클라우드용 Defender 앱이 Salesforce 환경을 보호하는 방법
주요 CRM 클라우드 공급자인 Salesforce는 고객, 가격 플레이북 및 조직 내 주요 거래에 대한 많은 양의 중요한 정보를 통합합니다. 비즈니스에 중요한 앱인 Salesforce는 조직 내 사용자와 외부의 다른 사용자(예: 파트너 및 계약자)가 다양한 목적으로 액세스하고 사용합니다. 대부분의 경우 Salesforce에 액세스하는 사용자의 상당수는 보안에 대한 인식이 낮으며 실수로 공유하여 중요한 정보를 위험에 빠뜨릴 수 있습니다. 다른 경우에는 악의적인 행위자가 가장 중요한 고객 관련 자산에 액세스할 수 있습니다.
Salesforce를 클라우드용 Defender 앱에 연결하면 사용자의 활동에 대한 인사이트를 향상시키고, 기계 학습 기반 변칙 검색 및 정보 보호 검색(예: 외부 정보 공유 검색)을 사용하여 위협 탐지를 제공하고, 자동화된 수정 제어를 사용하도록 설정하고, 조직에서 사용하도록 설정된 타사 앱의 위협을 검색합니다.
이 앱 커넥터를 사용하여 Microsoft 보안 점수에 반영된 보안 컨트롤을 통해 SSPM(SaaS 보안 상태 관리) 기능에 액세스합니다. 자세히 알아보기.
주요 위협
- 손상된 계정 및 내부자 위협
- 데이터 유출
- 상승된 권한
- 보안 인식 부족
- 악의적인 타사 앱 및 Google 추가 기능
- 랜섬웨어
- 관리되지 않는 사용자 고유의 디바이스 가져오기(BYOD)
클라우드용 Defender 앱이 환경을 보호하는 데 도움이 되는 방법
- 클라우드 위협, 손상된 계정 및 악의적인 내부자 검색
- 클라우드에 저장된 규제 및 중요한 데이터 검색, 분류, 레이블 지정 및 보호
- 사용자 환경에 액세스할 수 있는 OAuth 앱 검색 및 관리
- 클라우드에 저장된 데이터에 대한 DLP 및 규정 준수 정책 적용
- 공유 데이터의 노출 제한 및 공동 작업 정책 적용
- 포렌식 조사를 위해 활동의 감사 내역 사용
SaaS 보안 상태 관리
Salesforce 를 연결하여 Microsoft Secure Score에서 Salesforce에 대한 보안 권장 사항을 자동으로 가져옵니다.
보안 점수에서 권장 작업을 선택하고 Product = Salesforce별로 필터링합니다. 예를 들어 Salesforce에 대한 권장 사항은 다음과 같습니다.
- MFA(다단계 인증) 등록 중 ID 확인 필요
- 모든 요청에 로그인 IP 범위 적용
- 최대 유효하지 않은 로그인 시도
- 암호 복잡성 요구 사항
자세한 내용은 다음을 참조하세요.
기본 제공 정책 및 정책 템플릿을 사용하여 Salesforce 제어
다음 기본 제공 정책 템플릿을 사용하여 잠재적 위협을 감지하고 알릴 수 있습니다.
Type | 속성 |
---|---|
기본 제공 변칙 검색 정책 | 익명 IP 주소에서의 활동 자주 사용되지 않는 국가에서의 활동 의심스러운 IP 주소에서의 활동 이동 불가능 종료된 사용자가 수행한 작업(IdP로 Microsoft Entra ID 필요) 여러 번의 로그인 시도 실패 비정상적인 관리 활동 비정상적인 파일 삭제 작업 비정상적인 파일 공유 활동 비정상적인 가장 활동 비정상적인 여러 파일 다운로드 활동 |
활동 정책 템플릿 | 위험한 IP 주소에서 로그온 단일 사용자에 의한 대용량 다운로드 |
파일 정책 템플릿 | 권한이 없는 도메인과 공유된 파일 검색 개인 전자 메일 주소와 공유된 파일 검색 |
정책 만들기에 대한 자세한 내용은 정책 만들기를 참조하세요.
