Dela via


Så skyddar Defender för Cloud Apps din Salesforce-miljö

Som en stor CRM-molnleverantör innehåller Salesforce stora mängder känslig information om kunder, prisspelböcker och större erbjudanden i din organisation. Salesforce är en affärskritisk app och används av personer i din organisation och av andra utanför den (till exempel partners och entreprenörer) i olika syften. I många fall har en stor del av dina användare som kommer åt Salesforce låg säkerhetsmedvetenhet och kan riskera känslig information genom att oavsiktligt dela den. I andra fall kan skadliga aktörer få åtkomst till dina mest känsliga kundrelaterade tillgångar.

Genom att ansluta Salesforce till Defender for Cloud Apps får du bättre insikter om användarnas aktiviteter, ger hotidentifiering med hjälp av maskininlärningsbaserade avvikelseidentifieringar och identifiering av informationsskydd (till exempel identifiering av extern informationsdelning), automatiserade reparationskontroller och identifierar hot från aktiverade appar från tredje part i din organisation.

Använd den här appanslutningsappen för att få åtkomst till SaaS SSPM-funktioner (Security Posture Management) via säkerhetskontroller som visas i Microsoft Secure Score. Läs mer.

Huvudsakliga hot

  • Komprometterade konton och insiderhot
  • Dataläckage
  • Utökade privilegier
  • Otillräcklig säkerhetsmedvetenhet
  • Skadliga appar från tredje part och Google-tillägg
  • Utpressningstrojaner
  • Ohanterad BYOD (Bring Your Own Device)

Hur Defender för Cloud Apps hjälper till att skydda din miljö

SaaS-säkerhetsstatushantering

Anslut Salesforce för att automatiskt få säkerhetsrekommendationer för Salesforce i Microsoft Secure Score.

I Säker poäng väljer du Rekommenderade åtgärder och filtrerar efter Product = Salesforce. Rekommendationer för Salesforce är till exempel:

  • Kräv identitetsverifiering under MFA-registrering (multifaktorautentisering)
  • Framtvinga IP-intervall för inloggning för varje begäran
  • Maximalt antal ogiltiga inloggningsförsök
  • Krav på lösenordskomplexitet

Mer information finns i:

Kontrollera Salesforce med inbyggda principer och principmallar

Du kan använda följande inbyggda principmallar för att identifiera och meddela dig om potentiella hot:

Typ Name
Inbyggd princip för avvikelseidentifiering Aktivitet från anonyma IP-adresser
Aktivitet från sällan förekommande land
Aktivitet från misstänkta IP-adresser
Omöjlig resa
Aktivitet som utförs av avslutad användare (kräver Microsoft Entra-ID som IdP)
Flera misslyckade inloggningsförsök
Ovanliga administrativa aktiviteter
Ovanliga filborttagningsaktiviteter
Ovanliga filresursaktiviteter
Ovanliga personifierade aktiviteter
Ovanliga aktiviteter för nedladdning av flera filer
Mall för aktivitetsprincip Inloggning från en riskfylld IP-adress
Massnedladdning av en enskild användare
Filprincipmall Identifiera en fil som delas med en obehörig domän
Identifiera en fil som delas med personliga e-postadresser

Mer information om hur du skapar principer finns i Skapa en princip.

Automatisera styrningskontroller

Förutom övervakning av potentiella hot kan du tillämpa och automatisera följande Salesforce-styrningsåtgärder för att åtgärda identifierade hot:

Typ Åtgärd
Användarstyrning – Meddela användare om väntande aviseringar
– Skicka DLP-överträdelsesammandrag till filägare
– Pausa användare
– Meddela användaren vid avisering (via Microsoft Entra-ID)
– Kräv att användaren loggar in igen (via Microsoft Entra-ID)
– Pausa användare (via Microsoft Entra-ID)
OAuth-appstyrning – Återkalla OAuth-appen för användare

Mer information om hur du åtgärdar hot från appar finns i Styra anslutna appar.

Skydda Salesforce i realtid

Läs våra metodtips för att skydda och samarbeta med externa användare och blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter.

Ansluta Salesforce till Microsoft Defender för Cloud Apps

Det här avsnittet innehåller instruktioner för hur du ansluter Microsoft Defender för molnappar till ditt befintliga Salesforce-konto med appanslutnings-API:et. Den här anslutningen ger dig insyn i och kontroll över Salesforce-användning.

Använd den här appanslutningsappen för att få åtkomst till SaaS SSPM-funktioner (Security Posture Management) via säkerhetskontroller som visas i Microsoft Secure Score. Läs mer.

Så här ansluter du Salesforce till Defender för Cloud Apps

Kommentar

Salesforce Shield bör vara tillgängligt för din Salesforce-instans som en förutsättning för den här integreringen i alla funktioner som stöds förutom SSPM

  1. Vi rekommenderar att du har ett dedikerat tjänstadministratörskonto för Defender for Cloud Apps.

  2. Verifiera att REST-API:t är aktiverat i Salesforce.

    Ditt Salesforce-konto måste ha någon av följande utgåvor och ha stöd för REST-API:

    Prestanda, Enterprise, Obegränsat eller Utvecklare.

    Professional-utgåvan har inte REST API som standard, men den kan läggas till på begäran.

    Så här kontrollerar du att din utgåva har REST-API och att det är aktiverat:

    • Logga in på ditt Salesforce-konto och gå till startsidan för installationsprogrammet .

