Freigeben über


So schützt Defender for Cloud Apps Ihre Salesforce-Umgebung

Als wichtiger CRM-Cloudanbieter umfasst Salesforce große Mengen vertraulicher Informationen zu Kunden, Preis-Playbooks und wichtigen Verträgen innerhalb Ihrer Organisation. Als unternehmenskritische App wird Salesforce von Personen innerhalb Ihrer Organisation und von anderen Außerhalb (z. B. Partnern und Auftragnehmern) zu verschiedenen Zwecken aufgerufen und verwendet. In vielen Fällen hat ein großer Teil Ihrer Benutzer, die auf Salesforce zugreifen, ein geringes Sicherheitsbewusstsein und kann Ihre vertraulichen Informationen durch unbeabsichtigte Freigabe gefährden. In anderen Fällen erhalten böswillige Akteure möglicherweise Zugriff auf Ihre vertraulichsten kundenbezogenen Ressourcen.

Die Verbindung von Salesforce mit Defender for Cloud Apps verschafft Ihnen verbesserte Einblicke in die Aktivitäten Ihrer Benutzer, bietet Bedrohungserkennung mithilfe von machine-learning-basierten Anomalieerkennungen und Informationsschutzerkennungen (z. B. Erkennen externer Informationsfreigabe), ermöglicht automatisierte Wartungskontrollen und erkennt Bedrohungen von aktivierten Drittanbieter-Apps in Ihrer Organisation.

Verwenden Sie diesen App-Connector, um über Sicherheitskontrollen, die sich in Microsoft Secure Score wiederfinden, auf SaaS Security Posture Management (SSPM) Features zuzugreifen. Weitere Informationen

Größte Bedrohungen

  • Kompromittierte Konten und Insider-Bedrohungen
  • Datenlecks
  • Elevation of privileges (Rechteerweiterung)
  • Unzureichendes Sicherheitsbewusstsein
  • Schädliche Apps von Drittanbietern und Google-Add-Ons
  • Ransomware
  • Unkontrollierte Bring Your Own Device (BYOD)-Strategie

So hilft Ihnen Defender for Cloud Apps beim Schutz Ihrer Umgebung

SaaS Security Posture Management (SSPM)

Verknüpfen Sie Salesforce, um automatisch Empfehlungen zum Sicherheitsstatus für Salesforce im Microsoft Secure Score zu erhalten.

Wählen Sie in Secure Score Empfohlene Aktionen aus und filtern Sie nach Produkt = Salesforce. Nachfolgend sind einige Empfehlungen für Salesforce aufgeführt:

  • Identitätsüberprüfung während der mehrstufigen Authentifizierung (MFA) erforderlich
  • Erzwingen von Anmelde-IP-Adressbereichen für jede Anforderung
  • Maximale Anzahl ungültiger Anmeldeversuche
  • Anforderung an die Komplexität von Kennwörtern

Weitere Informationen finden Sie unter:

Steuern von Salesforce mit integrierten Richtlinien und Richtlinienvorlagen

Sie können die folgenden integrierten Richtlinienvorlagen verwenden, um potenzielle Bedrohungen zu erkennen und zu benachrichtigen:

type Name
Integrierte Anomalieerkennungsrichtlinie Aktivitäten von anonymen IP-Adressen
Aktivität aus selten verwendetem Land
Aktivität von verdächtigen IP-Adressen
Unmöglicher Ortswechsel
Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra-ID als IdP)
Mehrere fehlerhafte Anmeldeversuche
Ungewöhnliche Administratoraktivitäten
Ungewöhnliche Dateilöschungen
Ungewöhnliche Dateifreigaben
Ungewöhnliche Identitätswechsel
Ungewöhnliche mehrfache Dateidownloads
Vorlage für Aktivitätsrichtlinie Anmeldung von einer riskanten IP-Adresse
Massendownload durch einen einzigen Benutzer
Dateirichtlinienvorlage Erkennen einer Datei, die für eine nicht autorisierte Domäne freigegeben wurde
Erkennen einer Datei, die an persönliche E-Mail-Adressen weitergegeben wurde

Weitere Informationen zum Erstellen von Richtlinien finden Sie unter Erstellen einer Richtlinie.

Automatisieren von Governance-Steuerelementen

Zusätzlich zur Überwachung potenzieller Bedrohungen können Sie die folgenden Salesforce-Governanceaktionen anwenden und automatisieren, um erkannte Bedrohungen zu beheben:

type Aktion
Benutzer-Governance – Benutzer über ausstehende Warnungen benachrichtigen
– DLP-Verletzungsdigest an Dateibesitzer senden
Benutzer sperren
– Mitteilen des Benutzers über die Benachrichtigung (über Microsoft Entra-ID)
– Benutzer müssen sich erneut anmelden (über Microsoft Entra-ID)
– Benutzer sperren (über Microsoft Entra-ID)
OAuth-App-Governance – Widerrufen der OAuth-App für Benutzer

Weitere Informationen zum Beheben von Bedrohungen aus Apps finden Sie unter Verwalten verbundener Apps.

