Defender for Cloud Apps如何帮助保护 Salesforce 环境

项目
11/28/2024

作为主要的 CRM 云提供商，Salesforce 在组织中整合了大量有关客户、定价手册和主要交易的敏感信息。作为业务关键型应用，Salesforce 由组织内部的人员及其外部的其他人访问和使用， (例如合作伙伴和承包商等) 用于各种目的。在许多情况下，访问 Salesforce 的很大一部分用户对安全意识较低，并且可能会无意间共享敏感信息，从而危及敏感信息。在其他情况下，恶意参与者可能会获得对最敏感的客户相关资产的访问权限。

将 Salesforce 连接到 Defender for Cloud Apps 可让你更好地洞察用户的活动，使用基于机器学习的异常情况检测和信息保护检测 (提供威胁检测，例如检测外部信息共享) ，启用自动修正控制，并检测组织中已启用的第三方应用的威胁。

使用此应用连接器通过安全分数中反映的安全控制来访问 SaaS 安全态势管理 (SSPM Microsoft) 功能。了解详细信息。

主要威胁

泄露的帐户和内部威胁
数据泄漏
提升的特权
安全意识不足
恶意第三方应用和 Google 加载项
勒索软件
非托管自带设备 (BYOD)

Defender for Cloud Apps如何帮助保护环境

SaaS 安全态势管理

连接 Salesforce 以在安全分数Microsoft自动获取 Salesforce 的安全建议。

在“安全功能分数”中，选择“ 建议的操作” 并按产品 = Salesforce 进行筛选。例如，Salesforce 的建议包括：

在多重身份验证 (MFA) 注册期间要求进行身份验证
对每个请求强制实施登录 IP 范围
最大无效登录尝试次数
密码复杂性要求

有关更多信息，请参阅：

使用内置策略和策略模板控制 Salesforce

可以使用以下内置策略模板来检测潜在威胁并通知你：

类型	名称
内置异常情况检测策略	来自匿名 IP 地址的活动来自不常见国家/地区的活动来自可疑 IP 地址的活动不可能旅行终止的用户 (执行的活动需要作为 IdP) Microsoft Entra ID 多个失败登录尝试异常管理活动异常文件删除活动异常文件共享活动异常模拟活动异常的多个文件下载活动
活动策略模板	从有风险的 IP 地址登录单个用户批量下载
文件策略模板	检测与未经授权的域共享的文件检测与个人电子邮件地址共享的文件

有关创建策略的详细信息，请参阅创建策略。

自动化治理控制

除了监视潜在威胁之外，还可以应用并自动执行以下 Salesforce 治理操作来修正检测到的威胁：

类型	Action
用户治理	- 通知用户挂起的警报 - 向文件所有者发送 DLP 冲突摘要 - 挂起用户 - 通过Microsoft Entra ID) 在警报 (通知用户 - 要求用户通过Microsoft Entra ID) 重新登录 ( - 通过Microsoft Entra ID) 暂停用户 (
OAuth 应用治理	- 撤销用户的 OAuth 应用

有关修正来自应用的威胁的详细信息，请参阅治理连接的应用。

实时保护 Salesforce

查看我们的最佳做法，了解如何保护与外部用户协作，以及阻止和保护将敏感数据下载到非托管或有风险的设备。

将 Salesforce 连接到 Microsoft Defender for Cloud Apps

本部分提供有关使用应用连接器 API 将Microsoft Defender for Cloud Apps连接到现有 Salesforce 帐户的说明。通过此连接，你可以了解和控制 Salesforce 的使用。

