Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Enquanto principal fornecedor de cloud crm, o Salesforce incorpora grandes quantidades de informações confidenciais sobre clientes, manuais de procedimentos de preços e negócios importantes dentro da sua organização. Sendo uma aplicação crítica para o negócio, as pessoas dentro da sua organização e outros fora dela (como parceiros e contratados) acedem e utilizam o Salesforce para vários fins. Em muitos casos, uma grande parte dos seus utilizadores que acedem ao Salesforce têm pouca consciência da segurança e podem colocar as suas informações confidenciais em risco ao partilhá-la involuntariamente. Noutros casos, os atores maliciosos podem obter acesso aos seus recursos mais confidenciais relacionados com o cliente.
Ligar o Salesforce ao Defender for Cloud Apps fornece informações melhoradas sobre as atividades dos seus utilizadores, fornece deteção de ameaças através de deteções de anomalias baseadas em machine learning e deteções de proteção de informações (como detetar a partilha de informações externas). O Defender for Cloud Apps também permite controlos automáticos de remediação e deteta ameaças provenientes de aplicações de terceiros ativadas na sua organização.
Utilize este conector de aplicações para aceder às funcionalidades da Gestão da Postura de Segurança (SSPM) SaaS, através de controlos de segurança refletidos na Classificação de Segurança da Microsoft. Saiba mais.
Principais ameaças ao seu ambiente Salesforce
- Contas comprometidas e ameaças internas
- Fuga de dados
- Privilégios elevados
- Consciencialização insuficiente para a segurança
- Aplicações maliciosas de terceiros e complementos do Google
- Ransomware
- Dispositivo pessoal não gerido (BYOD)
Pré-requisitos
Antes de ligar o Salesforce ao Defender for Cloud Apps, cumpra os seguintes pré-requisitos:
Instale e autorize a Aplicação Ligada do Salesforce na organização do Salesforce de destino antes de iniciar o processo de ligação. O Salesforce impõe restrições de utilização nas Aplicações Ligadas. Para obter mais informações, veja:Preparar a Alteração das Restrições de Utilização de Aplicações Ligadas
Atribua a permissão Aprovar Aplicações Ligadas Desinstaladas à conta de serviço do Salesforce utilizada para ligar Microsoft Defender for Cloud Apps. O Salesforce requer esta permissão para ligar aplicações de terceiros através do OAuth.
Como Defender for Cloud Apps ajuda a proteger o seu ambiente
O Defender for Cloud Apps ajuda a proteger o seu ambiente Salesforce das seguintes formas:
- Detetar ameaças na cloud, contas comprometidas e utilizadores maliciosos
- Detetar, classificar, etiquetar e proteger dados regulados e confidenciais armazenados na cloud
- Descobrir e gerir aplicações OAuth que têm acesso ao seu ambiente
- Impor políticas DLP e de conformidade para dados armazenados na cloud
- Limitar a exposição de dados partilhados e impor políticas de colaboração
- Utilizar o registo de auditoria de atividades para investigações forenses
Gestão da configuração de segurança SaaS para Salesforce
Ligue o Salesforce para obter automaticamente recomendações de segurança para o Salesforce na Classificação de Segurança da Microsoft.
No Secure Score, selecione Ações recomendadas e filtre por Produto = Salesforce. Por exemplo, as recomendações para o Salesforce incluem:
- Exigir verificação de identidade durante o registo de autenticação multifator (MFA)
- Impor intervalos de IP de início de sessão em cada pedido
- Máximo de tentativas de início de sessão inválidas
- Requisito de complexidade da palavra-passe
Para mais informações, consulte:
Controlar o Salesforce com políticas e modelos de política incorporados
Utilize os seguintes modelos de políticas incorporados para detetar e receber notificações sobre potenciais ameaças:
Importante
As políticas de ficheiros serão descontinuadas a 6 de janeiro de 2027. Para manter a proteção de dados baseada em ficheiros para esta aplicação, migre para o Microsoft Purview DLP ou para políticas de rotulagem automática.
| Tipo | Name |
|---|---|
| Política de deteção de anomalias incorporada |
Atividade de endereços IP anónimos Atividade de país pouco frequente Atividade de endereços IP suspeitos Viagem impossível Atividade realizada pelo utilizador terminado (requer Microsoft Entra ID como IdP) Várias tentativas de início de sessão falhadas Atividades administrativas invulgares Atividades de eliminação de ficheiros invulgares (Temporariamente não suportadas devido a limitação na API do Salesforce) Atividades de partilha de ficheiros invulgares Atividades invulgares com identidade falsificada Atividades invulgares de transferência de múltiplos ficheiros |
| Modelo de política de atividade | Início de sessão a partir de um endereço IP arriscado Transferência em massa por um único utilizador |
| Modelo de política de ficheiros | Detetar um ficheiro partilhado com um domínio não autorizado Detetar um ficheiro partilhado com endereços de e-mail pessoais |
Para obter mais informações sobre como criar políticas, veja Criar uma política.
