Microsoft Exchange: Настройка Коннектора API Защиты Данных

Первый шаг для решения Data Protection API — это создать коннекторы для SaaS приложений Microsoft, Microsoft 365 и Exchange. Для аккаунтов с несколькими арендаторами Azure AD вы можете создать несколько коннекторов Microsoft 365. Кроме того, вы можете создать несколько коннекторов Exchange для каждого исходного коннектора Microsoft 365.

Каждое приложение Microsoft Exchange и арендатор Azure (согласно приложению 365) подлежат ограничению скорости Microsoft. Для получения дополнительной информации смотрите документацию Microsoft.

Чтобы разрешить Data Protection API сканировать активы и содержимое для Microsoft Exchange, сначала необходимо настроить коннектор Microsoft 365 как основное приложение для предоставления разрешений на чтение для коннектора Exchange. Исходное приложение имеет разрешения только для управления коннекторами Microsoft. Вы можете легко создать приложение в Приложении Управления Cato, нет необходимости настраивать параметры в Microsoft Azure. После этого создайте отдельный коннектор Microsoft 365 для каждого арендатора Azure.

Создание Коннектора Microsoft 365

Используйте Приложение Управления Cato для создания коннектора SaaS приложения Microsoft 365 для арендатора Azure для приложения Microsoft Exchange, которое вы сканируете с использованием Data Protection API. У вас должны быть правильные данные для аутентификации в приложении Microsoft Exchange, чтобы добавить его в ваш аккаунт Cato.

Прежде чем вы сможете создать и настроить параметры коннектора, сначала необходимо активировать Data Protection API для вашего аккаунта.

Чтобы создать исходный коннектор Microsoft 365:

1. В навигационном меню выберите Ресурсы > Интеграции и нажмите API защиты данных.

2. Нажмите Новый. Откроется панель Новый коннектор.

3. В панели Новый коннектор выберите приложение Microsoft 365.

   

4. Нажмите Авторизовать и сохранить.

   Откроется новая вкладка браузера с приложением Microsoft 365.

5. В новой вкладке браузера выполните аутентификацию в приложении Microsoft 365:

   1. Выберите учетную запись Microsoft для приложения Microsoft 365.

      В противном случае может произойти ошибка аутентификации Microsoft.

   2. Введите пароль для приложения и одобрите его.

   3. Принять разрешения для предоставления Cato доступа к приложению Microsoft 365.

   4. Экран показывает, что вы успешно применили разрешения для приложения.

      

      Вы можете закрыть вкладку браузера и вернуться к Приложению Управления Cato.

6. Приложение SaaS Microsoft 365 добавлено на страницу Установленные SaaS приложения.

   

Этот раздел объясняет, как использовать политику Защиты Данных для мониторинга и управления сообщениями и вложениями, которые ваши пользователи отправляют через Microsoft Exchange.

Настройка правил Exchange

Используйте страницу Защиты Данных для добавления правил SaaS приложения в вашу политику Защиты Данных.

Для получения дополнительной информации о настройках правил Exchange см. ниже Понимание правил Exchange.

Чтобы создать новое правило Защиты Данных для приложения Exchange:

1. From the navigation pane, select Security > App & Data API Protection and select or expand Data Protection.

2. Нажмите Новый. Откроется панель Новое Правило.

3. В Коннектор приложения выберите приложение Exchange.

4. В разделе Общие настройки введите настройки для правила.

5. В Отправитель определите пользователей Azure AD, которые отправляют почту (параметр по умолчанию - Любой).

6. В Получатели определите пользователей Azure AD, которые получают почту (параметр по умолчанию - Любой).

7. В разделе Вложения, определите критерии, чтобы указать вложения электронной почты, которые сканируются (по умолчанию сканируются все вложения).

8. В разделе Профиль контента, выберите DLP Профиль контента для этого правила.

   Вы можете ввести ключевые слова в поле Тема электронного письма, чтобы ограничить сканирование только теми электронными письмами, которые содержат эти ключевые слова.

   Для получения дополнительной информации о Профилях Контента DLP, смотрите раздел Создание Профилей Контента DLP.

9. В разделе Действия, выберите Мониторинг.

10. (Необязательно) Настройте параметры отслеживания для генерации Событий и отправки уведомлений.

    Для получения дополнительной информации о уведомлениях смотрите соответствующую статью о Группы подписок, Списки рассылки и Интеграции оповещений в разделе Оповещения.

11. Нажмите Сохранить. Правило добавлено в политику Защиты данных.

