Hoe Defender for Cloud Apps uw Salesforce-omgeving helpt beschermen

Als belangrijke CRM-cloudprovider bevat Salesforce grote hoeveelheden gevoelige informatie over klanten, prijzen van playbooks en belangrijke deals binnen uw organisatie. Salesforce is een bedrijfskritieke app en wordt gebruikt door personen binnen uw organisatie en door anderen daarbuiten (zoals partners en contractanten) voor verschillende doeleinden. In veel gevallen is een groot deel van uw gebruikers die Salesforce openen, zich te weinig bewust van beveiliging en kan dit uw gevoelige informatie in gevaar brengen door deze onbedoeld te delen. In andere gevallen kunnen kwaadwillende actoren toegang krijgen tot uw meest gevoelige klantgerelateerde assets.

Het verbinden van Salesforce met Defender for Cloud Apps biedt u verbeterde inzichten in de activiteiten van uw gebruikers, biedt detectie van bedreigingen met behulp van op machine learning gebaseerde anomaliedetecties en detecties van gegevensbeveiliging (zoals het detecteren van het delen van externe gegevens), maakt geautomatiseerde herstelcontroles mogelijk en detecteert bedreigingen van apps van derden in uw organisatie.

Gebruik deze app-connector om toegang te krijgen tot SaaS Security Posture Management (SSPM)-functies, via beveiligingscontroles die worden weergegeven in Microsoft Secure Score. Meer informatie.

Belangrijkste bedreigingen

• Gecompromitteerde accounts en interne bedreigingen
• Gegevenslekken
• Verhoogde bevoegdheden
• Onvoldoende beveiligingsbewustzijn
• Schadelijke apps van derden en Google-invoegtoepassingen
• Ransomware
• Onbeheerd Bring Your Own Device (BYOD)

Hoe Defender for Cloud Apps uw omgeving helpt beschermen

• Cloudbedreigingen, gecompromitteerde accounts en kwaadwillende insiders detecteren
• Ontdek, classificeer, label en bescherm gereguleeerde en vertrouwelijke gegevens die zijn opgeslagen in de cloud
• OAuth-apps detecteren en beheren die toegang hebben tot uw omgeving
• DLP- en nalevingsbeleid afdwingen voor gegevens die zijn opgeslagen in de cloud
• Blootstelling van gedeelde gegevens beperken en samenwerkingsbeleid afdwingen
• De audittrail van activiteiten gebruiken voor forensisch onderzoek

Beheer van SaaS-beveiligingspostuur

Maak verbinding met Salesforce om automatisch beveiligingsaanbeveling voor Salesforce op te halen in Microsoft Secure Score.

Selecteer in Beveiligingsscore aanbevolen acties en filter op Product = Salesforce. Aanbevelingen voor Salesforce zijn bijvoorbeeld:

• Identiteitsverificatie vereisen tijdens MFA-registratie (Multi-Factor Authentication)
• Ip-adresbereiken voor aanmeldingen afdwingen bij elke aanvraag
• Maximum aantal ongeldige aanmeldingspogingen
• Wachtwoordcomplexiteitsvereiste

Zie voor meer informatie:

• Beveiligingspostuurbeheer voor SaaS-apps
• Microsoft Secure Score

Salesforce beheren met ingebouwde beleidsregels en beleidssjablonen

U kunt de volgende ingebouwde beleidssjablonen gebruiken om potentiële bedreigingen te detecteren en u hiervan op de hoogte te stellen:

Type	Naam
Ingebouwd beleid voor anomaliedetectie	Activiteit van anonieme IP-adressen Activiteit uit onregelmatig land Activiteit van verdachte IP-adressen Onmogelijk reizen Activiteit uitgevoerd door beëindigde gebruiker (vereist Microsoft Entra ID als IdP) Meerdere mislukte aanmeldingspogingen Ongebruikelijke beheeractiviteiten Ongebruikelijke activiteiten voor het verwijderen van bestanden Ongebruikelijke activiteiten voor bestandsshares Ongebruikelijke geïmiteerde activiteiten Ongebruikelijke activiteiten voor het downloaden van meerdere bestanden
Sjabloon voor activiteitenbeleid	Aanmelden vanaf een riskant IP-adres Massaal downloaden door één gebruiker
Sjabloon voor bestandsbeleid	Een bestand detecteren dat is gedeeld met een niet-geautoriseerd domein Een bestand detecteren dat is gedeeld met persoonlijke e-mailadressen

Zie Een beleid maken voor meer informatie over het maken van beleid.

