Wie Defender for Cloud Apps Ihre Salesforce-Umgebung schützt
Als wichtiger CRM-Cloudanbieter integriert Salesforce große Mengen vertraulicher Informationen zu Kunden, Preisplaybooks und wichtigen Deals in Ihre organization. Salesforce ist eine unternehmenskritische App und wird von Personen innerhalb Ihres organization und von anderen Außerhalb (z. B. Partnern und Auftragnehmern) für verschiedene Zwecke verwendet. In vielen Fällen hat ein großer Teil ihrer Benutzer, die auf Salesforce zugreifen, ein geringes Sicherheitsbewusstsein und kann Ihre vertraulichen Informationen gefährden, indem sie diese unbeabsichtigt freigeben. In anderen Fällen erhalten böswillige Akteure möglicherweise Zugriff auf Ihre empfindlichsten kundenbezogenen Ressourcen.
Wenn Sie Salesforce mit Defender for Cloud Apps verbinden, erhalten Sie bessere Einblicke in die Aktivitäten Ihrer Benutzer, ermöglicht die Bedrohungserkennung mithilfe von Machine Learning-basierten Anomalieerkennungen und Informationsschutzerkennungen (z. B. das Erkennen der Freigabe externer Informationen), ermöglicht automatisierte Korrektursteuerungen und erkennt Bedrohungen durch aktivierte Apps von Drittanbietern in Ihrem organization.
Verwenden Sie diesen App-Connector, um auf SSPM-Features (SaaS Security Posture Management) über Sicherheitskontrollen zuzugreifen, die in der Microsoft-Sicherheitsbewertung angegeben sind. Weitere Informationen.
Hauptbedrohungen
- Kompromittierte Konten und Insider-Bedrohungen
- Datenlecks
- Erhöhte Berechtigungen
- Unzureichendes Sicherheitsbewusstsein
- Schädliche Drittanbieter-Apps und Google-Add-Ons
- Ransomware
- Nicht verwaltetes Bring Your Own Device (BYOD)
Wie Defender for Cloud Apps ihre Umgebung schützt
- Erkennen von Cloudbedrohungen, kompromittierten Konten und böswilligen Insidern
- Ermitteln, Klassifizieren, Bezeichnen und Schützen regulierter und vertraulicher Daten, die in der Cloud gespeichert sind
- Ermitteln und Verwalten von OAuth-Apps, die Zugriff auf Ihre Umgebung haben
- Erzwingen von DLP- und Compliancerichtlinien für in der Cloud gespeicherte Daten
- Beschränken der Gefährdung freigegebener Daten und Erzwingen von Richtlinien für die Zusammenarbeit
- Verwenden des Überwachungspfads von Aktivitäten für forensische Untersuchungen
SaaS-Sicherheitsstatusverwaltung
Verbinden Sie Salesforce , um automatisch Sicherheitsempfehlungen für Salesforce in der Microsoft-Sicherheitsbewertung zu erhalten.
Wählen Sie unter Sicherheitsbewertung die Option Empfohlene Aktionen aus, und filtern Sie nach Product = Salesforce. Zu den Empfehlungen für Salesforce gehören beispielsweise:
- Anfordern der Identitätsüberprüfung während der Registrierung der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA)
- Erzwingen von Anmelde-IP-Adressbereichen für jede Anforderung
- Maximale Anzahl ungültiger Anmeldeversuche
- Kennwortkomplexitätsanforderung
Weitere Informationen finden Sie unter:
Steuern von Salesforce mit integrierten Richtlinien und Richtlinienvorlagen
Sie können die folgenden integrierten Richtlinienvorlagen verwenden, um potenzielle Bedrohungen zu erkennen und zu benachrichtigen:
Typ | Name |
---|---|
Integrierte Richtlinie zur Anomalieerkennung |
Aktivität von anonymen IP-Adressen Aktivität aus seltenen Ländern Aktivität von verdächtigen IP-Adressen Unmöglicher Ortswechsel Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra ID als IdP) Mehrere fehlgeschlagene Anmeldeversuche Ungewöhnliche administrative Aktivitäten Ungewöhnliche Dateilöschaktivitäten Ungewöhnliche Dateifreigabeaktivitäten Ungewöhnliche Aktivitäten im Identitätswechsel Ungewöhnliche Aktivitäten zum Herunterladen mehrerer Dateien |
Aktivitätsrichtlinienvorlage | Anmeldung von einer riskanten IP-Adresse Massendownload durch einen einzelnen Benutzer |
Dateirichtlinienvorlage | Erkennen einer Datei, die für eine nicht autorisierte Domäne freigegeben wurde Erkennen einer Datei, die mit persönlichen E-Mail-Adressen geteilt wurde |
Weitere Informationen zum Erstellen von Richtlinien finden Sie unter Erstellen einer Richtlinie.
