配置 Slack 的 SaaS 安全 API 连接器

本文解释了如何为您的帐户配置 Slack 的 SaaS 安全 API 策略连接器,并在威胁防护和数据保护策略中创建使用此连接器的规则。

SaaS 安全 API 策略需要单独的 Cato 许可证。 请联系您的 Cato 代表或官方经销商以获取更多信息。

Slack 连接器概览

为您的组织创建 Slack 工作区连接器。 然后在威胁防护和数据保护策略中定义包括 Slack 连接器的规则,并定义扫描和检查的流量。 您可以为每个租户创建一个 Slack 连接器。

先决条件

  • Slack 工作区的管理员权限

  • 连接器监控文件,其他操作将在不久后支持

Slack 的 API 连接器所需的权限

为了使 Cato 的 SaaS 安全 API 扫描 Slack 消息的资产和内容,连接器为 Cato 提供以下权限和操作与Slack应用程序:

  • 使用 Oauth2 授予应用程序访问权限

  • 从应用程序接收令牌以建立和维护安全连接

  • 根据 SaaS 安全 API 数据保护策略连接 Slack APIs,获取数据并扫描文件,包括:

    • 读取工作区中的消息和文件

    • 查看内容和信息关于:

      • 管理员账户 (您)

      • 频道和对话

      • 组织的工作区

使用 Slack 连接器

本部分解释了如何为 Slack 创建 API 连接器,以及如何将您的组织 Slack 工作区连接到您的 Cato 帐户。

创建 Slack 连接器

使用 Cato 管理应用程序创建 Slack 连接器,无需在 Slack 中配置设置。 Slack 连接器允许 Cato SaaS API 引擎扫描消息和附件中您在数据保护策略中定义的内容。

要为 Slack 创建连接器:

  1. 从导航菜单中,选择 资源 > 集成 并点击 数据保护 API

  2. 点击新建新连接器面板打开。

  3. 创建一个新的Slack SaaS 应用程序

    目前仅支持 Slack 应用程序的读取权限和操作。 不过,读/写权限和操作即将推出。

  4. 点击授权并保存

    Slack 权限屏幕将在新的浏览器选项卡中打开。

  5. 授予您的 Cato 账户访问 Slack 应用程序的权限。

    1. 允许 Cato 访问 Slack 应用程序的权限。

      Slack_Permissions.png

    2. 屏幕显示您已成功应用租户权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器选项卡并返回到 Cato 管理应用程序。 Slack 可能需要几秒钟来处理请求,因此如果您收到错误,请刷新浏览器。

      在 Slack 处理请求时,连接器的状态为 等待用户同意 (见下文 了解连接器状态)。

  6. Slack SaaS 应用程序已添加到SaaS APIs 数据保护页面。

    Slack_Connector.png

了解连接器状态

连接器设置屏幕上的状态列显示 Slack 应用程序与您的 Cato 帐户的连接状态。 以下是状态的说明:

  • 已连接 - 您的账户已连接到应用程序并正常工作

  • 连接错误 - Slack 连接器的连接性或者权限问题。 请打开工单与支持

  • 等待用户同意 - Slack 连接器已在连接设置屏幕中创建,但您尚未在 Slack 账户中完成授权它连接 Cato 的过程。

将 Slack 规则添加到数据保护策略中

本节解释了如何使用数据保护策略来监控和管理您的用户通过 Slack 发送和接收的消息和附件。

配置 Slack 规则

使用数据保护页面在您的数据保护策略中添加 SaaS 应用程序规则。

对于 Slack 用户,连接器可以区分机器人和用户账户。 您可以为用户和机器人分别定义一个规则。

有关 Slack 规则设置的更多信息,请参见下文 了解 Slack 规则

Slack_Data_Protection_Rule.png

要为 Slack 应用程序创建新的数据保护规则:

  1. 从导航窗格中,选择 安全性 > SaaS 安全 API 策略 并选择或展开 数据保护

  2. 点击新建新建规则面板打开。

  3. 应用连接器中,选择 Slack 应用程序。

  4. 常规部分,输入规则的设置。

  5. 发送方 中,选择一个或多个 Slack 用户 的 Slack 消息(默认值是 任何)。

    当您选择多个用户时,它们之间存在或关系。

  6. 共享选项 中,选择一个或多个已扫描的 Slack 消息和频道类型(默认值是 任何)。

    当您选择多个选项时,它们之间存在或关系。

  7. 附件 中,定义标准以指定扫描的文件附件(默认设置为扫描所有文件)。

  8. 内容配置文件 中,为此规则选择 DLP 内容配置文件。

    有关 DLP 内容配置文件的更多信息,请参见创建 DLP 内容配置文件

  9. 操作 中,选择 监控

  10. (可选) 配置跟踪选项以生成 事件 并发送通知。

    有关通知的更多信息,请参阅警报部分中关于订阅组、邮件列表和警报集成的相关文章。

  11. 单击保存。 该规则已添加到数据保护策略中。

了解 Slack 规则

本节解释使用 Slack 连接器的数据保护规则的设置。

  • 发送方 - 您工作区中的 Slack 用户(默认值是任何)

  • 共享选项 - 选择与此规则匹配的文件共享权限类型(默认值是任何)

    • 公共频道 - 任何用户都可加入的 Slack 频道

    • 外部共享频道 - 包含来自您组织外部用户的Slack频道

  • 附件 - 被扫描附件的标准(默认值是所有附件)

