配置 Box 的 SaaS 安全 API 连接器

本文解释了如何为您的账户配置 Box 连接器，适用于 SaaS 安全 API 策略，并在数据保护或威胁防护策略中创建使用此连接器的规则。

SaaS 安全 API 策略需要一个单独的 Cato 许可证。请联系您的 Cato 代表或官方经销商以获取更多信息。

Box 连接器概览

为您组织的 Box 租户创建连接器。然后在数据保护策略中定义包含 Box 连接器的规则，并定义要扫描和检查的文件。您可以为每个租户创建一个 Box 连接器。

前提条件

Box 租户的管理员或副管理员权限
连接器监控文件，其他操作将很快得到支持

Box API 连接器所需的权限

为了使 Cato 的 SaaS 安全 API 能够扫描您 Box 账户中的文件和文件夹，连接器赋予 Cato 以下权限和操作与 Box 应用程序：

使用 Oauth2 授予访问权限应用
从应用接收令牌以建立和维护安全连接
连接至 Box APIs 并根据 SaaS 安全 API 数据保护策略获取数据和扫描文件，包括：
- 对于监控操作 - 读取存储在 Box 中的所有文件和文件夹
  - 对于其他操作 - 所有存储在 Box 中的文件和文件夹的写入权限
- 访问您 Box 账户中的用户数据
- Cato 管理员可以代表 Box 用户进行呼叫

已知限制

上传到根文件夹的文件，最多可能需要 24 小时才能对连接器可用
- 上传到子文件夹和目录的文件立即可用

使用 Box 连接器

本节解释了如何为 Box 创建 API 连接器，并将组织的 Box 租户连接到您的 Cato 账户。

创建 Box 连接器

创建 Box 连接器时，Cato 管理应用程序为该连接器生成客户端 ID。然后，登录到您 Box 账户的管理控制台，并创建一个新的用户身份验证应用程序。在 Cato Box 应用程序中输入客户端 ID，然后授权 Cato 连接到您的 Box 账户。最后，在 Cato 管理应用程序中保存 Box 连接器，Cato 现已准备好监控 Box 文件和文件夹。

要创建 Box 的连接器：

从导航菜单中，选择 资源 > 集成 并点击 SaaS 安全 API 数据保护。
点击新建。 新连接器 面板打开。
创建一个新的 Box 应用程序。

目前，仅支持 Box 应用程序的读取权限和操作。然而，读/写 权限和操作将很快得到支持。
输入 连接器名称。
将 客户端 ID 复制到操作系统剪贴板。
为这个连接器创建 Cato Box 应用程序：
1. 点击链接以打开您账户的 Box 管理控制台。
  
  Box 屏幕在新浏览器标签中打开。
2. 登录到您的 Box 租户。
3. 从 Box 导航菜单中，选择 管理员控制台。
4. 选择 应用程序 > 自定义应用管理器 > 用户身份验证应用。
5. 点击 添加应用。
6. 在 添加应用 窗口中，粘贴 客户端 ID（从上面的步骤 5）。
7. 点击 下一步。
8. 在 授权应用 窗口中，点击授权以赋予 Cato 访问 Box 应用程序的权限。
  
  新应用程序已添加到您的 Box 账户。
在 Cato 管理应用程序中，点击 授权并保存。

Box 权限屏幕将在新的浏览器标签中打开。
授予您的 Cato 账户访问 Box 应用程序的权限。
1. 点击 授予访问 Box 以允许 Cato 访问 Box 应用程序。
2. 屏幕显示您已成功为租户应用了权限。
  
  您可以关闭浏览器标签并返回到 Cato 管理应用程序。 Box 可能需要几秒钟来处理请求，因此如果收到错误，请刷新浏览器。
  
  当 Box 正在处理请求时，连接器的状态是 等待用户同意（见下文 理解连接器状态）。
Box SaaS 应用程序已添加到 SaaS 安全 API 数据保护 页面。

理解连接器状态

连接器设置屏幕上的状态列显示 Box 应用程序与您的 Cato 账户之间的连接状态。这些是状态的解释：

已连接 - 您的账户已连接至该应用程序并正常工作
连接警告 - Box租户中的某些用户未正确配置以支持Cato的SaaS安全API。请联系支持打开工单。
连接错误 - Box连接器的连接或权限问题。请联系支持打开工单。

