本文提供关于Cato带外SaaS安全API服务的背景信息和概述,用于监控和控制对批准的SaaS云应用程序的流量。
注意
注意:请联系SaaSecAPI@catonetworks.com或您的官方Cato经销商以获取有关使用SaaS 安全 API 策略的更多信息。
SaaS安全API为已批准的云应用程序提供带外的可见性和控制。 其他安全功能(例如CASB)只能控制和监控通过Cato Cloud传输的流量。 SaaS安全API还能够监控和响应直接连接到云应用程序的远程用户的流量。 这适用于即使他们没有使用SDP客户端通过Cato Cloud发送流量的情况。
SaaS安全API在不使用TLS检查的情况下检查连接的内容。 这对未启用TLS检查的账户特别有利。 然而,即使对于使用TLS检查的账户,由于与证书钉扎相关的问题,某些云应用程序无法被检查。 SaaS安全API补充了Cato的内联CASB和DLP解决方案,以提供最佳的安全覆盖。
这是实施SaaS安全API步骤的高级概述。
-
为相关的云应用程序创建连接器。
对于Microsoft应用程序,需要创建一个Microsoft 365父连接器,然后为每个应用程序创建一个子连接器。
-
创建(或查看)定义SaaS安全API扫描的敏感数据的数据泄露防护内容配置文件(参见创建数据泄露防护内容配置文件)。
-
为数据保护策略创建规则。
这些是目前SaaS安全API支持的SaaS应用程序连接器。 Cato正在不断改进这些应用程序,并为更多应用程序添加支持。
这些是适用于数据保护策略中使用的任何连接器的限制。 有关特定SaaS应用程序的限制,请参见下面的特定连接器的已知限制。
-
无法编辑SaaS安全API连接器。
解决方法 - 删除连接器并创建一个具有所需设置的新连接器。
-
文件更改的检测可能需要长达15分钟。
-
对于反恶意软件扫描,不支持使用文件哈希值进行白名单处理。
-
文件夹和目录权限的更改不会被扫描。
-
对群组的操作(例如与群组共享文件)不会被扫描。
-
数据泄露防护和反恶意软件扫描支持的最大文件大小为20MB。
-
对于DLP和反恶意软件扫描,SaaS安全API仅支持Cato DLP和反恶意软件引擎支持的文件类型。
-
当SaaS安全API规则被创建、删除或编辑时,这些更改会在审计追踪中被跟踪,但不会显示与规则内容相关的详细信息。
这些是特定SaaS安全API连接器的限制。
-
Azure
-
在创建连接器后添加的新用户不会被扫描。
解决方法 - 为连接器创建新规则,或禁用然后重新启用SaaS安全API策略。
-
-
Box
-
添加到根文件夹的新文件可能需要长达24小时才能被扫描并在其上应用规则操作。 子文件夹中的文件在上传后立即被扫描。
-
每个租户仅支持1个连接器。 (Microsoft和Google连接器支持每个租户多个连接器)
-
-
Exchange
-
对于扫描电子邮件活动的规则,事件还可以包括一个附件文件(即使该文件与访问权限策略不匹配)。
-
-
Google Drive
-
Google Drive连接器仅支持商业账户。
-
-
OneDrive
-
SharePoint
-
仅扫描Documents目录。
-
当同一资源有SharePoint和OneDrive连接器时,每个连接器为相同的操作创建一个单独的事件。
-
-
-
每个租户仅支持1个连接器。 (Microsoft 和 谷歌 连接器 支持 每个 租户 有多个 连接器)
-
仅支持公共和外部共享频道。
-
0 条评论
请登录写评论。