本文说明如何为您的账户配置 GitHub 各称连接器的 SaaS 安全 API 策略,并在威胁防护和数据保护策略中创建使用此连接器的规则。
SaaS 安全 API 策略需要单独的 Cato 许可证。 请联系您的 Cato 代表或官方经销商以获取更多信息。
GitHub SaaS 安全 API 连接器监控用户推送到存储库中的提交内容,并扫描您在数据泄露防护配置文件中定义的敏感数据。 当连接器在提交中识别到敏感数据时,它会生成一个附带详细信息的事件。 例如,您可以扫描提交中的 API 令牌、安全外壳协议密钥、数据库凭据等。
要监控提交中的内容,请为 GitHub 组织创建连接器,然后在威胁防护和数据保护策略中配置规则,定义被扫描和监控的用户和存储库。
本节说明如何创建 GitHub 的 API 连接器以扫描提交中的敏感数据和威胁。
使用 Cato 管理应用程序创建 GitHub 连接器,然后登录您的 GitHub 账户。 选择用于安装连接器的组织,然后选择连接器可访问的仓库。 您可以选择组织的所有仓库或仅选择特定的仓库。
您可以为每个 GitHub 组织创建单个连接器。 对于多个组织,需要为每个组织创建单独的连接器。
GitHub 连接器允许 Cato SaaS 安全 API 引擎扫描您在数据保护策略中定义的内容。
注意
注意:
-
您无法为一个组织安装多个连接器。 尝试为同一组织安装第二个连接器可能会影响功能,并且可能不再监控该组织。
-
在 GitHub 管理控制台中更改现有连接器的设置可能会影响功能,并且可能不再监控该组织。
为 GitHub 创建连接器:
-
在导航菜单中,选择 资源 > 集成 并点击 SaaS 安全 API 数据保护。
-
点击 新建。 新建连接器 面板打开。
-
在 SaaS应用程序 中,选择 GitHub。
-
输入 连接器名称。
-
点击 授权并保存。 您将被重定向到 GitHub。
-
在 GitHub 中安装应用程序:
-
在 GitHub 中,以管理员身份登录。 如果您已登录 GitHub,请确保您是以管理员身份登录的。
-
为连接器选择组织。
-
如果需要,请登录该组织。
-
选择连接器有权访问的仓库,并点击 安装。 您可以选择组织中的所有仓库或特定的仓库。
-
屏幕显示您已成功为租户应用权限。
-
GitHub 连接器已创建并添加到 已安装的 SaaS应用程序 页面。
-
已安装的 SaaS 应用程序页面上的 状态 列显示您的 GitHub 账户与 Cato 账户之间连接的状态。 以下是这些状态的解释:
-
已连接 - 您的账户已连接到账户并正常工作
-
连接错误 - GitHub 连接器存在连接性或权限问题。 请与 支持开工单。
-
等待用户同意 - GitHub 中的连接器已经在连接设置页面中创建,然而你尚未成功认证到 GitHub。 处理认证可能需要几秒钟,因此如果您收到此状态,请刷新浏览器。
本节说明如何使用数据保护策略监控 GitHub 提交中的敏感数据。 当用户将提交推送到仓库时,数据保护引擎扫描提交中包含的新内容,以检测内容配置文件中定义的敏感数据。 先前推送到仓库的内容不会被扫描,仅扫描提交中不同的新内容。
本节说明如何定义数据保护规则的设置以扫描 GitHub 提交。 每个规则可以用以下设置来定义:
-
用户 - 定义要监控的 GitHub 用户。 选择 任何 或定义一个或多个特定用户。
-
对象 - 定义扫描哪些 GitHub 仓库。 选择 任何 或定义一个或多个特定的仓库。
-
可供扫描的仓库包括连接器有权访问的那些,如创建连接器时定义的。 请参阅上面的创建 GitHub 连接器。
-
-
文件属性 - 根据文件名称和文件类型排除文件扫描。 符合定义属性的文件不会被扫描敏感内容。
-
内容配置文件 - 定义数据泄露防护内容检查的 DLP 内容配置文件
您可以在安全性 > 数据泄露防护配置文件 > 数据泄露防护配置文件 > 内容配置文件中创建或编辑内容配置文件
-
操作 - 选择是否在规则匹配时生成事件或发送通知
使用数据保护页面在您的数据保护策略中添加 SaaS 应用程序规则。
要为 GitHub 应用创建新的数据保护规则:
-
从导航窗格中,选择安全性 > SaaS 安全 API 策略并选择或展开数据保护。
-
点击新建。 新建规则面板打开。
-
在应用连接器中,选择 GitHub 应用。
-
在常规部分,输入规则的设置。
-
在用户中,定义您监控的 GitHub 用户:
-
任何 - 监控组织中的所有 GitHub 用户(默认值)
-
GitHub 用户 - 选择要监控的特定组织用户
-
-
在对象中,定义被扫描的 GitHub 仓库。 默认值是任何。
-
在文件属性中,定义用于指定被扫描文件的条件(默认设置是扫描所有文件)。
-
在内容配置文件中,为此规则选择 DLP 内容配置文件。
有关 DLP 内容配置文件的更多信息,请参阅创建 DLP 内容配置文件。
-
在操作中选择监控。
-
(可选)配置跟踪选项以生成事件并发送通知。
有关通知的详细信息,请参阅警报部分中的相关文章,包括订阅组、邮件列表和警报集成。
-
点击保存。 该规则被添加到数据保护策略。
您可以为连接器创建威胁防护规则,使用为您的帐户启用的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。 SaaS 安全 API 引擎扫描连接器流量,并应用您为规则配置的操作和跟踪选项:
-
监控流量(阻止功能即将支持)
-
生成事件
-
发送电子邮件通知
当您创建 SaaS 安全 API 威胁防护规则时,为您的账户启用的反恶意软件引擎(安全性 > 反恶意软件)对为该连接器应用程序发送的文件执行恶意软件扫描。
以下截图展示了一个针对 OneDrive 连接器的威胁防护规则,它扫描内部用户或访客发送的文件:
有时 Cato 的 SaaS 安全 API 引擎会阻止您知道安全的文件,而您需要在网络中允许它。 事件页面允许您使用文件哈希创建绕过威胁防护扫描的例外。 在为被阻止的具体文件打开事件后,点击文件哈希以打开例外配置面板并将该文件添加为帐户的例外。 您可以选择文件例外的持续时间,或者配置例外永久有效。
针对反恶意软件和 SaaS 安全 API 的文件例外
文件例外应用于反恶意软件和SaaS 安全 API 威胁防护策略。 当您从反恶意软件和下一代反恶意软件事件创建例外时,这些例外也将适用于SaaS安全API威胁防护策略。 同样,当您从SaaS安全API反恶意软件事件创建文件例外时,该例外也适用于反恶意软件策略。 完整的文件例外列表在反恶意软件页面和SaaS安全API威胁防护页面上显示。
主页 > 事件 页面显示您的账户的所有SaaS安全API事件。 强大的搜索工具让您能够深入分析并识别包含所需相关数据的少数事件。
可以通过以下字段标识SaaS安全API事件:
-
事件类型 - 安全性
-
子类型 - SaaS 安全 API 数据保护 和 SaaS 安全 API 反恶意软件
您可以插入40个字符的证书指纹代码了解更多关于使用事件界面的信息。 您可以使用 SaaS安全API数据保护 预设来过滤事件。
这是一个SaaS安全API GitHub连接器事件示例:
0 条评论
请登录写评论。