適用於雲端的 Defender Apps 如何協助保護您的 Salesforce 環境

  • 發行項

身為主要的 CRM 雲端提供者,Salesforce 會納入組織中客戶、定價劇本和主要交易的大量敏感性資訊。 作為業務關鍵性應用程式,Salesforce 會由貴組織內部的人員及其外部人員存取和使用(例如合作夥伴和承包商),以取得各種用途。 在許多情況下,大量存取 Salesforce 的使用者對安全性有低的認識,而且可能會不小心共享機密資訊而面臨風險。 在其他情況下,惡意執行者可能會存取您最敏感的客戶相關資產。

連線 Salesforce 適用於雲端的 Defender Apps 可讓您改善使用者活動的見解、使用機器學習型異常偵測和資訊保護偵測提供威脅偵測(例如偵測外部資訊共用)、啟用自動化補救控制,以及偵測組織中已啟用第三方應用程式的威脅。

使用此應用程式連接器可透過 Microsoft 安全分數中反映的安全性控制,存取 SaaS 安全性狀態管理 (SSPM) 功能。 深入了解

主要威脅

  • 遭入侵的帳戶和內部威脅
  • 數據外洩
  • 提高的許可權
  • 安全性感知不足
  • 惡意的第三方應用程式和Google附加元件
  • 勒索軟體
  • 非受控攜帶您自己的裝置 (BYOD)

適用於雲端的 Defender 應用程式如何協助保護您的環境

SaaS 安全性狀態管理

連線 Salesforce,以在 Microsoft 安全分數中自動取得 Salesforce 的安全性建議。

在 [安全分數] 中,選取 [建議動作],然後依 Product = Salesforce 進行篩選。 例如,Salesforce 的建議包括:

  • 在多重要素驗證期間需要身分識別驗證 (MFA) 註冊
  • 在每個要求上強制執行登入IP範圍
  • 無效的登入嘗試次數上限
  • 密碼複雜度需求

如需詳細資訊,請參閱

使用內建原則和原則範本控制 Salesforce

您可以使用下列內建原則範本來偵測並通知您潛在威脅:

類型 名稱
內建異常偵測原則 匿名 IP 位址的活動
非經常性國家/地區的活動
可疑 IP 位址的活動
不可能的移動
由終止使用者 執行的活動(需要 Microsoft Entra ID 作為 IdP)
多次失敗的登入嘗試
不尋常的系統管理活動
不尋常的檔案刪除活動
不尋常的檔案共享活動
不尋常的模擬活動
不尋常的多個檔案下載活動
活動原則範本 從有風險的 IP 位址登入
單一使用者大量下載
檔案原則範本 偵測與未經授權的網域共用的檔案
偵測與個人電子郵件地址共用的檔案

如需建立原則的詳細資訊,請參閱 建立原則

自動化治理控制件

除了監視潛在威脅之外,您還可以套用並自動化下列 Salesforce 治理動作來補救偵測到的威脅:

類型 動作
使用者治理 - 通知使用者擱置的警示
- 將 DLP 違規摘要傳送給檔案擁有者
- 暫停使用者
- 透過 Microsoft Entra ID 通知使用者警示
- 要求使用者再次登入 (透過 Microsoft Entra ID)
- 暫停使用者 (透過 Microsoft Entra ID)
OAuth 應用程式控管 - 撤銷使用者的 OAuth 應用程式

如需從應用程式補救威脅的詳細資訊,請參閱 治理已連線的應用程式

實時保護 Salesforce

檢閱我們的最佳做法,以 保護與外部使用者 共同作業,並 封鎖和保護敏感數據下載至非受控或具風險的裝置

連線 Salesforce 適用於雲端的 Microsoft Defender Apps

本節提供使用應用程式連接器 API 將 適用於雲端的 Microsoft Defender Apps 連線到現有 Salesforce 帳戶的指示。 此連線可讓您檢視及控制 Salesforce 的使用。 如需 適用於雲端的 Defender Apps 如何保護 Salesforce 的資訊,請參閱保護 Salesforce

使用此應用程式連接器可透過 Microsoft 安全分數中反映的安全性控制,存取 SaaS 安全性狀態管理 (SSPM) 功能。 深入了解

如何將 Salesforce 連線到 適用於雲端的 Defender Apps

注意

Salesforce Shield 應該可供 Salesforce 實例使用,作為 SSPM 以外所有支援功能之整合的必要條件

  1. 建議針對 適用於雲端的 Defender Apps 擁有專用的服務管理員帳戶。

  2. 驗證 REST API 已在 Salesforce 中啟用。

    您的 Salesforce 帳戶必須是下列其中一個包含 REST API 支援的版本︰

    PerformanceEnterpriseUnlimitedDeveloper

    Professional 版本預設沒有 REST API,但可以依需求新增。

    請檢查您的版本有 REST API 可用且已啟用,如下所示︰

    • 登入您的 Salesforce 帳戶,並移至 [設定首頁 ]。

    • [管理員-Users>] 底下,移至 [配置檔] 頁面。

      Salesforce manage users profiles.

