Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Будучи крупным поставщиком облачных решений CRM, Salesforce включает в себя большие объемы конфиденциальной информации о клиентах, сборники схем ценообразования и крупные сделки в вашей организации. Будучи бизнес-критически важным приложением, люди внутри вашей организации и другие пользователи за ее пределами (например, партнеры и подрядчики) получают доступ к Salesforce и используют Salesforce для различных целей. Во многих случаях значительная часть пользователей, обращаюющихся к Salesforce, имеют низкую осведомленность о безопасности и могут поставить под угрозу вашу конфиденциальную информацию, непреднамеренно поделившись ею. В других случаях злоумышленники могут получить доступ к наиболее конфиденциальным ресурсам, связанным с клиентом.
Подключение Salesforce к Defender for Cloud Apps позволяет получить улучшенные аналитические сведения о действиях пользователей, обеспечить обнаружение угроз с помощью обнаружения аномалий на основе машинного обучения и обнаружения защиты информации (например, при обнаружении внешнего обмена информацией). Defender for Cloud Apps также предоставляет средства автоматического устранения и обнаруживает угрозы, исходящие от включенных в вашей организации сторонних приложений.
Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.
Основные угрозы для среды Salesforce
- Скомпрометированные учетные записи и внутренние угрозы
- Утечка данных
- Повышенные привилегии
- Недостаточная осведомленность о безопасности
- Вредоносные сторонние приложения и надстройки Google
- Программа-вымогатель
- Неуправляемый перенос собственного устройства (BYOD)
Предварительные условия
Перед подключением Salesforce к Defender for Cloud Apps выполните следующие предварительные требования:
Установите и авторизуйте приложение Salesforce Connected в целевой организации Salesforce, прежде чем начинать процесс подключения. Salesforce применяет ограничения на использование подключенных приложений. Дополнительные сведения см. в статье Подготовка к изменению ограничений использования подключенных приложений.
Назначьте учетной записи службы Salesforce, используемой для подключения Microsoft Defender for Cloud Apps, разрешение Одобрение неустановленных подключенных приложений. Salesforce требуется это разрешение для подключения сторонних приложений через OAuth.
Как Defender for Cloud Apps помогает защитить среду
Defender for Cloud Apps помогает защитить среду Salesforce следующим образом:
- Обнаруживайте облачные угрозы, скомпрометированные учетные записи и злоумышленников из числа сотрудников
- Обнаружение, классификация, применение меток и защита регламентированных и конфиденциальных данных, хранящихся в облаке
- Обнаружение приложений OAuth, имеющих доступ к вашей среде, и управление ими
- Применение политики защиты от потери данных и политики соответствия требованиям для данных, хранящихся в облаке
- Ограничение раскрытия общих данных и обеспечение соблюдения политик совместной работы
- Использование журнала аудита действий для криминалистических исследований
Управление состоянием безопасности SaaS для Salesforce
Подключите Salesforce , чтобы автоматически получать рекомендации по безопасности для Salesforce в Оценка безопасности (Майкрософт).
В разделе Оценка безопасности выберите Рекомендуемые действия и отфильтруйте по Product = Salesforce. Например, рекомендации для Salesforce:
- Требовать проверку подлинности во время регистрации многофакторной проверки подлинности (MFA)
- Применять диапазоны IP-адресов для входа при каждом запросе
- Максимальное число недопустимых попыток входа
- Требование к сложности пароля
Дополнительные сведения см. в разделе:
Управление Salesforce с помощью встроенных политик и шаблонов политик
Используйте следующие встроенные шаблоны политик для обнаружения и получения уведомлений о потенциальных угрозах:
Important
Политики файлов удаляются 6 января 2027 г. Чтобы обеспечить защиту данных на основе файлов для этого приложения, перейдите на политики DLP Microsoft Purview или политики автоматической маркировки.
| Тип | Имя |
|---|---|
| Встроенная политика обнаружения аномалий |
Действия с анонимных IP-адресов. Активность из необычной страны Действия с подозрительных IP-адресов Неосуществимое перемещение Действие, выполненное удалённым пользователем (требуется Microsoft Entra ID как поставщик удостоверений) Многократные неудачные попытки входа. Необычные административные действия Необычные действия по удалению файлов (временно не поддерживается из-за ограничений в API Salesforce) Необычные действия с общими файлами Необычные действия с выдачей себя за другое лицо Необычные действия по скачиванию нескольких файлов |
| Шаблон политики действий | Вход с опасного IP-адреса Массовое скачивание одним пользователем |
| Шаблон политики файлов | Обнаружить файл, к которому предоставлен общий доступ для несанкционированного домена Обнаружение файлов, к которым предоставлен общий доступ с личными адресами электронной почты |
Дополнительные сведения о создании политик см. в разделе Создание политики.
Автоматизация элементов управления
Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению Salesforce для устранения обнаруженных угроз:
| Тип | Действие |
|---|---|
| Управление пользователями | — уведомление пользователей об ожидающих оповещениях — Отправить владельцам файлов дайджест нарушений DLP — Приостановка пользователя — уведомлять пользователя при предупреждении (через Microsoft Entra ID) — требовать от пользователя повторного входа (через Microsoft Entra ID). — Приостановить пользователя (через Microsoft Entra ID) |
| Управление приложениями OAuth | — Отзыв приложения OAuth для пользователей |
Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.
Защита Salesforce в режиме реального времени
Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.
Подключение Salesforce к Microsoft Defender for Cloud Apps
Используйте следующие предварительные требования и шаги для подключения Salesforce к Microsoft Defender for Cloud Apps.
Предварительные условия
- Для всех интеграций, кроме управления состоянием безопасности SaaS (SSPM), убедитесь, что Salesforce Shield доступен в вашем экземпляре Salesforce.
Используйте следующие инструкции, чтобы подключить Microsoft Defender for Cloud Apps к существующей учетной записи Salesforce с помощью API соединителя приложений. Соединитель приложений Salesforce позволяет просматривать и контролировать использование Salesforce.
Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.
- Установите и авторизуйте приложение Salesforce Connected в целевой организации Salesforce, прежде чем начинать процесс подключения. Salesforce применяет ограничения на использование подключенных приложений. Дополнительные сведения см. в разделе "Подготовка к изменению ограничений использования подключенных приложений".
- Назначьте учетной записи службы Salesforce, используемой для подключения Microsoft Defender for Cloud Apps, разрешение Одобрение неустановленных подключенных приложений. Salesforce требуется это разрешение для подключения сторонних приложений через OAuth.
- Убедитесь, что учетная запись в Salesforce относится к одной из следующих редакций, поддерживающих доступ к REST API:
- Производительность
- Корпоративная
- Без ограничений
- Разработчик
- Профессиональный. REST API необходимо добавить в профессиональный выпуск отдельно.
Настройка Salesforce
В учетной записи Salesforce создайте выделенную учетную запись администратора службы для Defender for Cloud Apps.
Создайте новый профиль для учетной записи службы Defender for Cloud Apps. Используйте этот профиль для настройки соединителя приложений.
Убедитесь, что профиль учетной записи службы содержит следующие разрешения:
- API включен
- Просмотр всех данных
- Управление содержимым Salesforce CRM
- Управление пользователями
- Запрос всех файлов
- Изменение метаданных с помощью функций API метаданных
- Просмотр настроек и конфигурации
Если в вашей организации включен Salesforce CRM Content:
- Предоставьте доступ к содержимому Salesforce CRM учетной записи администратора службы Defender for Cloud Apps.
- Отключите привязку сеансов к IP-адресу, с которого они были инициированы для профиля служебной учётной записи.
- Включите доставку содержимого и общедоступные ссылки.
Примечание.
Чтобы запросить данные общего доступа к файлам, включите функцию доставки содержимого для Defender for Cloud Apps. Дополнительные сведения см. в разделе ContentDistribution.
Настройте Defender for Cloud Apps
Выполните следующие действия, чтобы подключить Defender for Cloud Apps к Salesforce:
В консоли Defender for Cloud Apps выберите Исследовать, а затем — Подключенные приложения.
На странице Соединители приложений выберите +Подключить приложение , а затем — Salesforce.
В следующем окне введите имя подключения и нажмите кнопку "Далее".
В разделе "Следуйте ссылке" выберите Connect Salesforce.
Это действие открывает страницу входа Salesforce. Введите свои учетные данные, чтобы предоставить Defender for Cloud Apps доступ к приложению Salesforce вашей команды.
Salesforce спрашивает, хотите ли вы разрешить Defender for Cloud Apps доступ к сведениям о команде и журналу действий, а также выполнять какие-либо действия как любой участник команды. Выберите Разрешить , чтобы продолжить.
Вы получаете уведомление об успешном выполнении или сбое развертывания. Defender for Cloud Apps теперь авторизован в Salesforce.com.
Вернувшись в консоль Defender for Cloud Apps, вы увидите сообщение Salesforce успешно подключено.
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.
После подключения Salesforce Defender for Cloud Apps собирает события входа и записи журнала аудита с семи дней до подключения и данные мониторинга событий за предыдущие 30 дней или один день в зависимости от лицензии на мониторинг событий Salesforce.
Defender for Cloud Apps напрямую вызывает API Salesforce. Так как Salesforce ограничивает количество вызовов API за период, Defender for Cloud Apps считывает счетчики API, возвращаемые в каждом ответе Salesforce, и всегда сохраняет 10% доступных вызовов в резерве.
При включении мониторинга событий Salesforce в режиме реального времени (предварительная версия) задержка обнаружения для удостоверений и атак OAuth снижается с нескольких часов до минут. Обнаружения также включают дополнительные контексты, такие как имя подключенного приложения и идентификатор, разрешения приложения, агент пользователя, IP-адрес и сведения о сеансе.
Примечание.
- Ограничение скорости для Defender for Cloud Apps рассчитывается исключительно на основе его собственных вызовов API к Salesforce, а не вызовов API любых других приложений к Salesforce. Ограничение вызовов API из-за ограничения частоты запросов может временно замедлить сбор данных в Defender for Cloud Apps, но к утру процесс обычно наверстывает отставание.
- Если экземпляр Salesforce не на английском языке, выберите соответствующее значение атрибута языка для учетной записи администратора службы интеграции. Чтобы изменить атрибут языка, перейдите в раздел "Администрирование>пользователей"> и откройте учетную запись администратора системы интеграции. Теперь перейдите в Региональные параметры>Язык и выберите нужный язык.
Defender for Cloud Apps обрабатывает события Salesforce по следующему расписанию:
- События входа в систему каждые 15 минут
- Настройте журналы аудита каждые 15 минут
- Журнал событий: каждый час. Дополнительные сведения о событиях Salesforce см. в разделе Использование мониторинга событий.
Включение мониторинга событий Salesforce в режиме реального времени (предварительная версия)
Чтобы получить максимальный охват обнаружения и наиболее полный контекст для расследования при использовании коннектора Salesforce, администратор Salesforce должен включить Хранение данных для определённого набора событий в Диспетчере событий Salesforce. Defender for Cloud Apps затем в течение нескольких минут получает эти события из Salesforce Real-Time Event Monitoring и использует их для расширения возможностей обнаружения злоупотребления OAuth, угона сеансов, подбора учетных данных и аномальной активности API.
Инвентаризация приложений Salesforce OAuth также включает подключенные приложения и внешние клиентские приложения (ECAs), а также предоставленные разрешения для каждого приложения и дату последнего использования. Высоко привилегированные и неиспользуемые аналитические сведения о приложениях Salesforce помогают определить приложения OAuth, которые требуют проверки. Дополнительные сведения см. в разделе инвентаризации приложений и просмотр сведений о приложении с помощью управления приложениями.
Включите эти события для оптимального охвата обнаружения. Включение этих событий обеспечивает более высокую задержку и более надежные обнаружения.
Включение событий в Диспетчере событий Salesforce
Войдите в Salesforce как администратор.
Перейдите по адресу
https://YOURDOMAIN.lightning.force.com/lightning/setup/EventManager/home.Выполните поиск по каждому из следующих событий и включите хранение данных:
- Событие аномалии API
- Событие API
- Событие "Содержимое учетных данных"
- Событие аномалии у гостевого пользователя
- Событие поставщика удостоверений
- Событие проверки подлинности
- Событие набора прав доступа
- Сообщить о событии аномалии
- Сообщить о событии
- Событие перехвата сеанса
Дальнейшие действия
Если у вас возникли проблемы с подключением к приложению, см. статью Устранение неполадок с соединителями приложений.