Defender for Cloud Appsが Salesforce 環境の保護にどのように役立つか

主要な CRM クラウド プロバイダーとして、Salesforce には、顧客、価格プレイブック、および主要な取引に関する大量の機密情報がorganization内に組み込まれています。 ビジネスクリティカルなアプリであるため、組織内のユーザーとその外部の他のユーザー (パートナーや請負業者など) は、さまざまな目的で Salesforce にアクセスして使用します。 多くの場合、Salesforce にアクセスするユーザーの大部分はセキュリティに対する意識が低く、意図せずに共有することで機密情報が危険にさらされる可能性があります。 他のインスタンスでは、悪意のあるアクターが最も機密性の高い顧客関連の資産にアクセスする可能性があります。

Salesforce を Defender for Cloud Apps に接続すると、ユーザーのアクティビティに関する分析情報が向上し、機械学習ベースの異常検出と情報保護検出 (外部情報共有の検出など) を使用した脅威検出が提供されます。 Defender for Cloud Appsは、自動修復制御を有効にし、組織内で有効になっているサード パーティ製アプリから脅威を検出することもできます。

このアプリ コネクタを使用して、Microsoft セキュア スコア に反映されたセキュリティ制御を使用して SaaS セキュリティ態勢管理 (SSPM) 機能にアクセスします。 詳細情報 を参照してください。

Salesforce 環境に対する主な脅威

  • 侵害されたアカウントとインサイダーの脅威
  • データ漏洩
  • 昇格された特権
  • セキュリティに対する認識が不十分
  • 悪意のあるサード パーティ製アプリと Google アドオン
  • ランサムウェア
  • 管理されていない私物端末の業務利用(BYOD)

前提条件

Salesforce をDefender for Cloud Appsに接続する前に、次の前提条件を満たす必要があります。

  • 接続プロセスを開始する前に、ターゲット Salesforce 組織に Salesforce 接続済みアプリをインストールして承認します。 Salesforce では、接続済みアプリに使用制限が適用されます。 詳細については、「接続済みアプリの使用制限の変更を準備する」を参照してください。

  • Microsoft Defender for Cloud Appsの接続に使用する Salesforce サービス アカウントに [アンインストール済み接続済みアプリの承認] アクセス許可を割り当てます。 Salesforce では、OAuth 経由でサード パーティ製アプリを接続するには、このアクセス許可が必要です。

Defender for Cloud Appsが環境を保護するのにどのように役立つか

Defender for Cloud Appsは、次の方法で Salesforce 環境を保護するのに役立ちます。

Salesforce の SaaS セキュリティ体制管理

Salesforce を接続 して、Microsoft セキュア スコア で Salesforce のセキュリティに関する推奨事項を自動的に取得します。

[セキュリティ スコア] で [ 推奨されるアクション ] を選択し、 Product = Salesforce でフィルター処理します。 たとえば、Salesforce の推奨事項には次のようなものがあります。

  • 多要素認証 (MFA) の登録時に ID 検証を要求する
  • すべての要求にログイン IP 範囲を適用する
  • 無効なログイン試行の最大数
  • パスワードの複雑さの要件

詳細については、以下を参照してください:

組み込みのポリシーとポリシー テンプレートを使用して Salesforce を制御する

次の組み込みのポリシー テンプレートを使用して、潜在的な脅威に関する通知を検出して取得します。

重要

ファイル ポリシーは、2027 年 1 月 6 日に廃止されます。 このアプリのファイル ベースのデータ保護を維持するには、Microsoft Purview DLP または自動ラベル付けポリシーに移行します

タイプ 氏名
組み込みの異常検出ポリシー 匿名 IP アドレスからのアクティビティ
頻度の低い国からのアクティビティ
疑わしい IP アドレスからのアクティビティ
不可能な移動
終了したユーザーによって実行されるアクティビティ (IdP としてMicrosoft Entra IDが必要)
複数回のログイン試行の失敗
通常とは異なる管理アクティビティ
異常なファイル削除アクティビティ (Salesforce API の制限により一時的にサポートされていません)
通常とは異なるファイル共有アクティビティ
通常とは異なる偽装アクティビティ
通常とは異なる複数のファイルダウンロード アクティビティ
アクティビティ ポリシー テンプレート 危険な IP アドレスからのログオン
1 人のユーザーによる一括ダウンロード
ファイル ポリシー テンプレート 未承認のドメインと共有されているファイルを検出する
個人用メール アドレスと共有されているファイルを検出する