Beheerbesturingselementen automatiseren

Naast het controleren op mogelijke bedreigingen, kunt u de volgende Salesforce-governanceacties toepassen en automatiseren om gedetecteerde bedreigingen te herstellen:

Type	Actie
Gebruikersbeheer	- Gebruikers op de hoogte stellen van waarschuwingen die in behandeling zijn - DLP-schendingssamenvatting verzenden naar bestandseigenaren - Gebruiker onderbreken - Gebruiker waarschuwen bij waarschuwing (via Microsoft Entra ID) - Vereisen dat de gebruiker zich opnieuw aanmeldt (via Microsoft Entra ID) - Gebruiker onderbreken (via Microsoft Entra ID)
OAuth-app-beheer	- OAuth-app intrekken voor gebruikers

Zie Verbonden apps beheren voor meer informatie over het oplossen van bedreigingen van apps.

Salesforce in realtime beveiligen

Bekijk onze best practices voor het beveiligen en samenwerken met externe gebruikers en het blokkeren en beveiligen van het downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten.

Salesforce verbinden met Microsoft Defender for Cloud Apps

In deze sectie vindt u instructies voor het verbinden van Microsoft Defender for Cloud Apps met uw bestaande Salesforce-account met behulp van de app-connector-API. Met deze verbinding krijgt u inzicht in en controle over het gebruik van Salesforce.

Gebruik deze app-connector om toegang te krijgen tot SaaS Security Posture Management (SSPM)-functies, via beveiligingscontroles die worden weergegeven in Microsoft Secure Score. Meer informatie.

Salesforce verbinden met Defender for Cloud Apps

Opmerking

Salesforce Shield moet beschikbaar zijn voor uw Salesforce-exemplaar als vereiste voor deze integratie in alle ondersteunde mogelijkheden, behalve SSPM

1. Het wordt aanbevolen om een toegewezen servicebeheerdersaccount te hebben voor Defender for Cloud Apps.

2. Controleer of REST API is ingeschakeld in Salesforce.

   Uw Salesforce-account moet een van de volgende edities zijn met REST API-ondersteuning:

   Prestaties, Enterprise, Onbeperkt of Ontwikkelaar.

   De Professional-editie heeft standaard geen REST API, maar kan op aanvraag worden toegevoegd.

   Controleer als volgt of voor uw editie REST API beschikbaar en ingeschakeld is:

   • Meld u aan bij uw Salesforce-account en ga naar de startpagina van Setup .

   • Ga onder Beheer ->Gebruikers naar de pagina Profielen .

     

   • Maak een nieuw profiel door Nieuw profiel te selecteren.

   • Kies het profiel dat u zojuist hebt gemaakt om Defender for Cloud Apps te implementeren en selecteer Bewerken. Dit profiel wordt gebruikt voor het Defender for Cloud Apps-serviceaccount om de app-connector in te stellen.

     

   • Zorg ervoor dat de volgende selectievakjes zijn ingeschakeld:

     • API ingeschakeld
     • Alle gegevens weergeven
     • Salesforce CRM-inhoud beheren
     • Gebruikers beheren
     • Query's uitvoeren op alle bestanden
     • Metagegevens wijzigen via api-functies voor metagegevens

     Als deze selectievakjes niet zijn ingeschakeld, moet u mogelijk contact opnemen met Salesforce om ze toe te voegen aan uw account.

3. Als salesforce-inhoud voor uw organisatie is ingeschakeld, controleert u of dit ook is ingeschakeld voor het huidige beheerdersaccount.

   1. Ga naar de startpagina van Salesforce Setup .

   2. Ga onder Beheer ->Gebruikers naar de pagina Gebruikers .

      

   3. Selecteer de huidige gebruiker met beheerdersrechten voor uw toegewezen Defender for Cloud Apps gebruiker.

   4. Zorg ervoor dat het selectievakje Salesforce CRM Content User is ingeschakeld.

      

   5. Ga naar Start instellen ->Beveiliging ->Sessie-instellingen. Controleer onder Sessie-instellingen of Het selectievakje Sessies vergrendelen op het IP-adres waaruit ze afkomstig zijn, niet is ingeschakeld.

