Как Defender for Cloud Apps помогает защитить среду Salesforce

Будучи крупным поставщиком облачных решений CRM, Salesforce включает в себя большие объемы конфиденциальной информации о клиентах, сборники схем ценообразования и крупные сделки в вашей организации. Будучи критически важным для бизнеса приложением, Salesforce получает доступ и используется сотрудниками вашей организации и другими пользователями за ее пределами (например, партнерами и подрядчиками) для различных целей. Во многих случаях значительная часть пользователей, обращаюющихся к Salesforce, имеют низкую осведомленность о безопасности и могут поставить под угрозу вашу конфиденциальную информацию, непреднамеренно поделившись ею. В других случаях злоумышленники могут получить доступ к наиболее конфиденциальным ресурсам, связанным с клиентами.

Подключение Salesforce к Defender for Cloud Apps позволяет получить улучшенные аналитические сведения о действиях пользователей, обеспечивает обнаружение угроз с помощью обнаружения аномалий на основе машинного обучения и обнаружения защиты информации (например, обнаружение внешнего доступа к информации), включает автоматизированные средства управления исправлением и обнаруживает угрозы из включенных сторонних приложений в вашей организации.

Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.

Основные угрозы

• Скомпрометированные учетные записи и внутренние угрозы
• Утечка данных
• Повышенные привилегии
• Недостаточная осведомленность о безопасности
• Вредоносные сторонние приложения и надстройки Google
• Программа-шантажист
• Неуправляемый перенос собственного устройства (BYOD)

Как Defender for Cloud Apps помогает защитить среду

• Обнаружение облачных угроз, скомпрометированных учетных записей и вредоносных участников программы предварительной оценки
• Обнаружение, классификация, применение меток и защита регламентированных и конфиденциальных данных, хранящихся в облаке
• Обнаружение приложений OAuth, имеющих доступ к вашей среде, и управление ими
• Применение политики защиты от потери данных и политики соответствия требованиям для данных, хранящихся в облаке
• Ограничение раскрытия общих данных и обеспечение соблюдения политик совместной работы
• Использование журнала аудита действий для криминалистических исследований

Управление состоянием безопасности SaaS

Подключите Salesforce , чтобы автоматически получать рекомендации по безопасности для Salesforce в Microsoft Secure Score.

В разделе Оценка безопасности выберите Рекомендуемые действия и отфильтруйте по Product = Salesforce. Например, рекомендации для Salesforce:

• Требовать проверку подлинности во время регистрации многофакторной проверки подлинности (MFA)
• Принудительное применение диапазонов IP-адресов входа для каждого запроса
• Максимальное число недопустимых попыток входа
• Требование к сложности пароля

Дополнительные сведения см. в разделе:

• Управление состоянием безопасности для приложений SaaS
• Оценка безопасности (Майкрософт)

Управление Salesforce с помощью встроенных политик и шаблонов политик

Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:

Тип	Имя
Встроенная политика обнаружения аномалий	Действия с анонимных IP-адресов. Действия из редкой страны Действия с подозрительных IP-адресов Неосуществимое перемещение Действие, выполненное прерванным пользователем (требуется Microsoft Entra ID в качестве поставщика удостоверений) Многократные неудачные попытки входа. Необычные административные действия Необычные действия по удалению файлов Необычные действия общего доступа к файлам Необычные олицетворенные действия Необычные действия по скачиванию нескольких файлов
Шаблон политики действий	Вход с опасного IP-адреса Массовое скачивание одним пользователем
Шаблон политики файлов	Обнаружение файла, к которым предоставлен общий доступ с несанкционированным доменом Обнаружение файлов, к которым предоставлен общий доступ с личными адресами электронной почты

Дополнительные сведения о создании политик см. в разделе Создание политики.

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению Salesforce для устранения обнаруженных угроз:

Тип	Действие
Управление пользователями	— уведомление пользователей об ожидающих оповещениях — отправка дайджеста нарушений защиты от потери данных владельцам файлов — Приостановка пользователя — уведомление пользователя об оповещении (через Microsoft Entra ID) — требовать от пользователя повторного входа (через Microsoft Entra ID). — Приостановить пользователя (через Microsoft Entra ID)
Управление приложениями OAuth	— Отзыв приложения OAuth для пользователей

Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.

Защита Salesforce в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.

Подключение Salesforce к Microsoft Defender for Cloud Apps

В этом разделе содержатся инструкции по подключению Microsoft Defender for Cloud Apps к существующей учетной записи Salesforce с помощью API соединителя приложений. Это подключение обеспечивает видимость использования Salesforce и контроль над ней.

Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.

Подключение Salesforce к Defender for Cloud Apps

Примечание.

Salesforce Shield должен быть доступен для экземпляра Salesforce в качестве необходимого условия для этой интеграции во всех поддерживаемых возможностях, кроме SSPM.

1. Для Defender for Cloud Apps рекомендуется иметь выделенную учетную запись администратора службы.

2. Убедитесь, что REST API включен в Salesforce.

   Учетная запись Salesforce должна быть одной из следующих версий, включающих поддержку REST API:

   Производительность, Enterprise, Unlimited или Developer.