Box仅支持每个租户创建一个连接器。
等待用户同意 - Box连接器已在连接设置屏幕中创建，但您尚未完成授权Cato连接到您的Box账户的过程。

将Box规则添加到数据保护策略中

本节说明如何使用数据保护策略来监控和管理用户通过Box上传和下载的文件和文件夹。

了解Box操作

创建数据保护规则时，您可以定义不同的操作来监控或修复规则匹配时的策略违规行为。每个操作都会自动生成一个事件，您也可以选择接收电子邮件通知。有关SaaS 安全 API事件的更多信息，请参见下文分析SaaS 安全 API事件。

这些是您可以为数据保护引擎在规则匹配时执行的设置动作：

监控 - 生成一个事件以让您监控与规则匹配的流量。
移除共享 - 当用户尝试共享文件时，SaaS安全API引擎会移除未授权的共享权限，收到共享文件链接的用户将没有权限访问该文件。

注意

注意： 添加到根文件夹的新文件最多可能需要24小时才能被扫描并应用规则操作。子文件夹中的文件在上传后会立即被扫描。

配置Box规则

使用数据保护页面在您的数据保护策略中添加SaaS应用程序规则。

创建数据保护规则以定义由SaaS安全API扫描的流量。为每个SaaS应用程序连接器创建单独的规则，然后定义确定扫描流量的条件。

有关Box规则设置的更多信息，请参见下文了解Box规则。

要为Box应用程序创建新的数据保护规则：

在导航窗格中，选择安全 > SaaS安全API策略，然后选择或展开数据保护。
单击新建。 新规则面板将打开。
在应用连接器中，选择Box应用程序。
在常规部分，输入该规则的设置。
在所有者中，选择您正在监控的一个或多个Box用户（默认值是任何人）。

当您选择多个用户时，它们之间是“或”关系。
在共享选项中，选择被扫描文件和文件夹的权限级别（默认值是任何）。

当您选择多个选项时，它们之间是“或”关系。
在文件属性中，定义指定被扫描文件的条件（默认设置是扫描所有文件）。
在内容配置文件中，为该规则选择数据泄露防护内容配置文件。

有关数据泄露防护内容配置文件的更多信息，请参见创建数据泄露防护内容配置文件。
选择一个操作。
（可选） 定义跟踪选项以生成电子邮件通知。

有关事件和电子邮件通知的更多信息，请参见账户级别警报和系统通知。
单击保存。该规则已添加到数据保护策略中。

了解Box规则

本节说明如何定义数据保护规则的设置以扫描正确的Box流量。每个规则可以根据以下条件定义：

所有者 - 您工作区中的Box用户（默认值是任何人）
- 内部 - 任何公司用户
- Box用户 - 特定用户为所有者
共享选项 - 选择符合此规则的文件和文件夹共享权限类型（默认值是任何）
- 私有 - 仅用户可访问
- 拥有链接的人 - 对所有拥有链接的人公开访问（无需登录Box）
- 公司内部人员 - 任何公司用户持有链接
- 仅限受邀公司内部人员 - 任何公司用户持有链接
- 仅限被邀请的外部人员 - 接受邀请并拥有链接的外部用户
文件属性 - 被扫描附件的条件（默认值是所有附件）
- 文件类型
- 文件名称
- 文件大小（最大文件大小为20 MB）
内容配置文件 - 定义数据泄露防护内容检查的数据泄露防护内容配置文件

您可以在安全 > 数据泄露防护配置文件 > 数据泄露防护配置文件 > 内容配置文件中创建或编辑内容配置文件
操作 - 选择在规则匹配时是否生成事件或电子邮件通知

定义规则的文件或附件

您可以为规则定义特定文件（或附件），并限制SaaS安全API引擎仅扫描指定的文件以查看它们是否与数据泄露防护内容配置文件匹配。

当您将多个文件添加到一个规则时，选择它们之间的关系：

满足任一条件（或） - 仅匹配规则中的一个文件类型
全部满足（与） - 匹配规则中的所有文件类型（否则忽略该规则）

您可以在规则中使用文件名称设置来定义确切的文件名称或使用通配符来定义关键词。例如，您可以将文件名称定义为内部以匹配所有包含内部一词的文件名。

处理已排序的数据保护规则

SaaS 安全 API 引擎按顺序检查数据，并查看它是否符合规则。如果数据不符合规则，则不会被检查。规则库顶部的规则具有更高的优先级，并在规则库下方的规则之前被应用。每种类型的应用程序或连接器仅应用于数据一次。