      

   6. Klik op Opslaan.

   7. Ga naar Apps ->Functie-instellingen ->Salesforce Files ->Leveringen van inhoud en openbare koppelingen.

   8. Selecteer Bewerken en selecteer vervolgens De functie Leveringen van gecontroleerde inhoud kan worden ingeschakeld voor gebruikers

   9. Klik op Opslaan.

Opmerking

De functie Inhoudsleveringen moet zijn ingeschakeld voor Defender for Cloud Apps om een query uit te voeren op gegevens voor het delen van bestanden. Zie ContentDistribution voor meer informatie.

Defender for Cloud Apps verbinden met Salesforce

1. Selecteer onderzoeken en vervolgens Verbonden apps in de Defender for Cloud Apps-console.

2. Selecteer op de pagina App-connectorsde optie +Verbinding maken met een app , gevolgd door Salesforce.

   

3. Geef in het volgende venster een naam op voor de verbinding en selecteer Volgende.

4. Selecteer op de pagina De koppeling volgen de optie Verbinding maken met Salesforce.

5. Hiermee opent u de aanmeldingspagina van Salesforce. Voer uw referenties in om Defender for Cloud Apps toegang te geven tot de Salesforce-app van uw team.

   

6. Salesforce vraagt u of u Defender for Cloud Apps toegang wilt verlenen tot uw teamgegevens en activiteitenlogboek en activiteiten wilt uitvoeren als teamlid. Als u wilt doorgaan, selecteert u Toestaan.

7. Op dit moment ontvangt u een melding dat de implementatie is geslaagd of mislukt. Defender for Cloud Apps is nu geautoriseerd in Salesforce.com.

8. Terug in de Defender for Cloud Apps-console ziet u het bericht Salesforce is verbonden.

9. Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Selecteer onder Verbonden appsde optie App-connectors. Zorg ervoor dat de status van de verbonden App Connector Verbonden is.

Nadat u verbinding hebt gemaakt met Salesforce, ontvangt u gebeurtenissen als volgt: Aanmeldingsgebeurtenissen en Audittrail instellen voor zeven dagen voorafgaand aan de verbinding, EventMonitoring 30 dagen of één dag terug, afhankelijk van uw Salesforce EventMonitoring-licentie. De Defender for Cloud Apps-API communiceert rechtstreeks met de API's die beschikbaar zijn via Salesforce. Omdat Salesforce het aantal API-aanroepen beperkt dat kan worden ontvangen, houdt Defender for Cloud Apps hier rekening mee en respecteert het de beperking. Salesforce-API's verzenden elk antwoord met een veld voor de API-tellers, inclusief het totaal aantal beschikbare en resterende. Defender for Cloud Apps berekent dit in een percentage en zorgt ervoor dat altijd 10% van de beschikbare API-aanroepen overblijft.

Opmerking

Defender for Cloud Apps beperking wordt alleen berekend op eigen API-aanroepen met Salesforce, niet op die van andere toepassingen die API-aanroepen doen met Salesforce. Het beperken van API-aanroepen als gevolg van de beperking kan de snelheid vertragen waarmee gegevens worden opgenomen in Defender for Cloud Apps, maar meestal in de loop van de nacht.

Opmerking

Als uw Salesforce-exemplaar niet in het Engels is, selecteert u de juiste waarde voor het taalkenmerk voor het beheerdersaccount van de integratieservice.

Als u het taalkenmerk wilt wijzigen, gaat u naar Beheer ->Gebruikers ->Gebruiker en opent u het beheerdersaccount voor het integratiesysteem. Navigeer nu naar Landinstellingen ->Taal en selecteer de gewenste taal.

Salesforce-gebeurtenissen worden als volgt verwerkt door Defender for Cloud Apps:

• Aanmeldingsgebeurtenissen elke 15 minuten
• Audittrails elke 15 minuten instellen
• Gebeurtenislogboeken elke 1 uur. Zie Gebeurtenisbewaking gebruiken voor meer informatie over Salesforce-gebeurtenissen.

Als u problemen ondervindt bij het verbinden van de app, raadpleegt u Problemen met app-connectors oplossen.

Volgende stappen

Cloud-apps beheren met beleid

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.