Интеграция Почты с внешними системами защиты от утечек

Для защиты исходящей почты от утечек в Яндекс 360 для бизнеса можно использовать внешние DLP-системы. DLP (Data Loss Prevention) — это технология, которая помогает обнаружить и предотвратить передачу сотрудниками конфиденциальной информации, такой как персональные данные, коммерческая тайна, интеллектуальная собственность и т. д.

Как это работает

После настройки интеграции копии всех исходящих писем сотрудников попадают в DLP-систему. DLP на основе заданных правил определяет, есть ли в отправляемых письмах данные, которые считаются конфиденциальными. Если нарушение обнаружено, система действует в соответствии со своими настройками: отправляет уведомления администратору безопасности, записывает событие во внутренний журнал аудита и т. д.

Также через DLP-систему при необходимости можно проверять входящую почту на наличие запрещенной информации, фишинга или спама.

Настройка взаимодействия с DLP

1. В вашей организации в Яндекс 360 для бизнеса создайте отдельного пользователя для работы с DLP-системой (например, с логином dlp). Как это сделать

2. Настройте пересылку исходящей почты всех сотрудников на ящик созданного dlp-пользователя. Для этого потребуется работа с API.

   1. Воспользуйтесь инструкцией на странице Доступ к API, чтобы получить OAuth-токен. При создании приложения выберите доступы ya360_admin:mail_read_routing_rules и ya360_admin:mail_write_routing_rules.

      Если OAuth-приложение уже создано, но у него нет нужных прав доступа, добавьте их. После сохранения изменений система предложит выпустить новый токен.

   2. Определите идентификатор вашей организации: откройте кабинет организации и выберите Общие настройки → Профиль организации. Идентификатор будет указан под названием организации.

      Скриншот

      

   3. Получите список правил обработки писем, настроенных в вашей организации, чтобы обновить его.

      1. Сформируйте и отправьте API-запрос на получение списка правил:

         • HTTP-метод: GET

         • URL запроса:

           https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules 
           

           где {ОРГАНИЗАЦИЯ} — идентификатор организации, полученный на шаге 2.2.

           Пример

           https://api360.yandex.net/admin/v1/org/1234567/mail/routing/rules 
           

         • Заголовок:

           Authorization: OAuth {OAUTH-ТОКЕН}
           

           где {OAUTH-ТОКЕН} — OAuth-токен, полученный на шаге 2.1.

         Если вы работаете на Windows, то отправить запрос на получение списка правил обработки писем можно с помощью команды curl такого вида:

         curl -X GET -H "Authorization: OAuth {OAUTH-ТОКЕН}" https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules 
         

         где

         {OAUTH-ТОКЕН} — OAuth-токен, полученный на шаге 2.1; {ОРГАНИЗАЦИЯ} — идентификатор организации, полученный на шаге 2.2.

         Я не понимаю, как это сделать

         1. Подготовьте команду: скопируйте пример в любой редактор, вставьте в указанные места токен и идентификатор организации.
         2. Нажмите кнопку поиска на панели задач Windows, напишите в поисковой строке cmd и нажмите клавишу Enter.
         3. Откроется окно «Командная строка». Вставьте в него готовую команду и нажмите Enter.

      2. Проанализируйте полученный ответ:

         • Если в списке нет ни одного правила обработки, переходите к следующему шагу.
         • Если список непустой, скопируйте полученный ответ, в любом текстовом редакторе создайте файл, вставьте в него полученный код и сохраните его в формате JSON (например, с именем rules-list.json).

   4. Подготовьте новый список правил. Порядок действий зависит от полученного ответа на предыдущий запрос.

      В списке уже есть правила

      В списке пока нет правил

      Добавьте в начало списка правило пересылки копий исходящих писем на ящик dlp-пользователя:

      1. В текстовом редакторе откройте файл rules-list.json.

      2. После текста {"rules":[ добавьте следующий код:

         {"terminal":false,"condition":{},"actions":[{"data":{"email":"dlp@domain.ru"},"action":"forward"}],"scope":{"direction":"outbound"}},
         

         где dlp@domain.ru — электронный адрес пользователя, созданного на шаге 1.

      3. Сохраните файл с именем rules-list-new.json.

      Создайте файл с именем rules-list-new.json со следующим содержимым:

      {
        "rules": [
          {
            "terminal": false,
            "condition": {},
            "actions": [
              {
                "data": {
                  "email": "dlp@domain.ru"
                },
                "action": "forward"
              }
            ],
            "scope": {
              "direction": "outbound"
            }
          }
        ]
      }
      

      где dlp@domain.ru — электронный адрес пользователя, созданного на шаге 1.

   5. Сформируйте и отправьте API-запрос, который создает правило пересылки исходящей почты.

      • HTTP-метод: PUT

      • URL запроса:

      https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules 
      

      где {ОРГАНИЗАЦИЯ} — идентификатор организации, полученный на шаге 2.2.

      • Заголовки:

        Authorization: OAuth {OAUTH-ТОКЕН}
        Content-Type: application/json
        

        где {OAUTH-ТОКЕН} — OAuth-токен, полученный на шаге 2.1.

      • Тело запроса: содержится в файле rules-list-new.json, созданном на шаге 2.4.

      Если вы работаете на Windows, то отправить запрос на создание правила пересылки можно с помощью команды curl такого вида:

      curl -X PUT -H "Authorization: OAuth {OAUTH-ТОКЕН}" -H "Content-Type: application/json" -d "@rules-list-new.json" https://api360.yandex.net/admin/v1/org/{ОРГАНИЗАЦИЯ}/mail/routing/rules
      

      где

      {OAUTH-ТОКЕН} — OAuth-токен, полученный на шаге 2.1;

      rules-list-new.json — файл с телом запроса, созданный на шаге 2.4;

      {ОРГАНИЗАЦИЯ} — идентификатор организации, полученный на шаге 2.2.

      Я не понимаю, как это сделать

      1. Подготовьте команду: скопируйте пример в любой редактор, вставьте в указанные места токен и идентификатор организации.
      2. Откройте папку, в которой лежит файл rules-list-new.json.
      3. Нажмите на пустое место в адресной строке.
      4. Напишите туда cmd и нажмите клавишу Enter.
      5. Откроется окно «Командная строка». Вставьте в него готовую команду и нажмите Enter.

   6. Проверить, что правило создалось, можно, отправив API-запрос на просмотр правил обработки писем по инструкции из шага 2.3.

3. Чтобы проверять входящую почту на конфиденциальную информацию, для нее также настройте правила пересылки на ящик dlp-пользователя. Это можно сделать в интерфейсе Яндекс 360 для бизнеса по инструкции.

4. Настройте ящик dlp-пользователя для работы по протоколу IMAP:

   1. Откройте раздел Почтовые программы в настройках Яндекс Почты dlp-пользователя.

   2. В разделе Разрешить доступ к почтовому ящику с помощью почтовых клиентов выберите опции:

      • С сервера imap.yandex.ru по протоколу IMAP
      • Способ авторизации по IMAP → Пароли приложений и OAuth-токены

   3. Сохраните изменения.

5. Создайте пароль приложения для доступа к почтовому ящику dlp-пользователя:

   1. Откройте страницу Пароли приложений Яндекс ID dlp-пользователя.

   2. В разделе Создать пароль приложения нажмите  в строке Почта.

   3. Придумайте название пароля, например dlp-access. С этим названием пароль будет отображаться в списке.

   4. Нажмите кнопку Далее — на экране появится созданный пароль. Скопируйте и сохраните его.

      Внимание

      Пароль можно увидеть только один раз. Если вы не сохранили его и закрыли окно, удалите текущий пароль и создайте новый.

6. Во внешней DLP-системе настройте подключение к ящику dlp-пользователя по IMAP с использованием полученного пароля приложений. Общие параметры настройки:

   • Адрес почтового сервера — imap.yandex.ru.
   • Защита соединения — SSL.
   • Порт — 993.

За подробной инструкцией по настройке обратитесь к документации или поддержке производителя DLP-системы.