Defender for Cloud Apps Salesforce 환경을 보호하는 방법

주요 CRM 클라우드 공급자인 Salesforce는 고객, 가격 플레이북 및 organization 내 주요 거래에 대한 많은 양의 중요한 정보를 통합합니다. 비즈니스에 중요한 앱인 Salesforce는 다양한 목적을 위해 organization 내부 사용자와 외부의 다른 사용자(예: 파트너 및 계약자)가 액세스하고 사용합니다. 대부분의 경우 Salesforce에 액세스하는 사용자의 상당수가 보안에 대한 인식이 낮으며 의도치 않게 공유함으로써 중요한 정보를 위험에 빠뜨릴 수 있습니다. 다른 경우에는 악의적인 행위자가 가장 중요한 고객 관련 자산에 액세스할 수 있습니다.

Salesforce를 Defender for Cloud Apps 연결하면 사용자의 활동에 대한 인사이트를 향상시키고, 기계 학습 기반 변칙 검색 및 정보 보호 검색(예: 외부 정보 공유 검색)을 사용하여 위협 탐지를 제공하고, 자동화된 수정 제어를 사용하도록 설정하고, organization 사용하도록 설정된 타사 앱의 위협을 검색합니다.

이 앱 커넥터를 사용하여 Microsoft 보안 점수에 반영된 보안 컨트롤을 통해 SaaS SSPM(보안 태세 관리) 기능에 액세스합니다. 자세히 알아보기.

주요 위협

• 손상된 계정 및 내부자 위협
• 데이터 유출
• 상승된 권한
• 보안 인식 부족
• 악의적인 타사 앱 및 Google 추가 기능
• 랜섬웨어
• 관리되지 않는 사용자 고유의 디바이스 가져오기(BYOD)

Defender for Cloud Apps 환경 보호에 도움이 되는 방법

• 클라우드 위협, 손상된 계정 및 악의적인 내부자 검색
• 클라우드에 저장된 데이터를 검색하고, 분류하고, 레이블을 지정하고, 보호
• 사용자 환경에 액세스할 수 있는 OAuth 앱 검색 및 관리
• 클라우드에 저장된 데이터에 대해 DLP 및 규정 준수 정책 적용
• 공유 데이터 노출 제한 및 공동 작업 정책 적용
• 과학 수사 조사를 위해 활동 감사 추적 사용

SaaS 보안 태세 관리

Salesforce를 연결 하여 Microsoft 보안 점수에서 Salesforce에 대한 보안 권장 사항을 자동으로 가져옵니다.

보안 점수에서 권장 작업을 선택하고 Product = Salesforce별로 필터링합니다. 예를 들어 Salesforce에 대한 권장 사항은 다음과 같습니다.

• MFA(다단계 인증) 등록 중에 ID 확인 필요
• 모든 요청에 로그인 IP 범위 적용
• 최대 잘못된 로그인 시도
• 암호 복잡성 요구 사항

자세한 내용은 다음 항목을 참조하세요.

• SaaS 앱에 대한 보안 태세 관리
• Microsoft Secure Score

기본 제공 정책 및 정책 템플릿을 사용하여 Salesforce 제어

다음 기본 제공 정책 템플릿을 사용하여 잠재적 위협을 감지하고 알릴 수 있습니다.

유형	이름
기본 제공 변칙 검색 정책	익명 IP 주소에서의 활동 의외의 국가에서의 활동 의심스러운 IP 주소의 활동 불가능한 이동 종료된 사용자가 수행하는 작업(IdP로 Microsoft Entra ID 필요) 여러 번 실패한 로그인 시도 비정상적인 관리 활동 비정상적인 파일 삭제 작업 비정상적인 파일 공유 활동 비정상적인 가장 활동 비정상적인 여러 파일 다운로드 활동
활동 정책 템플릿	위험한 IP 주소에서 로그온 단일 사용자가 대량 다운로드
파일 정책 템플릿	권한이 없는 도메인과 공유된 파일 검색 개인 전자 메일 주소와 공유된 파일 검색

정책 만들기에 대한 자세한 내용은 정책 만들기를 참조하세요.

