GitHub：配置数据保护 API 连接器

本文介绍了如何为您的账户配置 GitHub 连接器以用于应用和数据 API 保护策略，并在威胁防护和数据保护策略中创建使用此连接器的规则。

应用和数据 API 保护策略需要单独的 Cato 许可证。请联系您的 Cato 代表或官方经销商以获取更多信息。

二进制文件不支持GitHub连接器。

概述

GitHub 的数据保护 API 连接器监控用户推送到存储库的提交内容，并扫描您在数据防泄露配置文件中定义的敏感数据。连接器在提交中识别出敏感数据时，将生成带有详情的事件。例如，您可以扫描提交中的 API 令牌、安全外壳协议密钥、数据库凭据等。

要监控提交中的内容，请为 GitHub 组织创建连接器，然后在威胁防护和数据保护策略中配置规则，以定义要扫描和监控的用户和存储库。

先决条件

您所在组织的 GitHub 账户的管理员权限

GitHub的API连接器所需权限

为了让数据保护 API 扫描 GitHub 提交，连接器在 GitHub 账户中授予 Cato 以下权限：

对代码、成员和元数据的读取权限

使用GitHub连接器

本部分介绍了如何为 GitHub 创建 API 连接器以扫描提交中的敏感数据和威胁。

创建GitHub连接器

使用 Cato 管理应用程序来创建 GitHub 连接器，然后登录您的 GitHub 账户。选择要安装连接器的组织，然后选择连接器可以访问的存储库。您可以选择组织的所有存储库或仅特定的存储库。

您可以为每个 GitHub 组织创建一个连接器。对于多个组织，需要为每个组织设置单独的连接器。

GitHub 连接器使数据保护 API 引擎能够扫描您在数据保护策略中定义的内容。

注意

注意：

您无法为一个组织安装多个连接器。尝试为同一组织安装第二个连接器可能会影响功能，并且组织可能不再被监控。
在 GitHub 管理控制台中更改现有连接器的设置可能会影响功能，并且组织可能不再被监控。

要为 GitHub 创建连接器：

在导航菜单中，选择资源 > 集成并点击集成的API标签页。
点击新建。 新连接器 面板打开。
在 SaaS应用程序 下拉菜单中，选择 GitHub。
在功能部分，选择 数据和威胁防护。
输入 连接器名称。
点击 授权并保存。您将重定向到 GitHub。
在 GitHub 上安装应用程序：
1. 在 GitHub 中，以管理员身份登录。如果您已登录 GitHub，请验证您是否以管理员身份登录。
2. 选择连接器的组织。
3. 如果需要，请登录到组织。
4. 选择连接器有权限访问的存储库，然后点击安装。您可以选择组织中的所有存储库或特定存储库。
5. 屏幕显示您已成功应用租户权限。
6. GitHub连接器已创建并添加到集成的API标签页。

了解连接器状态

已安装的SaaS应用程序页面上的状态列显示您的GitHub账户与您的Cato账户之间的连接状态。这是状态的解释：

已连接 - 您的账户已连接并正常工作
连接错误 - GitHub连接器的连接性或权限问题。请打开工单与支持。
等待用户同意 - GitHub连接器已在连接设置页面创建，但您尚未成功认证GitHub。处理认证可能需要几秒钟，因此如果您收到此状态，请刷新浏览器。

将GitHub规则添加到数据保护策略

本节说明如何使用数据保护策略来监控GitHub提交中的敏感数据。当用户推送提交到存储库时，数据保护引擎会扫描提交中包含的新内容，以检测内容配置文件中定义的敏感数据。以前推送到存储库的内容不会被扫描，仅扫描提交中不同的新内容。

了解GitHub规则设置

本节说明如何定义数据保护规则的设置以扫描GitHub提交。每个规则可以使用以下设置定义：

用户 - 定义要监控的GitHub用户。选择任何或定义一个或多个特定用户。
对象 - 定义要扫描的GitHub存储库。选择任何或定义一个或多个特定的存储库。
- 可供扫描的存储库包括连接器在创建时定义权限访问的存储库。请参阅上文创建GitHub连接器。
文件属性 - 基于文件名称和文件类型排除文件扫描。符合定义属性的文件不会扫描敏感内容。
内容配置文件 - 定义DLP内容检查的DLP内容配置文件

