Google Drive 和 Gmail：配置数据保护 API 连接器

本文解释了如何为您的帐户配置 Google Drive 和 Gmail 连接器的应用程序与数据 API 保护策略，并在数据保护策略中创建使用此连接器的规则。

注意

注意： 请联系 SaaSecAPI@catonetworks.com 或您的官方 Cato 转售商，以获取有关使用应用程序与数据 API 保护策略的更多信息。

Google Drive 和 Gmail 连接器概览

为您的组织创建 Google 租户的连接器。连接器要求您配置 Google Cloud 和 Google 管理控制台，以允许和启用您的 Cato 帐户的 API 调用。然后在数据保护策略中定义规则，包含连接器并指定要扫描和检查的文件或电子邮件。

前提条件

Google Cloud 和 Google 管理员账户的管理员权限
Google Drive 连接器需要 Google 管理控制台的商业许可证
Gmail 连接器需要 Gmail 企业许可证
Google Drive 和 Gmail 帐户已启用
连接器监控文件，其他操作将很快支持

创建初始 Google 连接器

本节说明如何为 Google Drive 和 Gmail 创建初始 API 连接器，以及如何将组织的 Google 租户连接到您的 Cato 帐户。

Google Drive 和 Gmail 连接器允许 Cato SaaS API 引擎扫描文件（附件）、文件夹和电子邮件，以寻找您在数据保护策略中定义的内容。对于符合策略规则的内容，将生成事件。

注意

注意： 第一次创建 Google 连接器时，需要授权 Cato 使用 API 连接到您的 Google 帐户。如果您已经创建了一个 Google 连接器，并且现在正在创建另一个，请继续创建附加的 Google 连接器。

初步配置 Cato Google Drive 和 Gmail 连接器概览

这是为 Google Drive 和 Gmail 创建 Cato 连接器过程的高级概述：

在 Cato 管理应用程序中，为 Google Drive 或 Gmail 创建一个新的 SaaS 应用连接器。
1. 复制连接器的 oAuth 范围。
在您公司帐户的 Google Cloud 控制台中：
1. 为 Cato 连接器创建一个新项目。
2. 启用所需的 Google API 并生成服务帐户 ID。
在 Google 管理员控制台中，为 Cato 连接器定义域范围的授权。
1. 将连接器的 oAuth 范围粘贴到 Google 管理员控制台中。
在 Google Cloud 控制台中，为 Cato 连接器创建 API 密钥。
在 Cato 管理应用中，将 API 密钥上传到 Google Drive 或 Gmail 的 SaaS 应用连接器。

步骤 1 - 创建 Google Drive 或 Gmail SaaS 应用程序

在 Cato 管理应用程序中，为 Google 帐户的连接器创建 Google Drive 或 Gmail SaaS 应用程序。

要创建 Google Drive 或 Gmail 的连接器：

从导航菜单中选择资源 > 集成，然后点击集成应用程序标签页。
点击新建。 新连接器 界面打开。
在SaaS应用程序下拉列表中，选择Google Drive或Gmail。
在功能部分，选择数据和威胁防护。
输入 连接器名称。
输入拥有管理员权限的 Google 管理员帐户的 管理员电子邮件。
点击 复制 OAuth 范围。

要查看 oAuth范围的完整列表，请参见下文 Google Drive和Gmail连接器的oAuth范围
继续下面的 步骤2 - 在Google Cloud控制台中配置项目。

步骤2 - 在Google Cloud控制台中配置项目

从您的Google Cloud平台的控制台中，创建一个新项目并为您的帐户启用Admin SDK API和Cloud Identity。然后创建一个新的服务帐户，并复制该唯一ID（您将在步骤3中需要此ID）。

在Google Cloud控制台中配置项目：

登录到 Google Cloud 控制台，选择现有项目或创建一个 新建项目。
为连接器启用Google API：
1. 选择项目并从导航窗格中选择 API & Services > Library。
2. 在 API 库 中，搜索 Admin SDK API。
3. 点击 Admin SDK API，在新窗口中点击启用。
4. 返回API库，然后点击 Google Drive API。
5. 在下一个窗口中，点击启用。
为Cato连接器创建服务帐户：
1. 从导航窗格中选择 API & Services > Credentials。
2. 从菜单栏中点击 创建凭据 > 服务帐户。
3. 输入 服务帐户名称。
4. 点击 创建并继续，然后点击完成。
在 服务帐户 窗口中，编辑新帐户。
复制并保存服务帐户的 唯一 ID。您将在Google管理控制台（下文中）输入此ID。
继续下面的 步骤3 - 在Google Admin控制台中定义域范围的权限委派。

步骤3 - 在Google Admin控制台中定义域范围的权限委派

Google使用域范围的权限委派让应用访问Google Workspace环境中的数据。定义一个域范围的权限委派，以访问您在上一部分中启用的API。

在 Google 管理员控制台中，创建新的 API 客户端，并将其配置为使用服务帐户的唯一 ID（您从上述步骤2 - 在 Google Cloud 控制台中配置项目保存）。

要在 Google 管理员控制台中定义全域委派：

登录到您的Google 管理员控制台。
在导航窗格中，选择安全性 > 访问和数据控制 > API 控制。
在API 控制窗口中，在屏幕底部的域名全域委派部分中，单击管理全域委派。
在API 客户端部分中，单击添加新客户端。

添加新的客户端 ID弹出窗口打开。
在客户端ID中，粘贴您在上一部分中复制的唯一 ID。
粘贴连接器被允许访问的OAuth 范围。
- See Step 1 - Creating the Google Drive or Gmail SaaS Application above for more information about copying the Oauth scopes in the Cato Management Application.
单击授权。

为 Cato 连接器定义的全域委派使用 Google API 的唯一 ID。
继续进行下面的 步骤4 - 在 Google Cloud 控制台中创建 API 密钥文件。

步骤4 - 在 Google Cloud 控制台中创建 API 密钥文件

启用为 Cato 连接器的服务帐户执行 Google 的全域委派后，使用 Google Cloud 控制台为服务帐户创建 API 密钥文件。

要创建 API 密钥文件：

在 Google Cloud 控制台中，从导航窗格中选择IAM & 管理> 服务帐户。
选择 Cato 连接器的服务帐户，然后选择 操作> 管理密钥。

服务帐户的密钥选项卡打开。
单击添加密钥 > 创建新密钥。
在弹出窗口中，选择JSON并单击确定。

浏览器将 API 密钥文件保存到指定文件夹。
继续进行下面的 步骤5 - 将 API 密钥文件上传到 Cato 管理应用程序。

步骤5 - 将 API 密钥文件上传到 Cato 管理应用程序

将你在上一部分中创建的 API 密钥文件上传到 Cato 管理应用程序中的 Google Drive 或 Gmail 连接器。然后，连接器已配置并准备好开始扫描您的帐户文件和文件夹。

对于 Gmail 连接器，需要在 Google 管理员控制台中向 第三方电子邮件存档设置添加一条规则。

注意

注意： API密钥文件包含敏感数据，我们建议在将其上传到Cato管理应用程序后删除该文件。

要将API密钥文件上传到Cato管理应用程序：

打开您开始配置Google Drive或Gmail连接器的Cato管理应用程序的浏览器标签页（在上面步骤1 - 创建Google Drive或Gmail SaaS应用程序）。
在上传从 Google 控制台下载的密钥文件部分中，上传您创建的API密钥文件（上述步骤4 - 在Google Cloud控制台中创建API密钥文件）。
点击保存。
Google Drive 或 Gmail SaaS 应用程序已添加至集成 API标签页。
对于Gmail应用程序，执行以下附加步骤：
1. 在完成屏幕中，复制电子邮件地址。
2. 打开谷歌管理控制台。
3. 转到应用程序 > Google Workspace > Gmail > 路由 > 第三方电子邮件归档。
4. 点击添加另一条规则。
5. 在添加设置弹出窗口中，粘贴步骤a（上面）的电子邮件地址。
6. 点击保存。

了解连接器状态

连接器设置屏幕上的状态列显示Google Drive连接器和您的Cato账户之间连接的状态。这些是状态的解释：

已连接 - 您的账户已连接到应用程序并正常工作
连接错误 - Google Drive连接器的连接性或权限问题。请打开工单与支持。

创建附加的Google连接器

当您为您的账户创建附加的Google连接器时，您的Google账户已配置为使用API连接到您的Cato账户。连接器使用相同的oAuth范围。

为新的Google Drive或Gmail API启用Google API。然后从您的Google账户创建并下载密钥文件，并将其上传到连接器。

要创建附加的Google连接器：

登录您的Google Cloud 控制台账户。
为连接器启用Google API：
1. 选择项目并从导航窗格中选择API & 服务 > 库。
2. 在API库中，搜索新的Google Drive API或Gmail API。
3. 在下一个窗口中，点击启用。
为您的Google账户创建并下载密钥文件：
1. 在Google Cloud控制台中，从导航窗格中选择IAM & 管理 > 服务账户。
2. 选择Cato连接器的服务账户，然后选择操作 > 管理密钥。
3. 点击添加密钥 > 创建新的密钥。
4. 在弹出窗口中，选择JSON并点击确定。
  
  浏览器将API密钥文件保存到指定文件夹。
创建新的Google连接器：
1. 从导航菜单中选择资源 > 集成，然后点击集成应用程序标签页。
2. 点击新建。 新连接器面板打开。
3. 定义Google Drive或Gmail连接器的设置，并输入Google管理员电子邮件。
4. 在上传从 Google 控制台下载的密钥文件部分，上传你在上面创建的API密钥文件。
5. 点击保存。
对于Gmail应用程序，执行以下额外步骤：
1. 在完成屏幕上，复制电子邮件地址。
2. 打开Google管理控制台。
3. 前往应用程序 > Google Workspace > Gmail > 路由 > 第三方电子邮件存档。
4. 点击添加另一个规则。
5. 在添加设置弹出窗口中，粘贴步骤a（上面）的电子邮件地址。
6. 点击保存。

向数据保护策略添加Google Drive或Gmail规则

本节解释如何使用数据保护策略来监控和管理存储在Google账户中的文件、文件夹和电子邮件。

了解Google Drive和Gmail操作

当您创建数据保护规则时，可以定义不同的操作，以便在规则匹配时监控或修正策略违规。每个操作会自动生成一个事件，您还可以选择接收电子邮件通知。有关数据保护 API事件的更多信息，请参见下文分析数据保护 API事件。

以下是您可以为数据保护引擎在规则匹配时执行的操作：

（移除共享和隔离操作仅适用于Google Drive，Gmail的规则只能用监控操作定义。）

监控 - 生成一个事件来让您监控与规则匹配的流量。
移除共享 - 当用户试图共享文件时，数据保护 API引擎会移除未经授权的共享权限，接收到共享文件链接的用户将无权访问该文件。
隔离 - 当用户试图上传文件时，引擎会将其移动到隔离文件夹中，用户将无法再访问该文件。 Google管理员可以访问隔离文件夹中的文件。有关配置隔离文件夹的信息，请参阅准备文件隔离。

注意

注意： 以下已知限制适用于Google Drive操作：

移除共享操作不能应用于共享文件夹中的文件，共享权限只能为不在共享文件夹中的文件移除。
应用移除共享操作时，Google Drive允许用户从共享文件的用户那里请求访问权限，并且他们可以在大约十分钟内授予访问权限。
隔离操作可能需要长达10分钟才能应用到文件。

文件隔离准备

为数据保护计划和威胁预防规则配置隔离文件夹，并定义具有访问文件夹权限的Google管理员。您可以为租户的每个Google管理员配置隔离文件夹。当您配置文件夹时，可以创建具有隔离操作的规则，并定义文件移动到的文件夹。

要为Google管理员配置隔离文件夹：

在导航窗格中，选择安全性 > 应用程序和数据API保护，然后选择设置标签。
点击新建。 隔离文件夹面板打开。
选择Google Drive应用连接器。
选择Google管理员以访问这些隔离文件夹。
点击保存。

为管理员创建了数据保护文件夹和威胁预防文件夹，并且可以在规则中配置在隔离操作下。文件夹以管理员的电子邮件地址命名，并位于以下Google Drive目录中：
- 数据保护文件夹：Cato_Qarantine/Cato_Qarantine_DataProtection
- 威胁预防文件夹：Cato_Qarantine/Cato_Qarantine_ThreatPrevention

配置Google Drive和Gmail规则

使用数据保护页面在您的数据保护策略中添加SaaS应用程序规则。

创建数据保护规则，以定义由数据保护API扫描的流量。为每个SaaS应用程序连接器创建单独的规则，然后定义决定扫描哪些流量的条件。

有关Google Drive和Gmail规则设置的更多信息，请参见了解Google连接器规则。

要为Google Drive或Gmail应用创建新的数据保护规则：

在导航窗格中，选择安全性 > 应用程序和数据API保护，然后选择或展开数据保护。
点击新建。 新建规则面板打开。
在应用连接器中，选择Google Drive或Gmail应用程序。
在常规部分，输入规则的设置。
在所有者（适用于Google Drive）或发送方（适用于Gmail）中，选择一个或多个您正在监控的Google用户（默认值为任何人）。

当您选择多个用户时，他们之间存在或的关系。
（适用于Gmail）在收件人中，定义接收邮件的Google用户（默认设置为任何人）。
在共享选项中，为扫描的文件和文件夹选择权限级别（默认值为任何人）。

当您选择多个选项时，它们之间存在或的关系。
在文件属性（适用于Google Drive）或附件（适用于Gmail）中，定义指定扫描文件的条件（默认设置是扫描所有文件）。
在内容配置文件中，为这条规则选择DLP内容配置文件。
选择一个操作。

对于隔离操作（适用于Google Drive），选择一个隔离文件夹路径。有关隔离文件夹的更多信息，请参阅上面的？？？。
（可选） 配置跟踪选项以生成事件并发送通知。

有关通知的更多信息，请参阅警报部分中关于订阅组、邮件列表和警报集成的相关文章。
点击保存。该规则已添加到数据保护策略中。

了解Google连接器规则

本节解释如何定义数据保护规则的设置，以扫描正确的Google Drive或Gmail流量。每条规则可以根据以下标准定义：

所有者或发送方 - 您的工作空间中的Google用户（默认值为任何人）
- 内部 - 所有者是您公司中的任何用户
- Google用户 - 所有者是特定用户
收件人（适用于Gmail） - 接收电子邮件的用户
- 内部 - 所有者是您公司中的任何用户
- 外部 - 在您的Google帐户中定义为公司外部人员
- Google用户 - 所有者是特定用户
- 域名 - 输入电子邮件收件人的域名
共享选项 - 选择与此规则匹配的文件和文件夹共享权限类型（默认值为任何人）
- 私有 - 仅用户可以访问
- 受限制 - 待定
- 组织单元 - 在您的Google Drive用户层次结构中定义的单元中的任何用户
- 外部 - 收到带有链接的邀请的外部用户
- 开放 - 任何拥有链接的人都可以公开访问
文件属性或附件 - 扫描附件的条件（默认值为所有附件）
- 文件类型
- 文件名
- 文件大小（最大文件大小为100 MB）
内容配置文件 - 定义数据泄露防护内容检查的数据泄露防护内容配置文件

您可以在安全性 > 数据泄露防护配置文件 > 数据泄露防护配置文件 > 内容配置文件中创建或编辑内容配置文件
操作 - 选择是否在规则匹配时通过生成事件或电子邮件通知来监控规则。对于Google Drive，您还可以选择移除共享权限，或隔离符合规则的文件。关于Google Drive操作，请参见了解Google Drive和Gmail操作。

为规则定义文件或附件

您可以为规则定义特定文件（或附件），并限制SaaS API引擎仅扫描指定文件以查看其是否匹配数据泄露防护内容配置文件。

当您将多个文件添加到规则时，选择它们之间的关系：

满足任一条件（或） - 仅匹配规则中的一个文件类型
全部满足（与） - 匹配规则中的所有文件类型（否则规则将被忽略）

您可以在规则中使用文件名称设置来定义精确的文件名称或使用通配符来定义关键词。例如，您可以将文件名称定义为内部以匹配所有包含单词内部的文件名称。

处理有序数据保护规则

数据保护API引擎按顺序检查数据，并检查其是否与规则匹配。如果数据不符合规则，则不对其进行检查。在规则库顶部的规则优先级更高，并且在规则库中的较低规则之前应用它们。每种类型的应用程序或连接器仅适用于数据一次。

最佳实践 - 为了最大限度地提高规则库的效率，我们建议对于每种连接器类型，特定用户的规则具有比应用于任何人用户的规则更高的优先级。

例如，如果数据与规则#2中的连接器匹配，则数据由数据保护API引擎检查。引擎不会继续为同一连接器应用规则#3及以下。但是，数据可能与优先级较低的规则中的不同连接器匹配。

向连接器添加威胁保护

您可以为连接器创建威胁防护规则，以使用为您的账户启用的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。数据保护API引擎会扫描连接器流量，并应用您为规则配置的操作和跟踪选项。

以下是您可以为威胁防护引擎设置的在规则匹配时执行的操作：

监控 - 生成事件以让您监控匹配规则的流量。
移除共享 - 当用户尝试共享文件时，数据保护API引擎会移除未授权的共享权限，获得共享文件链接的用户将没有权限访问文件。
隔离 - 当用户尝试上传文件时，引擎会将其移动到隔离文件夹，然后用户无法再访问。 Google管理员可以访问隔离文件夹中的文件。有关配置隔离文件夹的信息，请参见文件隔离准备。

注意

注意：以下已知限制适用于Google Drive操作：

移除共享操作无法应用于共享文件夹中的文件，只有不在共享文件夹中的文件才可以移除共享权限。
当应用移除共享操作时，Google Drive允许用户向共享该文件的用户请求访问，他们可以在大约十分钟内授予访问权限。
隔离操作可能需要长达10分钟才能应用于文件。

每个操作都会自动生成一个事件，您还可以选择接收电子邮件通知。有关数据保护API事件的更多信息，请参见下面的分析数据保护API事件。

当您创建应用程序和数据API保护规则时，为您的账户已启用的反恶意软件引擎（安全性 > 反恶意软件）会对为该连接器应用程序发送的文件执行恶意软件扫描。

以下截图显示了针对OneDrive连接器的威胁防护规则，该规则可扫描内部用户或访客发送的文件：

为文件创建一个例外

有时，Cato的数据保护API引擎会阻止您知道安全的文件，您需要在网络中允许它。文件哈希值策略中的反恶意软件例外也适用于应用和数据API保护。有关将文件添加到文件哈希值策略的更多信息，请参见管理反恶意软件例外。

分析数据保护API事件

主页 > 事件页面显示您账户的所有数据保护API事件。强大的搜索工具使您能够深入查找并识别包含您需要的相关数据的少数事件。

数据保护API事件可以通过以下字段识别：

事件类型 - 安全性
子类型 - SaaS安全API数据保护和SaaS安全API反恶意软件

您可以在此处了解有关使用事件页面的更多信息。

解释数据保护API事件字段

字段名称	描述
连接器名称	为规则定义的连接器名称
连接器类型	为此连接器定义的SaaS应用程序
数据泄露防护配置文件	生成此事件的数据泄露防护内容配置文件
文件名称	附加文件的名称
匹配的数据类型	内容配置文件中与规则匹配的数据类型
协作者	接收到文件的用户的电子邮件地址
规则	数据保护策略中的规则名称
所有者	文件所有者
严重性	规则已定义的严重性
共享范围	Google Drive附件的共享选项

Google Drive和Gmail连接器的oAuth范围

这些是不同类型的Google连接器所需的oAuth范围：

Google Drive读取 -
- https://www.googleapis.com/auth/admin.directory.user.readonly
- https://www.googleapis.com/auth/admin.directory.domain.readonly
- https://www.googleapis.com/auth/admin.directory.customer.readonly
- https://www.googleapis.com/auth/admin.reports.audit.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/admin.reports.usage.readonly
Google Drive写入 -
- https://www.googleapis.com/auth/admin.directory.user.readonly
- https://www.googleapis.com/auth/admin.directory.domain.readonly
- https://www.googleapis.com/auth/admin.directory.customer.readonly
- https://www.googleapis.com/auth/admin.reports.audit.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/admin.reports.usage.readonly
- https://www.googleapis.com/auth/drive
- https://www.googleapis.com/auth/drive.file
Gmail -
- https://www.googleapis.com/auth/admin.directory.user.readonly
- https://www.googleapis.com/auth/admin.directory.domain.readonly
- https://www.googleapis.com/auth/admin.directory.customer.readonly
- https://www.googleapis.com/auth/admin.reports.audit.readonly
- https://www.googleapis.com/auth/drive.readonly
- https://www.googleapis.com/auth/admin.reports.usage.readonly