本文提供了Cato 带外数据保护 API服务的概述和背景信息,用于监控和控制流向已批准的 SaaS 云应用的流量。
注意
注意:请联系SaaSecAPI@catonetworks.com或您的正式Cato经销商以获取有关使用数据保护API访问权限策略的更多信息。
数据保护 API 为已批准的云应用提供带外可见性和控制。 其他安全功能(如云访问安全代理 (CASB))只能控制和监控通过 Cato Cloud 的流量。 数据保护 API 还可以监控和反应直接连接到云应用的远程用户的流量。 即使当他们不使用SDP客户端通过Cato Cloud发送流量时,这也适用。
数据保护 API 在不使用TLS检查的情况下检查连接的内容。 这对未启用TLS检查的账户尤其有益。 然而,即使对于使用TLS检查的账户,由于证书固定相关的问题,某些云应用也无法进行检查。 数据保护 API 补充了 Cato 的内联 CASB 和 DLP 解决方案,以提供最佳的安全覆盖。
对于某些应用程序,您可以为连接器创建威胁防护规则,通过使用启用的反恶意软件和下一代反恶意软件引擎,扫描文件和附件以提供带外反恶意软件保护,从而检测恶意软件和病毒。 数据保护API引擎扫描连接器流量,并应用您为DNS策略配置的操作和跟踪选项。
- 要添加连接器,您必须具备集成(在资源部分内)和应用& 数据API保护(在应用& 数据控制部分内)的编辑者权限。 有关详细信息,请参阅使用RBAC管理管理员角色。
这是实施数据保护 API的步骤的高级概览。
-
为相关的云应用创建连接器。
对于 Microsoft 应用,有必要创建一个 Microsoft 365 父连接器,然后为每个应用创建一个子连接器。
- 创建(或查看)定义数据保护 API 扫描的敏感数据的数据泄露防护内容配置文件(参见创建数据泄露防护内容配置文件)。
- 创建数据保护访问权限策略的规则。
Cato支持广泛的应用程序,并不断扩展列表。 要查看支持的应用程序的完整列表,请参阅数据保护API。
这些限制适用于数据保护策略中使用的任何连接器。 有关特定SaaS应用的限制,请参阅下文特定连接器的已知限制。
-
无法编辑数据保护 API连接器。
解决方法 - 删除连接器并使用所需的设置创建新连接器。
- 文件更改检测可能需要长达15分钟。
- 对于反恶意软件扫描,不支持使用文件哈希进行白名单。
- 对文件夹和目录权限的更改不进行扫描。
- 不扫描群组的操作(例如与群组共享文件)。
- DLP和反恶意软件扫描支持的最大文件大小是500MB。
- 对于DLP和反恶意软件扫描,数据保护 API仅支持Cato DLP和反恶意软件引擎支持的文件类型。
- 当创建、删除或编辑规则时,更改被跟踪在审计追踪中,不显示与规则内容相关的详细信息
- .log文件扩展名不支持
- 对于GitHub连接器,不支持二进制文件。
这些是特定数据保护 API连接器的限制。
-
Azure
-
在创建连接器后添加的新用户不会被扫描。
解决方法 - 为连接器创建新规则,或禁用然后重新启用数据保护 API策略。
-
-
Box
- 新添加到根文件夹的文件最多需要24小时才能被扫描并应用规则操作。 子文件夹中的文件在上传后立即被扫描。
- 每个租户仅支持1个连接器。 (Microsoft和Google连接器支持每个租户多个连接器)
-
Exchange
- 对于扫描电子邮件活动的规则,事件还可以包括附件(即使文件与政策不匹配)。
-
Google Drive
- Google Drive连接器仅支持商业账户。
-
OneDrive
-
SharePoint
- 只有Documents目录被扫描。
- 当同一资源有SharePoint和OneDrive连接器时,每个连接器为同一操作创建单独的事件。
-
- 每个租户仅支持1个连接器。 (Microsoft和Google连接器支持每个租户多个连接器)
- 仅支持公共和共享_CHANNEL类别。
0 条评论
请登录写评论。