您可以在安全> DLP配置文件> DLP配置文件> 内容配置文件中创建或编辑内容配置文件
操作 - 选择是否在匹配规则时生成事件或发送通知

配置GitHub规则

使用数据保护页面将SaaS应用程序规则添加到您的数据保护策略中。

要为GitHub应用程序创建新的数据保护规则：

从导航窗格中，选择安全性 > 应用和数据 API 保护并选择或展开数据保护。
点击新建。 新建规则面板打开。
在应用连接器中，选择GitHub应用。
在常规部分，输入规则的设置。
在用户中，定义您正在监控的GitHub用户：
- 任意 - 监控组织内的所有GitHub用户（默认值）
- GitHub用户 - 选择要监控的特定组织用户
在对象中，定义扫描的GitHub仓库。默认值是任意。
在文件属性中，定义用于指定扫描文件的规则条件（默认设置为扫描所有文件）。
在内容配置文件中，为此规则选择数据泄露防护内容配置文件。

有关DLP内容配置文件的更多信息，请参阅创建DLP内容配置文件。
在操作中，选择监控。
（可选）配置跟踪选项以生成事件并发送通知。

有关通知的更多信息，请参阅警报部分中关于订阅组、邮件列表和警报集成的相关文章。
点击保存。该规则被添加到数据保护策略。

处理有序数据保护规则

数据保护API引擎按顺序检查数据，并检查它是否符合任何规则。如果数据不符合规则，则不检查。在规则库顶部的规则优先级更高，并且在规则库下方的规则之前应用。每种类型的应用程序或连接器只对数据应用一次。

最佳实践 - 为最大化规则库的效率，我们建议对于每种连接器类型，特定用户的规则优先级高于适用于任何用户的规则。

例如，如果数据符合规则#2中的连接器，则数据保护API引擎会检查该数据。引擎不会继续为相同连接器应用规则#3及以下规则。但是，数据可能与具有不同连接器的低优先级规则匹配。

向连接器添加威胁防护

您可以为连接器创建威胁防护规则，使用启用的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。数据保护 API 引擎扫描连接器流量，并应用您为该规则配置的操作和跟踪选项：

监控流量（阻止功能将很快支持）
生成事件
发送电子邮件通知

当您创建应用 & 数据 API 保护规则时，为您的账户启用的反恶意软件引擎（安全 > 反恶意软件）会对发送至该连接器应用程序的文件进行恶意软件扫描。

以下截图显示了针对 OneDrive 连接器的威胁防护规则，用于扫描由内部用户或访客发送的文件：

为文件创建例外

有时您会发现被 Cato 的数据保护 API 引擎阻止的文件其实是安全的，您需要在网络中允许它。文件哈希值策略中的反恶意软件例外也适用于应用 & 数据API保护。有关将文件添加到文件哈希值策略的更多信息，请参阅管理反恶意软件例外。

分析数据保护API事件

主页 > 事件页面显示您的账户的所有数据保护API事件。强大的搜索工具让您可以深入分析并识别包含所需相关数据的少数事件。

可以通过以下字段识别数据保护API事件：

事件类型 - 安全性
子类型 - SaaS安全API数据保护和SaaS安全API反恶意软件

您可以在这里了解更多关于使用事件页面的信息。

这是一个SaaS安全API GitHub连接器事件示例：

解释数据保护API事件字段

字段名称	描述
应用活动	推送
连接器名称	为规则定义的连接器名称
连接器类型	为该连接器定义的SaaS应用
数据泄露防护配置文件	生成此事件的数据泄露防护内容配置文件
完整路径 URL	提交的差异比较的链接
匹配的数据类型	在匹配规则的内容配置文件中的数据类型
规则	数据保护策略中的规则名称
对象名称	提交推送到的存储库名称
对象类型	扫描的对象类型
所有者	提交推送的用户电子邮件地址
严重程度	为规则定义的严重性