Box:配置数据保护API连接器

本文解释了如何为您的账户配置 应用 & 数据API保护 策略的Box连接器,并创建在数据保护或威胁防护策略中使用此连接器的规则。

应用 & 数据API保护 策略需要单独的Cato许可证。 请联系您的Cato代表或官方经销商以获取更多信息。

Box连接器概述

为您的组织创建Box租户的连接器。 然后在数据保护策略中定义包含Box连接器并定义被扫描和检查的文件的规则。 您可以为每个租户创建一个Box连接器。

必要条件

  • Box租户的管理员或协管理员权限

  • 连接器监控文件,其他操作即将支持

Box API连接器所需权限

为了使 数据保护API 能够扫描您Box账户中的文件和文件夹,连接器给予Cato以下权限和操作:

  • 授予访问权限到应用程序使用Oauth2

  • 从应用程序接收令牌以建立和维护安全连接

  • 连接到Box API并根据 应用 & 数据API保护 策略获取数据和扫描文件, 包括:

    • 用于监控操作 - 读取存储在Box中的所有文件和文件夹

      • 用于其他操作 - 写入存储在Box中的所有文件和文件夹的权限

    • 访问您Box账户中的用户数据

    • Cato管理员可以代表Box用户进行调用

已知限制

  • 上传到根文件夹的文件最多需要24小时才能对连接器可用

    • 上传到子文件夹和目录的文件可立即使用

使用Box连接器

本节解释了如何为Box创建API连接器,并将您组织的Box租户连接到您的Cato账户。

创建Box连接器

当您创建Box连接器时,Cato管理应用程序为该连接器生成客户端ID。 然后,登录到Box账户的管理员控制台,并创建新用户认证应用程序。 在Cato Box应用程序中输入客户端ID,然后授权Cato连接到您的Box账户。 最后,将Box连接器保存在Cato管理应用程序中,Cato现在已准备好监控Box文件和文件夹。

要为Box创建连接器:

  1. 从导航菜单中选择资源 > 集成并点击集成应用标签页。

  2. 点击 新建新连接器 面板打开。

  3. SaaS应用程序 下拉菜单中,选择 Box

    目前,仅支持Box应用程序的 读取 权限和操作。 然而,读/写 权限和操作将很快得到支持。

  4. 功能 部分,选择 数据和威胁防护

  5. 输入 连接器名称

  6. 客户端ID 复制到操作系统剪贴板。

  7. 为此连接器创建Cato Box应用程序:

    1. 点击链接以打开您账户的Box管理员控制台。

      Box页面将在新的浏览器标签页中打开。

    2. 登录到您的 Box 租户。

    3. 在 Box 导航菜单中,选择 管理员控制台

    4. 选择应用程序 > 平台应用程序管理器 > 用户身份验证应用

      Box_User_Apps.png

    5. 点击加号。

    6. 添加应用程序 窗口中,粘贴 客户端 ID(从上面的第 5 步中)。

      Box_Client_ID.png

    7. 点击 下一步

    8. 授权应用程序 窗口中,点击授权以允许 Cato 访问 Box 应用程序。

      Box_Authorize_App.png

      新的应用程序已添加到您的 Box 账户。

  8. 在 Cato 管理应用程序中,点击授权并保存

    Box权限页面将在新的浏览器标签页中打开。

  9. 为您的 Cato 账户授予访问 Box 应用程序的权限。

    1. 点击授予访问权限给 Box以允许 Cato 访问 Box 应用程序。

      Grant_Access_Box.png

    2. 屏幕显示您已成功为租户应用权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器标签页并返回到 Cato 管理应用程序。 Box 可能需要几秒钟来处理请求,因此如果收到错误,请刷新浏览器。

      在 Box 处理请求期间,连接器的状态为等待用户同意(请参见下文了解连接器状态)。

  10. Box SaaS应用程序已添加到集成的API标签页。

理解连接器状态

连接器设置屏幕上的状态列显示 Box 应用程序和您的 Cato 账户之间的连接状态。 以下是状态的解释:

