Partager via


Comment Defender for Cloud Apps contribue à la protection de votre environnement Salesforce

En tant que principal fournisseur de cloud CRM, Salesforce intègre de grandes quantités d’informations sensibles sur les clients, les guides opérationnels sur la tarification et les principaux bons plans au sein de votre organisation. Étant une application critique pour l’entreprise, Salesforce est accessible et utilisé par des personnes au sein de votre organisation et par d’autres personnes en dehors de celle-ci (comme les partenaires et les prestataires) à diverses fins. Dans de nombreux cas, une grande partie de vos utilisateurs accédant à Salesforce ont une faible connaissance de la sécurité et peuvent mettre vos informations sensibles à risque en les partageant involontairement. Dans d’autres cas, des acteurs malveillants peuvent accéder à vos ressources les plus sensibles liées au client.

La connexion de Salesforce à Defender for Cloud Apps vous donne des aperçus améliorés sur les activités de vos utilisateurs, fournit une détection des menaces à l’aide de détections d’anomalies basées sur l’apprentissage automatique, des détections de protection des données (telles que la détection du partage d’informations externes), active les contrôles de correction automatisés et vous permet de détecter les menaces provenant d’applications tierces dans votre organisation.

Utilisez ce connecteur d’applications pour accéder aux fonctionnalités SaaS Security Posture Management (SSPM), par le biais de contrôles de sécurité reflétés dans le niveau de sécurité Microsoft. Plus d’informations

Menaces principales

  • Comptes compromis et menaces internes
  • Fuite de données
  • Privilèges élevés
  • Sensibilisation insuffisante à la sécurité
  • Applications de tiers malveillantes et extensions Google
  • Rançongiciel
  • Appareil BYOD (apportez votre propre appareil) non géré

Comment Defender for Cloud Apps contribue à la protection de votre environnement

Gestion de la posture de sécurité SaaS

Connecter Salesforce pour obtenir automatiquement des recommandations de sécurité pour Salesforce dans Microsoft Secure Score.

Dans Secure Score, sélectionnez Actions recommandées et filtrez par Produit = Salesforce. Voici quelques-unes des recommandations pour Salesforce :

  • Exiger la vérification de l'identité lors de l'enregistrement par authentification multifactorielle (AMF)
  • Renforcer les plages d'adresses IP de connexion à chaque requête
  • Nombre maximal de tentatives de connexion non valides
  • Exigences en termes de « complexité » du mot de passe

Pour plus d’informations, consultez l’article suivant :

Contrôler Salesforce avec des stratégies et des modèles de stratégie prédéfinis

Vous pouvez utiliser les modèles de stratégie prédéfinis suivants pour détecter les menaces potentielles et vous avertir :

Type Nom
Stratégie de détection d’anomalie prédéfinie Activité depuis des adresses IP anonymes
Activité à partir de pays peu fréquents
Activité à partir d’adresses IP suspectes
Voyage impossible
Activité effectuée par l’utilisateur arrêté (nécessite Microsoft Entra ID en tant que fournisseur d’identité)
Plusieurs tentatives de connexion infructueuses
Activités administratives inhabituelles
Activités inhabituelles de suppression de fichiers
Activités inhabituelles de partage de fichiers
Activités inhabituelles d’usurpation d’identité
Plusieurs activités inhabituelles de téléchargement de fichiers
Modèle de stratégie d’activité Connexion à partir d’une adresse IP à risque
Téléchargement massif par un même utilisateur
Modèle de stratégie de fichier Détecter un fichier partagé avec un domaine non autorisé
Détecter un fichier partagé avec des adresses e-mail personnelles

Pour plus d’informations sur la création de stratégies, consultez Créer une stratégie.