使用此应用连接器通过安全分数中反映的安全控制来访问 SaaS 安全态势管理 (SSPM Microsoft) 功能。了解详细信息。

如何将 Salesforce 连接到 Defender for Cloud Apps

注意

Salesforce Shield 应可用于 Salesforce 实例，作为此集成的所有受支持功能（SSPM 除外）的先决条件

建议使用专用服务管理员帐户进行Defender for Cloud Apps。
验证是否已在 Salesforce 中启用 REST API。

Salesforce 帐户必须是包含 REST API 支持的以下版本之一：

性能、企业、 无限制或 开发人员。

专业版默认没有 REST API，但可以按需添加。

检查你的版本是否提供并启用了 REST API，如下所示：
- 登录到 Salesforce 帐户并转到 “设置主页 ”。
- 在“管理 ->用户”下，转到“配置文件”页。
- 通过选择“新建配置文件”创建新的 配置文件。
- 选择刚创建的配置文件以部署Defender for Cloud Apps，然后选择“编辑”。此配置文件将用于Defender for Cloud Apps服务帐户来设置应用连接器。
- 请确保已启用以下复选框：
  - 已启用 API
  - 查看所有数据
  - 管理 Salesforce CRM 内容
  - 管理用户
  - 查询所有文件
  - 通过元数据 API 函数修改元数据
  如果未选中这些复选框，则可能需要联系 Salesforce 将其添加到帐户。
如果组织已启用 Salesforce CRM 内容 ，请确保当前管理帐户也已启用它。
1. 转到 Salesforce 安装程序主页 。
2. 在“管理 ->用户”下，转到“用户”页。
3. 选择专用Defender for Cloud Apps用户的当前管理用户。
4. 确保选中“Salesforce CRM 内容用户检查”框。
5. 转到 “设置主页 ”-“>安全性 ”->“会话设置”。在“会话设置”下，确保未选中“将会话锁定到源自其检查 IP 地址”框。
6. 选择“保存”。
7. 转到 “应用 ”->“功能设置” ->“Salesforce 文件 ”“>内容交付和公共链接”。
8. 选择 “编辑 ”，然后选择“ 可为用户启用已检查的内容交付”功能
9. 选择“保存”。

注意

需要启用内容交付功能，Defender for Cloud Apps查询文件共享数据。有关详细信息，请参阅 ContentDistribution。

如何将Defender for Cloud Apps连接到 Salesforce

在Defender for Cloud Apps控制台中，依次选择“调查”和“连接的应用”。
在 “应用连接器 ”页中，选择“ +连接应用 ”，然后选择 “Salesforce”。
在下一个窗口中，为连接指定一个名称，然后选择“ 下一步”。
在 “关注链接 ”页中，选择“ 连接 Salesforce”。
这会打开 Salesforce 登录页。输入凭据以允许Defender for Cloud Apps访问团队的 Salesforce 应用。
Salesforce 将询问你是否希望允许Defender for Cloud Apps访问团队信息和活动日志，并作为任何团队成员执行任何活动。若要继续，请选择“ 允许”。
此时，你将收到部署的成功或失败通知。 Defender for Cloud Apps现已在 Salesforce.com 中获得授权。
返回到Defender for Cloud Apps控制台，应会看到 Salesforce 已成功连接的消息。
在Microsoft Defender门户中，选择“设置”。 然后选择“ 云应用”。在 “连接的应用”下，选择“ 应用连接器”。确保已连接应用连接器的状态为 “已连接”。

连接 Salesforce 后，你将收到事件，如下所示：在连接前 7 天登录事件和设置审核跟踪、EventMonitoring 30 天或 1 天后 - 具体取决于 Salesforce EventMonitoring 许可证。 Defender for Cloud Apps API 直接与 Salesforce 提供的 API 通信。由于 Salesforce 会限制它可以接收的 API 调用数，因此Defender for Cloud Apps考虑到这一点并遵守限制。 Salesforce API 使用 API 计数器的字段发送每个响应，包括总可用和剩余。 Defender for Cloud Apps将其计算成百分比，并确保始终保留 10% 的可用 API 调用。

注意

Defender for Cloud Apps限制仅根据 Salesforce 的 API 调用计算，而不适用于使用 Salesforce 进行 API 调用的任何其他应用程序调用。由于限制而限制 API 调用可能会降低Defender for Cloud Apps中引入数据的速率，但通常会在夜间赶上。

注意

如果 Salesforce 实例不是英语，请确保为集成服务管理员帐户选择适当的语言属性值。

若要更改语言属性，请导航到 “管理 ”->“用户” ->“用户” ，然后打开集成系统管理员帐户。现在导航到“区域设置”->“语言”，然后选择所需的语言。

Salesforce 事件由 Defender for Cloud Apps处理，如下所示：

每 15 分钟登录事件一次
每 15 分钟设置一次审核跟踪
每 1 小时记录一次事件日志。有关 Salesforce 事件的详细信息，请参阅使用事件监视。

如果连接应用时遇到任何问题，请参阅应用连接器故障排除。

后续步骤

使用策略控制云应用

如果你遇到任何问题，我们随时为你提供帮助。若要获取有关产品问题的帮助或支持，请开具支持票证。

通过