    • 選取 [新增配置檔] 以建立新的設定檔

    • 選擇您剛才建立以部署 適用於雲端的 Defender Apps 的配置檔,然後選取 [編輯]。 此配置檔將用於 適用於雲端的 Defender Apps 服務帳戶來設定 應用程式連線程式。

      Salesforce edit profile.

    • 請確定您已啟用下列核取方塊:

      • 啟用 API
      • 檢視所有資料
      • 管理 Salesforce CRM 內容
      • 管理使用者
      • 查詢所有檔案
      • 透過元數據 API 函式修改元數據

      如果未選取這些核取方塊,您可能需要連絡 Salesforce 以將其新增至您的帳戶。

  3. 如果您的組織已啟用 Salesforce CRM 內容,請確定目前的系統管理帳戶也有啟用它。

    1. 移至 Salesforce 安裝程式首頁

    2. [管理員]>[使用者] 底下,移至 [使用者] 頁面。

      Salesforce menu users.

    3. 選取您專用 適用於雲端的 Defender Apps 使用者的目前系統管理使用者。

    4. 請確定已選取 [Salesforce CRM Content User]\(Salesforce CRM 內容使用者) 核取方塊。

      Salesforce crm content user.

    5. 移至 [設定首頁 -> 安全性 -> 會話] 設定。 在 [工作階段 設定] 下,確定選取 [鎖定會話至其來源的IP 位址] 複選框

      Salesforce session settings.

    6. 選取 [儲存]。

    7. 移至 [應用程式-> 功能 設定 ->Salesforce 檔案 ->內容傳遞和公用連結。

    8. 選取 [ 編輯 ],然後針對用戶啟用 [ 已檢查的內容傳遞] 功能

    9. 選取 [儲存]

注意

必須啟用內容傳遞功能,適用於雲端的 Defender Apps 才能查詢檔案共享數據。 如需詳細資訊,請參閱 ContentDistribution

如何將 適用於雲端的 Defender Apps 連線至 Salesforce

  1. 在 [適用於雲端的 Defender 應用程式] 控制台中,選取 [調查],然後 連線 應用程式

  2. [應用程式連線程式] 頁面中,選取 [+連線 應用程式後面接著 Salesforce]。

    Connect Salesforce.

  3. 在下一個視窗中,為聯機指定名稱,然後選取 [ 下一步]。

  4. 在 [遵循連結] 頁面中,選取 [連線 Salesforce]。

  5. 即會開啟 Salesforce 登入頁面。 輸入您的認證,以允許 適用於雲端的 Defender 應用程式存取小組的 Salesforce 應用程式。

    Salesforce sign-in.

  6. Salesforce 會詢問您是否要允許 適用於雲端的 Defender Apps 存取小組資訊和活動記錄,並執行任何活動作為任何小組成員。 若要繼續,請選取 [ 允許]。

  7. 此時,您會收到部署成功或失敗的通知。 適用於雲端的 Defender 應用程式現在已在 Salesforce.com 中獲得授權。

  8. 回到 適用於雲端的 Defender Apps 控制台,您應該會看到 Salesforce 已成功連線訊息。

  9. 在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [連線 應用程式] 底下,選取 [應用程式 連線 者]。 請確定已連線的應用程式 連線 狀態已 連線

連接 Salesforce 之後,您會收到事件,如下所示:登入事件,並在連線前 7 天設定稽核記錄、EventMonitoring 30 天或一天回來 - 視您的 Salesforce EventMonitoring 授權而定。 適用於雲端的 Defender Apps API 會直接與 Salesforce 提供的 API 通訊。 由於 Salesforce 會限制它可以接收的 API 呼叫數目,適用於雲端的 Defender 應用程式會將此納入考慮,並遵守限制。 Salesforce API 傳送的每個回應都有 API 計數器欄位,包括可用總計數和剩餘計數。 適用於雲端的 Defender Apps 會將此值計算成百分比,並確保一律保留 10% 的可用 API 呼叫。

注意

適用於雲端的 Defender 應用程式節流僅根據自己的 API 呼叫與 Salesforce 計算,而不是使用 Salesforce 進行 API 呼叫的任何其他應用程式。 由於限制而限制而限制 API 呼叫的速度可能會降低 適用於雲端的 Defender Apps 中內嵌數據的速率,但通常會在夜間趕上。

注意

如果您的 Salesforce 實例不是英文,請務必選取整合服務管理員帳戶的適當 語言 屬性值。

若要變更語言屬性,請流覽至 管理員 istration -Users ->>User,然後開啟整合系統管理帳戶。 現在,流覽至 [地區設定] 設定 ->Language,然後選取所需的語言。

Salesforce 事件會由 適用於雲端的 Defender Apps 處理,如下所示:

  • 每15分鐘登入事件一次
  • 每隔 15 分鐘設定稽核線索
  • 事件記錄每 1 小時一次。 如需 Salesforce 事件的詳細資訊,請參閱使用事件監視 \(英文\)。

如果您在連線應用程式時發生任何問題,請參閱針對應用程式 連線 程式進行疑難解答。

下一步

使用原則來控制雲端應用程式

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證