在应用控制策略中创建文件控制规则

本文讨论如何使用应用控制页面为您的账户配置文件控制规则。

概览

文件控制允许您定义规则,以识别和控制组织内部和外部的细粒度定义的文件类型传输。 这使您可以根据场景量身定制安全策略,例如未经授权的源代码传输或对Microsoft Office文档类型的访问。 应用 & 数据内联保护页面支持三种类型规则:CASB 应用控制、DLP 数据控制 和 文件控制。 文件控制规则包含用于定义文件类型的附加设置,包括以下文件属性:

  • 内容类型 - 支持数百种文件类型,类别包括:Microsoft Office、可执行文件、源代码等。 您可以细化规则,以仅匹配每个类别内的特定文件类型。

    • 在配置规则的内容类型时,Cato管理应用程序中提供了支持的文件类型的完整列表。 有关配置内容类型的更多信息,请参见下文配置文件控制规则

  • 内容大小 - 定义要应用于自定义定义文件大小的规则。

应用控制策略是一个有序的规则库,允许您定义应用程序和类别的活动和必要条件。 每个规则定义一个应用程序或一个类别。 一旦规则匹配流量,优先级较低的规则(在匹配的规则之下)就不再适用于该流量。

规则库中的最终规则是隐式任何任何允许规则,因此如果连接不匹配任何规则,则由最终隐式规则允许。

先决条件

  • 文件控制规则要求启用TLS检查以识别文件。

    • Cato的细粒度TLS检查策略允许您创建仅检查与文件控制规则相关的流量的规则。

    • 文件控制规则包含在CASB许可中。 有关购买许可证的更多信息,请联系您的Cato代表。

了解应用控制规则库中的文件控制

应用 & 数据内联保护页面中创建文件控制规则,以定义被Cato云的安全堆栈阻止的文件。 本节描述了特定于文件控制规则的字段和设置。 有关对应用控制规则也相关的规则和设置的更多信息,请参见管理应用控制策略

Data_Control_Rules_-_Callouts.png

项目

描述

1

在策略中启用或禁用应用控制和文件控制规则

2

在策略中启用或禁用数据控制规则

3

创建新的应用控制、数据控制或文件控制规则

4

显示规则类型的图标:

  • Data_Control_Icon.png 数据控制规则

  • App_Control_Icon.png 应用控制规则

  • File_control_icon.png 文件控制规则

5

条件列显示活动文件属性、DLP内容配置文件和与此规则匹配的其他条件

DLP 内容配置文件在安全 > 数据类型 & 配置文件中配置

文件控制规则设置

文件控制规则包含以下部分:

  • 常规 - 您选择分配给规则的名称和严重程度。 还可以让您启用或禁用该规则。

  • 应用程序 - 与此规则匹配的预定义应用程序、类别、自定义应用程序或批准的应用程序。 仅支持的应用会出现在预定义应用列表中。

  • 活动 - 选择规则用于上行和/或下行流量。

    您必须为每条规则定义一个活动。

    注意

    注意:对于使用活动条件的规则,必须启用TLS检查来检查与规则匹配的流量。

  • 文件属性 - 定义与此规则匹配的数据的文件类型和文件大小,以及属性之间是否存在与或或关系。

    • 内容类型 - 下拉菜单显示所有支持的文件内容类型。 选择内容类型,然后配置要在规则中包括的特定文件类型。 例如,选择Microsoft Office文档,仅配置Excel和PowerPoint文件。

    • 内容大小 - 定义文件的大小和运算符(大于最多),以使文件匹配规则。 文件大小可以定义为KB或MB。

      • 对于配置了内容大小的规则,只支持监控操作。

  • 访问方式 - 用户代理在主机和可以连接到您账户的设备上的要求。

  • 来源 - 此规则的流量来源。

    • 您可以将来源设置为一个国家,以基于IP地理位置创建强制执行来自该国的流量的规则。

    • 有关规则的其他来源项目的信息,请参见规则对象参考

  • 时间 - 定义规则生效的时间段。

  • 操作 - 对符合规则的流量应用指定的操作。 同时定义事件跟踪选项和电子邮件通知。

配置文件控制规则

创建新的文件控制规则,并配置规则的设置以实施贵组织的文件传输策略。

时间 选项定义规则的启用时间范围。 您可以为规则配置自定义选项,或选择账户的默认工作时间。

要创建新的文件控制规则:

  1. 从导航菜单中选择安全 > 应用 & 数据内联

  2. 确保 应用控制 已启用(绿色为启用,灰色为已禁用)。

  3. 点击 新建 > 文件控制规则

    文件控制规则 面板打开。

  4. 展开 常规 部分并配置这些设置:

    1. 为规则输入 名称

    2. 使用滑块启用或禁用规则(绿色为启用,灰色为已禁用)。

    3. 选择 严重程度

      严重程度用于此规则的事件和监控分析中。

  5. 应用程序 部分,选择 任何云应用程序,或者您可以选择将内容检查限制为特定应用程序或类别。

  6. 展开 活动 部分,并配置这些设置:

    1. 点击 添加活动 并为规则选择项目。

    2. 活动 部分中有多个项目时,在 满足 下拉菜单中,定义项目之间的关系:

      • 任何(或) - 如果其中任何项目匹配流量,则应用规则

      • 全部(与) - 如果所有项目匹配流量,则应用规则

  7. 文件属性 部分,选择要匹配规则的特定文件类型和文件大小。

    1. 点击 添加文件属性 并选择 内容类型内容大小

    2. 为文件属性项目定义设置。

    3. 对于多个项目,定义项目之间的关系(见上文 6b)。

  8. 展开 访问方式 部分,并定义用户代理要求。

    如果有多个项目,它们之间存在与关系。

  9. 展开 来源 部分并选择一个或多个对象作为该规则的流量来源(或可以输入 IP 地址)。

    选择类型(例如:主机、网络接口、IP、任意)。 默认值是 任意

  10. (可选) 展开 时间 部分,并定义规则生效的时间。

    选择 无时间限制 以设置规则为始终生效。

  11. 展开 操作 部分,并配置这些设置:

    1. 为此规则选择 操作。 选项包括 允许阻止监控

    2. (可选) 配置跟踪选项以生成 事件发送通知

      有关通知的更多信息,请参阅订阅组、邮件列表和 警报 集成的相关文章。

  12. 点击 应用

分析文件控制事件

事件屏幕显示了您账户的所有文件控制事件。 这些安全事件是子类型,应用安全

您可以在 此处 了解更多关于使用事件屏幕的信息。

这些是与文件控制相关的字段:

字段名称

描述

文件名称

被文件控制引擎扫描的文件的名称

文件大小

被文件控制引擎扫描的文件大小(以字节为单位)

文件类型

文件内容类型(如存档或 Microsoft Office)

注意: form_data 是通过网页表单提交的数据通用表示,通常用于超文本传输协议请求(如多部分表单提交)。 这并不表示一个单独的文件类型。

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论