    • Under Administration –> Användare går du till sidan Profiler .

      Salesforce hanterar användarprofiler.

    • Skapa en ny profil genom att välja Ny profil.

    • Välj den profil som du nyss skapade för att distribuera Defender for Cloud Apps och välj Redigera. Den här profilen används för Defender for Cloud Apps-tjänstkontot för att konfigurera Konektor aplikacija.

      Salesforce-redigeringsprofil.

    • Kontrollera att följande kryssrutor är aktiverade:

      • API aktiverat
      • Visa alla data
      • Hantera Salesforce CRM-innehåll
      • Hantera användare
      • Fråga alla filer
      • Ändra metadata via API-funktioner för metadata

      Om dessa kryssrutor inte är markerade kan du behöva kontakta Salesforce för att lägga till dem i ditt konto.

  3. Om din organisation har Salesforce CRM Content aktiverat kontrollerar du att det aktuella administratörskontot också är aktiverat.

    1. Gå till startsidan för Salesforce-installationsprogrammet.

    2. Under Administration –> Användare går du till sidan Användare .

      Salesforce-menyanvändare.

    3. Välj den aktuella administrativa användaren till din dedikerade Defender för Cloud Apps-användare.

    4. Kontrollera att kryssrutan Salesforce CRM Content User (Salesforce CRM Content-användare) är markerad.

      Salesforce crm-innehållsanvändare.

    5. Gå till Konfigurera Home ->Security ->Sessionsinställningar. Under Sessionsinställningar kontrollerar du att kryssrutan Lås sessioner till den IP-adress som de har sitt ursprung från inte är markerad.

      Inställningar för Salesforce-sessioner.

    6. Välj Spara.

    7. Gå till Appar ->Funktionsinställningar ->Salesforce Files ->Innehållsleveranser och offentliga länkar.

    8. Välj Redigera och välj sedan funktionen För kontrollerade innehållsleveranser kan aktiveras för användare

    9. Välj Spara.

Kommentar

Funktionen Innehållsleveranser måste vara aktiverad för att Defender for Cloud Apps ska kunna köra frågor mot fildelningsdata. Mer information finns i ContentDistribution.

Så här ansluter du Defender för Cloud Apps till Salesforce

  1. I Defender för Cloud Apps-konsolen väljer du Undersök och sedan Anslutna appar.

  2. På sidan Konektor aplikacija väljer du +Anslut en app följt av Salesforce.

    Anslut Salesforce.

  3. I nästa fönster ger du anslutningen ett namn och väljer Nästa.

  4. På sidan Följ länken väljer du Anslut Salesforce.

  5. Då öppnas inloggningssidan för Salesforce. Ange dina autentiseringsuppgifter för att ge Defender för Cloud Apps åtkomst till teamets Salesforce-app.

    Salesforce-inloggning.

  6. Salesforce frågar dig om du vill ge Defender for Cloud Apps åtkomst till din teaminformation och aktivitetslogg och utföra någon aktivitet som någon teammedlem. Om du vill fortsätta väljer du Tillåt.

  7. Nu får du ett meddelande om att distributionen lyckades eller misslyckades. Defender för Cloud Apps har nu behörighet i Salesforce.com.

  8. När du är tillbaka i Defender för Cloud Apps-konsolen bör du se att Salesforce har anslutits.

  9. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram. Kontrollera att statusen för den anslutna appanslutningsappen är Ansluten.

När du har anslutit Salesforce får du händelser på följande sätt: Logga in händelser och konfigurera granskningsloggen sju dagar före anslutningen, EventMonitoring 30 dagar eller en dag tillbaka – beroende på din Salesforce EventMonitoring-licens. Api:et Defender för Cloud Apps kommunicerar direkt med de API:er som är tillgängliga från Salesforce. Eftersom Salesforce begränsar antalet API-anrop som kan tas emot tar Defender for Cloud Apps hänsyn till detta och respekterar begränsningen. Salesforce-API:erna skickar varje svar med ett fält för API-räknarna, inklusive det totala antalet som är tillgängliga och återstående. Defender för Cloud Apps beräknar detta till en procentandel och ser till att alltid lämna 10 % av de tillgängliga API-anropen kvar.

Kommentar

Defender for Cloud Apps-begränsning beräknas enbart på egna API-anrop med Salesforce, inte med andra program som gör API-anrop med Salesforce. Begränsning av API-anrop på grund av begränsningen kan göra datainmatningen långsammare i Defender för Cloud Apps, men kommer vanligtvis ikapp över natten.

Kommentar

Om salesforce-instansen inte är på engelska måste du välja lämpligt språkattributvärde för administratörskontot för integrationstjänsten.

Om du vill ändra språkattributet går du till Administration ->Användare ->Användare och öppnar administratörskontot för integrationssystemet. Gå nu till Nationella inställningar –> Språk och välj önskat språk.

Salesforce-händelser bearbetas av Defender för Cloud Apps på följande sätt:

  • Inloggningshändelser var 15:e minut
  • Konfigurera spårningsloggar var 15:e minut
  • Händelseloggar var 1 timme. Mer information om Salesforce-händelser finns i Använda händelseövervakning.

Om du har problem med att ansluta appen kan du läsa Felsöka appanslutningsprogram.

Nästa steg

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.