Come Defender per il cloud App consente di proteggere l'ambiente Salesforce

In qualità di principale provider di servizi cloud CRM, Salesforce incorpora grandi quantità di informazioni riservate sui clienti, sui playbook sui prezzi e sulle principali trattative all'interno dell'organizzazione. Essendo un'app business critical, Salesforce è accessibile e usata dalle persone all'interno dell'organizzazione e da altri utenti esterni (ad esempio partner e terzisti) per vari scopi. In molti casi, una gran parte degli utenti che accedono a Salesforce ha una scarsa consapevolezza della sicurezza e potrebbe mettere a rischio le informazioni sensibili condividendole involontariamente. In altri casi, gli attori malintenzionati possono accedere agli asset più sensibili correlati ai clienti.

Connessione salesforce per Defender per il cloud app offre informazioni dettagliate migliorate sulle attività degli utenti, fornisce il rilevamento delle minacce usando rilevamenti anomalie basati su Machine Learning e rilevamenti di protezione delle informazioni (ad esempio il rilevamento della condivisione di informazioni esterne), consente controlli di correzione automatizzati e rileva le minacce dalle app di terze parti abilitate nell'organizzazione.

Usare questo connettore di app per accedere alle funzionalità di SSPM (Security Posture Management) SaaS, tramite controlli di sicurezza riflessi in Microsoft Secure Score. Altre informazioni.

Principali minacce

• Account compromessi e minacce interne
• Perdita di dati
• Privilegi elevati
• Consapevolezza della sicurezza insufficiente
• App di terze parti dannose e componenti aggiuntivi Google
• Ransomware
• Unmanaged Bring Your Own Device (BYOD)

Come le app Defender per il cloud aiutano a proteggere l'ambiente

• Rilevare minacce cloud, account compromessi e utenti malintenzionati
• Individuare, classificare, etichettare e proteggere i dati regolamentati e sensibili archiviati nel cloud
• Individuare e gestire app OAuth che hanno accesso all'ambiente
• Applicare criteri di prevenzione della perdita dei dati e conformità per i dati archiviati nel cloud
• Limitare l'esposizione dei dati condivisi e applicare i criteri di collaborazione
• Usare il audit trail delle attività per le indagini forensi

Gestione del comportamento di sicurezza SaaS

Connessione Salesforce per ottenere automaticamente raccomandazioni sulla sicurezza per Salesforce in Microsoft Secure Score.

In Secure Score selezionare Azioni consigliate e filtrare in base a Product = Salesforce. Ad esempio, le raccomandazioni per Salesforce includono:

• Richiedere la verifica dell'identità durante la registrazione dell'autenticazione a più fattori
• Applicare intervalli IP di accesso a ogni richiesta
• Numero massimo di tentativi di accesso non validi
• Requisito di complessità delle password

Per altre informazioni, vedi:

• Gestione del comportamento di sicurezza per le app SaaS
• Punteggio di sicurezza Microsoft

Controllare Salesforce con criteri e modelli di criteri predefiniti

È possibile usare i modelli di criteri predefiniti seguenti per rilevare e notificare potenziali minacce:

Type	Nome
Criteri di rilevamento anomalie predefiniti	Attività da indirizzi IP anonimi Attività da un paese non frequente Attività da indirizzi IP sospetti Comunicazione impossibile Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP) Più tentativi di accesso non riusciti Attività amministrative insolite Attività insolite di eliminazione di file Attività insolite di condivisione file Attività di rappresentazione insolite Attività insolite di download di più file
Modello di criteri attività	Logon from a risky IP address (Accesso da indirizzo IP rischioso) Mass download by a single user (Download di massa da un singolo utente)
Modello di criteri file	Rilevare un file condiviso con un dominio non autorizzato Rilevare un file condiviso con indirizzi di posta elettronica personali

Per altre informazioni sulla creazione di criteri, vedere Creare un criterio.

