Defender for Cloud Appsが Salesforce 環境の保護にどのように役立つか
主要な CRM クラウド プロバイダーとして、Salesforce には、顧客、価格プレイブック、および主要な取引に関する大量の機密情報がorganization内に組み込まれています。 ビジネスに不可欠なアプリである Salesforce は、organization内のユーザー、およびその外部の他のユーザー (パートナーや請負業者など) によってさまざまな目的でアクセスされ、使用されます。 多くの場合、Salesforce にアクセスするユーザーの大部分はセキュリティに対する意識が低く、意図せずに共有することで機密情報が危険にさらされる可能性があります。 他の場合、悪意のあるアクターは、最も機密性の高い顧客関連の資産にアクセスする可能性があります。
Salesforce を Defender for Cloud Apps に接続すると、ユーザーのアクティビティに関する分析情報が向上し、機械学習ベースの異常検出と情報保護検出 (外部情報共有の検出など) を使用した脅威検出が提供され、自動修復制御が有効になり、organizationで有効なサード パーティ製アプリからの脅威が検出されます。
このアプリ コネクタを使用して、Microsoft Secure Score に反映されたセキュリティ制御を使用して SaaS セキュリティ態勢管理 (SSPM) 機能にアクセスします。 詳細情報 を参照してください。
主な脅威
- 侵害されたアカウントとインサイダーの脅威
- データ漏洩
- 昇格した権限
- セキュリティに対する認識が不十分
- 悪意のあるサード パーティ製アプリと Google アドオン
- ランサムウェア
- アンマネージド Bring Your Own Device (BYOD)
Defender for Cloud Appsが環境を保護するのにどのように役立つか
- クラウドの脅威、侵害されたアカウント、悪意のある内部関係者を検出する
- クラウドに保存されている規制対象および機密データを検出、分類、ラベル付け、保護する
- 環境にアクセスできる OAuth アプリを検出して管理する
- クラウドに保存されているデータに DLP およびコンプライアンス ポリシーを適用する
- 共有データの露出を制限し、コラボレーション ポリシーを実施する
- フォレンジック調査のためにアクティビティの監査証跡を使用する
SaaS セキュリティ体制管理
Salesforce を接続 して、Microsoft Secure Score で Salesforce のセキュリティに関する推奨事項を自動的に取得します。
[セキュリティ スコア] で [ 推奨されるアクション ] を選択し、 Product = Salesforce でフィルター処理します。 たとえば、Salesforce の推奨事項には次のようなものがあります。
- 多要素認証 (MFA) 登録中に ID 検証を要求する
- すべての要求にログイン IP 範囲を適用する
- 無効なログイン試行の最大数
- パスワードの複雑さの要件
詳細については、以下を参照してください:
組み込みのポリシーとポリシー テンプレートを使用して Salesforce を制御する
次の組み込みのポリシー テンプレートを使用して、潜在的な脅威を検出して通知できます。
| 種類 | 氏名 |
|---|---|
| 組み込みの異常検出ポリシー |
匿名 IP アドレスからのアクティビティ 頻度の低い国からのアクティビティ 疑わしい IP アドレスからのアクティビティ 不可能な移動 終了したユーザーによって実行されるアクティビティ (IdP としてMicrosoft Entra IDが必要) 複数回のログイン試行の失敗 通常とは異なる管理アクティビティ 異常なファイル削除アクティビティ 通常とは異なるファイル共有アクティビティ 通常とは異なる偽装アクティビティ 通常とは異なる複数のファイルダウンロード アクティビティ |
| アクティビティ ポリシー テンプレート | 危険な IP アドレスからのログオン 1 人のユーザーによる一括ダウンロード |
| ファイル ポリシー テンプレート | 未承認のドメインと共有されているファイルを検出する 個人用メール アドレスと共有されているファイルを検出する |
ポリシーの作成の詳細については、「ポリシーの 作成」を参照してください。
ガバナンス制御を自動化する
潜在的な脅威の監視に加えて、次の Salesforce ガバナンス アクションを適用および自動化して、検出された脅威を修復できます。
| タイプ | 操作 |
|---|---|
| ユーザー ガバナンス | - 保留中のアラートをユーザーに通知する - DLP 違反ダイジェストをファイル所有者に送信する - ユーザーの一時停止 - ユーザーにアラートを通知する (Microsoft Entra ID経由) - ユーザーに再度サインインを要求する (Microsoft Entra ID経由) - ユーザーを一時停止する (Microsoft Entra ID経由) |
| OAuth アプリ ガバナンス | - ユーザーの OAuth アプリを取り消す |
アプリからの脅威の修復の詳細については、「 接続されたアプリの管理」を参照してください。
Salesforce をリアルタイムで保護する
外部ユーザーをセキュリティで保護して共同作業し、機密データのダウンロードをアンマネージド デバイスまたは危険なデバイスにブロックして保護するためのベスト プラクティスを確認します。
Salesforce をMicrosoft Defender for Cloud Appsに接続する
このセクションでは、アプリ コネクタ API を使用して既存の Salesforce アカウントにMicrosoft Defender for Cloud Appsを接続する手順について説明します。 この接続を使用すると、Salesforce の使用を可視化して制御できます。
このアプリ コネクタを使用して、Microsoft Secure Score に反映されたセキュリティ制御を使用して SaaS セキュリティ態勢管理 (SSPM) 機能にアクセスします。 詳細情報 を参照してください。
Salesforce をDefender for Cloud Appsに接続する方法
注:
Salesforce Shield は、SSPM を除くすべてのサポートされる機能で、この統合の前提条件として Salesforce インスタンスで使用できる必要があります
Defender for Cloud Apps専用のサービス管理者アカウントを用意することをお勧めします。
Salesforce で REST API が有効になっていることを検証します。
Salesforce アカウントは、REST API サポートを含む次のいずれかのエディションである必要があります。
