Cómo Defender for Cloud Apps ayuda a proteger su entorno de Salesforce
Como proveedor de nube de CRM importante, Salesforce incorpora grandes cantidades de información confidencial sobre clientes, cuadernos de estrategias de precios y ofertas importantes dentro de su organización. Al ser una aplicación crítica para la empresa, se accede a Salesforce y la usan personas dentro de su organización y otras personas ajenas a ella (como asociados y contratistas) con diversos fines. En muchos casos, una gran proporción de los usuarios que acceden a Salesforce tienen poco conocimiento de la seguridad y podrían poner en riesgo la información confidencial al compartirla involuntariamente. En otros casos, actores malintencionados pueden obtener acceso a los recursos más confidenciales relacionados con el cliente.
Conectar Salesforce a Defender for Cloud Apps proporciona información mejorada sobre las actividades de los usuarios, proporciona detección de amenazas mediante detecciones de anomalías basadas en aprendizaje automático, detecciones de protección de la información (como detectar el uso compartido de información externa), permite controles de corrección automatizados y detecta amenazas de aplicaciones de terceros habilitadas en su organización.
Use este conector de aplicaciones para acceder a las características de Administración de la posición de seguridad de SaaS (SSPM), a través de controles de seguridad reflejados en Puntuación de seguridad de Microsoft. Más información.
Principales amenazas
- Cuentas en peligro y amenazas internas
- Pérdida de datos
- Elevación de privilegios
- Reconocimiento de seguridad insuficiente
- Aplicaciones de terceros y complementos de Google malintencionados
- Ransomware
- Bring your own device (BYOD) sin administrar
Cómo Defender for Cloud Apps ayuda a proteger su entorno
- Detección de amenazas en la nube, cuentas en peligro y usuarios internos malintencionados
- Detección, clasificación, etiquetado y protección de datos regulados y confidenciales almacenados en la nube
- Detección y administración de aplicaciones de OAuth que tienen acceso a su entorno
- Aplicación de directivas de cumplimiento y DLP para los datos almacenados en la nube
- Limitación de la exposición de datos compartidos y aplicación de directivas de colaboración
- Uso de la pista de auditoría de actividades para investigaciones forenses
Administración de la posición de seguridad de SaaS
Conectar Salesforce para obtener automáticamente recomendaciones de seguridad para Salesforce en la puntuación de seguridad de Microsoft.
En Puntuación de seguridad, seleccione Acciones recomendadas y filtre por Product = Salesforce. Por ejemplo, las recomendaciones para Salesforce incluyen:
- Requerir la comprobación de identidad durante el registro de autenticación multifactor (MFA)
- Exigir intervalos IP de inicio de sesión en cada solicitud
- Número máximo de intentos de inicio de sesión no válidos
- Requisito de complejidad de contraseña
Para más información, vea:
Control de Salesforce con directivas integradas y plantillas de directiva
Puede usar las siguientes plantillas de directiva integradas para detectar y notificarle posibles amenazas:
| Tipo | Nombre |
|---|---|
| Directiva de detección de anomalías integrada | Actividad desde direcciones IP anónimas Actividad desde un país poco frecuente Actividad desde direcciones IP sospechosas Viaje imposible Actividad realizada por un usuario finalizado (requiere microsoft Entra ID como IdP) Varios intentos incorrectos de inicio de sesión Actividades administrativas inusuales Actividades inusuales de eliminación de archivos Actividades inusuales de uso compartido de archivos Actividades inusuales de suplantación Varias actividades inusuales de descarga de archivos |
| Plantilla de directiva de actividad | Inicio de sesión desde una dirección IP de riesgo Descarga masiva de un solo usuario |
| Plantilla de directiva de archivo | Detección de un archivo compartido con un dominio no autorizado Detección de un archivo compartido con direcciones de correo electrónico personales |
Para obtener más información acerca de la creación de directivas, consulte Creación de una directiva.
