Настройка Коннектора Безопасности SaaS для Microsoft Exchange

Эта статья объясняет, как настроить коннекторы Microsoft 365 и Microsoft Exchange для политики API безопасности SaaS для вашей учетной записи.

Политика API безопасности SaaS требует отдельной лицензии от Cato. Пожалуйста, свяжитесь с вашим представителем Cato или официальным реселлером для получения дополнительной информации.

Примечание

Примечание: Пожалуйста, свяжитесь с SaaSecAPI@catonetworks.com или вашим официальным реселлером Cato для получения дополнительной информации о использовании политики API безопасности SaaS.

Обзор Коннекторов Microsoft Exchange

Первый шаг для решения API безопасности SaaS от Cato - создать коннекторы для приложений SaaS от Microsoft, Microsoft 365 и Exchange. Для учетных записей с несколькими арендаторами Azure AD вы можете создать несколько коннекторов Microsoft 365. Кроме того, вы можете создать несколько коннекторов Exchange для каждого родительского коннектора Microsoft 365.

Каждое приложение Microsoft Exchange и каждый арендатор Azure (согласно приложению 365) подвержены лимитированию скорости Microsoft. Для получения дополнительной информации смотрите документацию Microsoft.

Предварительные требования

  • Коннектор Microsoft 365 требует, чтобы администратор с ролью глобального администратора предоставил разрешения API безопасности SaaS от Cato

  • Коннектор мониторит файлы, другие действия будут поддерживаться в ближайшее время

Необходимые Разрешения для API Коннекторов для Microsoft Exchange

Чтобы включить возможность API безопасности SaaS Cato сканировать активы и содержимое для электронной почты Exchange, коннектор предоставляет Cato следующие разрешения и действия через приложение Exchange:

  • Предоставить доступ к приложению с использованием Oauth2

  • Получить токен от приложения для установления и поддержания безопасного соединения

  • Подключиться к API Microsoft и извлечь данные, а также сканировать электронные письма в соответствии с политикой защиты данных API безопасности SaaS

Работа с Коннекторами Microsoft Exchange

Чтобы включить возможность API безопасности SaaS Cato сканировать активы и содержимое для Microsoft Exchange, сначала необходимо настроить коннектор Microsoft 365 в качестве родительского приложения для предоставления прав на чтение для коннектора Exchange. Родительское приложение имеет разрешения только на управление коннекторами Microsoft. Вы можете легко создать приложение в Приложении Управления Cato, не нужно настраивать параметры в Microsoft Azure. После этого создайте отдельный коннектор Microsoft 365 для каждого арендатора Azure.

Создание Коннектора Microsoft 365

Используйте Приложение Управления Cato для создания коннектора приложений SaaS Microsoft 365 для арендатора Azure для приложения Microsoft Exchange, которое вы сканируете с помощью API безопасности SaaS. Вы должны иметь правильные учетные данные для аутентификации в приложении Microsoft Exchange, чтобы добавить его в свой аккаунт Cato.

Прежде чем вы сможете создать и настроить настройки коннектора, сначала необходимо включить API безопасности SaaS для вашего аккаунта.

Create_API_Connector.png

Чтобы создать родительский коннектор Microsoft 365:

  1. В меню навигации выберите Ресурсы > Интеграции и нажмите Защита данных API безопасности SaaS.

  2. Нажмите Новый. Панель Новый коннектор откроется.

  3. В панели Новый коннектор выберите приложение Microsoft 365.

    New_Microsoft_365_Connector.png

  4. Нажмите Авторизовать и сохранить.

    Откроется новая вкладка браузера для приложения Microsoft 365.

  5. На новой вкладке браузера выполните аутентификацию в приложении Microsoft 365:

    1. Выберите учетную запись Microsoft для приложения Microsoft 365.

      Иначе может возникнуть ошибка аутентификации Microsoft.

    2. Введите пароль для приложения и одобрите его.

    3. Принять разрешения, чтобы позволить Cato получить доступ к приложению Microsoft 365.

    4. Экран показывает, что вы успешно применили разрешения для приложения.

      Success_Connector_Permissions.png

      Вы можете закрыть вкладку браузера и вернуться в Приложение Управления Cato.

  6. SaaS-приложение Microsoft 365 добавлено на страницу Установленные SaaS Приложения.

    Azure_AD_Connector_Settings.png

Создание Коннектора Microsoft Exchange

После того как коннектор Microsoft 365 подключен к вашему аккаунту Cato, вы можете создать необходимые коннекторы Exchange. Коннектор Exchange позволяет движку API безопасности SaaS Cato сканировать электронные письма на содержание, определенное в политике Защиты данных. События генерируются для любого электронного письма, которое соответствует правилу в политике.

Примечание

Примечание: Когда вы создаёте API-коннектор для приложения Microsoft 365, коннектор создаёт сертификат аутентификации, который действителен в течение 3 месяцев и продлевает сертификат за 7 дней до истечения.