거버넌스 제어 자동화
잠재적인 위협에 대한 모니터링 외에도 다음 Salesforce 거버넌스 작업을 적용하고 자동화하여 검색된 위협을 수정할 수 있습니다.
Type | 작업 |
---|---|
사용자 거버넌스 | - 보류 중인 경고를 사용자에게 알립니다. - 파일 소유자에게 DLP 위반 다이제스트 보내기 - 사용자 일시 중단 - 사용자에게 경고 알림(Microsoft Entra ID를 통해) - 사용자가 다시 로그인하도록 요구(Microsoft Entra ID를 통해) - 사용자 일시 중단(Microsoft Entra ID를 통해) |
OAuth 앱 거버넌스 | - 사용자에 대한 OAuth 앱 해지 |
앱에서 위협을 수정하는 방법에 대한 자세한 내용은 연결된 앱 관리를 참조하세요.
Salesforce를 실시간으로 보호
외부 사용자와의 보안 및 공동 작업, 관리되지 않거나 위험한 디바이스에 대한 중요한 데이터 다운로드 차단 및 보호에 대한 모범 사례를 검토합니다.
Salesforce를 클라우드용 Microsoft Defender 앱에 연결
이 섹션에서는 앱 커넥터 API를 사용하여 클라우드용 Microsoft Defender 앱을 기존 Salesforce 계정에 연결하는 지침을 제공합니다. 이 연결은 Salesforce 사용에 대한 표시 유형과 제어를 제공합니다.
이 앱 커넥터를 사용하여 Microsoft 보안 점수에 반영된 보안 컨트롤을 통해 SSPM(SaaS 보안 상태 관리) 기능에 액세스합니다. 자세히 알아보기.
Salesforce를 클라우드용 Defender 앱에 연결하는 방법
참고 항목
Salesforce Shield는 SSPM을 제외한 모든 지원되는 기능에서 이 통합을 위한 필수 조건으로 Salesforce 인스턴스에 사용할 수 있어야 합니다.
클라우드용 Defender 앱에 대한 전용 서비스 관리자 계정을 사용하는 것이 좋습니다.
Salesforce에서 REST API가 사용하도록 설정되었는지 확인합니다.
Salesforce 계정이 REST API 지원을 포함하는
Performance, Enterprise, Unlimited 또는 Developer 버전 중 하나여야 합니다.
Professional 버전에는 기본적으로 REST API가 없지만 요청 시 추가할 수 있습니다.
다음과 같이 버전에서 REST API를 사용할 수 있고 사용하도록 설정되었는지 확인합니다.
Salesforce 계정에 로그인하고 설치 홈 페이지로 이동합니다.
관리 ->사용자 아래에서 프로필 페이지로 이동합니다.
새 프로필을 선택하여 새 프로필을 만듭니다.
클라우드용 Defender 앱을 배포하기 위해 방금 만든 프로필을 선택하고 편집을 선택합니다. 이 프로필은 클라우드용 Defender Apps 서비스 계정에 앱 커넥터 설정하는 데 사용됩니다.
다음 확인란이 사용하도록 설정되었는지 확인합니다.
- API 사용
- 모든 데이터 보기
- Manage Salesforce CRM Content(Salesforce CRM 콘텐츠 관리)
- 사용자 관리
- 모든 파일 쿼리
- 메타데이터 API 함수를 통해 메타데이터 수정
이러한 확인란이 선택되지 않은 경우 Salesforce에 연락하여 계정에 추가해야 할 수 있습니다.
조직에서 Salesforce CRM 콘텐츠가 사용으로 설정된 경우 현재 관리자 계정에서도 사용으로 설정되었는지 확인합니다.
Salesforce 설치 홈 페이지로 이동합니다.
관리 ->사용자 아래에서 사용자 페이지로 이동합니다.
전용 클라우드용 Defender 앱 사용자에게 현재 관리 사용자를 선택합니다.
Salesforce CRM 콘텐츠 사용자 확인란이 선택되었는지 확인합니다.
홈 -보안 ->>세션 설정 설정으로 이동합니다. 세션 설정에서 세션을 시작한 IP 주소에 대한 잠금 확인란이 선택되어 있지 않은지 확인합니다.
