🕶️

NetskopeでSlackテナントの利用を制限してみた

2023/03/10に公開

前回の話

前回はNetskopeのReal-time ProtectionでFrom Userが自社ドメイン以外のユーザーの挙動を制限するPolicyを作成しました。
https://zenn.dev/jyosysmiler/articles/147890520926e1
今回はその続きの話になります。

今回やる事

前回はFrom Userで自社ドメイン以外のユーザーに対してActivityの制限を行っていましたが、SaaSによってはFrom Userが取れなかったりFrom Userの制限では足りないパターンもあります。
今回は一例としてSlackに関するPolicyを作成しようと思います。

おなじみ下準備

前回同様にSkope IT > Application Eventsで現状のログを確認します。

(app like 'Slack') and (activity in ['Upload','Post'])

NetskopeでSlackのログを見るときに重要になるのがInstance IDです。
Slackの場合、テナントのIDがInstance IDで表示されるようになります。

今回はこのInstance IDを用いてPolicyを作成します。

Policyの仕組みを考える

前回の記事(From Userで制限するPolicy)は1つのPolicyで制限を実施していました。
今回は①許可テナントへの全てのActivityを許可、②許可テナント以外はUpload,Postを制限という2段構えでPolicyを作ろうと思います。

設定を作り込んで行く

許可するテナントを登録

まずは許可テナントの情報をPolicies > Profiles > App Instance > NEW CUSTOM APP IONSTANCE > New App Instanceで登録していきます。

APPLICATION:Slack
INSTANCE ID:許可するSlackテナントのID(hogehoge.slack.comのhogehoge部分)
INSTANCENAME:(任意の名前)
INSTANCE TAG:Sanctioned

Policyを作成する

前回同様、Policies > Real-time Protection > NEW POLICY > Cloud App Accessで新しいPolicyを作ります。

①許可テナントへの全てのActivityを許可するPolicy

Souce
Policyを適用したいUserやGroupを指定(最初は検証ユーザーだけが良いと思います)

Destination
App Instance:Slack:hogehoge(先ほど作成したApp Instance)
ACTIVITIES&CONSTRAINTS:Any

Profile & Action
Action:Allow

Set Policy
Policyの名前を指定します。
例:[CASB]Allow-Slack_許可テナント

Status
Enabledのまま

②許可テナント以外はUpload,Postを制限

Souce
Policyを適用したいUserやGroupを指定(最初は検証ユーザーだけが良いと思います)

Destination
Cloud App:Slack
ACTIVITIES&CONSTRAINTS:Post,Upload

Profile & Action
Action:Alert

Set Policy
Policyの名前を指定します。
例:[CASB]Alert-Slack_許可外テナント

Status
Enabledのまま

Policiesの順番を設定する

①許可テナントへの全てのActivityを許可するPolicy②許可テナント以外はUpload,Postを制限するPolocyより上にしないと全てのテナントでUpload,Postが制限されてしまうので、注意して下さい。

設定完了&検証

以上で設定は完了です!
先ほど設定したPolicyが意図した挙動をするか検証しましょう。

最後に

今回はSlackに対してPolicyの設定を行いましたが、boxも同様に個人テナントの制限をすることが可能です。
From Userでログが取れないAppはInstance IDを確認してみましょう!

Discussion