配置 Microsoft Exchange 的 SaaS 安全连接器

本文解释了如何为您的帐户配置 Microsoft 365 和 Microsoft Exchange 连接器以用于 SaaS 安全 API 策略。

SaaS 安全 API 策略需要 Cato 的单独许可证。 请联系您的 Cato 代表或官方经销商以获取更多信息。

注意

注意: 请联系 SaaSecAPI@catonetworks.com 或您的官方 Cato 经销商以获取有关使用 SaaS 安全 API 策略的更多信息。

Microsoft Exchange 连接器概览

Cato SaaS 安全 API 解决方案的第一步是为 Microsoft SaaS 应用创建 Microsoft 365 和 Exchange 连接器。 对于具有多个 Azure AD 租户的帐户,您可以创建多个 Microsoft 365 连接器。 此外,您可以为每个 Microsoft 365 父连接器创建多个 Exchange 连接器。

每个 Microsoft Exchange 应用和 Azure 租户(根据 365 应用)都受到 Microsoft 的速率限制。 欲了解更多信息,请参阅 Microsoft 文档

先决条件

  • Microsoft 365 连接器需要具有全局管理员角色的管理员给予 Cato 的 SaaS 安全 API 权限

  • 连接器监控文件,其他操作将很快得到支持

Microsoft Exchange 的 API 连接器所需的权限

为了使 Cato 的 SaaS 安全 API 能够扫描 Exchange 电子邮件的资产和内容,连接器为 Cato 提供了以下权限和操作:

  • 使用 Oauth 授予应用访问权限

  • 从应用接收令牌以建立和维护安全连接

  • 连接到 Microsoft API 并根据 SaaS 安全 API 数据保护策略获取数据并扫描电子邮件

与 Microsoft Exchange 连接器合作

为了使 Cato 的 SaaS 安全 API 能够扫描 Microsoft Exchange 的资产和内容,首先需要将 Microsoft 365 连接器配置为父应用,以便为 Exchange 连接器提供读取权限。 父应用仅有权限管理 Microsoft 连接器。 您可以轻松在 Cato 管理应用程序中创建该应用,不需要在 Microsoft Azure 中配置设置。 之后为每个 Azure 租户创建单独的 Microsoft 365 连接器。

创建 Microsoft 365 连接器

使用 Cato 管理应用程序为您正在使用 Saas 安全 API 扫描 Microsoft Exchange 应用的 Azure 租户创建 Microsoft 365 SaaS 应用连接器。 您必须具有正确的凭据才能认证 Microsoft Exchange 应用,将其添加到您的 Cato 帐户。

在您可以创建和配置连接器设置之前,首先您需要为您的帐户启用 SaaS 安全 API。

Create_API_Connector.png

要创建 Microsoft 365 父连接器:

  1. 从导航菜单中选择 Resources > Integrations 并单击 SaaS 安全 API 数据保护

  2. 单击 新建新连接器 面板打开。

  3. 新连接器 面板中,选择 Microsoft 365 应用。

    New_Microsoft_365_Connector.png

  4. 单击 授权并保存

    一个新的浏览器标签打开到 Microsoft 365 应用。

  5. 在新的浏览器标签中,认证到 Microsoft 365 应用:

    1. 选择 Microsoft 365 应用的 Microsoft 帐户。

      否则可能会出现 Microsoft 认证错误。

    2. 输入应用的密码并批准。

    3. 接受权限以允许 Cato 访问 Microsoft 365 应用。

    4. 屏幕显示您已成功应用应用的权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器标签页并返回到 Cato 管理应用程序。

  6. Microsoft 365 SaaS 应用已添加至 已安装的 SaaS 应用程序 页面。

    Azure_AD_Connector_Settings.png

创建 Microsoft Exchange 连接器

在 Microsoft 365 连接器连接到您的 Cato 帐户后,您可以创建所需的 Exchange 连接器。 Exchange 连接器允许 Cato SaaS API 引擎扫描您在数据保护策略中定义的电子邮件内容。 对于满足策略中规则的任何电子邮件,将生成事件。

注意

注意: 当您为 Microsoft 365 应用创建 API 连接器时,连接器会创建一个认证证书,有效期为 3 个月,并在过期前 7 天更新证书。

要为 Microsoft Exchange 创建连接器:

  1. 从导航菜单中选择 资源 > 集成 并单击 SaaS 安全 API 数据保护

  2. 单击 新建新连接器 面板打开。

  3. 为您在上一步中创建的 连接器父项 创建一个新的 Exchange SaaS 应用程序

    目前,仅支持 Exchange 应用的 读取 权限和操作。 然而,读/写 权限和操作即将支持。

  4. 单击 授权并保存

  5. 在新的浏览器标签中,认证到 Exchange 应用。

    1. 选择 Exchange 应用的 Microsoft 帐户并登录。

    2. 输入应用的密码并批准。

    3. 接受 让 Cato 访问 Exchange 应用的权限。

    4. 屏幕显示您已成功应用应用的权限。

      您可以关闭浏览器标签页并返回 Cato 管理应用程序。

      Microsoft Azure 可能需要几秒钟来处理请求,因此如果您收到错误,请刷新浏览器。

  6. Exchange SaaS 应用程序已添加到 SaaS APIs 数据保护 页面。

将 Exchange 规则添加到数据保护策略

本节说明如何使用数据保护策略来监控和管理用户使用 Microsoft Exchange 发送的消息和附件。

配置 Exchange 规则

使用数据保护页面将 SaaS 应用程序规则添加到您的数据保护策略中。

有关 Exchange 规则设置的更多信息,请参见下方 了解 Exchange 规则

SaaS_API_Data_Protection.png

为 Exchange 应用程序创建新的数据保护规则:

  1. 在导航窗格中,选择 安全 > SaaS 安全 API 策略 并选择或展开 数据保护

  2. 点击 新建新建规则 面板打开。

  3. 应用连接器 中,选择 Exchange 应用程序。

  4. 常规 部分中,输入规则的设置。

  5. 发送方 中,定义发送电子邮件的 Azure AD 用户(默认设置为任何)。

  6. 收件人 中,定义接收电子邮件的 Azure AD 用户(默认设置为任何)。

  7. 附件 中,定义要扫描的电子邮件附件的条件(默认设置是扫描所有附件)。

  8. 内容配置文件 中,为此规则选择 DLP 内容配置文件。

    您可以在 电子邮件主题 中输入关键词,以限于只扫描包含这些关键词的电子邮件。

    有关 DLP 内容配置文件的更多信息,请参见 创建 DLP 内容配置文件

  9. 操作 中,选择 监控

  10. (可选) 配置跟踪选项以生成 事件 并发送通知。

    有关通知的更多信息,请参阅 警报 部分中的相关文章,了解订阅组、邮件列表和警报集成。

  11. 点击 保存。 该规则已添加到数据保护策略中。

了解 Exchange 规则

本节介绍如何定义数据保护规则的设置以扫描正确的 Exchange 流量。

  • 发送方 - 发送电子邮件的个人用户或 Azure 用户类型(默认值为任何)

  • 收件人 - 接收电子邮件的个人用户、Azure 用户类型或电子邮件域(默认值为任何)

  • 附件 - 需要扫描的附件条件(默认值是所有附件)

    • 文件类型

    • 文件名称

    • 文件大小(最大文件大小是 100 MB)

  • 内容配置文件 - 定义 DLP 内容检查的数据泄露防护配置文件(安全性 > DLP 配置文件 > DLP 配置文件 > 内容配置文件)

与发送方和收件人一起工作

您可以为数据保护策略中的每条规则定义特定的 发送方收件人。 Cato 管理应用程序连接到 Office 365 连接器中定义的租户的 Azure AD。 针对某一规则显示的个人用户基于此 Azure AD,且与您的 Cato 帐户定义的用户无关。

如果您未看到所需的用户,请确保该用户在 Azure AD 租户中正确定义,然后配置数据保护规则。

Azure AD 定义了这些类型的用户:

  • 内部

  • 外部

  • 用户

对于规则的 收件人,您还可以定义电子邮件地址域。

为规则定义文件或附件

您可以为规则定义特定文件(或附件),并限制 SaaS API 引擎仅扫描指定文件,以查看它们是否符合数据泄露防护配置文件。

当您将多个文件添加到规则中时,选择它们之间的关系:

  • 满足任一条件(或) - 仅匹配规则中的一个文件类型

  • 全部满足(与) - 匹配规则中的所有文件类型(否则,将忽略规则)

您可以使用规则中的文件名称设置来定义确切的文件名称或使用通配符来定义关键词。 例如,您可以将文件名称定义为 internal,以匹配所有包含单词 internal 的文件名称。

与有序数据保护规则合作

SaaS 安全 API 引擎按顺序检查数据,并检查它是否匹配某条规则。 如果数据不匹配某一规则,则不进行检查。 处于规则库顶部的规则具有更高的优先级,应用于低于规则库中的规则之前。 每种类型的应用程序或连接器只应用于数据一次。

最佳实践 - 为了最大化您的规则库效率,我们建议对于每种连接器类型,特定用户的规则优先于适用于任何人的规则。

例如,如果数据匹配规则#2中的连接器,数据将由SaaS安全API引擎检查。 引擎不会继续对同一连接器应用规则#3及以下的规则。 然而,数据可能匹配具有不同连接器的低优先级规则。

将威胁防护添加到连接器中

您可以为连接器创建威胁防护规则,使用为您的账户启用的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。 SaaS安全API引擎扫描连接器流量,并应用您为规则配置的操作和跟踪选项:

  • 监控流量(阻止功能将很快支持)

  • 生成事件

  • 发送电子邮件通知

当您创建SaaS 安全 API威胁防护规则时,您账户中已启用的反恶意软件引擎(安全性>反恶意软件)将对发送到该连接器应用程序的文件进行恶意软件扫描。

以下截图显示了OneDrive连接器的威胁防护规则,扫描内部用户或访客发送的文件:

CAS_Threat_Protection.png

为文件创建例外

有时Cato的SaaS安全API引擎会阻止您知道是安全的文件,您需要在网络中允许它。 事件页面允许您使用文件哈希创建绕过威胁防护扫描的例外。 在打开特定文件被阻止的事件后,点击文件哈希打开例外配置面板,并将文件添加为账户的例外。 您可以选择文件例外的持续时间,或配置为永久例外。

文件例外适用于反恶意软件和SaaS安全API

文件例外适用于反恶意软件SaaS 安全 API威胁防护策略。 当您从反恶意软件和NG反恶意软件事件创建例外时,这些例外也适用于SaaS安全API威胁防护策略。 同样,当您从SaaS安全API反恶意软件事件创建文件例外时,这些例外也适用于反恶意软件策略。 完整文件例外列表显示在防恶意软件页面和SaaS安全API威胁防护页面上。

为文件创建例外:

  1. 从导航菜单中,选择主页>事件

  2. 使用SaaS安全API反恶意软件子类型过滤事件。

  3. 时间列中展开事件。

  4. 在事件中,点击文件哈希值链接。

    例外配置面板打开。

    exception_configuration.png

  5. 持续时间下拉菜单中,选择文件在反恶意软件和NG反恶意软件引擎中被排除的时间长度。

    要创建永久例外,请选择永久

  6. 点击应用

    例外已创建并添加到威胁防护标签页和反恶意软件页面中的文件例外部分。

    AM_FileExceptions.png

删除文件例外

当不再需要时,删除威胁防护策略的例外。

删除威胁防护策略的文件例外:

  1. 从导航菜单中,点击安全>SaaS安全API策略

  2. 选择威胁防护标签页。

  3. 文件例外部分中,为您想删除的例外点击Delete.png

  4. 点击保存

    例外已被删除。

分析SaaS安全API事件

主页>事件页面显示您账户的所有SaaS安全API事件。 强大的搜索工具让您深入挖掘并识别出包含所需相关数据的少数事件。

可以通过以下字段识别SaaS安全API事件:

  • 事件类型 - 安全性

  • 子类型 - SaaS安全API数据保护和SaaS安全API反恶意软件

您可以在这里了解更多关于使用事件屏幕的知识。 您可以使用SaaS安全API数据保护预设来过滤事件。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论