Netskopeで自社ドメイン以外のGoogleアカウントを制限してみる
今回やる事
Netskopeで自社ドメイン以外のGoogleアカウントからGmailを送信したり、Googleドライブへのファイルアップロードを防ごうと思います。
まずは下準備
Skope IT > Application Events
で現状のログを確認します。
(画像が見づらいですが)検索文を入力します。
(activity in [ 'Upload', 'Send' ]) and (instance_id != 'hogehoge.co.jp') and ((app like 'Google Gmail') or (app like 'Google Drive'))
検索文の内容としては、Gmail or Googleドライブでhogehogeドメイン以外のユーザーが送信 or アップロードしたログ
を表示させるようになっています。
上記の検索文に合致したログが↓のように表示されます。
Skope ITのログをもとにReal-time ProtectionにPolicyを作る
Policyを作る前に「自社ドメイン以外のユーザー」という条件を準備します。
Policies > Constraints > New User Constraint Profile
で条件を作っていきます。
CONSTRAINT PROFILE NAME:適当な名前
USERS(条件):Does not match
USERS(条件詳細):*@hogehoge.co.jp
上記の条件を作ったらいよいよPolicyの作成です。
Policies > Real-time Protection > NEW POLICY > Cloud App Access
で新しいPolicyを作ります。
Souce
Policyを適用したいUserやGroupを指定(最初は検証ユーザーだけが良いと思います)
Destination
Cloud App:Googl Gmail,Google Driveを選択
Activities & Constraints(Activities):Send,Uploadを選択
Activities & Constraints(From User):先ほどConstraintsで作成した項目を選択
Profile & Action
Blockではなく、Alertを指定
※まずはAlertで狙ったAlertログが出力されるか検証します。
Set Policy
Policyの名前を指定します。
例:[CASB]Alert-自社ドメイン以外のMail&Strage利用
Status
Enabledのまま
設定完了
Policyを作成したらNetskope ClientでConfigurationをUpdate後、検証端末で私用アカウントからメールを送ったりドライブにファイルをアップするなどし、Alertログに上がってくるか確認します。
狙ったログが上がってくれば特定グループ→全社という流れで適用し、Alertログの経過を追います。
ここまで確認が出来たら、PolicyのProfile & ActionでAlertだったActionをBlockに変更することでPolicyの構築作業が完了です。
他の推奨設定
今回はGmailやGoogleドライブに対しての設定でしたが、Microsoft365系のサービスも同様の設定で防ぐことが出来ます(PolicyのCloud Appでサービスを指定してあげればOK)
また、ActicityもSend,Uploadだけを指定しましたが、Create,Edit,Postも念の為追加した方が良いかもですね。
(余談)
Skope ITでFrom Userが取れないAppは別の方法で個人環境の利用を防ぐことが出来ますので、別記事でアップしようと思います。
Discussion