Automatizzare i controlli di governance

Oltre al monitoraggio delle potenziali minacce, è possibile applicare e automatizzare le azioni di governance di Salesforce seguenti per correggere le minacce rilevate:

Type	Azione
Governance dell'utente	- Notificare agli utenti avvisi in sospeso - Inviare il digest di violazione DLP ai proprietari di file - Sospendere l'utente - Notifica all'utente all'avviso (tramite Microsoft Entra ID) - Richiedi all'utente di accedere di nuovo (tramite Microsoft Entra ID) - Sospendere l'utente (tramite Microsoft Entra ID)
Governance delle app OAuth	- Revocare l'app OAuth per gli utenti

Per altre informazioni sulla correzione delle minacce dalle app, vedere Governance delle app connesse.

Proteggere Salesforce in tempo reale

Esaminare le procedure consigliate per proteggere e collaborare con utenti esterni e bloccare e proteggere il download di dati sensibili in dispositivi non gestiti o rischiosi.

Connessione Salesforce per Microsoft Defender per il cloud app

Questa sezione fornisce istruzioni per la connessione di app Microsoft Defender per il cloud all'account Salesforce esistente usando l'API del connettore app. Questa connessione offre visibilità e controllo sull'utilizzo di Salesforce. Per informazioni su come le app Defender per il cloud proteggono Salesforce, vedere Proteggere Salesforce.

Usare questo connettore di app per accedere alle funzionalità di SSPM (Security Posture Management) SaaS, tramite controlli di sicurezza riflessi in Microsoft Secure Score. Altre informazioni.

Come connettere Salesforce alle app di Defender per il cloud

Nota

Salesforce Shield deve essere disponibile per l'istanza di Salesforce come prerequisito per questa integrazione in tutte le capacità supportate, ad eccezione di SSPM

1. È consigliabile avere un account amministratore del servizio dedicato per le app di Defender per il cloud.

2. Verificare che l'API REST sia abilitata in Salesforce.

   L'account di Salesforce deve essere configurato per una delle edizioni seguenti che includono il supporto per API REST:

   Performance, Enterprise, Unlimited o Developer.

   L'edizione Professional non include l'API REST per impostazione predefinita, ma è possibile aggiungerla su richiesta.

   Verificare che l'API REST sia disponibile e abilitata nell'edizione in uso seguendo questa procedura:

   • Accedere all'account Salesforce e passare alla home page di installazione.

   • In Amministrazione istration ->Users passare alla pagina Profili.

     

   • Creare un nuovo profilo selezionando Nuovo profilo.

   • Scegliere il profilo appena creato per distribuire Defender per il cloud App e selezionare Modifica. Questo profilo verrà usato per l'account del servizio app Defender per il cloud per configurare il Connettore app.

     

   • Verificare che siano selezionate le seguenti caselle di controllo:

     • API Enabled (API abilitata)
     • View All Data (Visualizza tutti i dati)
     • Manage Salesforce CRM Content (Gestisci Salesforce CRM Content)
     • Gestisci utenti
     • Eseguire query su tutti i file
     • Modificare i metadati tramite funzioni API metadati

     Se le caselle di controllo non sono selezionate può essere necessario contattare Salesforce per aggiungerle all'account.

3. Se nell'organizzazione è abilitato Salesforce CRM Content, verificare che sia abilitato anche l'account amministrativo corrente.

   1. Passare alla home page di Configurazione di Salesforce.

   2. In Amministrazione istration ->Users (Utenti) passare alla pagina Users (Utenti).

      

   3. Selezionare l'utente amministratore corrente per l'utente dedicato Defender per il cloud App.

   4. Verificare che la casella di controllo Salesforce CRM Content User (Utente Salesforce CRM Content) sia selezionata.

      

   5. Passare a Imposta home ->Security ->Session Impostazioni. In Sessione Impostazioni verificare che la casella di controllo Blocca sessioni all'indirizzo IP da cui hanno avuto origine non sia selezionata.