Для создания коннектора для Microsoft Exchange:

  1. Из меню навигации выберите Ресурсы > Интеграции и нажмите Защита данных API безопасности SaaS.

  2. Нажмите Новый. Откроется панель Новый коннектор.

  3. Создайте новое SaaS Приложение Exchange для Коннектора родителя, который вы создали на предыдущем шаге.

    В настоящее время поддерживаются только разрешения и действия Чтение для приложения Exchange. Однако вскоре будут поддерживаться разрешения и действия Чтение/Запись.

  4. Нажмите Авторизовать и сохранить.

  5. В новой вкладке браузера авторизуйтесь в приложении Exchange.

    1. Выберите аккаунт Microsoft для приложения Exchange и войдите в систему.

    2. Введите пароль для приложения и утвердите его.

    3. Принять разрешения для Cato на доступ к приложению Exchange.

    4. На экране показано, что права доступа для приложения успешно применены.

      Теперь вы можете закрыть вкладку браузера и вернуться к Приложению Управления Cato.

      Microsoft Azure может занять несколько секунд для обработки запроса, если вы получили ошибку, обновите браузер.

  6. SaaS-приложение Exchange добавлено на страницу Защита данных API SaaS.

Добавление Правил Exchange в Политику Защиты данных

В этом разделе объясняется, как использовать политику Защиты данных для мониторинга и управления сообщениями и вложениями, которые ваши пользователи отправляют с помощью Microsoft Exchange.

Настройка Правил Exchange

Используйте страницу Защиты данных, чтобы добавить правила SaaS приложения в вашу политику Защиты данных.

Для получения дополнительной информации о настройках правил Exchange см. ниже Понимание Правил Exchange.

SaaS_API_Data_Protection.png

Для создания нового правила Защиты данных для приложения Exchange:

  1. В панели навигации выберите Безопасность > Политика API безопасности SaaS и выберите или разверните Защита данных.

  2. Нажмите Новый. Откроется панель Новое правило.

  3. В Коннектор приложения выберите приложение Exchange.

  4. В разделе Общие введите настройки для правила.

  5. В Отправитель определите пользователей Azure AD, отправляющих почту (по умолчанию — Любой).

  6. В Получатели определите пользователей Azure AD, получающих почту (по умолчанию — Любой).

  7. В Вложения определите критерии, чтобы указать вложения электронной почты, которые будут сканироваться (по умолчанию сканируются все вложения).

  8. В Профиль контента выберите профиль контента DLP для этого правила.

    Вы можете ввести ключевые слова в Тема электронного письма, чтобы ограничить сканирование только электронными письмами, содержащими эти ключевые слова.

    Для получения дополнительной информации о Профилях Контента DLP, смотрите раздел Создание Профилей Контента DLP.

  9. В Действия выберите Мониторинг.

  10. (Опционально) Настройте параметры отслеживания для генерации Событий и отправки Уведомлений.

    Для получения дополнительной информации об уведомлениях, смотрите соответствующую статью для Групп подписок, Списков рассылки и Интеграций оповещений в разделе Оповещения.

  11. Нажмите Сохранить. Правило добавлено в политику защиты данных.

Понимание правил Exchange

Этот раздел объясняет, как определить настройки для правил защиты данных для сканирования правильного трафика Exchange.

  • Отправитель - индивидуальные пользователи или типы пользователей Azure, которые отправляют электронную почту (значение по умолчанию - Любой)

  • Получатели - индивидуальные пользователи, типы пользователей Azure или электронные почтовые домены, которые получают электронную почту (значение по умолчанию - Любой)

  • Вложения - Критерии для сканируемых вложений (значение по умолчанию - все вложения)

    • Тип файла

    • Имя файла

    • Размер файла (максимальный размер файла - 100 МБ)

  • Профиль контента - Профиль контента DLP, который определяет проверку контента DLP (Безопасность > Профили DLP > Профили DLP > Профиль контента)

Работа с отправителями и получателями

Вы можете определить специфических Отправителей и Получателей для каждого правила в политике защиты данных. Приложение Управления Cato подключается к Azure AD для арендатора, определенного в коннекторе Office 365. Индивидуальные пользователи, которые отображаются для правила, базируются на этом Azure AD и НЕ связаны с пользователями, определенными для вашей учетной записи Cato.

Если вы не видите необходимого пользователя, убедитесь, что пользователь корректно определён в арендуемом модуле Azure AD, а затем настройте правило защиты данных.

Azure AD определяет следующие типы пользователей:

  • Внутренний

  • Внешний

  • Пользователь

Для Получателей правила вы также можете определить домены адресов электронной почты.

Определение файлов или вложений для правила

Вы можете определить специфические файлы (или вложения) для правила и ограничить движок API безопасности SaaS лишь сканированием указанных файлов, чтобы проверить, соответствуют ли они профилю контента DLP.