Понимание правил Exchange

В этом разделе объясняется, как определить настройки для правил Защиты данных, чтобы сканировать правильный трафик Exchange.

• Отправитель - индивидуальные пользователи или типы пользователей Azure, отправляющие электронные письма (значение по умолчанию - Любой)

• Получатели - индивидуальные пользователи, типы пользователей Azure или домены электронной почты, принимающие электронные письма (значение по умолчанию - Любой)

• Вложения - критерии для вложений, которые сканируются (значение по умолчанию - все вложения)

  • Тип файла

  • Имя файла

  • Размер файла (максимальный размер файла 100 МБ)

• Профиль контента - DLP Профиль контента, определяющий проверку DLP контента (Безопасность > Профили DLP > Профили DLP > Профиль контента)

Работа с отправителями и получателями

Вы можете определить конкретных Отправителей и Получателей для каждого правила в политике Защиты данных. Приложение Управления Cato подключается к Azure AD для арендатора, определенного в Коннекторе Office 365. Индивидуальные пользователи, отображаемые для правила, основаны на этом Azure AD и НЕ связаны с пользователями, определенными для вашей учетной записи Cato.

Если вы не видите нужного пользователя, убедитесь, что он правильно определен в арендаторах Azure AD, а затем настройте правило Защиты данных.

Azure AD определяет следующие типы пользователей:

• Внутренний

• Внешний

• Пользователь

Для Получателей для правила вы также можете определить домены адресов электронной почты.

Определение файлов или вложений для правила

Вы можете определить конкретные файлы (или вложения) для правила и ограничить двигатель SaaS Security API сканированием только указанных файлов, чтобы увидеть, соответствуют ли они DLP Профилю контента.

Когда вы добавляете несколько файлов к правилу, выберите отношение между ними:

• Удовлетворяет любому (ИЛИ) - соответствие только одному из Типов Файлов в правиле

• Удовлетворить всем (И) - соответствие всем Типам Файлов в правиле (иначе правило игнорируется)

Вы можете использовать настройку Имя файла в правиле, чтобы определить точное имя файла или использовать подстановочные знаки для определения ключевых слов. Например, вы можете определить Имя файла как internal, чтобы сопоставить все имена файлов, содержащие слово internal.

Вы можете создать правила Защиты от угроз для коннектора, чтобы сканировать файлы и вложения на наличие вредоносных программ и вирусов с использованием движков Антивирусная защита и NG Антивирус, активированных для вашей учетной записи. Движок Защита данных API сканирует трафик коннектора и применяет опции действия и отслеживания, которые вы настроили для правила:

Когда вы создаете правило Защита API Приложений & Данных, движки Антивирусная защита, активированные для вашей учетной записи (Безопасность > Антивирусная защита), выполняют сканирование файлов, отправленных для этого приложения коннектора.

На следующем скриншоте показано правило Защиты от угроз для коннектора OneDrive, которое сканирует файлы, отправленные внутренними пользователями или гостями:

Иногда существует файл, заблокированный движками Защита данных API Cato, который вы знаете как безопасный, и вам нужно разрешить его в сети. Страница События позволяет вам использовать хэш файла для создания исключений, которые обходят сканирование защиты от угроз. После открытия события для конкретного файла, который был заблокирован, щелкните по хешу файла, чтобы открыть панель Конфигурация исключений и добавить файл как исключение для учетной записи. Вы можете выбрать длительность исключения файла или настроить исключение так, чтобы оно длилось навсегда.

Исключения файлов для Антивирус и Защита данных API

Исключения файлов применяются к Антивирусной защите и к политикам Защиты от угроз в API безопасности SaaS. Таким образом, когда вы создаете исключения из событий Антивирусной защиты и NG Антивирус, эти исключения также применяются к политике Защита API Приложений & Данных. Аналогично, когда вы создаете исключения файлов из событий Антивирус для SaaS Security API, исключения также применяются к политике Антивирусная защита. Полный список исключений файлов отображается как на странице Антивирусная защита, так и на странице Защита API Приложений & Данных.

Страница Домашняя > События показывает все события Защита данных API для вашего аккаунта. Мощные инструменты Поиск позволят вам детализировать и идентифицировать несколько событий, содержащих нужные вам данные.

События Защита данных API можно идентифицировать по следующим Поля:

Вы можете узнать больше об использовании экрана Событие здесь. Вы можете использовать предустановку Защита данных API безопасности SaaS для фильтрации событий.