NetskopeでSlackテナントの利用を制限してみた
前回の話
前回はNetskopeのReal-time ProtectionでFrom Userが自社ドメイン以外のユーザーの挙動を制限するPolicyを作成しました。 今回はその続きの話になります。
今回やる事
前回はFrom Userで自社ドメイン以外のユーザーに対してActivityの制限を行っていましたが、SaaSによってはFrom Userが取れなかったりFrom Userの制限では足りないパターンもあります。
今回は一例としてSlackに関するPolicyを作成しようと思います。
おなじみ下準備
前回同様にSkope IT > Application Eventsで現状のログを確認します。
(app like 'Slack') and (activity in ['Upload','Post'])
NetskopeでSlackのログを見るときに重要になるのがInstance IDです。
Slackの場合、テナントのIDがInstance IDで表示されるようになります。
今回はこのInstance IDを用いてPolicyを作成します。
Policyの仕組みを考える
前回の記事(From Userで制限するPolicy)は1つのPolicyで制限を実施していました。
今回は①許可テナントへの全てのActivityを許可、②許可テナント以外はUpload,Postを制限という2段構えでPolicyを作ろうと思います。
設定を作り込んで行く
許可するテナントを登録
まずは許可テナントの情報をPolicies > Profiles > App Instance > NEW CUSTOM APP IONSTANCE > New App Instanceで登録していきます。
APPLICATION:Slack
INSTANCE ID:許可するSlackテナントのID(hogehoge.slack.comのhogehoge部分)
INSTANCENAME:(任意の名前)
INSTANCE TAG:Sanctioned
Policyを作成する
前回同様、Policies > Real-time Protection > NEW POLICY > Cloud App Accessで新しいPolicyを作ります。
①許可テナントへの全てのActivityを許可するPolicy
Souce
Policyを適用したいUserやGroupを指定(最初は検証ユーザーだけが良いと思います)
Destination
App Instance:Slack:hogehoge(先ほど作成したApp Instance)
ACTIVITIES&CONSTRAINTS:Any
Profile & Action
Action:Allow
Set Policy
Policyの名前を指定します。
例:[CASB]Allow-Slack_許可テナント
Status
Enabledのまま
②許可テナント以外はUpload,Postを制限
Souce
Policyを適用したいUserやGroupを指定(最初は検証ユーザーだけが良いと思います)
Destination
Cloud App:Slack
ACTIVITIES&CONSTRAINTS:Post,Upload
Profile & Action
Action:Alert
Set Policy
Policyの名前を指定します。
例:[CASB]Alert-Slack_許可外テナント
Status
Enabledのまま
Policiesの順番を設定する
①許可テナントへの全てのActivityを許可するPolicyを②許可テナント以外はUpload,Postを制限するPolocyより上にしないと全てのテナントでUpload,Postが制限されてしまうので、注意して下さい。
設定完了&検証
以上で設定は完了です!
先ほど設定したPolicyが意図した挙動をするか検証しましょう。
最後に
今回はSlackに対してPolicyの設定を行いましたが、boxも同様に個人テナントの制限をすることが可能です。
From Userでログが取れないAppはInstance IDを確認してみましょう!
Discussion