Automatización de controles de gobernanza
Además de la supervisión de posibles amenazas, puede aplicar y automatizar las siguientes acciones de gobernanza de Salesforce para corregir las amenazas detectadas:
| Tipo | Acción |
|---|---|
| Regulación de usuario | - Notificar a los usuarios las alertas pendientes - Enviar el resumen de infracción de DLP a los propietarios de archivos - Suspender usuario - Notificar al usuario una alerta (a través de Microsoft Entra ID) - Requerir que el usuario vuelva a iniciar sesión (a través de Microsoft Entra ID) - Suspender al usuario (a través de Microsoft Entra ID) |
| Gobernanza de aplicaciones de OAuth | - Revocar la aplicación OAuth para los usuarios |
Para obtener más información sobre la corrección de amenazas de aplicaciones, consulte Gobernanza de aplicaciones conectadas.
Protección de Salesforce en tiempo real
Revise nuestros procedimientos recomendados para proteger y colaborar con usuarios externos y bloquear y proteger la descarga de datos confidenciales en dispositivos no administrados o de riesgo.
Conexión de Salesforce con Microsoft Defender for Cloud Apps
En esta sección se proporcionan instrucciones para conectar Microsoft Defender for Cloud Apps a su cuenta de Salesforce existente mediante la API del conector de aplicaciones. Esta conexión le ofrece visibilidad y control del uso de Salesforce. Para obtener información sobre cómo Defender for Cloud Apps protege Salesforce, consulte Protección de Salesforce.
Use este conector de aplicaciones para acceder a las características de Administración de la posición de seguridad de SaaS (SSPM), a través de controles de seguridad reflejados en Puntuación de seguridad de Microsoft. Más información.
Conexión de Salesforce a Defender for Cloud Apps
Nota:
Salesforce Shield debe estar disponible para su instancia de Salesforce como requisito previo para esta integración en todas las capacidades admitidas, excepto SSPM.
Se recomienda tener una cuenta de administrador de servicio dedicada para Defender for Cloud Apps.
Confirme que la API de REST está habilitada en Salesforce.
La cuenta de Salesforce debe ser una de las siguientes ediciones que incluyen compatibilidad con la API de REST:
Performance, Enterprise, Unlimited o Developer.
La edición Professional no tiene la API REST de forma predeterminada, pero se puede agregar a petición.
Compruebe que la edición tiene disponible la API de REST y que está habilitada de la manera siguiente:
Inicie sesión en su cuenta de Salesforce y vaya a la página Configuración.
En Administración ->Usuarios, vaya a la página Perfiles.
Cree un nuevo perfil seleccionando Nuevo perfil.
Elija el perfil que acaba de crear para implementar Defender for Cloud Apps y seleccione Editar. Este perfil se utilizará para que la cuenta del servicio Defender for Cloud Apps configure el conector de aplicaciones.
Asegúrese de que las siguientes casillas están activadas:
- API Enabled (API habilitada)
- Ver todos los datos
- Manage Salesforce CRM Content (Administrar contenido CRM de Salesforce)
- Administrar usuarios
- Consultar todos los archivos
- Modificación de metadatos mediante funciones de API de metadatos
Si estas casillas no están activadas, es posible que deba ponerse en contacto con Salesforce para agregarlas a su cuenta.
Si su organización tiene habilitada la opción Salesforce CRM Content (Contenido CRM de Salesforce), asegúrese de que la cuenta administrativa actual también la tenga habilitada.
Vaya a la página de inicio de configuración de Salesforce.
En Administración ->Usuarios, vaya a la página Usuarios.
Seleccione el usuario administrativo actual de su usuario de Defender for Cloud Apps dedicado.
Asegúrese de que está seleccionada la casilla Salesforce CRM Content User (Usuario de contenido CRM de Salesforce).
Vaya a Configuración de inicio ->Seguridad ->Configuración de la sesión Configuración. En Configuración de la sesión, asegúrese de que la casilla Bloquear sesiones a la dirección IP desde la que se originaronno está seleccionada.
