Dropbox: 配置数据保护API连接器

本文说明如何为您的账户配置Dropbox连接器以用于应用程序&数据API保护策略,并在数据保护策略中创建使用此连接器的规则。

应用程序&数据API保护策略需要单独的Cato许可证。 如需更多信息,请联系您的Cato代表或官方转售商。

Dropbox连接器概述

为您组织的Dropbox租户创建连接器。 然后在访问权限策略中定义规则,包括Dropbox连接器,并定义要扫描和检查的文件。 您可以为每个租户创建一个Dropbox连接器。

必备条件

  • 对Dropbox租户的团队管理员权限

  • 支持Dropbox Business Plus计划

Dropbox API连接器所需权限

为了使数据保护API能够扫描您Dropbox帐户中的文件和文件夹,连接器与Dropbox应用为Cato提供以下权限和操作:

  • 个人权限

    • 查看成员的Dropbox文件和文件夹内容

    • 查看成员的Dropbox文件请求,Dropbox共享设置和协作者

    • 查看有关成员Dropbox账户的基本信息,例如用户名、电子邮件和国家

  • 团队权限

    • 查看有关您团队的文件和文件夹的信息

    • 查看和编辑您团队的文件、文件夹中的内容,治理数据和信息

    • 查看您团队的成员身份

    • 查看您团队的活动日志

    • 查看您团队及成员的文件夹结构

    • 查看有关您团队的基本信息,包括名称、用户数量和团队设置

已知限制

  • 连接器在账户用户中的任何人于Dropbox租户中执行任何后续活动后识别分享活动(而不是在最初的文件共享操作时)

使用Dropbox连接器

本节说明如何为Dropbox创建API连接器,以及如何将您组织的Dropbox租户连接到您的Cato账户。

创建Dropbox连接器

使用Cato管理应用程序创建Dropbox连接器,无需在Dropbox中配置设置。 Dropbox连接器允许Cato SaaS API引擎扫描您在威胁防护和数据保护策略中定义的内容。

针对EA - 目前支持的操作是监控,只需要读取权限。 然而,我们建议将Dropbox连接器配置为读/写权限,这样以后如果要应用其他操作就无需对连接器进行更改(例如。 隔离)。

要创建Dropbox连接器:

  1. 从导航菜单中选择资源 > 集成并点击集成应用标签页。

  2. 点击新建新连接器面板将打开。

  3. SaaS应用程序下拉菜单中,选择Dropbox

  4. 功能部分,选择数据和威胁防护

  5. 输入连接器名称

  6. 在 Cato 管理应用程序 中,点击 授权并保存

    Dropbox 权限屏幕将在新的浏览器选项卡中打开。

  7. 授予您的 Cato 账户访问 Dropbox 租户的权限。

    1. 点击 继续 以确认您希望 Cato 访问 Dropbox 租户。

      01_Dropbox_permissions.png

    2. 点击 允许 以允许 Cato 访问 Dropbox 租户。

      02_Dropbox_permissions.png

    3. 屏幕显示您已成功应用租户的权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器选项卡并返回 Cato 管理应用程序。 Dropbox 可能需要几秒钟来处理请求,因此如果您收到错误,请刷新浏览器。

      在 Dropbox 处理请求时,连接器的状态为 等待用户同意(请参阅下面的 理解连接器状态)。

  8. Dropbox SaaS连接器已添加到集成应用标签页。

了解连接器状态

在 连接器设置 屏幕上的 状态 列显示 Dropbox 应用程序与您的 Cato 账户之间的连接状态。 这些是状态的解释:

  • 已连接 - 您的账户已连接到应用程序并且工作正常

  • 连接警告 - Dropbox 租户中的一些用户没有正确配置以支持 数据保护 API。 请打开工单与支持

  • 连接错误 - Dropbox 连接器的连接或权限问题。 请打开与支持的票据。

    Dropbox 仅支持每个租户创建一个连接器。

  • 等待用户同意 - 在连接设置屏幕中创建了 Dropbox 连接器,但您尚未完成授权 Cato 连接到您的 Dropbox 账户的过程。

在数据保护策略中添加Dropbox规则

本节说明了如何使用数据保护政策来监视和管理用户通过 Dropbox 上传和下载的文件和文件夹。

了解Dropbox操作

当您创建数据保护规则时,您可以定义不同的操作来监视或纠正违反政策的情况,当规则匹配时。 每个操作都会自动生成一个事件,您还可以选择接收电子邮件通知。 有关数据保护 API事件的更多信息,请参见分析数据保护 API事件

这些是您可以为数据保护引擎设置的操作,以在规则匹配时执行:

  • 监控 - 生成一个事件,以便您可以监控与规则匹配的流量。

配置Dropbox规则

使用数据保护页面在您的数据保护政策中添加 SaaS 应用程序规则。

创建一个数据保护规则以定义由数据保护API扫描的流量。 为每个SaaS应用连接器创建单独的规则,然后定义确定哪些流量被扫描的条件。

有关Dropbox规则设置的更多信息,请参见理解Dropbox规则

Dropbox_rules.png

要为Dropbox应用创建新的数据保护规则:

  1. 从导航窗格中,选择安全性 > 应用程序和数据API保护,然后选择或展开数据保护

  2. 点击新建新建规则面板打开。

  3. 应用连接器中,选择Dropbox应用。

  4. 常规部分,输入规则的设置。

  5. 所有者中,选择一个或多个您正在监控的Dropbox用户(默认值是任何)。

    当您选择多个用户时,它们之间是或关系。

  6. 共享选项中,选择扫描的文件和文件夹的权限级别(默认值是任何)。

    当您选择多个选项时,它们之间是或关系。

  7. 文件属性中,定义条件以指定被扫描的文件(默认设置是扫描所有文件)。

  8. 内容配置文件中,为此规则选择数据泄露防护配置文件。

    有关DLP内容配置文件的更多信息,请参见创建DLP内容配置文件

  9. 选择一个操作

  10. (可选)定义规则生成电子邮件通知的跟踪选项。

    有关事件和电子邮件通知的更多信息,请参见账户级别提醒和系统通知

  11. 点击保存。 该规则已添加到数据保护策略中。

了解Dropbox规则

本节解释了如何定义数据保护规则的设置以扫描正确的Dropbox流量。 每条规则可以根据以下条件定义:

  • 所有者 - 您工作区中的Dropbox用户(默认值是任何)

    • 内部 - 所有者是您公司中的任意用户

    • Dropbox用户 - 所有者是特定用户

  • 共享选项 - 选择与此规则匹配的文件和文件夹共享权限类型(默认值是任何)

    • 私有 - 仅用户可以访问

    • 拥有链接的人 - 公开访问任何拥有链接的人(无需登录Dropbox)

    • 公司内部人员 - 任何公司内部用户拥有链接

    • 仅限受邀公司内部人员 - 任何公司内部受邀分享文件的用户

    • 仅限被邀请的外部人员 - 受邀分享文件的外部用户

  • 文件属性 - 扫描的附件的条件(默认值是所有附件)

    • 文件类型

    • 文件名称

    • 文件大小(最大文件大小为20 MB)

  • 内容配置文件 - 定义数据泄露防护内容检察的内容配置文件

    您可以在 安全 > DLP配置文件 > DLP配置文件 > 内容配置文件 中创建或编辑内容配置文件

  • 操作 - 选择在规则匹配时是否生成事件或电子邮件通知

为规则定义文件或附件

您可以为规则定义特定文件(或附件),并限制SaaS API引擎仅扫描指定文件以查看它们是否符合数据泄露防护配置文件。

当您将多个文件添加到规则时,选择它们之间的关系:

  • 满足任一条件(或) - 仅匹配规则中的一个文件类型

  • 全部满足(与) - 匹配规则中的所有文件类型(否则,规则被忽略)

您可以在规则中使用文件名称设置以定义精确的文件名称或使用通配符定义关键词。 例如,您可以将文件名称定义为内部以匹配所有包含单词内部的文件名称。

使用有序的数据保护规则

数据保护 API引擎按顺序检查数据,并检查它是否与规则匹配。 如果数据不符合规则,则不会进行检查。 规则库顶部的规则优先级更高,并且在规则库中较低的规则之前被应用。 每种应用程序类型或连接器仅对数据应用一次。

最佳实践 - 为了最大化规则库的效率,我们建议对于每种连接器类型,特定用户的规则优先等级高于适用于任何人用户的规则。

例如,如果数据符合规则#2中的连接器,数据由数据保护API引擎检查。 引擎不会继续对同一连接器应用规则#3及以下的规则。 然而,数据可能与其他连接器的低优先级规则匹配。

向连接器添加威胁防护

您可以为连接器创建威胁防护规则,以使用为您的帐户启用的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。 数据保护API引擎扫描连接器流量,并应用您为规则配置的操作和跟踪选项。

以下是您可以设置的威胁防护引擎在规则匹配时执行的操作:

  • 监控 - 生成一个事件以让您监控符合规则的流量。

每个操作都会自动生成一个事件,并且您也可以选择接收电子邮件通知。 有关数据保护 API事件的更多信息,请参见分析数据保护 API事件

当您创建应用程序和数据 API 保护规则时,为您的账户已启用的反恶意软件引擎(安全性 > 反恶意软件)会对发送给该连接器应用程序的文件进行恶意软件扫描。

以下截图显示了 OneDrive 连接器的威胁防护规则,该规则会扫描内部用户或访客发送的文件:

CAS_Threat_Protection.png

为文件创建例外

有时,Cato 的数据保护 API引擎会阻止您知道安全的文件,您需要在网络中允许该文件。 文件哈希值策略中的反恶意软件例外规则同样适用于应用和数据API保护。 有关将文件添加到文件哈希值策略的更多信息,请参阅 《管理反恶意软件例外》

分析数据保护API事件

主页 > 事件页面显示您账户的所有数据保护 API事件。 强大的搜索工具可让您深入分析,并识别出包含所需相关数据的少数事件。

数据保护 API事件可以通过以下字段来识别:

  • 事件类型 - 安全

  • 子类型 - SaaS安全API数据保护和SaaS安全API反恶意软件

您可以在这里了解有关使用事件页面的更多信息。

解释数据保护API事件字段

字段名称

描述

连接器名称

为规则定义的连接器名称

连接类型

为此连接器定义的SaaS应用程序

数据泄露防护配置文件

生成此事件的数据泄露防护内容配置文件

文件名称

附件的文件名称

文件大小

附件的文件大小

文件类型

附件的文件类型

匹配的数据类型

与规则匹配的内容配置文件中的数据类型

协作者

接收文件的用户的电子邮件地址

规则

数据保护策略中的规则名称

所有者

文件所有者

严重性

为规则定义的严重性

共享范围

Dropbox附件的共享选项

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论