Defender for Cloud Apps 如何協助保護 Salesforce 環境
作為主要的 CRM 雲端提供者,Salesforce 會納入組織內客戶、定價劇本和主要交易的大量敏感性資訊。 作為業務關鍵應用程式,組織內部的人員及其外部的其他人會存取和使用Salesforce, (例如合作夥伴和約聘人員) 各種用途。 在許多情況下,大部分存取 Salesforce 的使用者對安全性認知不足,而且可能會因為無意中共用敏感性資訊而造成風險。 在其他情況下,惡意執行者可能會存取您最敏感的客戶相關資產。
將 Salesforce 連線到 Defender for Cloud Apps 可讓您更深入瞭解使用者的活動、使用機器學習型異常偵測和資訊保護偵測來提供威脅偵測, (例如偵測外部資訊共用) 、啟用自動化補救控制,以及偵測組織中已啟用的第三方應用程式的威脅。
使用此應用程式連接器,透過反映在安全分數Microsoft的安全性控制,存取 SaaS 安全性狀態管理 (SSPM) 功能。 深入了解。
主要威脅
- 遭入侵的帳戶和內部威脅
- 數據外洩
- 提高的許可權
- 安全性感知不足
- 惡意的第三方應用程式和Google附加元件
- 勒索軟體
- Unmanaged 將您自己的裝置 (BYOD)
Defender for Cloud Apps 如何協助保護您的環境
- 偵測雲端威脅、遭入侵的帳戶和惡意測試人員
- 探索、分類、標記和保護儲存在雲端中的控管和敏感性資料
- 探索和管理可存取您環境的 OAuth 應用程式
- 針對儲存在雲端的資料強制執行 DLP 和合規性原則
- 限制共用資料的暴露程度,並強制執行共同作業原則
- 使用活動的稽核線索來啟動鑒識調查
SaaS 安全性狀態管理
連線 Salesforce ,以在安全分數Microsoft自動取得 Salesforce 的安全性建議。
在 [安全分數] 中,選取 [建議的動作 ],並依 Product = Salesforce 進行篩選。 例如,Salesforce 的建議包括:
- 在多重要素驗證期間要求身分識別驗證 (MFA) 註冊
- 在每個要求上強制執行登入IP範圍
- 登入嘗試無效次數上限
- 密碼複雜性需求
如需詳細資訊,請參閱:
使用內建原則和原則範本控制 Salesforce
您可以使用下列內建原則範本來偵測潛在威脅並通知您:
| 類型 | 姓名 |
|---|---|
| 內建異常偵測原則 |
來自匿名 IP 位址的活動 來自不常使用國家/地區的活動。 來自可疑IP位址的活動 不可能的移動 終止的使用者 (執行的活動需要 Microsoft Entra ID 為IdP) 多次失敗的登入嘗試 不尋常的系統管理活動 不尋常的檔案刪除活動 不尋常的檔案共享活動 不尋常的模擬活動 不尋常的多個檔案下載活動 |
| 活動原則範本 | 從具風險的IP位址登入 單一使用者大量下載 |
| 檔案原則範本 | 偵測與未經授權網域共用的檔案 偵測與個人電子郵件地址共用的檔案 |
如需建立原則的詳細資訊,請參閱 建立原則。
自動化控管控件
除了監視潛在威脅之外,您還可以套用並自動化下列 Salesforce 治理動作,以補救偵測到的威脅:
| 類型 | 動作 |
|---|---|
| 使用者控管 | - 通知使用者暫止警示 - 將 DLP 違規摘要傳送給檔案擁有者 - 暫停使用者 - 透過 Microsoft Entra ID 通知使用者警示 () - 要求使用者透過 Microsoft Entra ID) 再次登入 ( - 透過 Microsoft Entra ID) 暫停使用者 ( |
| OAuth 應用程式控管 | - 撤銷使用者的 OAuth 應用程式 |
如需從應用程式補救威脅的詳細資訊,請參閱 治理連線的應用程式。
實時保護 Salesforce
檢閱我們與 外部用戶保護及共同 作業,以及 封鎖和保護將敏感數據下載到非受控或具風險裝置的最佳做法。
將 Salesforce 連線到 Microsoft Defender for Cloud Apps
本節提供使用應用程式連接器 API 將 Microsoft Defender for Cloud Apps 連線到現有 Salesforce 帳戶的指示。 此連線可讓您瞭解及控制 Salesforce 的使用。
使用此應用程式連接器,透過反映在安全分數Microsoft的安全性控制,存取 SaaS 安全性狀態管理 (SSPM) 功能。 深入了解。
如何將 Salesforce 連線到 Defender for Cloud Apps
注意事項
Salesforce Shield 應該可供您的 Salesforce 實例使用,作為此整合在 SSPM 以外的所有支援功能中的必要條件
建議您使用專用的服務系統管理員帳戶來進行 Defender for Cloud Apps。
驗證已在 Salesforce 中啟用 REST API。
您的 Salesforce 帳戶必須是下列其中一個版本,其中包含 REST API 支援:
效能、 企業版、 無限制或 開發人員。
Professional 版本預設沒有 REST API,但可視需要新增。
檢查您的版本是否已提供 REST API 並啟用,如下所示:
