为 Microsoft OneDrive 配置 SaaS 安全 API 连接器

分析您网络中的事件 本文解释了如何为您的帐户配置 Microsoft OneDrive 连接器的 SaaS 安全 API 策略,并为数据保护策略创建 OneDrive 规则

SaaS 安全 API 策略需要 Cato 的单独许可证。 请联系您的 Cato 代表或官方经销商以获取更多信息。

注意

注意: 请联系SaaSecAPI@catonetworks.com 或官方Cato经销商以获取有关使用SaaS安全API策略的更多信息。

Microsoft 连接器概览

创建 Microsoft 365 和 OneDrive SaaS 应用程序的连接器。

每个 Microsoft OneDrive 应用和 Azure 租户(根据 365 应用)均须遵守 Microsoft 的速率限制。 有关更多信息,请参阅Microsoft 文档

先决条件

  • Microsoft 365 连接器需要具有全局管理员角色的管理员授予 SaaS 安全 API 权限

OneDrive API 连接器的所需权限

为了使 Cato 的 SaaS 安全 API 扫描资产和内容中的 OneDrive 文件和文件夹,连接器向 Cato 授予以下权限和操作:

  • 使用 Oauth 2 授予应用程序访问权限

  • 从应用程序接收令牌以建立并维护安全连接

  • 连接到 Microsoft APIs,获取数据并根据 SaaS 安全 API 数据保护政策扫描文件,包括:

    • 读取所有站点的文件

    • 登录并读取用户的完整个人资料

    • 向所有站点中写入文件(即将推出)

使用 Microsoft OneDrive API 连接器

本节介绍如何为 Microsoft 365 和 OneDrive 创建 API 连接器,并将它们连接到您的 Cato 帐户。

了解 Microsoft OneDrive 的 API 连接器

为了使 SaaS 安全 API 能够扫描 Microsoft OneDrive 的资产和内容,首先需要将 Microsoft 365 连接器配置为父应用程序,以便为 OneDrive 连接器授予读取权限。 父应用程序仅有权限管理 Microsoft 连接器。 随后,若有必要,可为每个 Azure 租户单独创建 Microsoft 365 连接器。

创建 Microsoft 365 连接器

使用 Cato 管理应用程序为您的 Azure 租户创建 Microsoft 365 SaaS 应用程序连接器,以使用 SaaS 安全 API 扫描 Microsoft OneDrive 应用程序。 您必须拥有正确的凭据才能认证到 Microsoft OneDrive 应用程序以将其添加到您的 Cato 帐户。

在创建和配置连接器参数之前,首先需要为您的帐户启用 SaaS 安全 API。

Create_API_Connector.png

要创建 Microsoft 365 父连接器:

  1. 从导航菜单中,选择资源 > 集成,并点击SaaS 安全 API 数据保护

  2. 点击 新建新连接器面板打开。

  3. 新连接器 面板中,选择 Microsoft 365(新租户) 应用程序。

    New_Microsoft_365_Connector.png

  4. 输入连接器名称

  5. 点击授权并保存

    浏览器将在 Microsoft 365 应用程序上打开一个新标签页。

  6. 在新浏览器标签页中,认证到 Microsoft 365 应用程序:

    1. 选择 Microsoft 365 应用程序的 Microsoft 账户。

      否则可能会出现 Microsoft 认证错误。

    2. 输入应用程序密码并批准。

    3. 接受权限以允许 Cato 访问 Microsoft 365 应用程序。

    4. 屏幕显示您已成功申请应用程序的权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器标签页并返回到 Cato 管理应用程序。

  7. Microsoft 365 SaaS 应用程序已添加到SaaS 安全 API 数据保护 页面。

    Azure_AD_Connector_Settings.png

创建 Microsoft OneDrive 连接器

Microsoft OneDrive 连接器使 Cato SaaS API 引擎可以扫描电子邮件中的内容,这些内容是您在数据保护策略中定义的。

注意

注意: 当您为 Microsoft 365 应用程序创建 API 连接器时,连接器会创建一个有效期为 3 个月的认证证书,并在到期前 7 天续订证书。

要为 Microsoft OneDrive 创建连接器:

  1. 从导航菜单中,选择资源 > 集成,并点击SaaS 安全 API 数据保护

  2. 点击 新建新连接器面板打开。

  3. 为您在前一节中创建的父连接器创建一个新OneDrive SaaS 应用程序

  4. 点击授权并保存

  5. 在一个新打开的浏览器标签页中,认证到 OneDrive 应用程序。

    1. 选择 OneDrive 应用程序的 Microsoft 账户并登录。

    2. 输入应用程序密码并批准。

    3. 接受权限以允许 Cato 访问 OneDrive 应用程序。

      OneDrive_Permissions.png

    4. 屏幕显示您已成功申请应用程序的权限。

      您可以关闭浏览器标签页并返回到Cato管理应用程序。

      Microsoft Azure可能需要几秒钟来处理请求,因此如果您收到错误,请刷新浏览器。

  6. OneDrive SaaS应用程序已添加到已安装的SaaS应用程序页面。

了解连接器状态

在连接器设置屏幕上的状态栏中显示Microsoft应用程序与您的Cato账户之间的连接状态。 以下是状态的解释:

  • 已连接 - 您的账户已连接到应用程序并正常工作

  • 连接警告 - Azure租户中的某些用户未正确配置以支持SaaS安全API(例如,未为用户定义电子邮件地址)。 请通过支持打开工单。

  • 连接错误 - 与Microsoft连接器的连接性或权限问题,或速率限制(Microsoft限制)。 请通过支持打开工单。

  • 等待用户同意 - OneDrive连接器已在连接设置屏幕中创建,但您尚未在OneDrive账户中完成连接到Cato的授权过程。

将OneDrive规则添加到数据保护策略

本节说明如何使用数据保护策略监控和管理用户对OneDrive文件执行的操作。 例如,共享文件,创建新文件,上传等。

有关DLP内容配置文件的更多信息,请参见创建DLP内容配置文件

了解OneDrive操作

当您创建数据保护规则时,可以定义不同的操作来监控或补救规则匹配时的策略违规。 每个操作都会自动生成一个事件,您还可以选择接收电子邮件通知。 有关SaaS安全API事件的更多信息,请参见下文分析SaaS安全API事件

以下是您可以设置的数据保护引擎在规则匹配时执行的操作:

  • 监控 - 生成一个事件以便您监控与规则匹配的流量。

  • 移除共享 - 当用户尝试共享文件时,SaaS安全API引擎会移除未授权的共享权限,接收共享文件链接的用户将没有权限访问文件。

  • 隔离 - 当用户尝试上传文件时,SaaS安全API引擎会将其移动到一个隔离文件夹中,用户将无法再访问它。 OneDrive管理员可以访问隔离文件夹中的文件。 有关配置隔离文件夹的信息,请参见准备文件隔离

准备文件隔离

为数据保护和威胁预防规则配置隔离文件夹,并定义具有访问这些文件夹权限的OneDrive管理员。 您可以为租户中的每个OneDrive管理员配置隔离文件夹。 当您配置文件夹时,您可以创建带有隔离操作的规则,并定义文件移动到的文件夹。

SaaS_Security_API_Settings_Onedrive.png

要为OneDrive管理员配置隔离文件夹:

  1. 从导航窗格中,选择安全性 > SaaS安全API策略并选择设置标签。

  2. 点击新建隔离文件夹面板打开。

    SaaS_Security_API_Settings_Onedrive_Quarantine_Folder.png

  3. 选择OneDrive应用连接器。

  4. 选择具有访问这些隔离文件夹权限的OneDrive管理员。

  5. 点击保存

    为管理员创建数据保护文件夹和威胁预防文件夹,并可配置在带有隔离操作的规则中。 文件夹以管理员的电子邮件地址命名,并位于以下OneDrive目录中:

    • 数据保护文件夹:Cato_Qarantine/Cato_Qarantine_DataProtection

    • 威胁预防文件夹:Cato_Qarantine/Cato_Qarantine_ThreatPrevention

配置OneDrive规则

使用数据保护页面在您的数据保护策略中添加SaaS应用程序规则。

创建数据保护规则以定义由SaaS安全API扫描的流量。 为每个SaaS应用连接器创建单独的规则,然后定义决定扫描哪些流量的条件。

有关OneDrive规则设置的更多信息,请参见下文了解OneDrive规则

OneDrive_Data_Protection.png

要为OneDrive应用创建新的数据保护规则:

  1. 从导航窗格中,选择安全性 > SaaS安全API策略并选择或展开数据保护

  2. 点击新建新建规则面板打开。

  3. 应用连接器中,选择OneDrive应用。

  4. 常规部分中,输入规则的设置。

  5. 所有者中,选择一个或多个 OneDrive 文件所有者(默认值为任何)。

    当选择多个所有者时,它们之间存在或(OR)关系。

  6. 共享选项中,选择一个或多个文件权限类型(默认值为任何)。

    当选择多个选项时,它们之间存在或(OR)关系。

  7. 附件中,定义条件以指定要扫描的文件(默认设置是扫描所有文件)。

  8. 内容配置文件中,为此规则选择数据泄露防护内容配置文件。

  9. 选择一个操作

    对于隔离操作,选择一个隔离文件夹路径。 有关隔离文件夹的详情,请参见上文???。

  10. (可选) 配置跟踪选项以生成事件并发送通知。

    有关通知的更多信息,请参见订阅组、邮件列表和警报集成的相关文章,位于警报部分。

  11. 单击保存。 规则已添加到数据保护策略中。

了解 OneDrive 规则

本节介绍如何定义数据保护规则设置以扫描正确的 OneDrive 流量。 每个规则都可以根据以下条件进行定义:

  • 所有者 - 相关 OneDrive 目录的个人用户或 Azure 用户类型的所有者(默认值是任何人

  • 共享选项 - 选择符合此规则的文件共享权限类型(默认值是任何

    例如,要监控与任何外部用户共享的文件,请选择外部链接

  • 附件 - 扫描的附件标准(默认值是所有附件)

    • 文件类型

    • 文件名称

    • 文件大小(最大文件大小为100 MB)

  • 内容配置文件 - 定义数据泄露防护内容检查的数据泄露防护配置文件(安全性 > 数据泄露防护配置文件 > 数据泄露防护配置文件 > 内容配置文件)

  • 操作 - 请参见上文了解 OneDrive 操作

定义规则的文件或附件

您可以为规则定义特定的文件(或附件),并限制 SaaS API 引擎仅扫描指定的文件以检查它们是否符合数据泄露防护内容配置文件。

当您将多个文件添加到规则时,选择它们之间的关系:

  • 满足任一条件(或) - 仅匹配规则中的一个文件类型

  • 全部满足(与) - 匹配规则中的所有文件类型(否则规则将被忽略)

您可以在规则中使用文件名称设置来定义确切的文件名称或使用通配符来定义关键词。 例如,您可以将文件名称定义为内部以匹配所有包含单词内部的文件名。

使用排序的数据保护规则

SaaS 安全 API 引擎顺序检查数据,并查看它是否匹配规则。 如果数据不匹配规则,则不会进行检查。 位于规则库顶部的规则具有更高的优先级,并且在规则库下方的规则之前应用。 每种类型的应用程序或连接器仅应用于数据一次。

最佳实践 - 为了最大化规则库的效率,我们建议对于每种连接器类型,特定用户的规则优先于适用于任何人用户的规则。

例如,如果数据在规则#2中匹配一个连接器,那么数据将由 SaaS 安全 API 引擎进行检查。 引擎不会继续为同一连接器应用规则#3及以下。 但是,数据可能与不同连接器的低优先级规则匹配。

将威胁防护添加到连接器

您可以为连接器创建威胁防护规则,通过已为您账户启用的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。 SaaS 安全 API 引擎扫描连接器流量,并应用您为规则配置的操作和跟踪选项。

以下是您可以设置让威胁防护引擎在规则匹配时执行的操作:

  • 监控 - 生成一个事件以让您监控符合规则的流量。

  • 移除共享 - 当用户尝试共享文件时,SaaS 安全 API 引擎将移除未经授权的共享权限,接收共享链接的用户将无法访问该文件。

  • 隔离 - 当用户尝试上传文件时,SaaS 安全 API 引擎会将其移至隔离文件夹,用户将无法再访问该文件。 OneDrive 管理员可以访问隔离文件夹中的文件。 有关隔离文件夹配置的信息,请参见准备文件隔离

每个操作都会自动生成事件,您也可以选择接收电子邮件通知。 有关 SaaS 安全 API 事件的更多信息,请参见下文分析 SaaS 安全 API 事件

当您创建 SaaS 安全 API 威胁防护规则时,已为您账号启用的反恶意软件引擎(安全性 > 反恶意软件)会对发送给连接器应用程序的文件进行恶意软件扫描。

下图显示了 OneDrive 连接器的威胁防护规则,扫描由内部用户或访客发送的文件:

CAS_Threat_Protection.png

为文件创建例外

有时Cato的SaaS安全API引擎会阻止一个您知道安全的文件,您需要在网络中允许它。 事件页面允许您使用文件哈希值创建绕过威胁防护扫描的例外。 在打开被阻止的特定文件的事件后,点击文件哈希以打开例外配置面板,并将文件添加为账户的例外。 您可以选择文件例外的持续时间,或配置例外为永久。

反恶意软件和SaaS安全API的文件例外

文件例外适用于反恶意软件SaaS 安全 API 威胁防护策略。 同样,当您从反恶意软件和下一代反恶意软件事件中创建文件例外时,这些例外也适用于SaaS安全API威胁防护策略。 同样,当您从SaaS安全API反恶意软件事件中创建文件例外时,这些例外也适用于反恶意软件策略。 完整的文件例外列表显示在反恶意软件页面和SaaS安全API威胁防护页面上。

要为文件创建例外:

  1. 从导航菜单中,选择主页 > 事件

  2. 使用SaaS 安全 API 反恶意软件子类型筛选事件。

  3. 时间列中展开事件。

  4. 在事件中,点击文件哈希值链接。

    例外配置面板打开。

    exception_configuration.png

  5. 持续时间下拉菜单中,选择文件从反恶意软件和下一代反恶意软件引擎中排除的时间。

    要创建永久例外,请选择永久

  6. 点击应用

    例外已创建并添加到威胁防护标签页中的 文件例外部分,以及反恶意软件页面。

    AM_FileExceptions.png

删除文件例外

在不再需要时,删除威胁防护策略的例外。

要删除威胁防护策略的文件例外:

  1. 从导航菜单中,点击安全 > SaaS 安全 API 策略

  2. 选择威胁防护标签页。

  3. 文件例外部分,点击Delete.png以删除您想要的例外。

  4. 点击保存

    例外被移除。

分析SaaS安全API事件

主页 > 事件页面显示了您账户的所有SaaS安全API事件。 强大的搜索工具让您可以深入查找并识别包含您需要的相关数据的少数事件。

SaaS安全API事件可以通过以下字段识别:

  • 事件类型 - 安全性

  • 子类型 - SaaS 安全 API 数据保护和SaaS 安全 API 反恶意软件

您可以在插入40个字符的证书指纹代码了解更多关于使用事件屏幕的信息。 您可以使用SaaS 安全 API 数据保护预设来筛选事件。

解释SaaS安全API事件字段

字段名称

描述

协作者

已接收文件的用户电子邮件地址

连接器名称

为规则定义的连接器名称

连接类型

为此连接器定义的SaaS应用程序

数据泄露防护配置文件

生成此事件的数据泄露防护内容配置文件

文件名称

附件文件的名称

匹配的数据类型

在内容配置文件中匹配规则的数据类型

所有者

文件所有者

父连接类型

父Microsoft 365连接器

规则

数据保护策略中的规则名称

严重性

为规则定义的严重性

共享范围

OneDrive文件的共享选项

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论