Slik bidrar Defender for Cloud Apps til å beskytte Salesforce-miljøet
Salesforce, som en stor CRM-skyleverandør, inneholder store mengder sensitiv informasjon om kunder, prisarbeidsbøker og viktige tilbud i organisasjonen. Salesforce er en forretningskritisk app, og brukes av personer i organisasjonen og av andre utenfor den (for eksempel partnere og leverandører) til ulike formål. I mange tilfeller har en stor andel av brukerne som har tilgang til Salesforce, liten bevissthet om sikkerhet og kan sette sensitiv informasjon i fare ved utilsiktet å dele den. I andre tilfeller kan ondsinnede aktører få tilgang til de mest sensitive kunderelaterte ressursene dine.
Tilkobling av Salesforce til Defender for Cloud Apps gir deg forbedret innsikt i brukernes aktiviteter, gir trusselregistrering ved hjelp av maskinlæringsbaserte avviksregistreringer og oppdagelser av informasjonsbeskyttelse (for eksempel oppdagelse av ekstern informasjonsdeling), muliggjør automatiserte utbedringskontroller og oppdager trusler fra aktiverte tredjepartsapper i organisasjonen.
Bruk denne appkoblingen til å få tilgang til SSPM-funksjoner (SaaS Security Posture Management), via sikkerhetskontroller som gjenspeiles i Microsoft Secure Score. Finn ut mer.
Hovedtrusler
- Kompromitterte kontoer og insider-trusler
- Datalekkasje
- Utvidede rettigheter
- Utilstrekkelig sikkerhetsbevissthet
- Skadelige tredjepartsapper og Google-tillegg
- Løsepengevirus
- Uadministrert ta med din egen enhet (BYOD)
Slik bidrar Defender for Cloud Apps til å beskytte miljøet ditt
- Oppdage skytrusler, kompromitterte kontoer og ondsinnede innsidere
- Oppdag, klassifiser, merk og beskytt regulerte og sensitive data som er lagret i skyen
- Oppdag og administrer OAuth-apper som har tilgang til miljøet ditt
- Fremtving DLP og samsvarspolicyer for data som er lagret i skyen
- Begrens eksponering av delte data og fremtving samarbeidspolicyer
- Bruk revisjonssporet for aktiviteter for rettsmedisinske undersøkelser
SaaS sikkerhet holdning ledelse
Koble Til Salesforce for automatisk å få sikkerhetsanbefalinger for Salesforce i Microsoft Secure Score.
Velg Anbefalte handlinger i Sikker poengsum, og filtrer etter Product = Salesforce. Anbefalinger for Salesforce inkluderer for eksempel:
- Krev identitetskontroll under registrering av godkjenning med flere faktorer (MFA)
- Fremtving IP-områder for pålogging på alle forespørsler
- Maksimalt antall ugyldige påloggingsforsøk
- Krav til passordkompleksitet
Hvis du vil ha mer informasjon, kan du se:
Kontroller Salesforce med innebygde policyer og policymaler
Du kan bruke følgende innebygde policymaler til å oppdage og varsle deg om potensielle trusler:
| Type: | Navn |
|---|---|
| Innebygd policy for avviksregistrering |
Aktivitet fra anonyme IP-adresser Aktivitet fra sjeldent land Aktivitet fra mistenkelige IP-adresser Umulig reise Aktivitet utført av avsluttet bruker (krever Microsoft Entra ID som IdP) Flere mislykkede påloggingsforsøk Uvanlige administrative aktiviteter Uvanlige filslettingsaktiviteter Uvanlige fildelingsaktiviteter Uvanlige representerte aktiviteter Uvanlige nedlastingsaktiviteter for flere filer |
| Mal for aktivitetspolicy | Pålogging fra en risikabel IP-adresse Massenedlasting av én enkelt bruker |
| Mal for filpolicy | Oppdage en fil som er delt med et uautorisert domene Oppdage en fil som er delt med personlige e-postadresser |
Hvis du vil ha mer informasjon om hvordan du oppretter policyer, kan du se Opprette en policy.
Automatiser styringskontroller
I tillegg til å overvåke potensielle trusler, kan du bruke og automatisere følgende salesforce-styringshandlinger for å utbedre oppdagede trusler:
| Type: | Handling |
|---|---|
| Brukerstyring | – Varsle brukere om ventende varsler – Send DLP-bruddsammendrag til fileiere - Avbryte bruker – Varsle brukeren i beredskap (via Microsoft Entra ID) – Krev at brukeren logger på igjen (via Microsoft Entra ID) - Avbryte bruker (via Microsoft Entra ID) |
| OAuth-appstyring | – Tilbakekalle OAuth-appen for brukere |
Hvis du vil ha mer informasjon om utbedring av trusler fra apper, kan du se Styrende tilkoblede apper.
Beskytt Salesforce i sanntid
Se gjennom våre anbefalte fremgangsmåter for å sikre og samarbeide med eksterne brukere og blokkere og beskytte nedlasting av sensitive data til uadministrerte eller risikable enheter.
Koble Salesforce til Microsoft Defender for Cloud Apps
Denne delen inneholder instruksjoner for hvordan du kobler Microsoft Defender for Cloud Apps til den eksisterende Salesforce-kontoen ved hjelp av appkoblings-API-en. Denne tilkoblingen gir deg innsyn i og kontroll over Salesforce-bruk.
Bruk denne appkoblingen til å få tilgang til SSPM-funksjoner (SaaS Security Posture Management), via sikkerhetskontroller som gjenspeiles i Microsoft Secure Score. Finn ut mer.
Slik kobler du Salesforce til Defender for Cloud Apps
Obs!