最佳实践 - 为了最大化规则库的效率，我们建议对于每种连接器类型，特定用户的规则优先于适用于任何用户的规则。

例如，如果数据与规则 #2 中的连接器匹配，SaaS 安全 API 引擎将对数据进行检查。引擎不会继续应用相同连接器的规则 #3 及以下的规则。但是，数据可能会与具有不同连接器的低优先级规则匹配。

将威胁防护添加到连接器

您可以为连接器创建威胁防护规则，使用启用于您账户的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。 SaaS 安全 API 引擎扫描连接器流量，并应用您为规则配置的操作和跟踪选项。

这些是您可以为威胁防护引擎设置的在规则匹配时执行的操作：

监控 - 生成一个事件以让您监控符合规则的流量。
移除共享 - 当用户尝试共享文件时，SaaS 安全 API 引擎会移除未经授权的共享权限，收到共享文件链接的用户将没有权限访问该文件。

每个操作都会自动生成一个事件，您还可以选择接收电子邮件通知。要了解有关SaaS安全API事件的更多信息，请参见下文分析SaaS安全API事件。

当您创建SaaS安全API威胁防护规则时，启用于您账户的反恶意软件引擎（安全 > 反恶意软件）会对用于该连接器应用程序的文件执行恶意软件扫描。

以下屏幕截图显示了OneDrive连接器的威胁防护规则，该规则扫描由内部用户或访客发送的文件：

为文件创建例外

有时，Cato 的 SaaS 安全 API 引擎会阻止您知道安全的文件，您需要在网络中允许它。事件页面允许您使用文件哈希创建绕过威胁防护扫描的例外。在您为特定被阻止的文件打开一个事件后，单击文件哈希以打开例外配置面板，并将该文件添加为账户的例外。您可以选择文件例外的持续时间，或将其配置为永久有效。

反恶意软件和SaaS 安全 API 的文件例外

文件例外适用于反恶意软件和SaaS安全API威胁防护策略。当您从反恶意软件和下一代反恶意软件事件中创建例外时，这些例外也适用于SaaS安全API威胁防护策略。同样，当您从SaaS安全API反恶意软件事件中创建文件例外时，这些例外也适用于反恶意软件策略。完整的文件例外列表在反恶意软件页面和SaaS安全API威胁防护页面上显示。

要为文件创建例外：

从导航菜单中，选择主页 > 事件。
使用子类型为SaaS 安全 API 反恶意软件过滤该事件。
从时间列展开事件。
在事件中，点击文件哈希值链接。

例外配置面板会打开。
从持续时间下拉菜单中选择将文件排除在反恶意软件和下一代反恶意软件引擎之外的时间。

要创建永久例外，请选择永久。
点击应用。

例外已创建并添加到威胁防护选项卡中的文件例外部分和反恶意软件页面中。

删除文件例外

当威胁防护策略中的例外不再需要时，删除该例外。

要删除威胁防护策略中的文件例外：

在导航菜单中，点击安全 > SaaS 安全 API 策略。
选择威胁防护标签页。
在文件例外 部分，点击在您想移除的例外处。
点击保存。

例外已删除。

分析SaaS安全API事件

主页 > 事件页面显示您账户的所有SaaS安全API事件。强大的搜索工具让您深入分析，并识别出包含您所需相关数据的少数事件。

可以通过以下字段识别SaaS安全API事件：

事件类型 - 安全
子类型 - SaaS安全API数据保护和SaaS安全API反恶意软件

您可以在插入40个字符的证书指纹代码了解使用事件屏幕。您可以使用SaaS安全API数据保护预设来过滤事件。

解释SaaS安全API事件字段

字段名称	描述
连接器名称	为规则定义的连接器名称
连接类型	为此连接器定义的SaaS应用
数据泄露防护配置文件	生成此事件的数据泄露防护内容配置文件
文件名称	所附文件的名称
文件大小	所附文件的大小
文件类型	所附文件的文件类型
匹配的数据类型	内容配置文件中与规则匹配的数据类型
协作者	接收文件用户的电子邮件地址
规则	数据保护策略中的规则名称
所有者	文件所有者
严重程度	为规则定义的严重程度
共享范围	Box附件的共享选项