거버넌스 제어 자동화

잠재적 위협에 대한 모니터링 외에도 다음 Salesforce 거버넌스 작업을 적용하고 자동화하여 검색된 위협을 수정할 수 있습니다.

유형	작업
사용자 거버넌스	- 보류 중인 경고를 사용자에게 알립니다. - 파일 소유자에게 DLP 위반 다이제스트 보내기 - 사용자 일시 중단 - 사용자에게 경고 알림(Microsoft Entra ID 통해) - 사용자가 다시 로그인하도록 요구(Microsoft Entra ID 통해) - 사용자 일시 중단(Microsoft Entra ID 통해)
OAuth 앱 거버넌스	- 사용자에 대한 OAuth 앱 취소

앱의 위협 수정에 대한 자세한 내용은 연결된 앱 관리를 참조하세요.

Salesforce를 실시간으로 보호

외부 사용자와의 보안 및 공동 작업 및관리되지 않거나 위험한 디바이스에 대한 중요한 데이터 다운로드를 차단 및 보호하기 위한 모범 사례를 검토합니다.

Salesforce를 Microsoft Defender for Cloud Apps 연결

이 섹션에서는 앱 커넥터 API를 사용하여 기존 Salesforce 계정에 Microsoft Defender for Cloud Apps 연결하는 지침을 제공합니다. 이 연결을 통해 Salesforce 사용을 파악하고 제어할 수 있습니다.

이 앱 커넥터를 사용하여 Microsoft 보안 점수에 반영된 보안 컨트롤을 통해 SaaS SSPM(보안 태세 관리) 기능에 액세스합니다. 자세히 알아보기.

Salesforce를 Defender for Cloud Apps 연결하는 방법

참고

Salesforce Shield는 SSPM을 제외한 모든 지원되는 기능에서 이 통합을 위한 필수 조건으로 Salesforce instance 사용할 수 있어야 합니다.

1. Defender for Cloud Apps 전용 서비스 관리자 계정을 사용하는 것이 좋습니다.

2. Salesforce에서 REST API가 사용하도록 설정되어 있는지 확인합니다.

   Salesforce 계정은 REST API 지원을 포함하는 다음 버전 중 하나여야 합니다.

   성능, 엔터프라이즈, 무제한 또는 개발자.

   Professional 버전에는 기본적으로 REST API가 없지만 요청 시 추가할 수 있습니다.

   버전에 다음과 같이 REST API를 사용할 수 있고 사용하도록 설정되어 있는지 확인합니다.

   • Salesforce 계정에 로그인하고 설정 홈 페이지로 이동합니다.

   • 관리 ->사용자 아래에서 프로필 페이지로 이동합니다.

     

   • 새 프로필을 선택하여 새 프로필을 만듭니다.

   • Defender for Cloud Apps 배포하기 위해 방금 만든 프로필을 선택하고 편집을 선택합니다. 이 프로필은 Defender for Cloud Apps 서비스 계정에 사용하여 앱 커넥터를 설정합니다.

     

   • 다음 확인란을 사용하도록 설정했는지 확인합니다.

     • API 사용
     • 모든 데이터 보기
     • Salesforce CRM 콘텐츠 관리
     • 사용자 관리
     • 모든 파일 쿼리
     • 메타데이터 API 함수를 통해 메타데이터 수정

     이러한 확인란을 선택하지 않은 경우 Salesforce에 문의하여 계정에 추가해야 할 수 있습니다.

3. organization Salesforce CRM 콘텐츠가 사용하도록 설정된 경우 현재 관리 계정도 사용하도록 설정되어 있는지 확인합니다.

   1. Salesforce 설치 홈 페이지로 이동합니다.

   2. 관리 ->사용자 아래에서 사용자 페이지로 이동합니다.

      

   3. 전용 Defender for Cloud Apps 사용자에게 현재 관리 사용자를 선택합니다.

   4. Salesforce CRM 콘텐츠 사용자 검사 상자가 선택되어 있는지 확인합니다.

      

   5. 홈 -보안 설정 ->>세션 설정으로 이동합니다. 세션 설정에서 검사 시작된 IP 주소에 대한 세션 잠금 상자가 선택되지 않았는지 확인합니다.