  • 已连接 - 您的账户已连接到应用程序并正常工作

  • 连接警告 - Box 租户中的某些用户未正确配置以支持 数据保护 API。 请打开工单与支持

  • 连接错误 - Box 连接器的连接性或权限问题。 请打开工单与支持

    Box 仅支持每个租户创建一个连接器。

  • 等待用户同意 - Box 连接器已经在连接设置屏幕中创建,但您尚未完成授权 Cato 连接到您的 Box 账户的过程。

将Box规则添加到数据访问权限策略

本节介绍如何使用数据保护策略来监控和管理用户通过Box上传和下载的文件和文件夹。

理解Box动作

当您创建数据保护规则时,可以定义不同的操作,以在规则匹配时监测或纠正策略违规。 每个操作会自动生成一个事件,您也可以选择接收电子邮件通知。 关于数据保护API事件的更多信息,请参见下面的分析数据保护API事件

以下是您可以为数据保护引擎设置的操作,当规则匹配时执行:

  • 监控 - 生成一个事件,让您监控符合规则的流量。

  • 移除共享 - 当用户尝试共享文件时,数据保护API引擎会移除未经授权的共享权限,接收到共享文件链接的用户将无法访问文件。

注意

注意: 新增到根文件夹的文件可能需要最多24小时才能被扫描并应用规则操作。 子文件夹中的文件在上传后会立即被扫描。

配置Box规则

使用数据保护页面在数据保护策略中添加SaaS应用程序规则。

创建一个数据保护规则,以定义由数据保护API扫描的流量。 为每个SaaS应用程序连接器创建单独的规则,然后定义决定扫描哪些流量的条件。

关于Box规则设置的更多信息,请参见下面的理解Box规则

Box_Data_Protection.png

要为Box应用创建新的数据保护规则:

  1. 从导航窗格中,选择安全 > 应用和数据API保护,并选择或展开数据保护

  2. 点击新建新建规则面板将打开。

  3. 应用连接器中,选择Box应用。

  4. 常规部分,输入规则的设置。

  5. 所有者中,选择一个或多个您正在监控的Box用户(默认值为任意)。

    当您选择多个用户时,用户之间是或关系。

  6. 共享选项中,为扫描的文件和文件夹选择权限水平(默认值为任意)。

    当您选择多个选项时,选项之间是或关系。

  7. 文件属性中,定义指定哪些文件被扫描的条件(默认设置为扫描所有文件)。

  8. 内容配置文件中,为此规则选择DLP内容配置文件。

    关于数据泄漏保护内容配置的更多信息,请参见创建数据泄漏保护内容配置

  9. 选择一个操作

  10. (可选) 定义规则的跟踪选项以生成电子邮件通知。

    有关事件和电子邮件通知的更多信息,请参见账户级警报和系统通知

  11. 单击保存。 规则已添加到数据保护策略。

理解Box规则

本节解释如何定义数据保护规则设置以扫描正确的 Box 流量。 每个规则都可以根据以下条件来定义:

  • 所有者 - 你的工作区中的 Box 用户(默认值为 任何)

    • 内部 - 所有者是你公司中的任何用户

    • Box用户 - 所有者是特定用户

  • 共享选项 - 选择与此规则匹配的文件和文件夹的共享权限类型(默认值为 任何)

    • 私有 - 只有用户可以访问

    • 拥有链接的人 - 对拥有链接的任何人公开访问(无需登录 Box)

    • 公司内部人员 - 拥有链接的公司内任何用户

    • 仅限受邀公司内部人员 - 拥有链接的公司内任何用户

    • 仅限被邀请的外部人员 - 接收到带有链接邀请的外部用户

  • 文件属性 - 扫描的附件条件(默认值是所有附件)

    • 文件类型

    • 文件名称

    • 文件大小(最大文件大小为 20 MB)

