Defender for Cloud Apps 如何帮助保护 Salesforce 环境
作为主要的 CRM 云提供商,Salesforce 包含了大量有关客户、定价手册和组织内主要交易的敏感信息。 作为业务关键型应用,Salesforce 由组织内部的人员及其外部人员(如合作伙伴和承包商)访问和使用,以用于各种目的。 在许多情况下,很大一部分访问 Salesforce 的用户安全意识较低,可能会因无意共享而使您的敏感信息面临风险。 在其他情况下,恶意参与者可能会获取对最敏感的客户相关资产的访问权限。
将 Salesforce 连接到 Defender for Cloud Apps 可以更好地了解用户活动,使用基于机器学习的异常检测和信息保护检测(如检测外部信息共享)提供威胁检测,启用自动修复控件,并检测组织中已启用的第三方应用的威胁。
使用此应用连接器,可以通过 Microsoft 安全功能分数中反映的安全控制,访问 SaaS 安全状况管理 (SSPM) 功能。 了解详细信息。
主要威胁
- 帐户被盗用和内部威胁
- 数据泄露
- 特权提升
- 安全意识不足
- 恶意第三方应用和 Google 加载项
- 勒索软件
- 非管理的自带设备办公 (BYOD)
Defender for Cloud Apps 如何保护你的环境
- 检测云威胁、帐户被盗用和恶意内部人员
- 发现、分类、标记和保护存储在云中的受监管敏感数据
- 发现和管理有权访问环境的 OAuth 应用
- 对云中存储的数据强制执行 DLP 和合规性策略
- 限制共享数据的暴露并强制执行协作策略
- 使用活动审核线索进行取证调查
SaaS 安全状况管理
连接 Salesforce 以自动获取 Microsoft 安全功能分数中 Salesforce 的安全状况建议。
在“安全功能分数”中,选择建议的操作并按产品 = Salesforce 进行筛选。 例如,Salesforce 的建议包括:
- 要求在多重身份验证 (MFA) 注册过程中进行身份验证
- 在每次请求时强制执行登录 IP 范围
- 最大无效登录尝试次数
- 密码复杂性要求
有关详细信息,请参阅:
使用内置策略和策略模板控制 Salesforce
可以使用以下内置策略模板来检测潜在威胁并发出通知:
类型 | 名称 |
---|---|
内置异常情况检测策略 | 来自匿名 IP 地址的活动 来自不常见国家/地区的活动 来自可疑 IP 地址的活动 不可能旅行 已离职用户执行的活动(需要 Microsoft Entra ID 作为 IdP) 多次失败的登录尝试 异常管理活动 异常文件检测活动 异常文件共享活动 异常模拟活动 异常的多文件下载活动 |
活动策略模板 | 从风险性 IP 地址登录 单个用户的大容量下载 |
文件策略模板 | 检测与未经授权的域共享的文件 检测与个人电子邮件地址共享的文件 |
有关创建策略的详细信息,请参阅创建策略。
自动执行治理控制
除了监视潜在威胁之外,还可以应用并自动执行以下 Salesforce 治理操作,来修正检测到的威胁:
类型 | 操作 |
---|---|
用户治理 | - 通知用户待处理的警报 - 向文件所有者发送 DLP 冲突摘要 - 挂起用户 - 发出警报时通知用户(通过 Microsoft Entra ID) - 要求用户再次登录(通过 Microsoft Entra ID) - 暂停用户(通过 Microsoft Entra ID) |
OAuth 应用治理 | - 撤销用户的 OAuth 应用 |
有关修正应用威胁的更多信息,请参阅管理已连接的应用。
实时保护 Salesforce
查看保护外部用户并与之协作以及阻止和防止敏感数据下载到非管理的或有风险的设备的最佳做法。
将 Salesforce 连接到 Microsoft Defender for Cloud Apps
本部分提供使用应用连接器 API 将 Microsoft Defender for Cloud Apps 连接到现有 Salesforce 帐户的说明。 通过此连接,可以实现对 Salesforce 使用的可见性和控制。
使用此应用连接器,可以通过 Microsoft 安全功能分数中反映的安全控制,访问 SaaS 安全状况管理 (SSPM) 功能。 了解详细信息。
如何将 Salesforce 连接到 Defender for Cloud Apps
注意
Salesforce Shield 应当可用于 Salesforce 实例,这是此集成在所有受支持功能(SSPM 除外)中的先决条件
建议为 Defender for Cloud Apps 创建专用的服务管理员帐户。
验证在 Salesforce 中启用了 REST API。
你的 Salesforce 帐户必须是支持 REST API 的以下版本之一:
Performance、Enterprise、Unlimited 或 Developer。
专业版在默认情况下没有 REST API,但可根据需要进行添加。