Automatisieren von Governancekontrollen
Zusätzlich zur Überwachung auf potenzielle Bedrohungen können Sie die folgenden Salesforce-Governanceaktionen anwenden und automatisieren, um erkannte Bedrohungen zu beheben:
Typ | Aktion |
---|---|
Benutzergovernance | – Benachrichtigen von Benutzern über ausstehende Warnungen – Senden eines DLP-Verstoßdigests an Dateibesitzer – Benutzer anhalten – Benutzer bei Warnung benachrichtigen (über Microsoft Entra ID) – Benutzer muss sich erneut anmelden (über Microsoft Entra ID) – Benutzer anhalten (über Microsoft Entra ID) |
OAuth-App-Governance | – Widerrufen der OAuth-App für Benutzer |
Weitere Informationen zum Beheben von Bedrohungen durch Apps finden Sie unter Steuern verbundener Apps.
Schützen von Salesforce in Echtzeit
Überprüfen Sie unsere bewährten Methoden zum Schützen und Zusammenarbeiten mit externen Benutzern sowie zum Blockieren und Schützen des Downloads vertraulicher Daten auf nicht verwaltete oder riskante Geräte.
Verbinden von Salesforce mit Microsoft Defender for Cloud Apps
Dieser Abschnitt enthält Anweisungen zum Herstellen einer Verbindung Microsoft Defender for Cloud Apps mit Ihrem vorhandenen Salesforce-Konto mithilfe der App-Connector-API. Diese Verbindung bietet Ihnen Einblick in die Verwendung von Salesforce und kontrolle.
Verwenden Sie diesen App-Connector, um auf SSPM-Features (SaaS Security Posture Management) über Sicherheitskontrollen zuzugreifen, die in der Microsoft-Sicherheitsbewertung angegeben sind. Weitere Informationen.
Verbinden von Salesforce mit Defender for Cloud Apps
Hinweis
Salesforce Shield sollte für Ihre Salesforce instance als Voraussetzung für diese Integration in allen unterstützten Funktionen mit Ausnahme von SSPM verfügbar sein.
Es wird empfohlen, über ein dediziertes Dienstadministratorkonto für Defender for Cloud Apps zu verfügen.
Überprüfen Sie, ob die REST-API in Salesforce aktiviert ist.
Ihr Salesforce-Konto muss eine der folgenden Editionen sein, die REST-API-Unterstützung enthalten:
Performance, Enterprise, Unlimited oder Developer.
Die Professional Edition verfügt standardmäßig nicht über eine REST-API, kann aber bei Bedarf hinzugefügt werden.
Überprüfen Sie, ob Ihre Edition über die REST-API verfügt, die wie folgt verfügbar und aktiviert ist:
Melden Sie sich bei Ihrem Salesforce-Konto an, und navigieren Sie zur Startseite für Setup .
Navigieren Sie unter Verwaltung ->Benutzer zur Seite Profile.
Erstellen Sie ein neues Profil, indem Sie Neues Profil auswählen.
Wählen Sie das Profil aus, das Sie gerade erstellt haben, um Defender for Cloud Apps bereitzustellen, und wählen Sie Bearbeiten aus. Dieses Profil wird für das Defender for Cloud Apps-Dienstkonto verwendet, um den App-Connector einzurichten.
Stellen Sie sicher, dass die folgenden Kontrollkästchen aktiviert sind:
- API aktiviert
- Alle Daten anzeigen
- Verwalten von Salesforce CRM-Inhalten
- Benutzer verwalten
- Alle Dateien abfragen
- Ändern von Metadaten über Metadaten-API-Funktionen
Wenn diese Kontrollkästchen nicht aktiviert sind, müssen Sie sich möglicherweise an Salesforce wenden, um sie Ihrem Konto hinzuzufügen.
Wenn Für Ihre organization Salesforce CRM-Inhalt aktiviert ist, stellen Sie sicher, dass auch das aktuelle Administratorkonto aktiviert ist.
Wechseln Sie zur Startseite des Salesforce-Setups .
Navigieren Sie unter Verwaltung ->Benutzer zur Seite Benutzer.
Wählen Sie den aktuellen Administratorbenutzer für Ihren dedizierten Defender for Cloud Apps Benutzer aus.
Stellen Sie sicher, dass das Kontrollkästchen Salesforce CRM-Inhaltsbenutzer aktiviert ist.
Wechseln Sie zu Start ->SicherheitSitzungseinstellungen> einrichten. Stellen Sie sicher, dass unter Sitzungseinstellungen das Kontrollkästchen Sitzungen an der IP-Adresse sperren, von der sie stammen , nicht aktiviert ist.
