Comment Defender for Cloud Apps contribue à la protection de votre environnement Salesforce

En tant que principal fournisseur de cloud CRM, Salesforce intègre de grandes quantités d’informations sensibles sur les clients, les guides opérationnels sur la tarification et les principaux bons plans au sein de votre organisation. Étant une application critique pour l’entreprise, Salesforce est accessible et utilisé par des personnes au sein de votre organisation et par d’autres personnes en dehors de celle-ci (comme les partenaires et les prestataires) à diverses fins. Dans de nombreux cas, une grande partie de vos utilisateurs accédant à Salesforce ont une faible connaissance de la sécurité et peuvent mettre vos informations sensibles à risque en les partageant involontairement. Dans d’autres cas, des acteurs malveillants peuvent accéder à vos ressources les plus sensibles liées au client.

La connexion de Salesforce à Defender for Cloud Apps vous donne des aperçus améliorés sur les activités de vos utilisateurs, fournit une détection des menaces à l’aide de détections d’anomalies basées sur l’apprentissage automatique, des détections de protection des données (telles que la détection du partage d’informations externes), active les contrôles de correction automatisés et vous permet de détecter les menaces provenant d’applications tierces dans votre organisation.

Utilisez ce connecteur d’applications pour accéder aux fonctionnalités SaaS Security Posture Management (SSPM), par le biais de contrôles de sécurité reflétés dans le niveau de sécurité Microsoft. Plus d’informations

Menaces principales

• Comptes compromis et menaces internes
• Fuite de données
• Privilèges élevés
• Sensibilisation insuffisante à la sécurité
• Applications de tiers malveillantes et extensions Google
• Rançongiciel
• Appareil BYOD (apportez votre propre appareil) non géré

Comment Defender for Cloud Apps contribue à la protection de votre environnement

• Détecter les menaces du cloud, les comptes compromis et les insiders malveillants
• Découvrir, classifier, étiqueter et protéger les données réglementées et sensibles stockées dans le cloud
• Découvrir et gérer des applications OAuth qui ont accès à votre environnement
• Appliquer des stratégies de conformité et DLP pour les données stockées dans le cloud
• Limiter l’exposition des données partagées et appliquer des stratégies de collaboration
• Utiliser la piste d’audit des activités pour les examens forensiques

Gestion de la posture de sécurité SaaS

Connecter Salesforce pour obtenir automatiquement des recommandations de sécurité pour Salesforce dans le degré de sécurisation Microsoft.

Dans Degré de sécurisation, sélectionnez Actions recommandées et filtrez par Product = Salesforce. Par exemple, les recommandations pour Salesforce sont les suivantes :

• Exiger la vérification d’identité lors de l’inscription de l’authentification multifacteur (MFA)
• Appliquer des plages d’adresses IP de connexion à chaque demande
• Nombre maximal de tentatives de connexion non valides
• Exigence de complexité du mot de passe

Pour plus d’informations, consultez l’article suivant :

• Gestion de la posture de sécurité pour les applications SaaS
• Score sécurisé Microsoft

Contrôler Salesforce avec des stratégies et des modèles de stratégie prédéfinis

Vous pouvez utiliser les modèles de stratégie prédéfinis suivants pour détecter les menaces potentielles et vous avertir :

Type	Nom
Stratégie de détection d’anomalie prédéfinie	Activité depuis des adresses IP anonymes Activité à partir de pays peu fréquents Activité à partir d’adresses IP suspectes Voyage impossible Activité effectuée par l’utilisateur arrêté (nécessite Microsoft Entra ID en tant que fournisseur d’identité) Plusieurs tentatives de connexion infructueuses Activités administratives inhabituelles Activités inhabituelles de suppression de fichiers Activités inhabituelles de partage de fichiers Activités inhabituelles d’usurpation d’identité Plusieurs activités inhabituelles de téléchargement de fichiers
Modèle de stratégie d’activité	Connexion à partir d’une adresse IP à risque Téléchargement massif par un même utilisateur
Modèle de stratégie de fichier	Détecter un fichier partagé avec un domaine non autorisé Détecter un fichier partagé avec des adresses e-mail personnelles

Pour plus d’informations sur la création de stratégies, consultez Créer une stratégie.