ポリシーの作成の詳細については、「ポリシーの 作成」を参照してください。

ガバナンス制御を自動化する

潜在的な脅威の監視に加えて、次の Salesforce ガバナンス アクションを適用および自動化して、検出された脅威を修復できます。

タイプ アクション
ユーザー ガバナンス - 保留中のアラートをユーザーに通知する
- DLP 違反ダイジェストをファイル所有者に送信する
- ユーザーの一時停止
- ユーザーにアラートを通知する (Microsoft Entra ID経由)
- ユーザーに再度サインインを要求する (Microsoft Entra ID経由)
- ユーザーを一時停止する (Microsoft Entra ID経由)
OAuth アプリ ガバナンス - ユーザーの OAuth アプリを取り消す

アプリからの脅威の修復の詳細については、「 接続されたアプリの管理」を参照してください。

Salesforce をリアルタイムで保護する

外部ユーザーをセキュリティで保護して共同作業し機密データのダウンロードをアンマネージド デバイスまたは危険なデバイスにブロックして保護するためのベスト プラクティスを確認します。

Salesforce をMicrosoft Defender for Cloud Appsに接続する

Salesforce をMicrosoft Defender for Cloud Appsに接続するには、次の前提条件と手順を使用します。

前提条件

  • SaaS セキュリティ体制管理 (SSPM) 以外のすべての統合については、Salesforce インスタンスで Salesforce Shield を使用できることを確認します。

アプリ コネクタ API を使用して既存の Salesforce アカウントにMicrosoft Defender for Cloud Appsを接続するには、次の手順に従います。 Salesforce アプリ コネクタを使用すると、Salesforce の使用を可視化し、制御できます。

このアプリ コネクタを使用して、Microsoft セキュア スコア に反映されたセキュリティ制御を使用して SaaS セキュリティ態勢管理 (SSPM) 機能にアクセスします。 詳細情報 を参照してください。

  • 接続プロセスを開始する前に、ターゲット Salesforce 組織に Salesforce 接続済みアプリをインストールして承認します。 Salesforce では、接続済みアプリに使用制限が適用されます。 詳細については、「 接続アプリの使用制限の変更の準備」を参照してください。
  • Microsoft Defender for Cloud Appsの接続に使用する Salesforce サービス アカウントに [アンインストール済み接続済みアプリの承認] アクセス許可を割り当てます。 Salesforce では、OAuth 経由でサード パーティ製アプリを接続するには、このアクセス許可が必要です。
  • Salesforce アカウントが、REST API アクセスをサポートする次のいずれかのエディションに割り当てられていることを確認します。
    • パフォーマンス
    • Enterprise
    • 無制限
    • Developer
    • プロ。 REST API は、Professional エディションに個別に追加する必要があります。

Salesforce の構成

  1. Salesforce アカウントで、Defender for Cloud Apps専用のサービス管理者アカウントを作成します。

  2. Defender for Cloud Apps サービス アカウントの新しいプロファイルを作成します。 このプロファイルを使用して、アプリ コネクタを構成します。

  3. サービス アカウント プロファイルに次のアクセス許可が含まれていることを確認します。

  4. Salesforce CRM Contentが組織で有効になっている場合:

    • Defender for Cloud Apps サービス管理者アカウントにSalesforce CRMコンテンツ アクセス権を付与します。
    • サービス アカウント プロファイル の送信元 IP アドレスへのセッションのロック をオフにします。
    • コンテンツ配信とパブリック リンクを有効にします。

注:

ファイル共有データのクエリを実行するには、Defender for Cloud Appsのコンテンツ配信機能を有効にします。 詳細については、「 ContentDistribution」を参照してください。

Defender for Cloud Appsの構成

Defender for Cloud Appsを Salesforce に接続するには、次の手順を実行します。

  1. Defender for Cloud Apps コンソールで、[調査] を選択し、[接続済みアプリ] を選択します。

  2. [ アプリ コネクタ ] ページで、[ + アプリの接続 ] を選択し、その後に Salesforce を選択します。

    Defender ポータルで Salesforce アプリ コネクタを追加する方法を示すスクリーンショット。

  3. 次のウィンドウで、接続の名前を入力し、[ 次へ] を選択します。

  4. [ Follow the link]\(リンクに従って\) で、[Connect Salesforce]\(Salesforce の接続\) を選択します。

  5. このアクションにより、Salesforce のサインイン ページが開きます。 資格情報を入力して、チームDefender for Cloud Apps Salesforce アプリへのアクセスを許可します。