Automatiser les contrôles de gouvernance

Outre la surveillance des menaces potentielles, vous pouvez appliquer et automatiser les actions de gouvernance Salesforce suivantes pour corriger les menaces détectées :

Type Action
Gouvernance des utilisateurs - Avertir les utilisateurs des alertes en attente
- Envoyer le résumé de violation DLP aux propriétaires de fichiers
- Suspendre l’utilisateur
- Avertir l’utilisateur en cas d’alerte (via Microsoft Entra ID)
- Exiger que l’utilisateur se reconnecte (via Microsoft Entra ID)
- Suspendre l’utilisateur (via Microsoft Entra ID)
Gouvernance des applications OAuth - Révoquer l’application OAuth pour les utilisateurs

Pour plus d’informations sur la correction des menaces des applications, consultez Gouvernance des applications connectées.

Protéger Salesforce en temps réel

Passez en revue nos meilleures pratiques pour sécuriser et collaborer avec des utilisateurs externes et bloquer et protéger le téléchargement de données sensibles sur des appareils non gérés ou à risque.

Connecter Salesforce à Microsoft Defender for Cloud Apps

Cette section fournit des instructions pour connecter Microsoft Defender for Cloud Apps à un compte Salesforce existant à l’aide de l’API de connecteur d’applications. Cette connexion vous permet de bénéficier de plus de visibilité et de contrôle lors de l’utilisation de Salesforce.

Utilisez ce connecteur d’applications pour accéder aux fonctionnalités SaaS Security Posture Management (SSPM), par le biais de contrôles de sécurité reflétés dans le niveau de sécurité Microsoft. Plus d’informations

Comment connecter Salesforce à Defender for Cloud Apps

Remarque

Salesforce Shield doit être disponible pour votre instance Salesforce en tant que condition préalable à cette intégration dans toutes les capacités prises en charge, à l'exception de SSPM.

  1. Nous vous recommandons d’avoir un compte d’administrateur de service dédié pour Defender for Cloud Apps.

  2. Vérifiez que l’API REST est activée dans Salesforce.

    Votre compte Salesforce doit correspondre à l’une des éditions suivantes prenant en charge l’API REST :

    Performance, Enterprise, Unlimited ou Developer.

    L’édition Professional ne comprend pas l’API REST par défaut, mais elle peut être ajoutée sur demande.

    Vérifiez que l’API REST est disponible et activée dans votre édition, comme suit :

    • Connectez-vous à votre compte Salesforce et accédez à la page Configuration Accueil.

    • Sous Administration ->Utilisateurs, accédez à la page Profils.

      Gérez les profils d'utilisateurs dans Salesforce.

    • Créez un profil en sélectionnant Nouveau profil.

    • Choisissez le profil que vous venez de créer pour déployer Defender for Cloud Apps puis cliquez sur Modifier. Ce profil sera utilisé pour le compte de service Defender for Cloud Apps pour configurer le connecteur d’applications.

      Modifiez le profil dans Salesforce.

    • Vérifiez que les cases suivantes sont cochées :

      • API activée
      • Afficher toutes les données
      • Gérer le contenu Salesforce CRM
      • Gérer les utilisateurs
      • Interroger tous les fichiers
      • Modifier les métadonnées par le biais des fonctions d’API de métadonnées

      Si ces cases ne sont pas cochées, il peut être nécessaire de contacter Salesforce pour les ajouter à votre compte.

  3. Si Salesforce CRM Content (Contenu CRM Salesforce) est activé pour votre organisation, vérifiez que le compte administratif actuel est également activé.

    1. Accédez à la page Accueil de configuration de Salesforce.

    2. Sous Administration ->Utilisateurs, accédez à la page Utilisateurs.

      Menu des utilisateurs de Salesforce.

    3. Sélectionnez l’utilisateur administratif actuel pour votre utilisateur Defender for Cloud Apps dédié.

    4. Vérifiez que la case Salesforce CRM Content User (Utilisateur de contenu CRM Salesforce) est cochée.

      Utilisateur de contenu crm dans Salesforce.

    5. Accédez à Page d’accueil ->Sécurité ->Paramètres de session. Sous Paramètres de session, assurez-vous que la case à cocher Verrouillez les sessions sur l’adresse IP à partir de laquelle elles proviennent n’est pas sélectionnée.

      Paramètres de session dans Salesforce.