Automatiser les contrôles de gouvernance

Outre la surveillance des menaces potentielles, vous pouvez appliquer et automatiser les actions de gouvernance Salesforce suivantes pour corriger les menaces détectées :

Type	Action
Gouvernance des utilisateurs	- Avertir les utilisateurs des alertes en attente - Envoyer le résumé de violation DLP aux propriétaires de fichiers - Suspendre l’utilisateur - Avertir l’utilisateur en cas d’alerte (via Microsoft Entra ID) - Exiger que l’utilisateur se reconnecte (via Microsoft Entra ID) - Suspendre l’utilisateur (via Microsoft Entra ID)
Gouvernance des applications OAuth	- Révoquer l’application OAuth pour les utilisateurs

Pour plus d’informations sur la correction des menaces des applications, consultez Gouvernance des applications connectées.

Protéger Salesforce en temps réel

Passez en revue nos meilleures pratiques pour sécuriser et collaborer avec des utilisateurs externes et bloquer et protéger le téléchargement de données sensibles sur des appareils non gérés ou à risque.

Connecter Salesforce à Microsoft Defender for Cloud Apps

Cette section fournit des instructions pour connecter Microsoft Defender pour le cloud Apps à votre compte Salesforce existant à l’aide de l’API du connecteur d’application. Cette connexion vous permet de bénéficier de plus de visibilité et de contrôle lors de l’utilisation de Salesforce. Pour plus d’informations sur la façon dont Defender for Cloud Apps protège Salesforce, consultez Protéger Salesforce.

Utilisez ce connecteur d’applications pour accéder aux fonctionnalités SaaS Security Posture Management (SSPM), par le biais de contrôles de sécurité reflétés dans le niveau de sécurité Microsoft. Plus d’informations

Comment connecter Salesforce à Defender for Cloud Apps

Remarque

Salesforce Shield doit être disponible pour votre instance Salesforce en tant que prérequis pour cette intégration dans toutes les capacités prises en charge, à l’exception de SSPM

1. Nous vous recommandons d’avoir un compte d’administrateur de service dédié pour Defender for Cloud Apps.

2. Vérifiez que l’API REST est activée dans Salesforce.

   Votre compte Salesforce doit correspondre à l’une des éditions suivantes prenant en charge l’API REST :

   Performance, Enterprise, Unlimited ou Developer.

   L’édition Professional ne comprend pas l’API REST par défaut, mais elle peut être ajoutée sur demande.

   Vérifiez que l’API REST est disponible et activée dans votre édition, comme suit :

   • Connectez-vous à votre compte Salesforce et accédez à la page Configuration Accueil.

   • Sous Administration ->Utilisateurs, accédez à la page Profils.

     

   • Créez un profil en sélectionnant Nouveau profil.

   • Choisissez le profil que vous venez de créer pour déployer Defender for Cloud Apps puis cliquez sur Modifier. Ce profil sera utilisé pour le compte de service Defender for Cloud Apps pour configurer le connecteur d’applications.

     

   • Vérifiez que les cases suivantes sont cochées :

     • API activée
     • Afficher toutes les données
     • Gérer le contenu Salesforce CRM
     • Gérer les utilisateurs
     • Interroger tous les fichiers
     • Modifier les métadonnées par le biais des fonctions d’API de métadonnées

     Si ces cases ne sont pas cochées, il peut être nécessaire de contacter Salesforce pour les ajouter à votre compte.

3. Si Salesforce CRM Content (Contenu CRM Salesforce) est activé pour votre organisation, vérifiez que le compte administratif actuel est également activé.

   1. Accédez à la page Accueil de configuration de Salesforce.

   2. Sous Administration ->Utilisateurs, accédez à la page Utilisateurs.

      

   3. Sélectionnez l’utilisateur administratif actuel pour votre utilisateur Defender for Cloud Apps dédié.

   4. Vérifiez que la case Salesforce CRM Content User (Utilisateur de contenu CRM Salesforce) est cochée.

      

   5. Accédez à Page d’accueil ->Sécurité ->Paramètres de session. Sous Paramètres de session, assurez-vous que la case à cocher Verrouillez les sessions sur l’adresse IP à partir de laquelle elles proviennent n’est pas sélectionnée.