Schützen von Salesforce in Echtzeit

Überprüfen Sie unsere bewährten Methoden für die Sicherung und die Zusammenarbeit mit externen Benutzern und zum Blockieren und Schützen des Downloads vertraulicher Daten auf nicht verwaltete oder riskante Geräte.

Verbinden von Salesforce mit Microsoft Defender for Cloud Apps

Dieser Abschnitt enthält Anweisungen für das Herstellen einer Verbindung von Microsoft Defender for Cloud Apps mit Ihrem vorhandenen Salesforce-Konto mithilfe der App-Connector-API. Diese Verbindung bietet Ihnen Transparenz und Kontrolle der Nutzung von Salesforce.

Verwenden Sie diesen App-Connector, um über Sicherheitskontrollen, die sich in Microsoft Secure Score wiederfinden, auf SaaS Security Posture Management (SSPM) Features zuzugreifen. Weitere Informationen

Verbinden von Salesforce mit Defender for Cloud Apps

Hinweis

Eine Voraussetzung für diese Integration ist, dass Salesforce Shield für Ihre Salesforce-Instanz für alle unterstützten Funktionen, außer für SSPM-Funktionen, verfügbar ist.

  1. Es ist ratsam, über ein dediziertes Dienstadministratorkonto für Defender for Cloud Apps verfügen.

  2. Überprüfen Sie, ob die REST-API in Salesforce aktiviert ist.

    Sie müssen über ein Salesforce-Konto einer der folgenden Editionen verfügen, die die REST-API unterstützen:

    Performance, Enterprise, Unlimited oder Developer.

    Die Professional-Edition verfügt standardmäßig nicht über die REST-API, doch sie kann bei Bedarf hinzugefügt werden.

    Überprüfen Sie, ob Ihre Edition über die REST-API verfügt, und ob sie wie folgt aktiviert ist:

    • Melden Sie sich bei Ihrem Salesforce-Konto an, und wechseln Sie zur Startseite Einrichtung.

    • Wechseln Sie unter Administration – >Benutzer und zur Seite Profile.

      Salesforce – Benutzerprofile verwalten.

    • Erstellen Sie ein neues Profil, indem Sie Neues Profil auswählen.

    • Wählen Sie das Profil aus, das Sie soeben zum Bereitstellen von Defender for Cloud Apps erstellt haben, und klicken Sie auf Bearbeiten. Dies ist das Profil, das für das Defender for Cloud Apps-Dienstkonto zum Einrichten des App-Connectors verwendet werden soll.

      Salesforce – Profil bearbeiten.

    • Stellen Sie sicher, dass folgende Kontrollkästchen ausgewählt sind:

      • API aktiviert
      • Alle Daten anzeigen
      • Salesforce CRM-Inhalt verwalten
      • Benutzer verwalten
      • Alle Dateien abfragen
      • Metadaten über Metadaten-API-Funktionen ändern

      Wenn diese Kontrollkästchen nicht aktiviert sind, müssen Sie möglicherweise mit Salesforce in Kontakt treten, um sie Ihrem Konto hinzuzufügen.

  3. Wenn für Ihre Organisation Salesforce CRM Content (Salesforce CRM-Inhalt) aktiviert ist, stellen Sie sicher, dass die Option für das aktuelle Administratorkonto ebenfalls aktiviert ist.

    1. Wechseln Sie zu Ihrer Salesforce-Startseite Einrichtung.

    2. Wechseln Sie unter Administration – >Benutzer zur Seite Benutzer.

      Salesforce-Menü – Benutzer.

    3. Wählen Sie den aktuellen Administrator als Ihren dedizierten Defender for Cloud Apps-Benutzer.

    4. Stellen Sie sicher, dass das Kontrollkästchen Salesforce CRM-Inhaltsbenutzer aktiviert ist.

      Salesforce CRM-Inhaltsbenutzer.

    5. Wechseln Sie zur Startseite Einrichtung>Sicherheit – >Sitzungseinstellungen. Vergewissern Sie sich unter Sitzungseinstellungen, dass das Kontrollkästchen Sitzungen auf die IP-Adresse sperren, von der sie stammen nicht aktiviert ist.

      Salesforce-Sitzungseinstellungen.

    6. Wählen Sie Speichern.

    7. Wechseln Sie zu Apps – >Featureeinstellungen – >Salesforce-Dateien – >Inhaltsbereitstellungen und öffentliche Links.

    8. Wählen Sie Bearbeiten und anschließend Markierte Funktion „Inhaltsbereitstellungen“ kann für Benutzer aktiviert werden.

