Защита среды Salesforce Defender для облака Apps

В качестве крупного поставщика облачных решений CRM Salesforce включает в себя большие объемы конфиденциальной информации о клиентах, сборниках схем ценообразования и крупных сделках внутри вашей организации. Будучи бизнес-критически важным приложением, Salesforce получает доступ и используется людьми внутри вашей организации и другими пользователями за ее пределами (например, партнерами и подрядчиками) для различных целей. Во многих случаях большая часть пользователей, обращаюющихся к Salesforce, имеет низкую осведомленность о безопасности и может поставить под угрозу конфиденциальную информацию, непреднамеренно поделившись ею. В других случаях злоумышленники могут получить доступ к наиболее конфиденциальным ресурсам, связанным с клиентом.

Подключение Salesforce к Defender для облака Apps предоставляет улучшенные аналитические сведения о действиях пользователей, обеспечивает обнаружение угроз с помощью обнаружения аномалий на основе машинного обучения и обнаружения защиты информации (например, обнаружения внешнего доступа к информации), позволяет автоматически устранять угрозы от включенных сторонних приложений в организации.

Используйте этот соединитель приложений для доступа к функциям управления безопасностью SaaS (SSPM), используя элементы управления безопасностью, отраженные в оценке безопасности Майкрософт. Подробнее.

Основные угрозы

• Скомпрометированные учетные записи и внутренние угрозы
• Утечка данных
• Повышенные привилегии
• Недостаточно осведомленности о безопасности
• Вредоносные сторонние приложения и надстройки Google
• Программа-шантажист
• Неуправляемый перенос собственного устройства (BYOD)

Как Defender для облака Приложения помогают защитить среду

• Обнаружение облачных угроз, скомпрометированных учетных записей и вредоносных участников программы предварительной оценки
• Обнаружение, классификация, метка и защита регулируемых и конфиденциальных данных, хранящихся в облаке
• Обнаружение приложений OAuth и управление ими с доступом к вашей среде
• Применение политик защиты от потери данных и соответствия требованиям для данных, хранящихся в облаке
• Ограничение воздействия общих данных и применение политик совместной работы
• Использование следа аудита действий для судебно-медицинских расследований

Управление безопасностью SaaS

Подключите Salesforce для автоматического получения рекомендаций по безопасности Salesforce в Microsoft Secure Score.

В разделе "Оценка безопасности" выберите рекомендуемые действия и фильтруйте по Product = Salesforce. Например, рекомендации по Salesforce включают:

• Требовать проверку подлинности при регистрации многофакторной проверки подлинности (MFA)
• Принудительное применение диапазонов IP-адресов для входа для каждого запроса
• Максимальное число недопустимых попыток входа
• Требование к сложности паролей

Дополнительные сведения см. в разделе:

• Управление безопасностью для приложений SaaS
• Оценка безопасности Майкрософт

Управление Salesforce встроенными политиками и шаблонами политик

Для обнаружения и уведомления о потенциальных угрозах можно использовать следующие встроенные шаблоны политик:

Тип	Имя.
Встроенная политика обнаружения аномалий	Действия, выполняемые с анонимных IP-адресов Действие из редко упоминаемой страны Действия с подозрительных IP-адресов Неосуществимое перемещение Действие, выполняеме завершенным пользователем (требуется идентификатор Microsoft Entra в качестве поставщика удостоверений) Множество неудачных попыток входа Необычные административные действия Необычные действия по удалению файлов Необычные действия общей папки Необычные олицетворенные действия Необычные действия загрузки файлов
Шаблон политики действий	Вход с опасных IP-адресов Массовое скачивание одним пользователем
Шаблон политики файлов	Обнаружение общего файла с несанкционированным доменом Обнаружение общего файла с личными адресами электронной почты

Дополнительные сведения о создании политик см. в разделе "Создание политики".

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия управления Salesforce для устранения обнаруженных угроз:

Тип	Действие
Управление пользователями	— уведомлять пользователей о ожидающих оповещениях — Отправка дайджеста нарушений защиты от потери данных владельцам файлов — Приостановка пользователя — уведомлять пользователя об оповещении (с помощью идентификатора Microsoft Entra) — требовать повторного входа пользователя (с помощью идентификатора Microsoft Entra) — Приостановка пользователя (с помощью идентификатора Microsoft Entra)
Управление приложениями OAuth	— Отзыв приложения OAuth для пользователей

Дополнительные сведения об устранении угроз из приложений см. в разделе "Управление подключенными приложениями".

Защита Salesforce в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями и блокировкой и защитой загрузки конфиденциальных данных на неуправляемые или рискованные устройства.

Подключение Salesforce к приложениям Microsoft Defender для облака

В этом разделе приведены инструкции по подключению Microsoft Defender для облака Apps к существующей учетной записи Salesforce с помощью API соединителя приложений. Это подключение обеспечивает наглядность и контроль использования Salesforce.

Используйте этот соединитель приложений для доступа к функциям управления безопасностью SaaS (SSPM), используя элементы управления безопасностью, отраженные в оценке безопасности Майкрософт. Подробнее.

Подключение Salesforce к приложениям Defender для облака

Примечание.

Salesforce Shield должен быть доступен для экземпляра Salesforce в качестве необходимых условий для этой интеграции во всех поддерживаемых возможностях, кроме SSPM.

1. Рекомендуется использовать выделенную учетную запись администратора службы для приложений Defender для облака.

2. Убедитесь, что в Salesforce включен REST API.