      

   6. Sélectionnez Enregistrer.

   7. Accédez à Apps ->Feature Paramètres ->Salesforce Files ->Content Deliveries and Public Links.

   8. Sélectionnez Modifier, puis sélectionnez La fonctionnalité de livraison de contenu vérifié peut être activée pour les utilisateurs

   9. Sélectionnez Enregistrer.

Remarque

La fonctionnalité Livraisons de contenu doit être activée pour que Defender for Cloud Apps interroge les données de partage de fichiers. Pour plus d’informations, consultez ContentDistribution.

Comment connecter Defender for Cloud Apps à Salesforce

1. Dans la console portail Defender for Cloud Apps, sélectionnez Investiguer, puis sélectionnez Applications connectées.

2. Dans la page Connecteurs d’applications, sélectionnez +Connecter une application, puis sur Salesforce.

   

3. Dans la fenêtre suivante, donnez un nom à la connexion, puis sélectionnez Suivant.

4. Dans la page Suivre le lien, sélectionnez Connecter Salesforce.

5. Ceci ouvre la page de connexion à Salesforce. Entrez vos identifiants pour autoriser Defender for Cloud Apps à accéder à l’application Salesforce de votre équipe.

   

6. Salesforce vous demande si vous voulez autoriser Defender for Cloud Apps à accéder au journal d’informations et d’activité de votre équipe, et à effectuer toute activité en tant que membre de l’équipe. Pour continuer, sélectionnez Autoriser.

7. À ce stade, vous recevez une notification de réussite ou d’échec du déploiement. Defender for Cloud Apps est désormais autorisé dans Salesforce.com.

8. De retour dans la console Defender for Cloud Apps, vous devez recevoir un message indiquant que Salesforce a été correctement connecté.

9. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications. Vérifiez que le statut du connecteur d’applications connectées est Connecté.

Après avoir connecté Salesforce, vous recevrez les événements comme suit : Connectez-vous aux événements et configurez la piste d’audit pendant sept jours avant la connexion, EventMonitoring 30 jours ou un jour de retour, en fonction de votre licence Salesforce EventMonitoring. L’API Defender for Cloud Apps communique directement avec les API disponibles dans Salesforce. Comme Salesforce limite le nombre d’appels d’API qu’il peut recevoir, Defender for Cloud Apps prend ce point en considération et respecte la limite. Les API Salesforce envoient chaque réponse avec un champ pour les compteurs d’API, notamment le total disponible et le total restant. Defender for Cloud Apps calcule en pourcentage et veille à toujours garder 10 % des appels d’API disponibles restants.

Remarque

La limitation Defender for Cloud Apps est calculée uniquement à partir de ses propres appels d’API avec Salesforce, et non avec ceux des autres applications qui effectuent des appels d’API avec Salesforce. La restriction des appels d’API en raison de la limitation peut ralentir la vitesse à laquelle les données sont absorbées dans Defender for Cloud Apps, mais le retard est généralement comblé dans la nuit.

Remarque

Si votre instance Salesforce n’est pas en anglais, veillez à sélectionner la valeur d’attribut de langue appropriée pour le compte d’administrateur du service d’intégration.

Pour modifier l’attribut de langue, accédez à Administration ->Utilisateurs ->Utilisateur et ouvrez le compte d’administrateur système d’intégration. Accédez maintenant à Paramètres de locale ->Langue et sélectionnez la langue souhaitée.

Les événements Salesforce sont traités par Defender for Cloud Apps de la façon suivante :

• Événements de connexion toutes les 15 minutes
• Piste d’audit d’installation toutes les 15 minutes
• Les événements s’enregistrent chaque heure. Pour plus d’informations sur les événements Salesforce, consultez Using Event Monitoring (Utilisation de la surveillance des événements).

Si vous rencontrez des problèmes lors de la connexion de l’application, consultez Résolution des problèmes liés aux connecteurs d’applications.

Étapes suivantes

Contrôler les applications cloud avec des stratégies

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.