Microsoft OneDrive：配置数据保护 API 连接器

本文介绍如何为您的账户配置 Microsoft OneDrive 连接器以应用应用程序和数据 API 保护政策，并为数据保护政策创建 OneDrive 规则。

应用程序和数据 API 保护政策需要单独从 Cato 获取许可证。请联系您的 Cato 代表或官方经销商以获取更多信息。

注意

注意： 请联系SaaSecAPI@catonetworks.com或您的官方Cato经销商，获取有关使用应用程序和数据API保护策略的更多信息。

Microsoft连接器概述

为 Microsoft 365 和 OneDrive SaaS 应用创建连接器。

每个 Microsoft OneDrive 应用和 Azure 租户（根据 365 应用）均受到 Microsoft 的速率限制。更多信息请参见 Microsoft 文档。

先决条件

Microsoft 365 连接器需要具有全局管理员角色的管理员为数据保护 API 授予权限

OneDrive API连接器的所需权限

为了让数据保护 API 扫描 OneDrive 文件和文件夹的资产和内容，连接器给予 Cato 与 OneDrive 应用的以下权限和操作：

使用 Oauth2 授予应用程序访问权限
从应用接收令牌以建立并保持安全连接
根据应用程序和数据 API 保护政策连接 Microsoft API，并获取数据和扫描文件，包括：
- 读取所有站点集合中的文件
- 登录并读取用户的完整个人资料
- 在所有站点集合中编写文件（即将推出）

使用Microsoft OneDrive API连接器

本节介绍如何为 Microsoft 365 和 OneDrive 创建 API 连接器，并将其连接到您的 Cato 账户。

了解Microsoft OneDrive的API连接器

为了让数据保护 API 扫描 Microsoft OneDrive 的资产和内容，首先需要将 Microsoft 365 连接器配置为父应用程序，以便为 OneDrive 连接器授予读取权限。父应用程序仅具有管理 Microsoft 连接器的权限。之后，如有必要，您可以为每个 Azure 租户创建单独的 Microsoft 365 连接器。

步骤 1：创建 Microsoft 365 连接器

使用 Cato 管理应用程序创建 Microsoft 365 SaaS 应用程序连接器，为您正在使用数据保护 API 扫描的 Microsoft OneDrive 应用程序的 Azure 租户。您必须具备正确的凭据才能对 Microsoft OneDrive 应用进行身份验证，以将其添加到您的 Cato 账户中。

在创建和配置连接器设置之前，您首先需要为您的账户启用数据保护 API。

首先，配置 MS 租户集成作为父连接器。此连接器可用于所有 Microsoft 集成。如果您已经创建了父连接器，请前往第 2 步。

要创建 MS 租户集成：

从导航菜单中选择资源>整合，然后点击集成应用程序标签页。
点击新建。 新连接器 面板打开。
在新连接器面板中，选择MS 租户（配置新的 MS 租户）应用程序。
输入 连接器名称。
点击 授权并保存。

一个新浏览器标签页打开到 Microsoft 365 应用程序。
在新的浏览器标签页上，认证到 Microsoft 365 应用程序：
1. 选择 Microsoft 365 应用程序的 Microsoft 账户。
  
  否则，可能会出现 Microsoft 认证错误。
2. 输入应用程序的密码并批准它。
3. 接受权限以让 Cato 访问 Microsoft 365 应用程序。
4. 屏幕显示您已成功应用该应用程序的权限。
  
  您可以关闭浏览器标签页并返回到 Cato 管理应用程序。
Microsoft 365 SaaS应用程序已添加到集成应用程序标签页。

步骤 2：创建 Microsoft OneDrive 连接器

Microsoft OneDrive连接器允许数据保护API引擎扫描您在数据保护政策中定义的文件内容。

注意

Note: When you create an API connector for a Microsoft 365 app, the connector creates an authentication certificate that is valid for 3 months, and renews the certificate 7 days before expiration.

要创建 Microsoft OneDrive 连接器：

从导航菜单中选择资源>整合，然后点击集成应用程序标签页。
点击新建。 新连接器 面板打开。
为您在上一节创建的 连接器父级 创建新的 OneDrive SaaS 应用程序。
点击 授权并保存。
在新的浏览器标签页中，认证到 OneDrive 应用程序。
1. 选择 OneDrive 应用程序的 Microsoft 账户并登录。
2. 输入应用程序的密码并批准它。
3. 接受权限以便 Cato 访问 OneDrive 应用程序。
4. 屏幕显示您已成功应用该应用程序的权限。
  
  您可以关闭浏览器标签页并返回到 Cato 管理应用程序。
  
  Microsoft Azure 处理请求可能需要几秒钟，所以如果收到错误，请刷新浏览器。
OneDrive SaaS应用程序已添加到集成应用程序标签页。

了解连接器状态

连接器设置屏幕上的状态列显示 Microsoft 应用程序与您的 Cato 账户之间连接的状态。这些是状态的解释：

已连接 - 您的账户已连接到应用程序并正常工作
连接警告 - Azure 租户中的某些用户没有正确配置以支持数据保护 API（例如，用户未定义电子邮件地址）。请打开工单与支持。
连接错误 - 与Microsoft连接器的连接性或权限问题，或速率限制（Microsoft限制）。请打开一个支持的工单。
待处理用户同意 - OneDrive连接器已在连接设置屏幕中创建，但您还未在OneDrive帐户中完成授权其连接到Cato的过程。

向数据保护政策添加OneDrive规则

本节解释了如何使用数据保护策略来监控和管理用户对OneDrive文件执行的操作。例如，共享文件、创建新文件、上传等。

有关DLP内容配置文件的更多信息，请参阅创建DLP内容配置文件。

了解OneDrive操作

当您创建数据保护规则时，可以定义不同的操作来监控或补救当规则匹配时的策略违规。每个操作都会自动生成一个事件，您还可以选择接收电子邮件通知。有关数据保护API事件的更多信息，请参阅下文分析数据保护API事件。

这些是您可以为数据保护引擎设置的操作，以在规则匹配时执行：

监控 - 生成一个事件，让您可以监控匹配规则的流量。
移除共享 - 当用户尝试共享文件时，数据保护 API 引擎会移除未授权的共享权限，并且接收共享文件链接的用户将没有访问文件的权限。
隔离 - 当用户尝试上传文件时，数据保护 API 引擎会将其移动到隔离文件夹中，用户无法再访问它。 OneDrive管理员可以访问隔离文件夹中的文件。有关配置隔离文件夹的信息，请参阅准备文件隔离。

文件隔离准备

为数据保护和威胁防护规则配置隔离文件夹，并为有权限访问这些文件夹的OneDrive管理员定义权限。您可以为租户的每个OneDrive管理员配置隔离文件夹。配置文件夹后，您可以创建包含隔离操作的规则，并定义文件移动到的文件夹。

要为OneDrive管理员配置隔离文件夹：

从导航窗格中，选择安全性 > 应用 & 数据 API 保护，然后选择设置选项卡。
点击新建。 隔离文件夹面板打开。
选择OneDrive应用连接器。
选择OneDrive管理员来访问这些隔离文件夹。
点击保存。

为管理员创建一个数据保护文件夹和一个威胁预防文件夹，并可以在规则中配置隔离操作。文件夹以管理员的电子邮件地址命名，并位于以下OneDrive目录中：
- 数据保护文件夹：Cato_Qarantine/Cato_Qarantine_DataProtection
- 威胁预防文件夹：Cato_Qarantine/Cato_Qarantine_ThreatPrevention

配置OneDrive规则

使用数据保护页面将SaaS应用规则添加到数据保护策略中。

创建数据保护规则以定义由数据保护API扫描的流量。为每个SaaS应用连接器创建单独的规则，然后定义确定哪种流量被扫描的条件。

有关OneDrive规则设置的更多信息，请参阅下文理解OneDrive规则。

要为OneDrive应用创建新的数据保护规则：

在导航窗格中，选择安全 > 应用程序和数据API保护，然后选择或展开数据保护。
点击新建。 新建规则面板将打开。
在应用连接器中选择OneDrive应用程序。
在常规部分输入规则的设置。
在所有者中选择一个或多个OneDrive文件所有者（默认值为任意）。

当您选择多个所有者时，它们之间存在“或”关系。
在共享选项中选择一个或多个文件权限类型（默认值为任意）。

当您选择多个选项时，它们之间存在“或”关系。
在附件中，定义指定要扫描的文件的条件（默认设置是扫描所有文件）。
在内容配置文件中，为此规则选择DLP内容配置文件。
选择一个操作。

对于隔离操作，选择一个隔离文件夹路径。对于隔离文件夹的更多信息，请参见上文???。
（可选） 配置跟踪选项以生成事件并发送通知。

有关通知的更多信息，请参阅警报部分中关于订阅组、邮件列表和警报集成的相关文章。
点击保存。规则已添加到数据保护策略中。

了解OneDrive规则

本节说明如何定义数据保护规则的设置，以扫描正确的OneDrive流量。每个规则可以根据以下条件定义：

所有者 - 个别用户或Azure用户类型是相关OneDrive目录的所有者（默认值为任意人）
共享选项 - 选择与此规则匹配的文件共享权限类型（默认值为任意）

例如，要监控与任何外部用户共享的文件，请选择外部链接。
附件 - 扫描的附件的条件（默认值为所有附件）
- 文件类型
- 文件名称
- 文件大小（最大文件大小为100 MB）
内容配置文件 - 定义数据泄露防护内容检测的内容配置文件（安全 > DLP 配置文件 > 内容配置文件）
操作 - 请参阅上文理解OneDrive操作

为规则定义文件或附件

您可以为规则定义特定文件（或附件），并限制SaaS API引擎仅扫描指定的文件，以查看它们是否与DLP内容配置文件匹配。

当您向规则添加多个文件时，选择它们之间的关系：

满足任一条件（或） - 仅匹配规则中的一个文件类型
全部满足（与） - 与规则中的所有文件类型匹配（否则，规则被忽略）

您可以使用规则中的文件名称设置来定义确切的文件名称或使用通配符定义关键词。例如，您可以将文件名称定义为内部以匹配所有包含内部这个词的文件名称。

与有序数据保护规则合作

数据保护API引擎按顺序检查数据，并查看其是否符合规则。如果数据不符合规则，则不予检查。在规则库顶部的规则优先级较高，并在规则库底部的规则之前应用。每种类型的应用程序或连接器仅应用于数据一次。

最佳实践 - 为了最大化规则库的效率，我们建议每种连接器类型，特定用户的规则优先于适用于任意用户的规则。

例如，如果数据与规则#2中的连接器匹配，则数据由数据保护API引擎检查。引擎不再对同一连接器继续应用规则#3及以下。但是，数据可能与具有不同连接器的较低优先级规则匹配。

向连接器添加威胁保护

您可以为连接器创建威胁防护规则，使用已为您的帐户启用的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。数据保护API引擎扫描连接器流量，并应用您为规则配置的操作和跟踪选项。

以下是您可以为威胁防护引擎设置的在规则匹配时执行的操作：

监控 - 生成事件以便您监控与规则匹配的流量。
移除共享 - 当用户尝试共享文件时，数据保护 API 引擎会移除未经授权的共享权限，并且接收共享文件链接的用户将没有访问该文件的权限。
隔离 - 当用户尝试上传文件时，数据保护 API 引擎将其移动到隔离文件夹中，然后用户将无法再访问它。 Onedrive管理员可以访问隔离文件夹中的文件。有关配置隔离文件夹的信息，请参阅准备文件隔离。

每个操作都会自动生成事件，您还可以选择接收电子邮件通知。有关数据保护API事件的更多信息，请参阅下文分析数据保护API事件。

当您创建应用程序 & 数据 API 保护规则时，为您的账户启用的反恶意软件引擎（安全性 > 反恶意软件）会对为该连接器应用程序发送的文件执行恶意软件扫描。

以下截图显示了用于OneDrive连接器的威胁防护规则，该规则会扫描由内部用户或访客发送的文件：

为文件创建例外

有时，Cato 的数据保护API引擎会阻止您知道是安全的文件，您需要在网络中允许它。文件哈希政策中的反恶意软件例外也适用于应用 & 数据API保护。有关将文件添加到文件哈希策略的更多信息，请参见管理反恶意软件例外。

分析数据保护API事件

主页>事件页面显示你的账户的所有数据保护 API事件。强大的搜索工具让你可以深入探查并识别包含所需相关数据的少数事件。

数据保护 API事件可以通过以下字段来识别：

事件类型 - 安全性
子类型 - SaaS 安全 API 数据保护和 SaaS 安全 API 反恶意软件

您可以在此处了解更多关于使用事件页面的信息。

解释数据保护 API事件字段

字段名称	描述
协作者	收到文件的用户的电子邮件地址
连接器名称	为规则定义的连接器的名称
连接类型	为此连接器定义的 SaaS 应用
数据泄露防护配置文件	生成该事件的 DLP 内容配置文件
文件名称	附件文件的名称
匹配的数据类型	在内容配置文件中与规则匹配的数据类型
所有者	文件所有者
父连接类型	父 Microsoft 365 连接器
规则	数据保护策略中的规则名称
严重性	为规则定义的严重程度
共享范围	OneDrive 文件的共享选项