Slack: 配置数据保护 API 连接器

本文解释了如何为您的账户配置 Slack 连接器以进行应用程序和数据 API 保护策略，并在威胁防护和数据保护策略中创建使用此连接器的规则。

应用程序和数据 API 保护策略需要单独的 Cato 许可证。请联系您的 Cato 代表或官方经销商以获取更多信息。

Slack 连接器概览

为您组织的 Slack 工作区创建连接器。然后在威胁防护和数据保护策略中定义规则，包括 Slack 连接器，并定义被扫描和检查的流量。您可以为每个租户创建一个 Slack 连接器。

先决条件

Slack 工作区的管理员权限
连接器监控文件，其他操作将在不久支持
注意：只支持公共和共享 Slack 频道

Slack API 连接器的必需权限

为了启用数据保护 API对 Slack 消息的资产和内容进行扫描，连接器为 Cato 提供了以下权限和操作：

使用 Oauth2 授予对应用的访问权限
从应用程序接收令牌以建立和维护安全连接
连接到 Slack API，并根据应用程序和数据 API 保护策略获取数据和扫描文件，包括：
- 阅读工作区中的消息和文件
- 查看内容和信息关于：
  - 管理员账户（您）
  - 频道和对话
  - 组织的工作区

已知限制

仅支持创建连接器的Slack用户包含在私人频道中时，私人频道才能被支持

使用 Slack 连接器

本节说明了如何创建 Slack 的 API 连接器，以及将您组织的 Slack 工作区连接到您的 Cato 帐户。

创建 Slack 连接器

使用 Cato 管理应用程序创建 Slack 连接器，无需在 Slack 中配置设置。 Slack 连接器使 Cato SaaS API 引擎可以扫描您在数据保护策略中定义的内容的消息和附件。

要创建 Slack 连接器：

从导航菜单中，选择资源 > 集成，然后点击集成 API标签页。
单击新建。 新连接器面板打开。
在 SaaS应用程序 下拉菜单中，选择 Slack。

目前仅支持 Slack 应用程序的读取权限和操作。不过，很快将支持读/写权限和操作。
在功能部分，选择 数据和威胁防护。
输入 连接器名称。
单击授权并保存。

Slack 权限屏幕将在新浏览器标签中打开。
授予您的 Cato 账户对 Slack 应用程序的访问权限。
1. 允许Cato 访问 Slack 应用程序的权限。
2. 屏幕显示您已成功为租户应用了权限。
  
  您可以关闭浏览器标签并返回 Cato 管理应用程序。 Slack 可能需要几秒钟来处理请求，因此如果您收到错误，请刷新浏览器。
  
  在 Slack 处理请求时，连接器的状态为 等待用户同意（请参阅下方理解连接器状态）。
Slack SaaS 应用程序已添加到集成 API标签页。

理解连接器状态

状态列在连接器设置屏幕上显示 Slack 应用程序与您的 Cato 账户之间的连接状态。以下是状态的说明：

已连接 - 您的账户已连接到应用程序并正常工作
连接错误 - Slack 连接器存在连接性或权限问题。请打开工单与支持。
等待用户同意 - 在连接设置屏幕中已创建 Slack 连接器，但您尚未在 Slack 帐户中完成授权其连接到 Cato 的过程。

将 Slack 规则添加到数据保护策略

本节解释如何使用数据保护策略监视和管理用户通过 Slack 发送和接收的消息和附件。

配置 Slack 规则

使用数据保护页面在数据保护策略中添加 SaaS 应用程序规则。

对于 Slack 用户，连接器区分机器人和用户帐户。您可以为用户定义一条规则，为机器人定义另一条规则。

有关 Slack 规则设置的更多信息，请参见下方理解 Slack 规则。

要为 Slack 应用程序创建新的数据保护规则：

从导航窗格中选择安全 > 应用和数据 API 保护并选择或展开 数据保护。
点击新建。 新建规则面板打开。
在应用连接器中，选择 Slack 应用程序。
在常规部分中，输入规则的设置。
在发送方中，选择一个或多个Slack 用户作为 Slack 消息（默认值为任意）。

当您选择多个用户时，它们之间存在“或”关系。
在共享选项中，选择一个或多个被扫描的 Slack 消息和频道类型（默认值为任意）。

当您选择多个选项时，它们之间存在“或”关系。
在附件中，定义指定扫描文件附件的条件（默认设置是扫描所有文件）。
在内容配置文件中，为此规则选择 DLP 内容配置文件。

