在 Cato 数据泄露防护策略中使用 MIP 敏感性标签

本文解释了如何在您的 Cato 数据泄露防护策略中使用 Microsoft 信息保护 (MIP) 框架中的 Microsoft 敏感性标签。

使用Cato DLP的MIP标签概述

您可以利用现有的 Microsoft 信息保护策略,简化与 Cato 数据泄露防护结合使用的数据控制管理。 通过使用 MIP 标签作为数据类型,您可以设计一个清晰且可管理的数据泄露防护策略,与您的 MIP 策略保持一致。 这使您可以使用 MIP 标签在 Cato 处理的所有流量中保护超出 Azure 生态系统的敏感信息。

使用MIP标签的高级概述

这是关于使用 MIP 标签与数据泄露防护的工作流程的高层描述:

  1. 在 Cato 管理应用程序中创建敏感性标签

  2. 将标签添加到内容配置文件

  3. 创建数据泄露防护规则,根据敏感性标签管理不同用户和群组的内容访问权限。

例如,如果您有带有 MIP 标签 Classified 的文件,请在您的 Cato 数据泄露防护策略中创建该标签,并将其添加到内容配置文件 受限文件中。 然后定义一个数据泄露防护规则,阻止未获得足够安全许可的用户群组访问。

将MIP标签添加到DLP策略中

您可以通过两种方式在 Cato 管理应用程序中将 MIP 标签添加到数据泄露防护策略:

  • 使用 API 连接器自动导入,从您的 Microsoft 365 账户检索标签

  • 通过输入所需的标签数据进行手动配置

扫描包含敏感度标签的文件

数据泄露防护引擎扫描文件元数据中的定义标签,而非实际内容,这有助于减少误报。 引擎根据您配置的标签 ID应用敏感性标签,而不是根据名称。 当您手动配置标签时,请确保敏感性标签标签 ID与 MIP 标签 ID 完全匹配。

有关查找您组织账户的 MIP 标签 ID 的更多信息,请参阅Microsoft 文档

已知的限制

  • 不支持对加密的DOCX文件进行包含敏感性标签的DLP扫描。

  • 有关文件要求的信息,请参阅什么是Cato DLP服务?

自动导入MIP标签

您可以在 Cato 管理应用程序中配置 API 连接器,以自动检索现有的 Microsoft 敏感性标签,以用作自定义数据泄露防护数据类型。 连接器会同时获取所有必要的 MIP 标签数据,并使标签可以轻松配置为自定义数据类型。 如果您在 Microsoft 365 账户中更改了敏感性标签策略,您可以使用连接器检索最新的敏感性标签配置,然后更新您的 Cato 数据泄露防护数据类型以匹配。

Microsoft连接器概述

要配置 Cato 的 MIP 标签连接器以获取组织的敏感性标签,首先需要配置 Microsoft 365 连接器作为父应用程序,以授予 MIP 标签连接器读取权限。 父应用程序仅有权限管理 Microsoft 连接器。 配置 Microsoft 365 连接器后,您可以配置 MIP 标签连接器以检索敏感性标签。

如果您希望从组织内的不同子机构的 MIP 政策中导入敏感性标签,请为每个相关的 Azure 租户创建一个单独的 Microsoft 365 连接器,然后为每个租户配置 MIP 标签连接器。

先决条件

  • Microsoft 365 连接器需要一名具有全局管理员角色的管理员来授予 Cato 的 MIP 标签连接器权限。

MIP标签连接器所需的权限

为了让MIP 标签连接器从您的 Microsoft 365 账户中检索敏感度标签,连接器授予 Cato 以下与 Microsoft 365 的权限和操作:

  • 连接到 Microsoft API 并读取一个组织的所有已发布敏感性标签和标签策略

  • 登录并读取用户个人资料

配置Microsoft连接器

配置一个父级 Microsoft 365 连接器,然后为包含您要使用的敏感性标签的 Microsoft 365 账户定义一个 MIP 标签连接器。

如果您的组织为Microsoft应用配置了Saas安全API策略,相关的父Microsoft 365连接器可能已配置并出现在数据类型和配置文件页面。 在这种情况下,您只需要配置一个 MIP 标签连接器。

配置Microsoft 365连接器

使用 Cato 管理应用程序为 Azure 租户创建所需的 MIP 敏感性标签的 Microsoft 365 SaaS 应用程序连接器。 您必须拥有正确的凭据才能进行 Microsoft 365 的身份验证,以将连接器添加到您的 Cato 账户。

MIP_DLP_Connectors_Settings.png

要配置 Microsoft 365 父连接器:

  1. 从导航菜单中选择安全 > 数据类型 & 配置文件,然后在设置标签页中选择DLP 连接器

  2. 点击新建新连接器面板打开。

  3. SaaS 应用程序下拉菜单中,选择Microsoft 365应用程序。

    MIP_New_Connector_MS365.png

  4. 输入一个唯一的连接器名称

  5. 点击授权并保存

    一个新的浏览器标签页打开到 Microsoft 365 应用程序。

  6. 在新的浏览器标签页中,验证 Microsoft 365 应用程序:

    1. 选择 Microsoft 365 应用程序的 Microsoft 账户。

      否则,可能会出现Microsoft认证错误。

    2. 输入应用程序的密码并批准。

    3. 接受允许 Cato 访问 Microsoft 365 应用程序的权限。

      MIP_Labels_Parent_Connector_Permissions.png

    4. 屏幕显示您已成功应用应用程序的权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器标签页并返回到Cato管理应用程序。

  7. Microsoft 365 SaaS应用程序已添加到DLP连接器设置屏幕。

    Microsoft Azure可能需要几秒钟来处理请求,因此如果状态显示等待用户同意,请刷新浏览器。

配置MIP标签连接器

使用Cato管理应用程序为具有MIP敏感度标签的Azure租户创建MIP标签SaaS应用程序连接器。 您必须拥有正确的凭据才能认证到Microsoft 365以将连接器添加到您的Cato帐户。

注意

Note: When you create an API connector for a Microsoft 365 app, the connector creates an authentication certificate that is valid for 3 months, and renews the certificate 7 days before expiration.

要配置MIP标签连接器:

  1. 从导航菜单中选择安全 > 数据类型 & 配置文件,然后在设置标签页中选择DLP 连接器

  2. 点击新建新连接器面板打开。

  3. SaaS 应用下拉菜单中,选择MIP 标签应用程序。

    MIP_New_Connector_MIP_Con.png

  4. 连接器租户下拉菜单中,选择要使用标签的租户的父Microsoft 365连接器。

  5. 为MIP标签连接器输入唯一的连接器名称

  6. 点击保存

    请等待至少30秒,以便Microsoft在Azure中创建Cato连接器应用程序。

  7. 连接器成功创建后,点击授权

    MIP_Labels_SuccessCreate_Authorize.png

    一个新的浏览器标签打开到Microsoft 365应用程序。

  8. 在新的浏览器标签中,认证到Microsoft 365应用程序:

    1. 在选择Microsoft 365应用的Microsoft账户之前,至少等待30秒,让Microsoft在Azure中创建Cato连接器应用。

      否则,可能会出现Microsoft认证错误。

    2. 输入应用程序的密码并批准。

    3. 接受权限以允许Cato访问Microsoft 365应用程序。

      MIP_Labels_MIP_Connector_Permissions.png

    4. 屏幕显示您已成功应用应用程序的权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器标签页并返回到Cato管理应用程序。

  9. MIP标签SaaS应用程序已添加到DLP 连接器设置屏幕。

    Microsoft Azure可能需要几秒钟来处理请求,因此如果状态显示等待用户同意,请刷新浏览器。

了解连接器状态

状态列在DLP 连接器设置屏幕上显示Microsoft应用程序与您的Cato帐户之间的连接状态。 以下是状态的解释:

  • 已连接 - 您的帐户已连接到应用程序并能正常工作

  • 等待用户同意 - 尚未授予权限以允许Cato访问Microsoft 365应用程序。 要解决此问题,请刷新浏览器。 如果状态变为已连接,则问题已解决;如果状态未更改,请删除并重新创建连接器。

  • 错误 - Microsoft连接器存在连接性、权限或其他问题。 删除并重新创建连接器。

将MIP标签导入DLP策略

从您的Microsoft 365帐户中检索MIP敏感度标签,并选择您希望在Cato DLP策略中用作数据类型的标签。

DLP_Sensitivity_Labels.png

要将MIP标签导入到DLP策略:

  1. 从导航菜单中选择安全 > 数据类型 & 配置文件,然后选择数据类型标签页。

  2. 敏感度标签中,点击新建添加敏感性标签面板打开。

    MIP_添加敏感性标签面板.png

  3. 选择检索标签选项。

  4. 选择连接器下拉菜单中,选择要从中检索标签的Microsoft 365租户的MIP标签连接器。

    导入的标签名称下拉菜单中填充了检索到的标签。

  5. 导入的标签名称下拉菜单中,选择要导入的标签。 必填字段会自动填写标签详细信息。

  6. 点击应用

    该标签已添加到敏感度标签列表中,并可以作为自定义DLP数据类型添加到内容配置文件中。

在Cato DLP中手动配置MIP标签

您也可以选择在Cato管理应用程序中手动配置MIP标签。 如果,例如,在您的Cato数据泄露防护策略中仅需要少量MIP标签,该方法可能会很方便。 在数据类型 & 配置文件页面的数据类型标签页下配置敏感度标签。 要配置新标签,请输入标签的详细信息,包括名称描述标签 ID。 确保您输入的标签 ID与MIP标签ID完全匹配。

DLP_Sensitivity_Labels.png

手动配置敏感性标签:

  1. 从导航菜单中选择安全 > 数据类型 & 配置文件,然后选择数据类型标签页。

  2. 敏感度标签下,点击新建添加敏感性标签面板打开。

  3. 选择自定义标签选项。

  4. 输入标签的名称描述

  5. 输入与MIP标签ID相同的标签 ID

  6. 点击应用

    该标签已添加到敏感度标签列表中,并可以作为自定义DLP数据类型添加到内容配置文件中。

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论