パフォーマンス、 エンタープライズ、 無制限、または 開発者。
Professional エディションには既定では REST API はありませんが、オンデマンドで追加できます。
次のように、エディションに REST API が使用可能で有効になっていることを確認します。
Salesforce アカウントにサインインし、[ セットアップホーム ] ページに移動します。
[管理] ->[ユーザー] で、[プロファイル] ページに移動します。
[新しいプロファイル] を選択して 、新しいプロファイルを作成します。
Defender for Cloud Appsをデプロイするために作成したプロファイルを選択し、[編集] を選択します。 このプロファイルは、アプリ コネクタを設定するために、Defender for Cloud Apps サービス アカウントに使用されます。
次のチェックボックスが有効になっていることを確認します。
- API が有効
- すべてのデータを表示する
- Salesforce CRM コンテンツの管理
- ユーザーの管理
- すべてのファイルに対してクエリを実行する
- メタデータ API 関数を使用してメタデータを変更する
これらのチェックボックスがオンになっていない場合は、Salesforce に問い合わせてアカウントに追加する必要がある場合があります。
organizationで Salesforce CRM コンテンツが有効になっている場合は、現在の管理アカウントでも有効になっていることを確認します。
Salesforce セットアップホーム ページに移動します。
[管理] ->[ユーザー] で、[ユーザー] ページに移動します。
専用のDefender for Cloud Apps ユーザーの現在の管理ユーザーを選択します。
[Salesforce CRM コンテンツ ユーザー チェック] ボックスが選択されていることを確認します。
[ホームのセットアップ] ->[セキュリティ] -> [Session の設定] に移動します。 [セッションの設定] で、[セッションを元の IP アドレスにロックする] ボックスチェック選択されていないことを確認します。
[保存] を選択します。
アプリ ->Feature Settings ->Salesforce Files ->Content 配信とパブリック リンクに移動します。
[編集] を選択し、[オンになっているコンテンツ配信機能をユーザーに対して有効にできます] を選択します
[保存] を選択します。
注:
Defender for Cloud Appsがファイル共有データを照会するには、コンテンツ配信機能を有効にする必要があります。 詳細については、「 ContentDistribution」を参照してください。
Defender for Cloud Appsを Salesforce に接続する方法
Defender for Cloud Apps コンソールで、[調査] を選択し、[接続済みアプリ] を選択します。
[ アプリ コネクタ ] ページで、[ + アプリの接続 ] を選択し、その後に Salesforce を選択します。
次のウィンドウで、接続に名前を付け、[ 次へ] を選択します。
[ リンクのフォロー] ページで 、[ Salesforce の接続] を選択します。
Salesforce サインイン ページが開きます。 資格情報を入力して、チームDefender for Cloud Apps Salesforce アプリへのアクセスを許可します。
Salesforce は、チーム情報とアクティビティ ログへのDefender for Cloud Appsアクセスを許可し、任意のチーム メンバーとして任意のアクティビティを実行するかどうかを確認します。 続行するには、[許可] を選択 します。
この時点で、デプロイの成功または失敗に関する通知が表示されます。 Defender for Cloud Appsが Salesforce.com で承認されるようになりました。
Defender for Cloud Apps コンソールに戻ると、Salesforce が正常に接続されたというメッセージが表示されます。
Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 [ 接続済みアプリ] で、[ アプリ コネクタ] を選択します。 接続されている App Connector の状態が [接続済み] になっていることを確認します。
Salesforce を接続すると、Salesforce EventMonitoring ライセンスに応じて、イベントのログインと接続の 7 日前の監査証跡の設定、EventMonitoring 30 日、または 1 日前のイベントの受信が行われます。 Defender for Cloud Apps API は、Salesforce から入手できる API と直接通信します。 Salesforce では受信できる API 呼び出しの数が制限されるため、Defender for Cloud Appsはこれを考慮し、制限を尊重します。 Salesforce API は、使用可能な合計と残りを含む API カウンターのフィールドを含む各応答を送信します。 Defender for Cloud Appsは、これをパーセンテージで計算し、使用可能な API 呼び出しの 10% を常に残しておきます。
注:
Defender for Cloud Apps調整は、Salesforce で API 呼び出しを行う他のアプリケーションの API 呼び出しではなく、Salesforce を使用した独自の API 呼び出しでのみ計算されます。 制限のために API 呼び出しを制限すると、データがDefender for Cloud Appsに取り込まれる速度が低下する可能性がありますが、通常は夜間に追いつきます。
注:
Salesforce インスタンスが英語でない場合は、統合サービス管理者アカウントに適切な 言語 属性値を選択してください。
言語属性を変更するには、 管理 ->Users ->User に移動し、統合システム管理者アカウントを開きます。 次に、[ロケール設定] ->[言語] に移動し、目的の言語を選択します。
Salesforce イベントは、次のようにDefender for Cloud Appsによって処理されます。
- 15 分ごとにサインイン イベント
- 監査証跡を 15 分ごとに設定する
- イベント ログは 1 時間ごとに記録されます。 Salesforce イベントの詳細については、「 イベント監視の使用」を参照してください。
アプリの接続に問題がある場合は、「 アプリ コネクタのトラブルシューティング」を参照してください。
次の手順
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。