   Ваша учетная запись Salesforce должна относиться к одному из следующих выпусков, поддерживающих REST API:

   Performance, Enterprise, Unlimited или Developer.

   Выпуск Professional не имеет REST API по умолчанию, но его можно добавить по запросу.

   Убедитесь, что REST API доступен и включен во всех используемых выпусках:

   • Войдите в учетную запись Salesforce и перейдите на домашнюю страницу установки.

   • В разделе "Администрирование -> Пользователи" перейдите на страницу "Профили".

     

   • Создайте новый профиль, выбрав новый профиль.

   • Выберите только что созданный профиль для развертывания Defender для облака приложений и нажмите кнопку "Изменить". Этот профиль будет использоваться для учетной записи службы приложений Defender для облака для настройки соединитель приложений.

     

   • Убедитесь, что установлены следующие флажки:

     • API Enabled (API включен);
     • Просмотр всех данных;
     • Manage Salesforce CRM Content (Управление содержимым Salesforce CRM);
     • Управление пользователями
     • Запрос всех файлов
     • Изменение метаданных с помощью функций API метаданных

     Если эти флажки не установлены, вам может потребоваться обратиться в Salesforce, чтобы добавить их в учетную запись.

3. Если в вашей организации включен параметр Salesforce CRM Content (Содержимое Salesforce CRM), убедитесь, что он включен и в используемой учетной записи администратора.

   1. Перейдите на домашнюю страницу настройки Salesforce.

   2. В разделе "Администрирование -> Пользователи" перейдите на страницу "Пользователи".

      

   3. Выберите текущего администратора для выделенного пользователя Defender для облака Apps.

   4. Убедитесь, что установлен флажок Salesforce CRM Content User (Пользователь содержимого Salesforce CRM).

      

   5. Перейдите к разделу "Настройка home ->Security ->Session Settings". В разделе "Параметры сеанса" убедитесь, что сеансы блокировки в IP-адрес, из которого они были созданы, не выбран флажок.

      

   6. Выберите Сохранить.

   7. Перейдите к приложениям ->Параметры компонентов ->Salesforce Files -> Доставка содержимого и общедоступные ссылки.

   8. Выберите "Изменить", а затем нажмите кнопку "Проверить доставку содержимого" для пользователей.

   9. Выберите Сохранить.

Примечание.

Для Defender для облака Приложений необходимо включить функцию доставки содержимого для запроса данных общего доступа к файлам. Дополнительные сведения см. в разделе ContentDistribution.

Подключение приложений Defender для облака к Salesforce

1. В консоли Defender для облака "Приложения" выберите "Исследовать" и "Подключенные приложения".

2. На странице соединитель приложений выберите +Подключить приложение, за которым следует Salesforce.

   

3. В следующем окне укажите имя подключения и нажмите кнопку "Далее".

4. На странице ссылки нажмите кнопку Connect Salesforce.

5. Открывается страница входа в Salesforce. Введите учетные данные, чтобы разрешить Defender для облака Приложениям доступ к приложению Salesforce вашей команды.

   

6. Salesforce попросит вас разрешить Defender для облака приложениям доступ к сведениям о команде и журналу действий и выполнять любые действия как любой участник команды. Чтобы продолжить, нажмите кнопку "Разрешить".

7. На этом этапе вы увидите уведомление об успехе или неудаче развертывания. Defender для облака Приложения теперь авторизованы в Salesforce.com.

8. В консоли Defender для облака Apps вы увидите сообщение Salesforce успешно подключено.

9. На портале Microsoft Defender выберите параметры. Затем выберите "Облачные приложения". В разделе "Подключенные приложения" выберите "Соединители приложений". Убедитесь, что состояние подключенного соединителя приложений подключено.

После подключения Salesforce вы получите события следующим образом: войдите в события и путь аудита установки в течение семи дней до подключения, EventMonitoring 30 дней или один день назад в зависимости от лицензии Salesforce EventMonitoring. API приложений Defender для облака взаимодействует непосредственно с API, доступными в Salesforce. Так как Salesforce ограничивает количество вызовов API, которые он может получать, Defender для облака приложения учитывают это и уважают ограничение. API-интерфейсы Salesforce отправляют каждый ответ, содержащий поле для счетчиков API, включая общее доступное и оставшееся количество. Defender для облака приложения вычисляют это в процентах и всегда оставляйте 10% доступных вызовов API оставшимися.

Примечание.

Defender для облака регулирование приложений вычисляется исключительно на собственных вызовах API с Salesforce, а не с другими приложениями, выполняющим вызовы API с Salesforce. Ограничение вызовов API из-за ограничения может замедлить скорость приема данных в Defender для облака Apps, но обычно перехватывается за ночь.

Примечание.

Если экземпляр Salesforce не находится на английском языке, обязательно выберите соответствующее значение атрибута языка для учетной записи администратора службы интеграции.

Чтобы изменить атрибут языка, перейдите в раздел администрирование> -Users ->User и откройте учетную запись администратора системы интеграции. Теперь перейдите в раздел "Параметры языкового стандарта "> Язык " и выберите нужный язык.

События Salesforce обрабатываются Defender для облака приложениями следующим образом:

• События входа каждые 15 минут
• журналы аудита настроек — каждые 15 минут.
• Журналы событий каждые 1 час. Дополнительные сведения о событиях Salesforce см. в руководстве по мониторингу событий.

Если у вас возникли проблемы с подключением к приложению, см. статью "Устранение неполадок соединителей приложений".

Следующие шаги

Управление облачными приложениями с помощью политик

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.