      

   6. Seleziona Salva.

   7. Passare ad App -Feature Impostazioni -Salesforce Files -Content Deliveries and Public Links (App -> Funzionalità Impostazioni ->Salesforce Files ->Content Deliveries and Public Links).

   8. Selezionare Modifica e quindi selezionare Checked Content Deliveries feature can be enabled for users (Modifica) e quindi selezionare Checked Content Deliveries feature can be enabled for users (Modifica) e quindi selezionare Checked Content Deliveries feature can

   9. Seleziona Salva.

Nota

La funzionalità Distribuzione contenuto deve essere abilitata per Defender per il cloud App per eseguire query sui dati di condivisione file. Per altre informazioni, vedere ContentDistribution.

Come connettere le app Defender per il cloud a Salesforce

1. Nella console Defender per il cloud App selezionare Analizza e quindi app Connessione ed.

2. Nella pagina Connettore app selezionare +Connessione un'app seguita da Salesforce.

   

3. Nella finestra successiva assegnare un nome alla connessione e selezionare Avanti.

4. Nella pagina Segui il collegamento selezionare Connessione Salesforce.

5. Verrà visualizzata la pagina di accesso di Salesforce. Immettere le credenziali per consentire alle app di Defender per il cloud di accedere all'app Salesforce del team.

   

6. Salesforce chiederà se si vuole consentire alle app di Defender per il cloud di accedere alle informazioni del team e al log attività ed eseguire qualsiasi attività come qualsiasi membro del team. Per continuare, selezionare Consenti.

7. A questo punto, si riceverà una notifica di esito positivo o negativo della distribuzione. app Defender per il cloud è ora autorizzata in Salesforce.com.

8. Nella console di Defender per il cloud Apps dovrebbe essere visualizzato il messaggio Salesforce è stato connesso correttamente.

9. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors. Verificare che lo stato dell'Connessione or dell'app connessa sia Connessione.

Dopo aver connesso Salesforce, si riceveranno gli eventi come indicato di seguito: Log in eventi e Setup Audit Trail per sette giorni prima della connessione, EventMonitoring 30 giorni o un giorno indietro, a seconda della licenza di Salesforce EventMonitoring. L'API Defender per il cloud Apps comunica direttamente con le API disponibili da Salesforce. Poiché Salesforce limita il numero di chiamate API che può ricevere, Defender per il cloud App prende questo in considerazione e rispetta la limitazione. Le API per Salesforce inviano ogni risposta con un campo per i contatori dell'API che include il totale disponibile e il totale rimanente. Defender per il cloud App calcola questo valore in percentuale e assicura di lasciare sempre il 10% delle chiamate API disponibili rimanenti.

Nota

Defender per il cloud la limitazione delle app viene calcolata esclusivamente sulle proprie chiamate API con Salesforce, non con quelle di altre applicazioni che effettuano chiamate API con Salesforce. La limitazione delle chiamate API a causa della limitazione può rallentare la frequenza con cui i dati vengono inseriti nelle app Defender per il cloud, ma in genere si recuperano di notte.

Nota

Se l'istanza di Salesforce non è in inglese, assicurarsi di selezionare il valore dell'attributo di lingua appropriato per l'account amministratore del servizio di integrazione.

Per modificare l'attributo del linguaggio, passare a Amministrazione istration ->Users ->User e aprire l'account amministratore del sistema di integrazione. Passare ora a Impostazioni locali Impostazioni ->Lingua e selezionare la lingua desiderata.

Gli eventi di Salesforce vengono elaborati da Defender per il cloud App come indicato di seguito:

• Eventi di accesso ogni 15 minuti
• Audit trail di impostazione ogni 15 minuti
• Registri eventi ogni ora. Per altre informazioni sugli eventi di Salesforce, vedere Using event monitoring (Uso del monitoraggio degli eventi).

In caso di problemi di connessione dell'app, vedere Risoluzione dei problemi relativi ai Connessione ors dell'app.

Passaggi successivi

Controllare le app cloud mediante criteri

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.