Come Defender per il cloud App consente di proteggere l'ambiente Salesforce
In qualità di principale provider di servizi cloud CRM, Salesforce incorpora grandi quantità di informazioni riservate sui clienti, sui playbook sui prezzi e sulle principali trattative all'interno dell'organizzazione. Essendo un'app business critical, Salesforce è accessibile e usata dalle persone all'interno dell'organizzazione e da altri utenti esterni (ad esempio partner e terzisti) per vari scopi. In molti casi, una gran parte degli utenti che accedono a Salesforce ha una scarsa consapevolezza della sicurezza e potrebbe mettere a rischio le informazioni sensibili condividendole involontariamente. In altri casi, gli attori malintenzionati possono accedere agli asset più sensibili correlati ai clienti.
La connessione di Salesforce alle app di Defender per il cloud offre informazioni dettagliate migliorate sulle attività degli utenti, fornisce il rilevamento delle minacce usando rilevamenti anomalie basati su Machine Learning e rilevamenti di protezione delle informazioni (ad esempio il rilevamento della condivisione di informazioni esterne), consente controlli di correzione automatizzati e rileva le minacce da app di terze parti abilitate nell'organizzazione.
Usare questo connettore di app per accedere alle funzionalità di SSPM (Security Posture Management) SaaS, tramite controlli di sicurezza riflessi in Microsoft Secure Score. Altre informazioni.
Principali minacce
- Account compromessi e minacce interne
- Perdita di dati
- Privilegi elevati
- Consapevolezza della sicurezza insufficiente
- App di terze parti dannose e componenti aggiuntivi Google
- Ransomware
- Unmanaged Bring Your Own Device (BYOD)
Come le app Defender per il cloud aiutano a proteggere l'ambiente
- Rilevare minacce cloud, account compromessi e utenti malintenzionati
- Individuare, classificare, etichettare e proteggere i dati regolamentati e sensibili archiviati nel cloud
- Individuare e gestire app OAuth che hanno accesso all'ambiente
- Applicare criteri di prevenzione della perdita dei dati e conformità per i dati archiviati nel cloud
- Limitare l'esposizione dei dati condivisi e applicare i criteri di collaborazione
- Usare il audit trail delle attività per le indagini forensi
Gestione del comportamento di sicurezza SaaS
Connettere Salesforce per ottenere automaticamente raccomandazioni sulla sicurezza per Salesforce in Microsoft Secure Score.
In Secure Score selezionare Azioni consigliate e filtrare in base a Product = Salesforce. Ad esempio, le raccomandazioni per Salesforce includono:
- Richiedere la verifica dell'identità durante la registrazione dell'autenticazione a più fattori
- Applicare intervalli IP di accesso a ogni richiesta
- Numero massimo di tentativi di accesso non validi
- Requisito di complessità delle password
Per altre informazioni, vedi:
Controllare Salesforce con criteri e modelli di criteri predefiniti
È possibile usare i modelli di criteri predefiniti seguenti per rilevare e notificare potenziali minacce:
Type | Nome |
---|---|
Criteri di rilevamento anomalie predefiniti | Attività da indirizzi IP anonimi Attività da un paese non frequente Attività da indirizzi IP sospetti Comunicazione impossibile Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP) Più tentativi di accesso non riusciti Attività amministrative insolite Attività insolite di eliminazione di file Attività insolite di condivisione file Attività di rappresentazione insolite Attività insolite di download di più file |
Modello di criteri attività | Logon from a risky IP address (Accesso da indirizzo IP rischioso) Mass download by a single user (Download di massa da un singolo utente) |
Modello di criteri file | Rilevare un file condiviso con un dominio non autorizzato Rilevare un file condiviso con indirizzi di posta elettronica personali |
Per altre informazioni sulla creazione di criteri, vedere Creare un criterio.
Automatizzare i controlli di governance
Oltre al monitoraggio delle potenziali minacce, è possibile applicare e automatizzare le azioni di governance di Salesforce seguenti per correggere le minacce rilevate:
Type | Azione |
---|---|
Governance dell'utente | - Notificare agli utenti avvisi in sospeso - Inviare il digest di violazione DLP ai proprietari di file - Sospendere l'utente - Notifica all'utente all'avviso (tramite Microsoft Entra ID) - Richiedi all'utente di accedere di nuovo (tramite Microsoft Entra ID) - Sospendere l'utente (tramite Microsoft Entra ID) |
Governance delle app OAuth | - Revocare l'app OAuth per gli utenti |
Per altre informazioni sulla correzione delle minacce dalle app, vedere Governance delle app connesse.
Proteggere Salesforce in tempo reale
Esaminare le procedure consigliate per proteggere e collaborare con utenti esterni e bloccare e proteggere il download di dati sensibili in dispositivi non gestiti o rischiosi.
Connettere Salesforce alle app di Microsoft Defender per il cloud
Questa sezione fornisce istruzioni per la connessione di app Microsoft Defender per il cloud all'account Salesforce esistente usando l'API del connettore app. Questa connessione offre visibilità e controllo sull'utilizzo di Salesforce.
Usare questo connettore di app per accedere alle funzionalità di SSPM (Security Posture Management) SaaS, tramite controlli di sicurezza riflessi in Microsoft Secure Score. Altre informazioni.
Come connettere Salesforce alle app di Defender per il cloud
Nota
Salesforce Shield deve essere disponibile per l'istanza di Salesforce come prerequisito per questa integrazione in tutte le capacità supportate, ad eccezione di SSPM
È consigliabile avere un account amministratore del servizio dedicato per le app di Defender per il cloud.
Verificare che l'API REST sia abilitata in Salesforce.
L'account di Salesforce deve essere configurato per una delle edizioni seguenti che includono il supporto per API REST:
Performance, Enterprise, Unlimited o Developer.
L'edizione Professional non include l'API REST per impostazione predefinita, ma è possibile aggiungerla su richiesta.
Verificare che l'API REST sia disponibile e abilitata nell'edizione in uso seguendo questa procedura:
Accedere all'account Salesforce e passare alla home page di installazione.
In Amministrazione ->Utenti passare alla pagina Profili .
Creare un nuovo profilo selezionando Nuovo profilo.
Scegliere il profilo appena creato per distribuire Defender per il cloud App e selezionare Modifica. Questo profilo verrà usato per l'account del servizio app Defender per il cloud per configurare il Connettore app.
Verificare che siano selezionate le seguenti caselle di controllo:
- API Enabled (API abilitata)
- View All Data (Visualizza tutti i dati)
- Manage Salesforce CRM Content (Gestisci Salesforce CRM Content)
- Gestisci utenti
- Eseguire query su tutti i file
- Modificare i metadati tramite funzioni API metadati
Se le caselle di controllo non sono selezionate può essere necessario contattare Salesforce per aggiungerle all'account.
Se nell'organizzazione è abilitato Salesforce CRM Content, verificare che sia abilitato anche l'account amministrativo corrente.
Passare alla home page di Configurazione di Salesforce.
In Amministrazione ->Utenti passare alla pagina Utenti .
Selezionare l'utente amministratore corrente per l'utente dedicato Defender per il cloud App.
Verificare che la casella di controllo Salesforce CRM Content User (Utente Salesforce CRM Content) sia selezionata.
Passare a Configurazione home ->Sicurezza ->Impostazioni sessione. In Impostazioni sessione verificare che la casella di controllo Blocca sessioni all'indirizzo IP da cui ha avuto origine non sia selezionata.
Seleziona Salva.
Passare ad App -Impostazioni funzionalità -Salesforce Files -Content Deliveries and Public Links (App -> Impostazioni funzionalità -> Salesforce Files -> Distribuzione di contenuti e collegamenti pubblici).
Selezionare Modifica e quindi selezionare Checked Content Deliveries feature can be enabled for users (Modifica) e quindi selezionare Checked Content Deliveries feature can be enabled for users (Modifica) e quindi selezionare Checked Content Deliveries feature can
Seleziona Salva.
Nota
La funzionalità Distribuzione contenuto deve essere abilitata per Defender per il cloud App per eseguire query sui dati di condivisione file. Per altre informazioni, vedere ContentDistribution.
Come connettere le app Defender per il cloud a Salesforce
Nella console Defender per il cloud App selezionare Analisi e quindi App connesse.
Nella pagina Connettore app selezionare +Connetti un'app seguita da Salesforce.
Nella finestra successiva assegnare un nome alla connessione e selezionare Avanti.
Nella pagina Segui il collegamento selezionare Connetti Salesforce.
Verrà visualizzata la pagina di accesso di Salesforce. Immettere le credenziali per consentire alle app di Defender per il cloud di accedere all'app Salesforce del team.
Salesforce chiederà se si vuole consentire alle app di Defender per il cloud di accedere alle informazioni del team e al log attività ed eseguire qualsiasi attività come qualsiasi membro del team. Per continuare, selezionare Consenti.
A questo punto, si riceverà una notifica di esito positivo o negativo della distribuzione. app Defender per il cloud è ora autorizzata in Salesforce.com.
Nella console di Defender per il cloud Apps dovrebbe essere visualizzato il messaggio Salesforce è stato connesso correttamente.
Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse selezionare Connettori app. Verificare che lo stato del connettore app connesso sia Connesso.
Dopo aver connesso Salesforce, si riceveranno gli eventi come indicato di seguito: Log in eventi e Setup Audit Trail per sette giorni prima della connessione, EventMonitoring 30 giorni o un giorno indietro, a seconda della licenza di Salesforce EventMonitoring. L'API Defender per il cloud Apps comunica direttamente con le API disponibili da Salesforce. Poiché Salesforce limita il numero di chiamate API che può ricevere, Defender per il cloud App prende questo in considerazione e rispetta la limitazione. Le API per Salesforce inviano ogni risposta con un campo per i contatori dell'API che include il totale disponibile e il totale rimanente. Defender per il cloud App calcola questo valore in percentuale e assicura di lasciare sempre il 10% delle chiamate API disponibili rimanenti.
Nota
Defender per il cloud la limitazione delle app viene calcolata esclusivamente sulle proprie chiamate API con Salesforce, non con quelle di altre applicazioni che effettuano chiamate API con Salesforce. La limitazione delle chiamate API a causa della limitazione può rallentare la frequenza con cui i dati vengono inseriti nelle app Defender per il cloud, ma in genere si recuperano di notte.
Nota
Se l'istanza di Salesforce non è in inglese, assicurarsi di selezionare il valore dell'attributo di lingua appropriato per l'account amministratore del servizio di integrazione.
Per modificare l'attributo della lingua, passare ad Amministrazione ->Utenti ->Utente e aprire l'account amministratore del sistema di integrazione. Passare ora a Impostazioni locali ->Lingua e selezionare la lingua desiderata.
Gli eventi di Salesforce vengono elaborati da Defender per il cloud App come indicato di seguito:
- Eventi di accesso ogni 15 minuti
- Audit trail di impostazione ogni 15 minuti
- Registri eventi ogni ora. Per altre informazioni sugli eventi di Salesforce, vedere Using event monitoring (Uso del monitoraggio degli eventi).
In caso di problemi di connessione dell'app, vedere Risoluzione dei problemi relativi ai connettori app.
Passaggi successivi
Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.