Salesforce Shield bør være tilgjengelig for Salesforce-forekomsten som en forutsetning for denne integreringen i alle støttede evner unntatt SSPM
Det anbefales å ha en dedikert tjenesteadministratorkonto for Defender for Cloud Apps.
Valider at REST-API er aktivert i Salesforce.
Salesforce-kontoen må være én av følgende versjoner som inkluderer REST-API-støtte:
Ytelse, virksomhet, ubegrenset eller utvikler.
Professional-utgaven har ikke REST-API som standard, men den kan legges til ved behov.
Kontroller at versjonen din har REST-API tilgjengelig og aktivert på følgende måte:
Logg deg på Salesforce-kontoen, og gå til startsiden for oppsett .
Gå til Profiler-siden under Administrasjon –>Brukere.
Opprett en ny profil ved å velge Ny profil.
Velg profilen du nettopp opprettet for å distribuere Defender for Cloud Apps, og velg Rediger. Denne profilen brukes for Defender for Cloud Apps tjenestekonto for å konfigurere App-koblingen.
Kontroller at følgende avmerkingsbokser er aktivert:
- API aktivert
- Vis alle data
- Behandle Salesforce CRM-innhold
- Behandle brukere
- Spør alle filer
- Endre metadata gjennom API-funksjoner for metadata
Hvis disse avmerkingsboksene ikke er valgt, må du kanskje kontakte Salesforce for å legge dem til kontoen din.
Hvis organisasjonen har Salesforce CRM-innhold aktivert, må du kontrollere at den gjeldende administrative kontoen også er aktivert.
Gå til hjemmesiden for oppsett av Salesforce.
Gå til Brukere-siden under Administrasjon ->Brukere.
Velg gjeldende administrative bruker til den dedikerte Defender for Cloud Apps brukeren.
Kontroller at det er merket av for Salesforce CRM-innholdsbruker .
Gå til innstillinger for Home ->Security ->Sessionfor konfigurasjon. Kontroller at det ikke er merket av for Lås økter til IP-adressen de kom fra, under Øktinnstillinger.
Velg Lagre.
Gå til Apper –>Funksjonsinnstillinger –>Salesforce-filer –>innholdsleveranser og offentlige koblinger.
Velg Rediger , og velg deretter Funksjonen For merkede innholdsleveranser kan aktiveres for brukere
Velg Lagre.
Obs!
Funksjonen innholdsleveranser må være aktivert for Defender for Cloud Apps for å spørre etter fildelingsdata. Hvis du vil ha mer informasjon, kan du se ContentDistribution.
Slik kobler du Defender for Cloud Apps til Salesforce
Velg Undersøk og deretter Tilkoblede apper i Defender for Cloud Apps-konsollen.
Velg +Koble til en app etterfulgt av Salesforce på appkoblinger-siden.
Gi tilkoblingen et navn i neste vindu, og velg Neste.
Velg Koble til Salesforcepå siden Følg koblingen.
Dette åpner salesforce-påloggingssiden. Skriv inn legitimasjonen din for å gi Defender for Cloud Apps tilgang til teamets Salesforce-app.
Salesforce spør deg om du vil gi Defender for Cloud Apps tilgang til teaminformasjonen og aktivitetsloggen og utføre enhver aktivitet som et teammedlem. Velg Tillat for å fortsette.
På dette tidspunktet får du et vellykket eller mislykket varsel for distribusjonen. Defender for Cloud Apps er nå autorisert i Salesforce.com.
Tilbake i Defender for Cloud Apps-konsollen skal du se at Salesforce var koblet til meldingen.
Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper. Kontroller at statusen for den tilkoblede App Connector er tilkoblet.
Når du har koblet til Salesforce, mottar du hendelser som følger: Logg på hendelser og konfigurer overvåkingsspor i syv dager før tilkobling, EventMonitoring 30 dager eller én dag tilbake – avhengig av Salesforce EventMonitoring-lisensen. API-en Defender for Cloud Apps kommuniserer direkte med API-ene som er tilgjengelige fra Salesforce. Fordi Salesforce begrenser antall API-kall den kan motta, tar Defender for Cloud Apps hensyn til dette og respekterer begrensningen. Salesforce-API-er sender hvert svar med et felt for API-tellerne, inkludert totalt tilgjengelig og gjenstående. Defender for Cloud Apps beregner dette i en prosentdel og sørger for at du alltid lar 10 % av tilgjengelige API-kall være igjen.
Obs!
Defender for Cloud Apps-begrensning beregnes utelukkende på egne API-kall med Salesforce, ikke med noen andre programmer som foretar API-oppkall med Salesforce. Begrensning av API-kall på grunn av begrensningen kan redusere hastigheten som dataene inntar i Defender for Cloud Apps, men vanligvis tar seg opp over natten.
Obs!
Hvis Salesforce-forekomsten ikke er på engelsk, må du passe på å velge riktig språkattributtverdi for administratorkontoen for integreringstjenesten.
Hvis du vil endre språkattributtet, går du til Administrasjon ->Brukere –>Bruker og åpner administratorkontoen for integreringssystemet. Gå nå til Innstillinger for nasjonal innstilling –>Språk , og velg ønsket språk.
Salesforce-hendelser behandles av Defender for Cloud Apps som følger:
- Påloggingshendelser hvert 15. minutt
- Konfigurer revisjonsspor hvert 15. minutt
- Hendelseslogger hver 1. time. Hvis du vil ha mer informasjon om Salesforce-hendelser, kan du se Bruke hendelsesovervåking.
Hvis du har problemer med å koble til appen, kan du se Feilsøke appkoblinger.
Neste trinn
Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.