Когда вы добавляете несколько файлов в правило, выберите связь между ними:

  • Удовлетворяет любому (ИЛИ) - Соответствует только одному из типов файлов в правиле

  • Удовлетворяет всем (И) - Соответствует всем типам файлов в правиле (в противном случае правило игнорируется)

Вы можете использовать настройку Имя файла в правиле для определения точного имени файла или использовать маски для определения ключевых слов. Например, вы можете задать имя файла как internal для соответствия всем именам файлов, содержащим слово internal.

Работа с упорядоченными правилами защиты данных

Движок API безопасности SaaS последовательно проверяет данные и проверяет, соответствует ли правило. Если данные не соответствуют правилу, то они не проверяются. У правил, находящихся вверху базы правил, более высокий приоритет и они применяются до правил, находящихся ниже в базе правил. Каждый тип приложения или коннектора применяется к данным только один раз.

Лучшая практика - чтобы максимально увеличить эффективность вашей базы правил, мы рекомендуем, чтобы для каждого типа коннектора правила для определённых пользователей имели более высокий приоритет, чем правила, применяющиеся к Любой пользователю.

Например, если данные соответствуют коннектору в правиле №2, данные проверяются движком API безопасности SaaS. Движок не продолжает применять правила №3 и ниже для того же коннектора. Однако данные могут соответствовать правилу более низкого приоритета с другим коннектором.

Добавление Защиты от угроз к коннектору

Вы можете создать правила Защиты от угроз для коннектора, чтобы сканировать файлы и вложения на наличие вредоносных программ и вирусов, используя Антивирус и NG Антивирус, включенные в вашей учетной записи. Движок API безопасности SaaS сканирует трафик коннектора и применяет опции действия и отслеживания, которые вы настраиваете для правила:

  • Мониторинг трафика (скоро будет поддерживаться блокировка)

  • Генерация событий

  • Отправка уведомлений по электронной почте

Когда вы создаете правило Защиты от угроз API безопасности SaaS, антивирусные движки, включенные в вашей учетной записи (Безопасность > Антивирус), выполняют сканирование файлов, которые отправлены для приложения этого коннектора.

На следующем скриншоте показано правило Защиты от угроз для коннектора OneDrive, сканирующее файлы, отправленные внутренними пользователями или гостями:

CAS_Threat_Protection.png

Создание Исключения для файла

Иногда двиrеки API безопасности SaaS от Cato блокируют файл, который вы знаете как безопасный, и его необходимо разрешить в сети. Страница События позволяет использовать хеш файла для создания исключений, которые обходят сканирования Защиты от угроз. После открытия события для файла, который был заблокирован, кликните по хешу файла, чтобы открыть панель Конфигурация исключений и добавить файл как исключение для учетной записи. Вы можете выбрать время для исключения файла или настроить исключение на вечное действие.

Исключения для файлов по Антивирусной защите и API безопасности SaaS

Исключения для файлов применяются на страницах Антивирусная защита и Защита от угроз API безопасности SaaS. Когда вы создаете исключения на основе событий Антивируса и NG Антивируса, эти исключения также применяются к безопасности SaaS API политики Защиты от угроз. Аналогично, когда вы создаете исключения файлов из событий API безопасности SaaS Антивирусной защиты, исключения также применяются к политике Антивирусной защиты. Полный список исключений файлов отображается как на странице Антивируса, так и на странице Защиты от угроз API безопасности SaaS.

Чтобы создать исключение для файла:

  1. В навигационном меню выберите Главная > События.

  2. Отфильтруйте событие по Подтипу Антивирус для SaaS Security API.

  3. Разверните событие из колонки Время.

  4. В событии нажмите на ссылку Хеш файла.

    Откроется панель Конфигурация исключений.

    exception_configuration.png

  5. Из выпадающего меню Длительность выберите, на сколько времени файл будет исключен из антивирусных движков и NG Антивируса.

    Чтобы создать постоянное исключение, выберите Навсегда.

  6. Нажмите Применить.

    Исключение создано и добавлено в раздел Исключения файлов на вкладке Защиты от угроз и на странице Антивирусной защиты.

    AM_FileExceptions.png

Удаление Исключения для файла

Удалите исключение для политики Защиты от угроз, когда оно больше не нужно.

Чтобы удалить исключения файлов для политики Защиты от угроз:

  1. В навигационном меню нажмите Безопасность > Политика API безопасности SaaS.

  2. Выберите вкладку Защита от угроз.

  3. В разделе Исключения файлов нажмите Delete.png для исключения, которое вы хотите удалить.

  4. Нажмите Сохранить.

    Исключение удалено.

Анализ событий API безопасности SaaS

Страница Домашняя > События показывает все события API безопасности SaaS для вашего аккаунта. Мощные инструменты поиска позволяют вам углубиться и определить те немногие события, которые содержат необходимые вам данные.

События API безопасности SaaS могут быть идентифицированы по следующим полям:

  • Тип события - Безопасность

  • Подтип - Защита данных API SaaS и Антивирусная защита для SaaS Security API

Вы можете узнать больше об использовании окна События Вставьте отпечаток сертификата 40 символов. Вы можете использовать предустановку Защита данных API SaaS для фильтрации событий.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев