配置 Microsoft SharePoint 的 SaaS 安全 API 连接器

本文说明如何为您的账户配置 Microsoft SharePoint 的 SaaS 安全 API 策略连接器,并为数据保护策略创建 SharePoint 规则

SaaS 安全 API 策略需要来自 Cato 的单独许可证。 请联系您的 Cato 代表或官方经销商以获取更多信息。

注意

注意: 请联系 SaaSecAPI@catonetworks.com 或您的官方 Cato 经销商以获取有关使用 SaaS 安全 API 策略的更多信息。

Microsoft 连接器概览

为 Microsoft 365 和 SharePoint SaaS 应用程序创建连接器。

每个 Microsoft SharePoint 应用和 Azure 租户(根据 365 应用)都受 Microsoft 的限流影响。 有关详细信息,请参阅 Microsoft 文档

先决条件

  • Microsoft 365 连接器要求具备全球管理员角色的管理员授予 Cato 的 SaaS 安全 API 权限

Microsoft SharePoint 的 API 连接器所需权限

为了让 Cato 的 SaaS 安全 API 扫描 SharePoint 文件和文件夹中的资产和内容,连接器授予 Cato 以下 SharePoint 应用程序的权限和操作:

  • 使用 Oauth 授予应用访问权限

  • 从应用程序接收令牌以建立和维持安全连接

  • 连接到 Microsoft 的 API 并根据 SaaS 安全 API 数据保护策略获取数据和扫描文件,包括:

    • 读取所有站点组中的项目和文件

    • 登录并读取用户的完整个人资料

    • 在所有站点组中写入文件(即将推出)

使用 Microsoft SharePoint API 连接器

本节说明如何为 Microsoft 365 和 SharePoint 创建 API 连接器,并将它们连接到您的 Cato 账户。

了解 Microsoft SharePoint 的 API 连接器

为了让 Cato 的 SaaS 安全 API 扫描 Microsoft SharePoint 的资产和内容,首先需要将 Microsoft 365 连接器配置为主应用程序,以授予 SharePoint 连接器读取权限。 主应用程序仅具备管理 Microsoft 连接器的权限。 随后,如有必要,您可以为每个 Azure 租户创建一个单独的 Microsoft 365 连接器。

创建 Microsoft 365 连接器

使用 Cato 管理应用程序为您使用 SaaS 安全 API 扫描的 Microsoft SharePoint 应用程序的 Azure 租户创建 Microsoft 365 SaaS 应用程序连接器。 您必须具备正确的凭据才能认证 Microsoft SharePoint 应用程序,以将其添加到您的 Cato 账户。

Create_API_Connector.png

要创建 Microsoft 365 主连接器:

  1. 在导航菜单中,选择 资源 > 集成 并点击 SaaS 安全 API 数据保护

  2. 点击 新建新连接器 面板打开。

  3. 新连接器 面板中,选择 Microsoft 365 (新租户) 应用程序。

    New_Microsoft_365_Connector.png

  4. 点击 授权并保存

    一个新的浏览器标签页会打开到 Microsoft 365 应用程序。

  5. 在新的浏览器标签页中,认证 Microsoft 365 应用程序:

    1. 选择 Microsoft 365 应用程序的 Microsoft 帐号。

      否则可能会有 Microsoft 认证错误。

    2. 输入应用程序的密码并批准。

    3. 接受 权限以允许 Cato 访问 Microsoft 365 应用程序。

    4. 屏幕显示您已成功应用该应用程序的权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器标签页并返回 Cato 管理应用程序。

  6. Microsoft 365 SaaS 应用程序已添加到 SaaS 安全 API 数据保护 页面。

    Azure_AD_Connector_Settings.png

创建 Microsoft SharePoint 连接器

Microsoft SharePoint 连接器允许 Cato SaaS API 引擎根据您在数据保护策略中定义的内容扫描电子邮件。

注意

注意: 当您创建 Microsoft 365 应用的 API 连接器时,连接器会创建一个有效期为 3 个月的认证证书,并在到期前 7 天更新证书。

要为 Microsoft SharePoint 创建连接器:

  1. 在导航菜单中,选择 资源 > 集成 并点击 SaaS 安全 API 数据保护

  2. 点击 新建新连接器 面板打开。

  3. SaaS 应用程序 中,选择 Microsoft SharePoint

  4. 连接器租户 中,选择您在上一部分创建的主 Microsoft 365 连接器。

  5. 输入 连接器名称

  6. 权限 中,选择 读/写

  7. 点击 保存。 Cato 连接器应用程序已创建。 这可能需要最多 30 秒。

    SaaS_Security_API_App_Created.png

  8. 点击 授权 以授权创建连接器。

    SaaS_Security_API_Authorize.png

  9. 在新的浏览器标签页中,认证 SharePoint 应用程序。

    1. 选择 Microsoft 账户用于 SharePoint 应用程序。

    2. 输入应用程序的密码并批准。

    3. 接受 Cato 访问应用程序的权限。

      Sharepoint_Permissions.png

    4. 屏幕显示您已成功为该应用程序应用了权限。

      您可以关闭浏览器标签页并返回到 Cato 管理应用程序。

      Microsoft SharePoint 处理请求可能需要几秒钟,所以如果收到错误,请刷新浏览器。

  10. SharePoint SaaS 应用程序被添加到 已安装 SaaS 应用程序 页面。

    SaaS_Security_API_InstalledSaaSApps_SharePoint.png

理解连接器状态

连接器设置屏幕上的 状态 列显示 Microsoft 应用程序与您的 Cato 账户之间的连接状态。 以下是状态解释:

  • 已连接 - 您的账户已连接到应用程序并正常工作

  • Connection Warning - Some of the users in the Azure tenant are not configured correctly to support Cato's SaaS Security API (such as, no email address defined for the user). 请与 支持 开立工单。

  • Connection Error - Connectivity or permissions issue, or rate limiting (Microsoft limitation) with the Microsoft connector. 请与 支持 开立工单。

向数据保护策略添加 SharePoint 规则

本节解释了如何使用数据保护策略监控和管理用户在 SharePoint 文件上的操作。 例如,共享文件、新建文件、上传等。

For more about DLP Content Profiles, see Creating DLP Content Profiles.

理解 SharePoint 操作

当您创建数据保护规则时,可以定义不同的操作来监控或纠正规则匹配时的策略违规行为。 每个操作会自动生成一个事件,您也可以选择接收电子邮件通知。 For more about SaaS Security API events, see below Analyzing SaaS Security API Events.

以下是您可以为数据保护引擎在规则匹配时设定的操作:

  • 监控 - 生成事件以让您监控符合规则的流量。

  • 隔离 - 当用户尝试上传文件时,SaaS 安全 API 引擎将其移至隔离文件夹,用户将无法再访问该文件。 SharePoint 管理员可以访问隔离文件夹中的文件。 For information about configuring quarantine folders, see below Preparing for File Quarantine.

文件隔离准备

为数据保护和威胁防护规则配置隔离文件夹,并定义具有权限访问文件夹的 SharePoint 管理员。 您可以为租户的每个 SharePoint 管理员配置隔离文件夹。 配置文件夹后,您可以创建带有 隔离 操作的规则,并定义文件被移动到的文件夹。

SaaS_Security_API_Settings_SharePoint.png

要为 SharePoint 管理员配置隔离文件夹:

  1. 从导航窗格中,选择 安全 > SaaS 安全 API 策略 并选择 设置 标签。

  2. 点击 新建隔离文件夹 面板打开。

    SaaS_Security_API_Settings_Onedrive_Quarantine_Folder.png

  3. 选择 SharePoint 应用连接器。

  4. 选择 SharePoint 管理员以访问这些隔离文件夹。

  5. 点击 保存

    为管理员创建数据保护文件夹和威胁防护文件夹,并可在规则中配置隔离操作。 这些文件夹以管理员的电子邮件地址命名,并位于以下 SharePoint 目录中:

    • 数据保护文件夹:Cato_Qarantine/Cato_Qarantine_DataProtection

    • 威胁防护文件夹:Cato_Qarantine/Cato_Qarantine_ThreatPrevention

配置 SharePoint 规则

使用数据保护页面在您的数据保护策略中添加 SaaS 应用程序规则。

创建数据保护规则以定义由 SaaS 安全 API 扫描的流量。 为每个 SaaS 应用连接器创建单独的规则,然后定义确定流量被扫描的条件。

扫描的文件还包括分享给 SharePoint 的 Teams 和 OneNote 文件。

For more information about the SharePoint rule settings, see below Understanding the SharePoint Rules.

SharePoint_Rule.png

要为 SharePoint 应用程序创建新的数据保护规则:

  1. 从导航窗格中,选择 安全 > SaaS 安全 API 策略 然后选择或展开 数据保护

  2. 点击 新建新建规则 面板打开。

  3. 应用连接器中,选择SharePoint应用程序。

  4. 常规部分,输入规则的设置。

  5. 所有者中,选择一个或多个SharePoint文件所有者(默认值为任何)。

    当选择多个所有者时,它们之间是OR关系。

  6. 共享选项中,选择一个或多个文件权限类型(默认值为任何)。

    当选择多个选项时,它们之间是OR关系。

  7. 附件中,定义指定扫描文件的条件(默认设置是扫描所有文件)。

  8. 内容配置文件中,为此规则选择DLP内容配置文件。

    有关DLP内容配置文件的更多信息,请参阅创建DLP内容配置文件

  9. 选择一个操作

    对于隔离操作,选择一个隔离文件夹路径。 有关隔离文件夹的更多信息,请参阅上面的为文件隔离做准备

  10. (可选) 配置跟踪选项以生成事件并发送通知。

    有关通知的更多信息,请参阅警报部分中的订阅组、邮件列表和警报集成的相关文章。

  11. 点击保存。 规则被添加到数据保护策略中。

理解SharePoint规则

本节介绍如何定义数据保护规则的设置,以扫描正确的SharePoint流量。 每个规则可以根据以下条件定义:

  • 所有者 - 相关SharePoint目录的个人站点或Azure类型用户(默认值为任何)

  • 共享选项 - 选择与此规则匹配的文件共享权限类型(默认值为任何)

    例如,要监控与任何外部用户共享的文件,选择外部链接

  • 附件 - 被扫描的附件的条件(默认值为所有附件)

    • 文件类型

    • 文件名称

    • 文件大小(文件最大大小为100 MB)

  • 内容配置文件 - 定义DLP内容检查的DLP内容配置文件(安全性>DLP配置文件>DLP配置文件>内容配置文件)

  • 操作 - 选择是否在符合规则时生成事件

定义文件或附件的规则

您可以定义规则的特定文件(或附件),并限制SaaS API引擎仅扫描指定的文件,以查看它们是否符合DLP内容配置文件。

当您为规则添加多个文件时,选择它们之间的关系:

  • 满足任一条件(或) - 符合规则中的任何文件类型

  • 全部满足(与) - 符合规则中的所有文件类型(否则,规则将被忽略)

您可以在规则中使用文件名称设置定义确切的文件名称,或使用通配符定义关键词。 例如,您可以将文件名称定义为内部,以匹配所有包含单词内部的文件名称。

处理中数据保护规则的顺序

SaaS安全API引擎按顺序检查数据,并检查是否符合规则。 如果数据不符合规则,则不进行检查。 在规则库顶部的规则优先级更高,它们在较低规则之前应用。 每种类型的应用程序或连接器仅对数据应用一次。

最佳实践 - 为了最大化规则库的效率,我们建议对于每种连接器类型,针对特定用户的规则优先于适用于任何人的规则。

例如,如果数据符合规则#2中的连接器,则SaaS安全API引擎将检查数据。 引擎不会继续为相同连接器应用规则#3及以下的规则。 然而,数据可能符合具有不同连接器的较低优先级规则。

为连接器添加威胁防护

您可以为连接器创建威胁防护规则,使用为您的帐户启用的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。 SaaS安全API引擎会扫描连接器流量,并应用您为规则配置的操作和跟踪选项:

  • 监控流量(即将支持阻止)

  • 生成事件

  • 发送电子邮件通知

当您创建SaaS安全API威胁防护规则时,启用为您账户的反恶意软件引擎(安全性>反恶意软件)会对该连接器应用程序发送的文件进行恶意软件扫描。

以下屏幕截图显示了OneDrive连接器的威胁防护规则,该规则扫描内部用户或访客发送的文件:

CAS_Threat_Protection.png

为文件创建例外

有时会有文件被Cato的SaaS安全API引擎阻止,您知道它是安全的,并需要在网络中允许它。 事件页面允许您使用文件哈希创建绕过威胁防护扫描的例外。 在为被阻止的特定文件打开事件后,单击文件哈希以打开例外配置面板,并将该文件作为账户的例外添加。 您可以选择文件例外的时间持续时间,或配置为例外永持续。

反恶意软件和SaaS安全API的文件例外

文件例外适用于反恶意软件SaaS 安全 API 威胁防护策略。 当您从反恶意软件和下一代反恶意软件事件创建例外时,这些例外也适用SaaS 安全 API 威胁防护策略。 同样,当您从 SaaS 安全 API 反恶意软件事件创建文件例外时,例外也适用反恶意软件策略。 完整的文件例外列表显示在反恶意软件页面和SaaS 安全 API 威胁防护页面上。

创建文件例外:

  1. 从导航菜单中选择主页 > 事件

  2. 使用 SaaS 安全 API 反恶意软件子类型 过滤事件。

  3. 时间 列中展开事件。

  4. 在事件中,点击 文件哈希值 链接。

    例外配置 面板将打开。

    exception_configuration.png

  5. 持续时间 下拉菜单中选择文件从反恶意软件和下一代反恶意软件引擎中排除的时间。

    要创建永久例外,请选择 永久

  6. 点击 应用

    例外已创建并被添加到威胁防护选项卡的文件例外部分以及反恶意软件页面。

    AM_FileExceptions.png

删除文件例外

当删除威胁防护策略的例外已不再需要时。

要删除威胁防护策略的文件例外:

  1. 从导航菜单中,点击安全 > SaaS 安全 API 策略

  2. 选择 威胁防护 选项卡。

  3. 文件例外部分,点击Delete.png 来删除您要删除的例外。

  4. 点击 保存

    例外已被移除。

分析SaaS安全API事件

主页 > 事件页面显示您账户的所有SaaS安全API事件。 强大的搜索工具使您可以深入并识别包含您所需相关数据的少数事件。

可以通过以下字段识别SaaS安全API事件:

  • 事件类型 - 安全

  • 子类型 - SaaS安全API数据保护和SaaS安全API反恶意软件

有关使用事件屏幕的更多信息,请点击这里了解更多。 您可以使用SaaS 安全 API 数据保护预设来过滤事件。

解释SaaS安全API事件字段

字段名称

描述

合作者

接收文件的用户的电子邮件地址

连接器名称

为规则定义的连接器名称

连接类型

为此连接器定义的SaaS应用程序

数据泄露防护配置文件

生成此事件的DLP内容配置文件

文件名

附件文件的名称

匹配的数据类型

在内容配置文件中与规则匹配的数据类型

父连接类型

父Microsoft 365连接器

规则

数据保护策略中的规则名称

所有者

文件所有者

严重性

为规则定义的严重程度

共享范围

SharePoint文件的共享选项

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论