请检查你的版本具有可用的 REST API,并按以下步骤对其启用:
登录 Salesforce 帐户,并转到“设置主页”页面。
在“管理”->“用户”下,转到“配置文件”页。
通过选择“新配置文件”来新建配置文件。
选择使用刚刚创建的配置文件部署 Defender for Cloud Apps,然后单击“编辑”。 此配置文件将用于 Defender for Cloud Apps 服务帐户设置应用连接器。
请确保你已启用以下复选框:
- 已启用 API
- 查看所有数据
- 管理 Salesforce CRM 内容
- 管理用户
- 查询所有文件
- 通过元数据 API 函数来修改元数据
如果未选中这些复选框,可能需要联系 Salesforce 以将它们添加到你的帐户。
如果你的组织启用了 Salesforce CRM 内容,请确保当前的管理员帐户也已将其启用。
转到 Salesforce“设置主页”页面。
在“管理”->“用户”下,转到“用户”页面。
选择当前管理用户,作为专用的 Defender for Cloud Apps 用户。
请确保选中了“Salesforce CRM 内容用户”复选框。
转到“设置主页”->“安全性”->“会话设置”。 在“会话设置”下,确保未选择“将会话锁定到其来源所在的 IP 地址”复选框。
选择“保存”。
转到“应用”-“功能社会自”-“Salesforce 文件”-“内容交付和公共链接”。>>>
选择“编辑”,然后选择“可以为用户启用已选中的内容交付功能”
选择“保存”。
注意
需要为 Defender for Cloud Apps 启用内容交付功能才能查询文件共享数据。 有关更多信息,请参阅 ContentDistribution。
如何将 Defender for Cloud Apps 连接到 Salesforce
在 Defender for Cloud Apps 控制台中,选择“调查”,然后选择“连接的应用”。
在“应用连接器”页面,选择“+ 连接应用”,然后选择“Salesforce”。
在下一个窗口,为连接命名,然后选择“下一步”。
在“访问链接”页面,选择“连接 Salesforce”。
这将打开 Salesforce 登录页。 输入凭证以让 Defender for Cloud Apps 访问团队的 Salesforce 应用。
Salesforce 将询问是否允许 Defender for Cloud Apps 访问团队信息和活动日志并以任何团队成员的身份执行任何活动。 若要继续操作,请选择“允许”。
此时,将收到部署成功或失败通知。 Defender for Cloud Apps 现已在 Salesforce.com 中授权。
回到 Defender for Cloud Apps 控制台,应该会看到 Salesforce 已成功连接的消息。
在 Microsoft Defender 门户中,选择“设置”。 然后选择“Cloud Apps”。 在“连接的应用”下,选择“应用连接器”。 确保连接的应用连接器为已连接状态。
连接 Salesforce 后,将收到如下事件:登录事件和连接前七天的设置审核线索,以及 30 天或一天前的 EventMonitoring - 具体取决于 Salesforce EventMonitoring 许可证。 Defender for Cloud Apps API 直接与 Salesforce 提供的 API 进行通信。 由于 Salesforce 限制了其可接收的 API 调用数,Defender for Cloud Apps 考虑到了这一点并遵循此限制。 Salesforce API 利用一个字段向 API 计数器发送每个响应,包括可用总数和剩余数。 Defender for Cloud Apps 将其计算为百分比,并确保始终保留 10% 的可用 API 调用。
注意
Defender for Cloud Apps 限制仅凭其自身与 Salesforce 的 API 调用进行计算,而不是通过发出 Salesforce API 调用的任何其他应用程序进行计算。 由于此限制可能降低数据引入 Defender for Cloud Apps 的速率,因此需限制 API 调用,但通常在夜间会赶上原先速率。
注意
如果 Salesforce 实例不是英语版本,请确保为集成服务管理员帐户选择适当的语言属性值。
要更改语言属性,请导航到“管理”->“用户”->“用户”并打开集成系统管理员帐户。 现在,导航到“所在地设置”->“语言”并选择所需的语言。
Defender for Cloud Apps 按如下方式处理 Salesforce 事件:
- 每 15 分钟处理一次登录事件
- 每 15 分钟处理一次设置审核线索
- 每 1 小时处理一次事件日志。 有关 Salesforce 事件的详细信息,请参阅使用事件监视。
后续步骤
如果遇到任何问题,我们可以提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。