    6. Cliquez sur Enregistrer.

    7. Allez dans Applications - >Paramètres des fonctionnalités - >Fichiers Salesforce - >Livraisons de contenu et liens publics.

    8. Sélectionnez Modifier, puis sélectionnez La fonctionnalité de livraison de contenu vérifié peut être activée pour les utilisateurs

    9. Cliquez sur Enregistrer.

Remarque

La fonctionnalité Livraisons de contenu doit être activée pour que Defender for Cloud Apps interroge les données de partage de fichiers. Pour plus d’informations, consultez ContentDistribution.

Comment connecter Defender for Cloud Apps à Salesforce

  1. Dans la console portail Defender for Cloud Apps, sélectionnez Investiguer, puis sélectionnez Applications connectées.

  2. Dans la page Connecteurs d’applications, sélectionnez +Connecter une application, puis sur Salesforce.

    Connectez Salesforce.

  3. Dans la fenêtre suivante, donnez un nom à la connexion, puis sélectionnez Suivant.

  4. Dans la page Suivre le lien, sélectionnez Connecter Salesforce.

  5. Ceci ouvre la page de connexion à Salesforce. Entrez vos identifiants pour autoriser Defender for Cloud Apps à accéder à l’application Salesforce de votre équipe.

    Connexion à Salesforce.

  6. Salesforce vous demande si vous voulez autoriser Defender for Cloud Apps à accéder au journal d’informations et d’activité de votre équipe, et à effectuer toute activité en tant que membre de l’équipe. Pour continuer, sélectionnez Autoriser.

  7. À ce stade, vous recevez une notification de réussite ou d’échec du déploiement. Defender for Cloud Apps est désormais autorisé dans Salesforce.com.

  8. De retour dans la console Defender for Cloud Apps, vous devez recevoir un message indiquant que Salesforce a été correctement connecté.

  9. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications. Vérifiez que le statut du connecteur d’applications connectées est Connecté.

Après avoir connecté Salesforce, vous recevez les événements comme suit : événements de connexion et piste d’audit d’installation pour les 7 jours précédant la connexion, surveillance des événements remontant à 30 jours or à 1 jour, en fonction de votre licence Salesforce EventMonitoring. L’API Defender for Cloud Apps communique directement avec les API disponibles dans Salesforce. Comme Salesforce limite le nombre d’appels d’API qu’il peut recevoir, Defender for Cloud Apps prend ce point en considération et respecte la limite. Les API Salesforce envoient chaque réponse avec un champ pour les compteurs d’API, notamment le total disponible et le total restant. Defender for Cloud Apps calcule en pourcentage et veille à toujours garder 10 % des appels d’API disponibles restants.

Remarque

La limitation Defender for Cloud Apps est calculée uniquement à partir de ses propres appels d’API avec Salesforce, et non avec ceux des autres applications qui effectuent des appels d’API avec Salesforce. La restriction des appels d’API en raison de la limitation peut ralentir la vitesse à laquelle les données sont absorbées dans Defender for Cloud Apps, mais le retard est généralement comblé dans la nuit.

Remarque

Si votre instance Salesforce n’est pas en anglais, veillez à sélectionner la valeur d’attribut de langue appropriée pour le compte d’administrateur du service d’intégration.

Pour modifier l’attribut de langue, accédez à Administration ->Utilisateurs ->Utilisateur et ouvrez le compte d’administrateur système d’intégration. Accédez maintenant à Paramètres de locale ->Langue et sélectionnez la langue souhaitée.

Les événements Salesforce sont traités par Defender for Cloud Apps de la façon suivante :

  • Événements de connexion toutes les 15 minutes
  • Piste d’audit d’installation toutes les 15 minutes
  • Les événements s’enregistrent chaque heure. Pour plus d’informations sur les événements Salesforce, consultez Using Event Monitoring (Utilisation de la surveillance des événements).

Si vous rencontrez des problèmes lors de la connexion de l’application, consultez Résolution des problèmes liés aux connecteurs d’applications.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.