Klicken Sie auf Speichern.
Wechseln Sie zu Apps ->Featureeinstellungen ->Salesforce-Dateien ->Inhaltsübermittlungen und öffentliche Links.
Wählen Sie Bearbeiten aus, und wählen Sie dann Das Feature "Überprüfte Inhaltsübermittlungen kann für Benutzer aktiviert werden" aus.
Klicken Sie auf Speichern.
Hinweis
Das Feature Inhaltsübermittlungen muss aktiviert sein, damit Defender for Cloud Apps Dateifreigabedaten abfragen können. Weitere Informationen finden Sie unter ContentDistribution.
Herstellen einer Verbindung zwischen Defender for Cloud Apps und Salesforce
Wählen Sie in der Defender for Cloud Apps-Konsole untersuchen und dann Verbundene Apps aus.
Wählen Sie auf der Seite App-Connectorsdie Option +App verbinden und dann Salesforce aus.
Geben Sie im nächsten Fenster der Verbindung einen Namen, und wählen Sie Weiter aus.
Wählen Sie auf der Seite Dem Link folgen die Option Salesforce verbinden aus.
Dadurch wird die Salesforce-Anmeldeseite geöffnet. Geben Sie Ihre Anmeldeinformationen ein, um Defender for Cloud Apps Zugriff auf die Salesforce-App Ihres Teams zu ermöglichen.
Salesforce fragt Sie, ob Sie Defender for Cloud Apps Zugriff auf Ihre Teaminformationen und das Aktivitätsprotokoll zulassen und aktivitäten wie jedes Teammitglied ausführen möchten. Um fortzufahren, wählen Sie Zulassen aus.
An diesem Punkt erhalten Sie eine Erfolgs- oder Fehlermeldung für die Bereitstellung. Defender for Cloud Apps ist jetzt in Salesforce.com autorisiert.
Zurück in der Defender for Cloud Apps-Konsole sollte die Meldung Salesforce wurde erfolgreich verbunden angezeigt werden.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus. Stellen Sie sicher, dass der status des verbundenen App-Connectors Verbunden ist.
Nachdem Sie eine Verbindung mit Salesforce hergestellt haben, erhalten Sie Ereignisse wie folgt: Anmelden von Ereignissen und Einrichten des Überwachungspfads für sieben Tage vor der Verbindung, EventMonitoring 30 Tage oder einen Tag zurück – abhängig von Ihrer Salesforce EventMonitoring-Lizenz. Die Defender for Cloud Apps-API kommuniziert direkt mit den von Salesforce verfügbaren APIs. Da Salesforce die Anzahl der API-Aufrufe begrenzt, die es empfangen kann, berücksichtigt Defender for Cloud Apps dies und berücksichtigt die Einschränkung. Salesforce-APIs senden jede Antwort mit einem Feld für die API-Indikatoren, einschließlich gesamt verfügbarer und verbleibender Daten. Defender for Cloud Apps berechnet dies in einem Prozentsatz und stellt sicher, dass immer 10 % der verfügbaren API-Aufrufe übrig bleiben.
Hinweis
Defender for Cloud Apps Drosselung wird ausschließlich anhand eigener API-Aufrufe mit Salesforce berechnet, nicht mit denen anderer Anwendungen, die API-Aufrufe mit Salesforce ausführen. Das Einschränken von API-Aufrufen aufgrund der Einschränkung kann die Rate verlangsamen, mit der Daten in Defender for Cloud Apps erfasst werden, aber in der Regel über Nacht aufholen.
Hinweis
Wenn Ihr Salesforce instance nicht auf Englisch vorliegt, stellen Sie sicher, dass Sie den entsprechenden Sprachattributewert für das Integrationsdienstadministratorkonto auswählen.
Um das Sprachattribute zu ändern, navigieren Sie zu Verwaltung ->Benutzer -Benutzer,> und öffnen Sie das Administratorkonto des Integrationssystems. Navigieren Sie nun zu Gebietsschemaeinstellungen ->Sprache , und wählen Sie die gewünschte Sprache aus.
Salesforce-Ereignisse werden von Defender for Cloud Apps wie folgt verarbeitet:
- Anmeldeereignisse alle 15 Minuten
- Einrichten von Überwachungspfaden alle 15 Minuten
- Ereignisprotokolle alle 1 Stunde. Weitere Informationen zu Salesforce-Ereignissen finden Sie unter Verwenden der Ereignisüberwachung.
Wenn Sie Probleme beim Herstellen einer Verbindung mit der App haben, finden Sie weitere Informationen unter Problembehandlung für App-Connectors.
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.