Seleccione Guardar.
Vaya a Aplicaciones ->Feature Configuración ->Salesforce Files ->Content Delivery and Public Links (Entregas de contenido y vínculos públicos).
Seleccione Editar y, a continuación, seleccione La característica de entrega de contenido verificado se puede habilitar para los usuarios.
Seleccione Guardar.
Nota:
La característica de entrega de contenido debe estar habilitada para que Defender for Cloud Apps consulte los datos de uso compartido de archivos. Para obtener más información, consulte ContentDistribution.
Cómo conectar Defender for Cloud Apps a Salesforce
En la consola de Defender for Cloud Apps, seleccione Investigar y después Aplicaciones conectadas.
En la página Conectores de aplicaciones, seleccione +Conectar una aplicación y, después, Salesforce.
En la ventana siguiente, asigne un nombre a la conexión y seleccione Siguiente.
En la página Seguir el vínculo, seleccione Conectar Salesforce.
Se abrirá la página de inicio de sesión de Salesforce. Introduzca sus credenciales para permitir el acceso de Defender for Cloud Apps a la aplicación Salesforce de su equipo.
Salesforce le preguntará si quiere permitir que Defender for Cloud Apps acceda a la información y el registro de actividad de su equipo y que realice actividades como cualquier miembro del equipo. Para continuar, seleccione Permitir.
En este momento recibirá una notificación que le indicará si la implementación se ha llevado a cabo correcta o incorrectamente. Defender for Cloud Apps ya está autorizado en Salesforce.com.
Si vuelve a la consola de Defender for Cloud Apps, debería aparecer un mensaje que le indica que Salesforce se ha conectado correctamente.
En el portal de Microsoft Defender, selecciona Configuración. A continuación, seleccione Aplicaciones en la nube. En Aplicaciones conectadas, seleccione Conectores de aplicaciones. Asegúrese de que el estado del conector de aplicación conectado esté Conectado.
Después de conectar Salesforce, recibirá eventos como se indica a continuación: Registrar eventos y configurar la pista de auditoría durante siete días antes de la conexión, EventMonitoring 30 días o un día atrás, dependiendo de la licencia de Salesforce EventMonitoring. La API de Defender for Cloud Apps se comunica directamente con las API disponibles de Salesforce. Dado que Salesforce limita el número de llamadas API que puede recibir, Defender for Cloud Apps lo tiene en cuenta y respeta la limitación. Las API de Salesforce envían cada respuesta con un campo para los contadores de API, incluido el total disponible y restante. Defender for Cloud Apps lo calcula como un porcentaje y siempre se asegura de que quede como restante un 10 % de las llamadas de API disponibles.
Nota:
La limitación de Defender for Cloud Apps se calcula únicamente según sus propias llamadas API con Salesforce, no según las de otras aplicaciones que realizan llamadas API con Salesforce. La restricción de las llamadas API debido a la limitación puede reducir la velocidad a la que se ingieren los datos en Defender for Cloud Apps, pero normalmente se pone al día por la noche.
Nota:
Si la instancia de Salesforce no está en inglés, asegúrese de seleccionar el valor de atributo de idioma adecuado para la cuenta de administrador del servicio de integración.
Para cambiar el atributo de idioma, vaya a Administración ->Usuarios ->Usuario y abra la cuenta de administrador del sistema de integración. Ahora vaya a Configuración regional ->Idioma y seleccione el idioma deseado.
Defender for Cloud Apps procesa los eventos de Salesforce de la siguiente manera:
- Eventos de inicio de sesión cada 15 minutos
- Configuración de registros de auditoría cada 15 minutos
- Registros de eventos cada hora. Para más información sobre los eventos de Salesforce, consulte el artículo sobre el uso de supervisión de eventos.
Si tiene algún problema al conectar la aplicación, consulte Solución de problemas con los conectores de aplicaciones.
Pasos siguientes
Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.