   Выпуск Professional не имеет REST API по умолчанию, но его можно добавить по запросу.

   Убедитесь, что в вашем выпуске доступен и включен REST API, как показано ниже.

   • Войдите в учетную запись Salesforce и перейдите на домашнюю страницу установки.

   • В разделе Администрирование —>пользователи перейдите на страницу Профили.

     

   • Создайте новый профиль, выбрав Создать профиль.

   • Выберите только что созданный профиль для развертывания Defender for Cloud Apps и нажмите кнопку Изменить. Этот профиль будет использоваться для Defender for Cloud Apps учетной записи службы для настройки соединителя приложений.

     

   • Убедитесь, что установлены следующие флажки:

     • API включен
     • Просмотр всех данных
     • Управление содержимым Salesforce CRM
     • Управление пользователями
     • Запрос всех файлов
     • Изменение метаданных с помощью функций API метаданных

     Если эти флажки не выбраны, может потребоваться обратиться в Salesforce, чтобы добавить их в свою учетную запись.

3. Если в вашей организации включено содержимое Salesforce CRM , убедитесь, что текущая учетная запись администратора также включена.

   1. Перейдите на домашнюю страницу Настройки Salesforce.

   2. В разделе Администрирование —>пользователи перейдите на страницу Пользователи.

      

   3. Выберите текущего администратора для выделенного пользователя Defender for Cloud Apps.

   4. Убедитесь, что установлен флажок Проверка Пользователя содержимого Salesforce CRM.

      

   5. Перейдите в раздел Настройка главная страница ->Безопасность ->Параметры сеанса. В разделе Параметры сеанса убедитесь, что не установлен флажок Блокировать сеансы для IP-адреса, с которого они были созданы проверка.

      

   6. Выберите Сохранить.

   7. Перейдите в раздел Приложения ->Параметры компонентов ->Файлы Salesforce ->Доставка содержимого и общедоступные ссылки.

   8. Выберите Изменить, а затем выберите Флажок доставки содержимого можно включить для пользователей.

   9. Выберите Сохранить.

Примечание.

Чтобы Defender for Cloud Apps запрашивать данные общего доступа к файлам, необходимо включить функцию доставки содержимого. Дополнительные сведения см. в разделе ContentDistribution.

Подключение Defender for Cloud Apps к Salesforce

1. В консоли Defender for Cloud Apps выберите Исследовать, а затем — Подключенные приложения.

2. На странице Соединители приложений выберите +Подключить приложение , а затем — Salesforce.

   

3. В следующем окне присвойте соединению имя и нажмите кнопку Далее.

4. На странице Перейти по ссылке выберите Подключить Salesforce.

5. Откроется страница входа в Salesforce. Введите учетные данные, чтобы разрешить Defender for Cloud Apps доступ к приложению Salesforce вашей команды.

   

6. Salesforce спросит вас, хотите ли вы разрешить Defender for Cloud Apps доступ к сведениям о вашей команде и журналу действий и выполнять какие-либо действия как любой участник команды. Чтобы продолжить, выберите Разрешить.

7. На этом этапе вы получите уведомление об успешном или неудачном выполнении развертывания. Defender for Cloud Apps теперь авторизован в Salesforce.com.

8. В консоли Defender for Cloud Apps должно появиться сообщение Salesforce успешно подключено.

9. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.

После подключения Salesforce вы получите следующие события: события входа и настройка журнала аудита за семь дней до подключения, EventMonitoring 30 дней или один день назад в зависимости от лицензии Salesforce EventMonitoring. API Defender for Cloud Apps напрямую взаимодействует с API, доступными в Salesforce. Поскольку Salesforce ограничивает количество вызовов API, которые она может получать, Defender for Cloud Apps учитывает это и учитывает ограничение. API Salesforce отправляют каждый ответ с полем для счетчиков API, включая общее доступное и оставшееся. Defender for Cloud Apps вычисляет это в процентах и всегда оставляет 10 % доступных вызовов API.

Примечание.

Defender for Cloud Apps регулирование вычисляется исключительно на основе собственных вызовов API с salesforce, а не других приложений, выполняющих вызовы API с salesforce. Ограничение вызовов API из-за ограничения может замедлить скорость приема данных в Defender for Cloud Apps, но обычно догоняет ночь.

Примечание.

Если экземпляр Salesforce не на английском языке, обязательно выберите соответствующее значение атрибута языка для учетной записи администратора службы интеграции.

Чтобы изменить атрибут языка, перейдите в раздел Администрирование ->Пользователи ->Пользователь и откройте учетную запись администратора системы интеграции. Теперь перейдите в раздел Параметры языкового стандарта ->Язык и выберите нужный язык.

События Salesforce обрабатываются Defender for Cloud Apps следующим образом:

• События входа каждые 15 минут
• Настройка журналов аудита каждые 15 минут
• Журналы событий каждые 1 час. Дополнительные сведения о событиях Salesforce см. в разделе Использование мониторинга событий.

Если у вас возникли проблемы с подключением к приложению, см. статью Устранение неполадок с соединителями приложений.

Дальнейшие действия

Управление облачными приложениями с помощью политик

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.