  • 内容配置文件 - 定义 DLP 内容检查的 DLP 内容配置文件

    您可以在安全性 > 配置文件 > DLP 策略 > 内容配置文件中创建或编辑内容配置文件

  • 操作 - 当规则匹配时,选择是否要生成事件或电子邮件通知

定义规则的文件或附件

您可以为规则定义特定文件(或附件),并将 SaaS 安全 API 引擎限制为仅扫描指定文件以查看它们是否与 DLP 内容配置文件匹配。

当您向规则中添加多个文件时,选择它们之间的关系:

  • 满足任一条件(或) - 仅匹配规则中的一个文件类型

  • 全部满足(与) - 匹配规则中的所有文件类型(否则,规则将被忽略)

您可以在规则中使用文件名称设置定义确切的文件名称或使用通配符定义关键字。 例如,您可以将文件名称定义为内部,以匹配所有包含单词内部的文件名称。

使用有序数据保护规则

数据保护 API 引擎按顺序检查数据,并查看是否匹配某个规则。 如果数据与任何规则都不匹配,则不检查数据。 规则库顶端的规则具有较高的优先级,优先于规则库中较低位置的规则。 每种类型的应用程序或连接器仅对数据应用一次。

最佳实践 - 为了最大化规则库的效率,我们建议对于每种连接器类型,特定用户的规则应优先于适用于任何人用户的规则。

例如,如果数据与规则#2中的连接器匹配,数据将由数据保护API引擎检查。 引擎不会继续对同一连接器应用规则#3及以下的规则。 然而,数据可以与不同连接器的低优先级规则匹配。

向连接器添加威胁保护

您可以为连接器创建威胁防护规则,使用为您的账户启用的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。 数据保护API引擎扫描连接器流量,并应用您为规则配置的操作和跟踪选项。

以下是您可以为威胁防护引擎设置在匹配规则时执行的操作:

  • 监控 - 生成一个事件,让您监控与规则匹配的流量。

  • 移除共享 - 当用户尝试共享文件时,数据保护API引擎将移除未授权的共享权限,收到共享文件链接的用户将没有访问权限。

每个操作都会自动生成事件,您也可以选择接收电子邮件通知。 关于数据保护API事件的更多信息,请参见下面的分析数据保护API事件

当您创建应用程序和数据API保护规则时,为您的账户启用的反恶意软件引擎(安全性>反恶意软件)将对为该连接器应用程序发送的文件执行恶意软件扫描。

以下截图显示了OneDrive连接器的威胁防护规则,扫描内部用户或访客发送的文件:

CAS_Threat_Protection.png

为文件创建例外

有时Cato的数据保护API引擎会阻止一个被认为安全的文件,您需要在网络中允许该文件。 文件哈希值策略中的反恶意软件例外同样适用于 应用和数据API保护。 有关将文件添加到文件哈希值策略的更多信息,请参见 管理反恶意软件例外

分析数据保护API事件

主页 > 事件页面显示您的账户的所有数据保护 API事件。 强大的搜索工具让您深入挖掘,识别出包含您需要的相关数据的少数事件。

数据保护 API事件可通过以下字段识别:

  • 事件类型 - 安全性

  • 子类型 - SaaS 安全 API 数据保护 和 SaaS 安全 API 反恶意软件

您可以在这里了解更多关于使用事件页面的信息。

解释数据保护API事件字段

字段名称

描述

连接器名称

为规则定义的连接器的名称

连接类型

为此连接器定义的SaaS应用程序

数据泄露防护配置文件

生成此事件的数据泄露防护内容配置文件

文件名称

附件的文件名称

文件大小

附件的文件大小

文件类型

附件的文件类型

匹配的数据类型

在规则中匹配的数据类型的内容配置文件

协作者

接收文件的用户的电子邮件地址

规则

数据保护策略中的规则名称

所有者

文件所有者

严重程度

为规则已定义的严重程度

共享范围

Box附件的共享选项

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论