    • 文件类型

    • 文件名称

    • 文件大小(最大文件大小为 100 MB)

  • 内容配置文件 - 定义 DLP 内容检查的数据泄露防护配置文件

    您可以在 安全性 > 数据泄露防护配置文件 > 数据泄露防护配置文件 > 内容配置文件 中创建或编辑内容配置文件

  • 操作 - 选择是否希望在规则匹配时生成事件

为规则定义文件或附件

您可以为规则定义特定文件(或附件),并限制 SaaS API 引擎仅扫描指定的文件,以查看它们是否与 DLP 内容配置文件匹配。

当您将多个文件添加到规则时,选择它们之间的关系:

  • 满足任一条件(或) - 仅匹配规则中的一个文件类型

  • 全部满足(与) - 匹配规则中的所有文件类型(否则,规则将被忽略)

您可以在规则中使用文件名称设置来定义确切的文件名称或使用通配符定义关键词。 例如,您可以将文件名称定义为 内部 以匹配所有包含单词 内部 的文件名称。

使用有序数据保护规则

SaaS 安全 API 引擎按顺序检查数据,并检查它是否符合规则。 如果数据不符合规则,则不进行检查。 规则库顶部的规则具有更高的优先级,它们在规则库中较低的规则之前被应用。 每种类型的应用程序或连接器仅应用于数据一次。

最佳实践 - 为了最大限度地提高规则库的效率,我们建议对每种连接器类型,与特定用户相关的规则应优先于适用于任何用户的规则。

例如,如果数据与规则#2中的连接器匹配,SaaS 安全 API 引擎将检查数据。 引擎不会继续为相同的连接器应用规则#3及其以下的规则。 但是,数据可能匹配具有不同连接器的较低优先级规则。

向连接器添加威胁防护

您可以为连接器创建威胁防护规则,使用为您的帐户启用的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。 SaaS 安全 API 引擎扫描连接器流量,并应用您为规则配置的操作和跟踪选项:

  • 监控流量(即将支持阻止)

  • 生成事件

  • 发送电子邮件通知

当您创建 SaaS 安全 API 威胁防护规则时,为您的账户启用的反恶意软件引擎(安全性 > 反恶意软件)对发送到该连接器应用程序的文件执行恶意软件扫描。

以下截图显示了针对 OneDrive 连接器的威胁防护规则,该规则扫描内部用户或访客发送的文件:

CAS_Threat_Protection.png

为文件创建例外

有时您知道某个文件是安全的,但该文件被卡托的 SaaS 安全 API 引擎所阻止,此时需要在网络中允许该文件。 事件页面允许您使用文件哈希值创建绕过威胁防护扫描的例外。 打开被阻止的特定文件的事件后,单击文件哈希值以打开例外配置面板,并将该文件添加为帐户的例外。 您可以选择文件例外的持续时间,或将例外配置为永久。

文件例外适用于反恶意软件和 SaaS 安全 API

文件例外适用于反恶意软件SaaS 安全 API 威胁防护策略。 当您从反恶意软件和下一代反恶意软件事件中创建例外时,这些例外也适用于SaaS 安全 API 威胁防护策略。 同样,当您从SaaS 安全 API 反恶意软件事件中创建文件例外时,这些例外也适用于反恶意软件策略。 完整的文件例外列表在反恶意软件页面和SaaS 安全 API 威胁防护页面上显示。

创建文件例外:

  1. 从导航菜单中选择主页 > 事件

  2. 使用SaaS安全API反恶意软件子类型筛选事件。

  3. 时间列展开事件。

  4. 在事件中,点击文件哈希值链接。

    例外配置面板打开。

    exception_configuration.png

  5. 持续时间下拉菜单中选择文件在反恶意软件和下一代反恶意软件引擎中排除的时间长短。

    要创建永久例外,请选择永久

  6. 点击应用

    例外已创建并添加到威胁防护标签页和反恶意软件页面的文件例外部分。

    AM_FileExceptions.png

删除文件例外

在不再需要时,删除威胁防护策略的例外。

要删除威胁防护策略的文件例外:

  1. 从导航菜单中,点击安全 > SaaS 安全 API 策略

  2. 选择威胁防护标签页。

  3. 文件例外部分,点击Delete.png以删除您想要移除的例外。

  4. 点击保存

    例外已被移除。

分析SaaS安全API事件

主页 > 事件页面显示您账户的所有SaaS安全API事件。 强大的搜索工具让您可以深入查找并识别包含您所需相关数据的少数事件。

SaaS安全API事件可以通过以下字段识别:

  • 事件类型 - 安全

  • 子类型 - SaaS安全API数据保护和SaaS安全API反恶意软件

您可以在这里了解更多关于如何使用事件屏幕的知识。 您可以使用SaaS安全API数据保护预设来过滤事件。

解释SaaS安全API事件字段

字段名称

描述

连接器名称

为该规则定义的连接器名称

连接类型

为此连接器定义的SaaS 应用程序

数据泄露防护配置文件

生成此事件的数据泄露防护内容配置文件

文件名称

附加文件的名称

匹配的数据类型

内容配置文件中与规则匹配的数据类型

协作者

接收文件的用户的电子邮件地址

规则

数据保护策略中的规则名称

发送方

发送消息或文件的Slack用户

严重性

为规则定义的严重性

共享范围

Slack附件的共享选项

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论