    9. Klicken Sie auf Speichern.

Hinweis

Die Funktion „Inhaltsbereitstellungen“ muss aktiviert sein, damit Defender for Cloud Apps Dateifreigabedaten abfragen kann. Weitere Informationen finden Sie unter ContentDistribution.

Verbinden von Defender for Cloud Apps mit Salesforce

  1. Wählen Sie in der Defender for Cloud Apps-Konsole die Optionen Untersuchen und anschließend Verbundene Apps.

  2. Wählen Sie auf der Seite App-Connectors die Option +App verbinden und dann Salesforce.

    Salesforce verbinden.

  3. Geben Sie dem Connector im nächsten Fenster einen Namen, und wählen Sie Weiter.

  4. Wählen Sie auf der Seite Link folgen die Option Salesforce verbinden.

  5. Daraufhin wird die Salesforce-Anmeldeseite geöffnet. Geben Sie Ihre Anmeldedaten ein, damit Defender for Cloud Apps Zugriff auf die Dropbox-Instanz Ihres Teams erhält.

    Anmeldung bei Salesforce.

  6. Salesforce fragt Sie, ob Sie zulassen möchten, dass Defender for Cloud Apps Zugriff auf Ihre Teaminformationen und Ihr Aktivitätsprotokoll erhält und alle Aktivitäten wie jedes Teammitglied ausführen darf. Wählen Sie Zulassen aus, um fortzufahren.

  7. An diesem Punkt erhalten Sie eine Erfolgs- oder Fehlermeldung hinsichtlich der Bereitstellung. Defender for Cloud Apps ist nun in Salesforce.com autorisiert.

  8. Sie sollten anschließend in der Defender for Cloud Apps-Konsole die Meldung über eine erfolgreiche Verbindung mit Salesforce empfangen.

  9. Klicken Sie im Microsoft Defender-Portal auf Einstellungen. Wählen Sie dann Cloud-Apps. Wählen Sie unter Verbundene Apps die Option App-Connectors. Stellen Sie sicher, dass der Status des verbundenen App-Connectors Verbunden lautet.

Nachdem Sie eine Verbindung mit Salesforce hergestellt haben, erhalten Sie die folgenden Ereignisse: Anmeldeereignisse und den Setup-Überwachungspfad der letzten 7 Tage vor der Verbindungsherstellung, EventMonitoring der letzten 30 Tage oder des letzten Tages – je nachdem, welche Salesforce EventMonitoring-Lizenz Sie besitzen. Die Defender for Cloud Apps-API kommuniziert direkt mit den APIs, die unter Salesforce verfügbar sind. Salesforce begrenzt die Anzahl der API-Aufrufe, die empfangen werden, was von Defender for Cloud Apps beachtet und respektiert wird. Salesforce-APIs senden jede Antwort mit einem Feld für die API-Leistungsindikatoren, einschließlich der vollständig verfügbaren und verbleibenden. Defender for Cloud Apps berechnet dies in einen Prozentwert und stellt sicher, dass immer 10 % der verfügbaren API-Aufrufe verbleiben.

Hinweis

Die Drosselung von Defender for Cloud Apps wird nur auf den eigenen API-Aufrufen mit Salesforce berechnet. Es werden nicht die Aufrufe anderer Anwendungen einbezogen, die API-Aufrufe mit Salesforce tätigen. Die Beschränkung von API-Aufrufen aufgrund der Einschränkung kann womöglich die Rate, mit der Daten in Defender for Cloud Apps eingespeist werden, verlangsamen, jedoch holt sie über Nacht wieder auf.

Hinweis

Wenn Ihre Salesforce-Instanz nicht in Englisch ist, stellen Sie sicher, dass Sie den entsprechenden Sprachattributwert für das Administratorkonto des Integrationsdiensts auswählen.

Navigieren Sie zu Administration>Benutzer – >Benutzer, und öffnen Sie das Administratorkonto des Integrationssystems, um das Sprachattribut zu ändern,. Navigieren Sie nun zu Gebietsschemaeinstellungen – >Sprache, und wählen Sie die gewünschte Sprache.

Salesforce-Ereignisse werden durch Defender for Cloud Apps wie folgt verarbeitet:

  • Anmeldungsereignisse alle 15 Minuten;
  • Setup-Überwachungspfads alle 15 Minuten;
  • Ereignisprotokolle jede Stunde. Weitere Informationen zu Salesforce-Ereignissen finden Sie unter Verwenden der Ereignisüberwachung.

Wenn Sie Probleme beim Verbinden der App haben, lesen Sie die Problembehandlung bei App-Connectors.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.