有关 DLP 内容配置文件的更多信息，请参见创建 DLP 内容配置文件。
在操作中，选择监控。
（可选） 配置跟踪选项以生成事件并发送通知。

有关通知的更多信息，请参阅警报部分中关于订阅组、邮件列表和警报集成的相关文章。
单击保存。该规则已添加到数据保护策略中。

了解 Slack 规则

本节说明使用 Slack 连接器的数据保护规则的设置。

发送方 - 您工作区中的 Slack 用户（默认值为任何）
共享选项 - 选择与此规则匹配的文件共享权限类型（默认值为任何）
- 公共频道 - 任何用户都可加入的 Slack 频道
- 外部共享频道 - 包含来自您组织外部用户的Slack频道
附件 - 扫描的附件标准（默认值为所有附件）
- 文件类型
- 文件名称
- 文件大小（最大文件大小为 100 MB）
内容配置文件 - 定义 DLP 内容检查的 DLP 内容配置文件

您可以在安全性 > DLP 配置文件 > DLP 配置文件 > 内容配置文件中创建或编辑内容配置文件
操作 - 选择是否要在规则匹配时生成事件

定义规则的文件或附件

您可以为规则定义特定文件（或附件），并限制 SaaS API 引擎仅扫描指定文件以查看它们是否匹配 DLP 内容配置文件。

当您向规则添加多个文件时，选择它们之间的关系：

满足任一条件（或） - 仅匹配规则中的一个文件类型
全部满足（与） - 匹配规则中的所有文件类型（否则，规则将被忽略）

您可以在规则中使用文件名称设置来定义确切的文件名称，或使用通配符定义关键词。例如，您可以将文件名称定义为内部，以匹配所有包含单词内部的文件名称。

处理排序的数据保护规则

数据保护 API 引擎按顺序检查数据，并检查它是否匹配规则。如果数据不匹配规则，则不进行检查。规则库顶部的规则优先级更高，它们在规则库下方的规则之前应用。每种类型的应用程序或连接器仅应用于数据一次。

最佳实践 - 为了最大化规则库的效率，我们建议对于每种连接器类型，特定用户的规则优先级高于适用于任何人用户的规则。

例如，如果数据与规则 #2 中的连接器匹配，则数据保护 API引擎会对数据进行检查。引擎不会为同一个连接器继续应用规则#3及以下的规则。然而，数据可能与具有不同连接器的低优先级规则匹配。

将威胁防护添加到连接器

您可以为连接器创建威胁防护规则，使用已启用对于您账户的反恶意软件和下一代反恶意软件引擎来扫描文件和附件中的恶意软件和病毒。数据保护 API 引擎扫描连接器流量，并应用您为规则配置的操作和跟踪选项：

监控流量（很快将支持阻止）
生成事件
发送电子邮件通知

当您创建应用程序及数据 API 防护规则时，已启用的用于您的账户的反恶意软件引擎（安全 > 反恶意软件）会对发送给该连接器应用程序的文件执行恶意软件扫描。

以下截图显示了用于 OneDrive 连接器的威胁防护规则，扫描由内部用户或访客发送的文件：

为文件创建例外

有时您知道由 Cato 的数据保护 API引擎阻止的文件是安全的，您需要在网络中允许该文件。文件哈希访问权限策略中的反恶意软件例外也适用于应用&数据API保护。有关将文件添加到文件哈希访问权限策略的更多信息，请参阅管理反恶意软件例外。

分析数据保护API事件

主页 > 事件页面显示您账户的所有数据保护API事件。强大的搜索工具让您能够深入查找并识别包含您需要的相关数据的少数事件。

数据保护API事件可以通过以下字段识别：

事件类型 - 安全性
子类型 - SaaS 安全 API 数据保护和 SaaS 安全 API 反恶意软件

您可以在这里了解有关使用事件页面的更多信息。

解释数据保护API事件字段

字段名称	描述
连接器名称	为规则定义的连接器名称
连接类型	为该连接器定义的 SaaS 应用程序
数据泄露防护配置文件	生成此事件的数据泄露防护内容配置文件
文件名称	附加文件的名称
匹配的数据类型	与规则匹配的内容配置文件中的数据类型
协作者	收到文件的用户的电子邮件地址
规则	数据保护策略中的规则名称
发送方	发送消息或文件的Slack用户
严重性	为规则定义的严重性
共享范围	Slack附件的共享选项