登入您的 Salesforce 帳戶,並移至 安裝程式首 頁。
在 [系統管理 ->使用者] 下,移至 [配置檔] 頁面。
選取 [新增配置檔],以建立新的 配置檔。
選擇您剛才建立以部署 Defender for Cloud Apps 配置文件,然後選取 [編輯]。 此設定檔將用於 Defender for Cloud Apps 服務帳戶,以設定應用程式連接器。
請確定您已開啟下列複選框:
- 已啟用 API
- 檢視所有數據
- 管理 Salesforce CRM 內容
- 管理使用者
- 查詢所有檔案
- 透過元數據 API 函式修改元數據
如果未選取這些複選框,您可能需要連絡 Salesforce 以將其新增至您的帳戶。
如果您的組織已啟用 Salesforce CRM 內容 ,請確定目前的系統管理帳戶也已啟用它。
移至 Salesforce 安裝程式首 頁。
在 [系統管理 ->使用者] 下,移至 [使用者] 頁面。
選取您專用 Defender for Cloud Apps 使用者的目前系統管理使用者。
確定已選取 [Salesforce CRM 內容使用者 ] 複選框。
移至 [設定首頁 - 安全性> ->會話設定]。 在 [工作階段設定] 底下,確定未選取 [鎖定其來源IP 位址的會話] 複選框。
選取 [儲存]。
移至 [應用程式 ] ->[功能設定 ] ->[Salesforce 檔案 ] ->[內容傳遞] 和 [公用連結]。
選取 [編輯 ],然後選 取 [可為使用者啟用已核取的內容傳遞功能]
選取 [儲存]。
注意事項
必須啟用內容傳遞功能,Defender for Cloud Apps 才能查詢檔案共享數據。 如需詳細資訊,請參閱 ContentDistribution。
如何將 Defender for Cloud Apps 連線到 Salesforce
在 Defender for Cloud Apps 控制台中,選取 [調查],然後選取 [已連線的應用程式]。
在 [ 應用程式連接器] 頁面中,選取 [+連接應用程式 ],後面接著 Salesforce。
在下一個視窗中,為聯機指定名稱,然後選取 [ 下一步]。
在 [ 遵循連結] 頁面中 ,選取 [ 聯機 Salesforce]。
這會開啟 Salesforce 登入頁面。 輸入您的認證,以允許 Defender for Cloud Apps 存取您小組的 Salesforce 應用程式。
Salesforce 會詢問您是否要允許 Defender for Cloud Apps 存取小組資訊和活動記錄,並以任何小組成員身分執行任何活動。 若要繼續,請選取 [ 允許]。
此時,您會收到部署的成功或失敗通知。 Defender for Cloud Apps 現在已在 Salesforce.com 中獲得授權。
回到 Defender for Cloud Apps 主控台,您應該會看到 Salesforce 已成功連線的訊息。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [ 已連線的應用程式] 底下,選取 [應用程式連接器]。 確定已連線應用程式連接器的狀態為 [已連線]。
聯機 Salesforce 之後,您會收到如下的事件:根據您的 Salesforce EventMonitoring 授權,在連線前 7 天登入事件和設定稽核記錄、EventMonitoring 30 天或一天。 Defender for Cloud Apps API 會直接與 Salesforce 提供的 API 通訊。 由於 Salesforce 會限制可接收的 API 呼叫數目,Defender for Cloud Apps 將此納入考慮並遵守限制。 Salesforce API 會傳送每個回應,其中包含 API 計數器的欄位,包括可用和剩餘的總計。 Defender for Cloud Apps 將此值計算為百分比,並確定一律保留 10% 的可用 API 呼叫剩餘時間。
注意事項
Defender for Cloud Apps 節流只會根據其本身與 Salesforce 的 API 呼叫來計算,而不是針對任何其他使用 Salesforce 進行 API 呼叫的應用程式來計算。 由於限制而限制 API 呼叫,可能會降低擷取數據在 Defender for Cloud Apps 中的速率,但通常會在夜間趕上。
注意事項
如果您的 Salesforce 實例不是英文,請務必為整合服務系統管理員帳戶選取適當的 語言 屬性值。
若要變更語言屬性,請流覽至 [系統管理 - 使用者 ->>使用者],然後開啟整合系統管理員帳戶。 現在流覽至 [地區設定 ->語言],然後選取所需的語言。
Salesforce 事件由 Defender for Cloud Apps 處理,如下所示:
- 每隔 15 分鐘登入事件一次
- 每隔 15 分鐘設定稽核記錄一次
- 每隔 1 小時會記錄一次事件。 如需 Salesforce 事件的詳細資訊,請 參閱使用事件監視。
如果您在連線應用程式時遇到任何問題,請參閱 針對應用程式連接器進行疑難解答。
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。