      

   6. 저장을 선택합니다.

   7. 앱 ->기능 설정 ->Salesforce 파일 ->콘텐츠 배달 및 공용 링크로 이동합니다.

   8. 편집을 선택한 다음, 사용자가 선택한 콘텐츠 배달 기능을 사용하도록 설정할 수 있습니다를 선택합니다.

   9. 저장을 선택합니다.

참고

Defender for Cloud Apps 파일 공유 데이터를 쿼리하려면 콘텐츠 배달 기능을 사용하도록 설정해야 합니다. 자세한 내용은 ContentDistribution을 참조하세요.

Salesforce에 Defender for Cloud Apps 연결하는 방법

1. Defender for Cloud Apps 콘솔에서 조사를 선택한 다음, 연결된 앱을 선택합니다.

2. 앱 커넥터 페이지에서 +앱 연결, Salesforce를 차례로 선택합니다.

   

3. 다음 창에서 연결에 이름을 지정하고 다음을 선택합니다.

4. 링크 팔로우 페이지에서 Salesforce 연결을 선택합니다.

5. 그러면 Salesforce 로그인 페이지가 열립니다. 자격 증명을 입력하여 Defender for Cloud Apps 팀의 Salesforce 앱에 액세스할 수 있도록 합니다.

   

6. Salesforce는 팀 정보 및 활동 로그에 대한 Defender for Cloud Apps 액세스를 허용하고 모든 팀 구성원으로서 활동을 수행할 것인지 묻습니다. 계속하려면 허용을 선택합니다.

7. 이 시점에서 배포에 대한 성공 또는 실패 알림을 받게 됩니다. 이제 Defender for Cloud Apps Salesforce.com 권한이 부여됩니다.

8. Defender for Cloud Apps 콘솔로 돌아가서 Salesforce가 성공적으로 연결되었다는 메시지가 표시됩니다.

9. Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음 , Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택합니다. 연결된 App Connector의 상태 연결되었는지 확인합니다.

Salesforce를 연결한 후에는 Salesforce EventMonitoring 라이선스에 따라 연결 전 7일 동안 이벤트 로그인 및 감사 추적 설정, EventMonitoring 30일 또는 하루 뒤로 이벤트를 받게 됩니다. Defender for Cloud Apps API는 Salesforce에서 사용할 수 있는 API와 직접 통신합니다. Salesforce는 수신할 수 있는 API 호출 수를 제한하므로 Defender for Cloud Apps 이를 고려하여 제한을 준수합니다. Salesforce API는 사용 가능한 총액과 나머지를 포함하여 API 카운터에 대한 필드로 각 응답을 보냅니다. Defender for Cloud Apps 이를 백분율로 계산하고 항상 사용 가능한 API 호출의 10%를 그대로 둡니다.

참고

Defender for Cloud Apps 제한은 Salesforce를 사용하여 API를 호출하는 다른 애플리케이션이 아닌 Salesforce를 사용하는 자체 API 호출에서만 계산됩니다. 제한으로 인해 API 호출을 제한하면 데이터가 Defender for Cloud Apps 수집되는 속도가 느려질 수 있지만 일반적으로 밤에 따라 잡을 수 있습니다.

참고

Salesforce instance 영어가 아닌 경우 통합 서비스 관리자 계정에 적절한 언어 특성 값을 선택해야 합니다.

언어 특성을 변경하려면 관리 -사용자 ->>사용자로 이동하여 통합 시스템 관리자 계정을 엽니다. 이제 로캘 설정 ->언어 로 이동하여 원하는 언어를 선택합니다.

Salesforce 이벤트는 다음과 같이 Defender for Cloud Apps 처리됩니다.

• 15분마다 로그인 이벤트
• 15분마다 감사 추적 설정
• 이벤트는 1시간마다 기록됩니다. Salesforce 이벤트에 대한 자세한 내용은 이벤트 모니터링 사용을 참조하세요.

앱 연결에 문제가 있는 경우 앱 커넥터 문제 해결을 참조하세요.

다음 단계

정책을 사용하여 클라우드 앱 제어

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.