    ポップアップと Salesforce 資格情報を入力する方法を示すスクリーンショット。

  6. Salesforce は、チーム情報とアクティビティ ログへのDefender for Cloud Appsアクセスを許可し、任意のチーム メンバーとして任意のアクティビティを実行するかどうかを確認します。 [ 許可] を 選択して続行します。

  7. デプロイの成功または失敗に関する通知を受け取ります。 Defender for Cloud Appsが Salesforce.com で承認されるようになりました。

  8. Defender for Cloud Appsコンソールに戻ると、Salesforce が正常に接続されたというメッセージが表示されます。

  9. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 [ 接続済みアプリ] で、[ アプリ コネクタ] を選択します。 接続されている App Connector の状態が [接続済み] になっていることを確認します。

Salesforce に接続した後、Defender for Cloud Appsは、接続の 7 日前からログイン イベントとセットアップ監査証跡エントリを収集し、Salesforce イベント監視ライセンスに応じて過去 30 日間または 1 日のイベント監視データを収集します。

Defender for Cloud Appsは Salesforce API を直接呼び出します。 Salesforce では期間あたりの API 呼び出しの数が制限されるため、Defender for Cloud Appsは各 Salesforce 応答で返される API カウンターを読み取り、使用可能な呼び出しの% を常に 10 個保持します。

Salesforce リアルタイム イベント監視 (プレビュー) を有効にすると、ID 攻撃と OAuth 攻撃の検出待機時間が数時間から数分に短縮されます。 検出には、接続されているアプリ名と ID、アプリのアクセス許可、ユーザー エージェント、IP アドレス、セッション情報など、より多くのコンテキストも含まれます。

注:

  • Defender for Cloud Apps のスロットリングは、Salesforce に対して Defender for Cloud Apps 自身が行う API 呼び出しのみに基づいて計算され、Salesforce に対して API 呼び出しを行う他のアプリケーションの呼び出しは考慮されません。 調整による API 呼び出しを制限すると、Defender for Cloud Appsでのデータ インジェストが一時的に遅くなる可能性がありますが、通常、プロセスは夜間に追いつく可能性があります。
  • Salesforce インスタンスが英語でない場合は、統合サービス管理者アカウントの適切な 言語 属性値を選択します。 言語属性を変更するには、 Administration>Users>User に移動し、統合システム管理者アカウントを開きます。 次に 、ロケール設定>Language に移動し、目的の言語を選択します。

Defender for Cloud Appsは、次のスケジュールで Salesforce イベントを処理します。

  • 15 分ごとにサインイン イベント
  • 監査証跡を 15 分ごとに設定する
  • イベント ログは 1 時間ごとに記録されます。 Salesforce イベントの詳細については、「 イベント監視の使用」を参照してください。

Salesforce リアルタイム イベント監視を有効にする (プレビュー)

Salesforce コネクタから最も多くの検出範囲と豊富な調査コンテキストを取得するには、Salesforce 管理者が Salesforce Event Manager で一連のイベントの データの格納 を有効にする必要があります。 その後、Defender for Cloud Apps数分以内に Salesforce Real-Time イベント監視からこれらのイベントを取り込み、それらを使用して、OAuth の不正使用、セッションハイジャック、資格情報の詰め込み、異常な API アクティビティの検出範囲を向上させます。

Salesforce OAuth アプリインベントリには、接続済みアプリと外部クライアント アプリ (ECA) と、各アプリに付与されたアクセス許可と最後に使用された日付も含まれます。 Salesforce の高度な特権未使用のアプリの分析情報は、レビューが必要な OAuth アプリを特定するのに役立ちます。 詳細については、「 アプリケーション インベントリ 」および「 アプリガバナンスを使用してアプリの詳細を表示する」を参照してください。

これらのイベントを有効にして、最適な検出範囲を実現します。 これらのイベントを有効にすると、待機時間が短縮され、より堅牢な検出が可能になります。

Salesforce Event Manager でイベントを有効にする

  1. Salesforce に管理者としてサインインします。

  2. https://YOURDOMAIN.lightning.force.com/lightning/setup/EventManager/home にアクセスします。

  3. 次の各イベントを検索し、 データの格納を有効にします。

    • API 異常イベント
    • API イベント
    • 資格情報詰め込みイベント
    • ゲスト ユーザーの異常イベント
    • ID プロバイダー イベント
    • ID 検証イベント
    • 権限セットイベント
    • 異常イベントの報告
    • イベントを報告
    • セッション ハイジャック イベント

次の手順