль DLP

Профиль контента DLP, который создал это событие

Имя Файла

Имя прикрепленного файла

Типы данных

Типы данных в профиле контента, которые соответствуют правилу

Тип родительского соединения

Родительский коннектор Microsoft 365

Правило

Имя правила в политике защиты данных

Владелец

Владелец файла

Серьезность

Степень серьезности, определенная для правила

Область Совместного Использования

Параметры Совместного Использования для файла SharePoint

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев