Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Будучи крупным поставщиком облачных решений CRM, Salesforce включает в себя большие объемы конфиденциальной информации о клиентах, сборники схем ценообразования и крупные сделки в вашей организации. Будучи критически важным для бизнеса приложением, Salesforce получает доступ и используется сотрудниками вашей организации и другими пользователями за ее пределами (например, партнерами и подрядчиками) для различных целей. Во многих случаях значительная часть пользователей, обращаюющихся к Salesforce, имеют низкую осведомленность о безопасности и могут поставить под угрозу вашу конфиденциальную информацию, непреднамеренно поделившись ею. В других случаях злоумышленники могут получить доступ к наиболее конфиденциальным ресурсам, связанным с клиентом.
Подключение Salesforce к Defender for Cloud Apps позволяет получить улучшенные аналитические сведения о действиях пользователей, обеспечить обнаружение угроз с помощью обнаружения аномалий на основе машинного обучения и обнаружения защиты информации (например, при обнаружении внешнего обмена информацией). Он также включает автоматизированные элементы управления исправлением и обнаруживает угрозы из включенных сторонних приложений в вашей организации.
Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.
Основные угрозы
- Скомпрометированные учетные записи и внутренние угрозы
- Утечка данных
- Повышенные привилегии
- Недостаточная осведомленность о безопасности
- Вредоносные сторонние приложения и надстройки Google
- Программа-шантажист
- Неуправляемый перенос собственного устройства (BYOD)
Предварительные условия
Установите и авторизуйте приложение Salesforce Connected в целевой организации Salesforce, прежде чем начинать процесс подключения. Salesforce применяет ограничения на использование подключенных приложений. Дополнительные сведения см. в статье Подготовка к изменению ограничений использования подключенных приложений.
Назначьте разрешение Утвердить удаленные подключенные приложения учетной записи службы Salesforce, используемой для подключения Microsoft Defender for Cloud Apps. Salesforce требуется это разрешение для подключения сторонних приложений через OAuth.
Как Defender for Cloud Apps помогает защитить среду
- Обнаружение облачных угроз, скомпрометированных учетных записей и вредоносных участников программы предварительной оценки
- Обнаружение, классификация, применение меток и защита регламентированных и конфиденциальных данных, хранящихся в облаке
- Обнаружение приложений OAuth, имеющих доступ к вашей среде, и управление ими
- Применение политики защиты от потери данных и политики соответствия требованиям для данных, хранящихся в облаке
- Ограничение раскрытия общих данных и обеспечение соблюдения политик совместной работы
- Использование журнала аудита действий для криминалистических исследований
Управление состоянием безопасности SaaS
Подключите Salesforce , чтобы автоматически получать рекомендации по безопасности для Salesforce в Microsoft Secure Score.
В разделе Оценка безопасности выберите Рекомендуемые действия и отфильтруйте по Product = Salesforce. Например, рекомендации для Salesforce:
- Требовать проверку подлинности во время регистрации многофакторной проверки подлинности (MFA)
- Принудительное применение диапазонов IP-адресов входа для каждого запроса
- Максимальное число недопустимых попыток входа
- Требование к сложности пароля
Дополнительные сведения см. в разделе:
Управление Salesforce с помощью встроенных политик и шаблонов политик
Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:
| Тип | Имя |
|---|---|
| Встроенная политика обнаружения аномалий |
Действия с анонимных IP-адресов. Действия из редкой страны Действия с подозрительных IP-адресов Неосуществимое перемещение Действие, выполненное прерванным пользователем (требуется Microsoft Entra ID в качестве поставщика удостоверений) Многократные неудачные попытки входа. Необычные административные действия Необычные действия по удалению файлов (временно не поддерживается из-за ограничений в API Salesforce) Необычные действия общего доступа к файлам Необычные олицетворенные действия Необычные действия по скачиванию нескольких файлов |
| Шаблон политики действий | Вход с опасного IP-адреса Массовое скачивание одним пользователем |
| Шаблон политики файлов | Обнаружение файла, к которым предоставлен общий доступ с несанкционированным доменом Обнаружение файлов, к которым предоставлен общий доступ с личными адресами электронной почты |
Дополнительные сведения о создании политик см. в разделе Создание политики.
Автоматизация элементов управления
Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению Salesforce для устранения обнаруженных угроз:
| Тип | Действие |
|---|---|
| Управление пользователями | — уведомление пользователей об ожидающих оповещениях — отправка дайджеста нарушений защиты от потери данных владельцам файлов — Приостановка пользователя — уведомление пользователя об оповещении (через Microsoft Entra ID) — требовать от пользователя повторного входа (через Microsoft Entra ID). — Приостановить пользователя (через Microsoft Entra ID) |
| Управление приложениями OAuth | — Отзыв приложения OAuth для пользователей |
Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.
Защита Salesforce в режиме реального времени
Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.
Подключение Salesforce к Microsoft Defender for Cloud Apps
Предварительные условия
- Для всех интеграций, кроме SSPM, убедитесь, что Salesforce Shield доступен для экземпляра Salesforce.
В этом разделе содержатся инструкции по подключению Microsoft Defender for Cloud Apps к существующей учетной записи Salesforce с помощью API соединителя приложений. Это подключение обеспечивает видимость использования Salesforce и контроль над ней.
Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.
В учетной записи Salesforce создайте выделенную учетную запись администратора службы для Defender for Cloud Apps.
Убедитесь, что учетная запись Salesforce назначена одному из следующих выпусков, которые поддерживают доступ к REST API:
- Производительность
- Корпоративная
- Без ограничений
- Developer
- Профессиональный. REST API необходимо добавить в профессиональный выпуск отдельно.
Создайте новый профиль для учетной записи службы Defender for Cloud Apps. Этот профиль будет использоваться для настройки соединителя приложений.
Убедитесь, что профиль учетной записи службы содержит следующие разрешения:
- API включен
- Просмотр всех данных
- Управление содержимым Salesforce CRM
- Управление пользователями
- Запрос всех файлов
- Изменение метаданных с помощью функций API метаданных
- Просмотр настроек и конфигурации
Если Salesforce CRM Содержимое активно в вашей организации:
- Предоставьте доступ к содержимому Salesforce CRM учетной записи администратора службы Defender for Cloud Apps.
- Отключите блокировку сеансов для IP-адреса, с которого они были созданы для профиля учетной записи службы.
- Включите доставку содержимого и общедоступные ссылки.
Примечание.
Чтобы Defender for Cloud Apps запрашивать данные общего доступа к файлам, необходимо включить функцию доставки содержимого. Дополнительные сведения см. в разделе ContentDistribution.
Подключение Defender for Cloud Apps к Salesforce
В консоли Defender for Cloud Apps выберите Исследовать, а затем — Подключенные приложения.
На странице Соединители приложений выберите +Подключить приложение , а затем — Salesforce.
В следующем окне присвойте соединению имя и нажмите кнопку Далее.
На странице Перейти по ссылке выберите Подключить Salesforce.
Откроется страница входа в Salesforce. Введите учетные данные, чтобы разрешить Defender for Cloud Apps доступ к приложению Salesforce вашей команды.
Salesforce спросит вас, хотите ли вы разрешить Defender for Cloud Apps доступ к сведениям о вашей команде и журналу действий и выполнять какие-либо действия как любой участник команды. Чтобы продолжить, выберите Разрешить.
На этом этапе вы получите уведомление об успешном или неудачном выполнении развертывания. Defender for Cloud Apps теперь авторизован в Salesforce.com.
В консоли Defender for Cloud Apps должно появиться сообщение Salesforce успешно подключено.
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.
После подключения Salesforce вы получите следующие события: события входа и настройка журнала аудита за семь дней до подключения, EventMonitoring 30 дней или один день назад в зависимости от лицензии Salesforce EventMonitoring. API Defender for Cloud Apps напрямую взаимодействует с API, доступными в Salesforce. Поскольку Salesforce ограничивает количество вызовов API, которые она может получать, Defender for Cloud Apps учитывает это и учитывает ограничение. API Salesforce отправляют каждый ответ с полем для счетчиков API, включая общее доступное и оставшееся. Defender for Cloud Apps вычисляет это в процентах и всегда оставляет 10 % доступных вызовов API.
Примечание.
Defender for Cloud Apps регулирование вычисляется исключительно на основе собственных вызовов API с salesforce, а не других приложений, выполняющих вызовы API с salesforce. Ограничение вызовов API из-за регулирования может временно замедлить прием данных в Defender for Cloud Apps, но процесс обычно выполняется в одночасье
Примечание.
Если экземпляр Salesforce не на английском языке, выберите соответствующее значение атрибута языка для учетной записи администратора службы интеграции.
Чтобы изменить атрибут языка, перейдите в раздел Администрирование ->Пользователи ->Пользователь и откройте учетную запись администратора системы интеграции. Теперь перейдите в раздел Параметры языкового стандарта ->Язык и выберите нужный язык.
Defender for Cloud Apps обработать события Salesforce следующим образом:
- События входа каждые 15 минут
- Настройка журналов аудита каждые 15 минут
- Журналы событий каждые 1 час. Дополнительные сведения о событиях Salesforce см. в разделе Использование мониторинга событий.
Дальнейшие действия
Если у вас возникли проблемы с подключением к приложению, см. статью Устранение неполадок с соединителями приложений.