저장을 선택합니다.
앱 ->기능 설정 ->Salesforce 파일 ->콘텐츠 배달 및 공용 링크로 이동합니다.
편집을 선택한 다음, 선택한 콘텐츠 배달 기능을 선택하여 사용자를 위해 사용하도록 설정할 수 있습니다.
저장을 선택합니다.
참고 항목
클라우드용 Defender 앱에서 파일 공유 데이터를 쿼리하려면 콘텐츠 배달 기능을 사용하도록 설정해야 합니다. 자세한 내용은 ContentDistribution을 참조 하세요.
클라우드용 Defender 앱을 Salesforce에 연결하는 방법
클라우드용 Defender 앱 콘솔에서 조사 및 연결된 앱을 선택합니다.
앱 커넥터 페이지에서 +앱 연결과 Salesforce를 선택합니다.
다음 창에서 연결에 이름을 지정하고 다음을 선택합니다.
링크 팔로우 페이지에서 Salesforce 연결을 선택합니다.
그러면 Salesforce 로그인 페이지가 열립니다. 클라우드용 Defender 앱이 팀의 Salesforce 앱에 액세스할 수 있도록 자격 증명을 입력합니다.
Salesforce는 클라우드용 Defender 앱이 팀 정보 및 활동 로그에 액세스할 수 있도록 허용하고 모든 활동을 팀 구성원으로 수행할 수 있는지 묻습니다. 계속하려면 [허용]을 선택합니다.
이때 배포에 대한 성공 또는 실패 알림이 표시됩니다. 클라우드용 Defender 앱은 이제 Salesforce.com 권한이 부여됩니다.
클라우드용 Defender 앱 콘솔로 돌아가서 Salesforce가 성공적으로 연결된 메시지를 확인해야 합니다.
Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음, Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택합니다. 연결된 App Connector의 상태가 연결되었는지 확인합니다.
Salesforce를 연결한 후에는 Salesforce EventMonitoring 라이선스에 따라 연결 전 7일 동안 이벤트 로그인 및 감사 내역 설정, EventMonitoring 30일 또는 하루 뒤로 이벤트를 받게 됩니다. 클라우드용 Defender Apps API는 Salesforce에서 사용할 수 있는 API와 직접 통신합니다. Salesforce는 수신할 수 있는 API 호출 수를 제한하므로 클라우드용 Defender 앱은 이를 고려하여 제한 사항을 준수합니다. Salesforce API는 사용 가능하고 남은 전체 API 호출을 비롯하여 API 카운터에 대한 필드를 사용하여 각 응답을 전송합니다. 클라우드용 Defender 앱은 이를 백분율로 계산하고 항상 사용 가능한 API 호출의 10%를 그대로 둡니다.
참고 항목
클라우드용 Defender 앱 제한은 Salesforce를 사용하여 API를 호출하는 다른 애플리케이션이 아닌 Salesforce를 사용한 자체 API 호출에서만 계산됩니다. 제한 사항으로 인해 API 호출을 제한하면 클라우드용 Defender 앱에서 데이터가 수집되는 속도가 느려질 수 있지만 일반적으로 밤에는 따라잡을 수 있습니다.
참고 항목
Salesforce 인스턴스가 영어가 아닌 경우 통합 서비스 관리자 계정에 적절한 언어 특성 값을 선택해야 합니다.
언어 특성을 변경하려면 관리 -Users ->>User로 이동하여 통합 시스템 관리자 계정을 엽니다. 이제 로캘 설정 ->언어로 이동하여 원하는 언어를 선택합니다.
Salesforce 이벤트는 다음과 같이 클라우드용 Defender 앱에서 처리됩니다.
- 15분마다 로그인 이벤트
- 15분마다 감사 추적 설정
- 이벤트는 1시간마다 기록됩니다. Salesforce 이벤트에 대한 자세한 내용은 Using Event Monitoring(이벤트 모니터링 사용)을 참조하세요.
앱 연결에 문제가 있는 경우 앱 커넥터 문제 해결을 참조 하세요.
다음 단계
문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.