今回やる事

Netskopeで自社ドメイン以外のGoogleアカウントからGmailを送信したり、Googleドライブへのファイルアップロードを防ごうと思います。

まずは下準備

Skope IT > Application Eventsで現状のログを確認します。

（画像が見づらいですが）検索文を入力します。
(activity in [ 'Upload', 'Send' ]) and (instance_id != 'hogehoge.co.jp') and ((app like 'Google Gmail') or (app like 'Google Drive'))

検索文の内容としては、Gmail　or　Googleドライブでhogehogeドメイン以外のユーザーが送信　or　アップロードしたログを表示させるようになっています。

上記の検索文に合致したログが↓のように表示されます。

Skope ITのログをもとにReal-time ProtectionにPolicyを作る

Policyを作る前に「自社ドメイン以外のユーザー」という条件を準備します。
Policies > Constraints > New User Constraint Profileで条件を作っていきます。
CONSTRAINT PROFILE NAME：適当な名前
USERS(条件):Does not match
USERS(条件詳細):*@hogehoge.co.jp

上記の条件を作ったらいよいよPolicyの作成です。
Policies > Real-time Protection > NEW POLICY > Cloud App Accessで新しいPolicyを作ります。

Souce

Policyを適用したいUserやGroupを指定（最初は検証ユーザーだけが良いと思います）

Destination

Cloud App:Googl Gmail,Google Driveを選択
Activities & Constraints(Activities):Send,Uploadを選択
Activities & Constraints(From User):先ほどConstraintsで作成した項目を選択

Profile & Action

Blockではなく、Alertを指定
※まずはAlertで狙ったAlertログが出力されるか検証します。

Set Policy

Policyの名前を指定します。
例：[CASB]Alert-自社ドメイン以外のMail&Strage利用

Status

Enabledのまま

設定完了

Policyを作成したらNetskope ClientでConfigurationをUpdate後、検証端末で私用アカウントからメールを送ったりドライブにファイルをアップするなどし、Alertログに上がってくるか確認します。
狙ったログが上がってくれば特定グループ→全社という流れで適用し、Alertログの経過を追います。

ここまで確認が出来たら、PolicyのProfile & ActionでAlertだったActionをBlockに変更することでPolicyの構築作業が完了です。

他の推奨設定

今回はGmailやGoogleドライブに対しての設定でしたが、Microsoft365系のサービスも同様の設定で防ぐことが出来ます（PolicyのCloud Appでサービスを指定してあげればOK）
また、ActicityもSend,Uploadだけを指定しましたが、Create,Edit,Postも念の為追加した方が良いかもですね。

(余談)

Skope ITでFrom Userが取れないAppは別の方法で個人環境の利用を防ぐことが出来ますので、別記事でアップしようと思います。