Automatizar controlos de governação
Além da monitorização de potenciais ameaças, pode aplicar e automatizar as seguintes ações de governação do Salesforce para remediar ameaças detetadas:
| Tipo | Ação |
|---|---|
| Governação de utilizadores | - Notificar os utilizadores de alertas pendentes - Enviar resumo da violação de DLP aos proprietários de ficheiros - Suspender utilizador - Notificar o utilizador em alerta (através de Microsoft Entra ID) - Exigir que o utilizador inicie sessão novamente (através de Microsoft Entra ID) - Suspender utilizador (através de Microsoft Entra ID) |
| Governação de aplicações OAuth | - Revogar a aplicação OAuth para utilizadores |
Para obter mais informações sobre como remediar ameaças a partir de aplicações, veja Governar aplicações ligadas.
Proteger o Salesforce em tempo real
Reveja as nossas melhores práticas para proteger e colaborar com utilizadores externos e bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou de risco.
Ligar o Salesforce ao Microsoft Defender for Cloud Apps
Use os seguintes pré-requisitos e passos para ligar o Salesforce ao Microsoft Defender for Cloud Apps.
Pré-requisitos
- Para todas as integrações exceto a gestão de postura de segurança SaaS (SSPM), certifique-se de que o Salesforce Shield está disponível para a sua instância Salesforce.
Use as seguintes instruções para ligar o Microsoft Defender for Cloud Apps à sua conta Salesforce existente usando a API do conector de aplicações. O conector de aplicação Salesforce dá-lhe visibilidade e controlo sobre o uso do Salesforce.
Utilize este conector de aplicações para aceder às funcionalidades da Gestão da Postura de Segurança (SSPM) SaaS, através de controlos de segurança refletidos na Classificação de Segurança da Microsoft. Saiba mais.
- Instale e autorize a Aplicação Ligada do Salesforce na organização do Salesforce de destino antes de iniciar o processo de ligação. O Salesforce impõe restrições de utilização nas Aplicações Ligadas. Para mais informações, consulte Preparar-se para a Alteração das Restrições de Utilização de Aplicações Conectadas.
- Atribua a permissão Aprovar Aplicações Ligadas Desinstaladas à conta de serviço do Salesforce utilizada para ligar Microsoft Defender for Cloud Apps. O Salesforce requer esta permissão para ligar aplicações de terceiros através do OAuth.
- Certifique-se de que a conta Salesforce está atribuída a uma das seguintes edições, que suportam acesso à API REST:
- Desempenho
- Enterprise
- Ilimitado
- Desenvolvedor
- Profissional. A API REST tem de ser adicionada à edição Professional separadamente.
Configurar o Salesforce
Na sua conta do Salesforce, crie uma conta de administrador de serviço dedicada para Defender for Cloud Apps.
Crie um novo perfil para a conta de serviço Defender for Cloud Apps. Use este perfil para configurar o conector da App.
Certifique-se de que o perfil da conta de serviço inclui as seguintes permissões:
- API Ativada
- Ver Todos os Dados
- Gerir Conteúdo Salesforce CRM
- Gerir Utilizadores
- Consultar Todos os Ficheiros
- Modificar Metadados através das Funções da API de Metadados
- Ver Configuração e Instalação
Se Salesforce CRM Content estiver ativo na sua organização:
- Conceda Salesforce CRM acesso de Conteúdo à conta de administrador do serviço Defender for Cloud Apps.
- Desative a opção Bloquear sessões ao endereço IP de onde tiveram origem no perfil da conta de serviço.
- Ative Entregas de Conteúdo e Ligações Públicas.
Nota
Para consultar dados de partilha de ficheiros, ative a funcionalidade Content Deliveries para o Defender for Cloud Apps. Para obter mais informações, consulte ContentDistribution.
Configurar Defender for Cloud Apps
Execute os seguintes passos para ligar o Defender for Cloud Apps ao Salesforce:
Na consola do Defender for Cloud Apps, selecione Investigar e, em seguida, Aplicações ligadas.
Na página Conectores de aplicações , selecione +Ligar uma aplicação seguido do Salesforce.
Na janela seguinte, introduza um nome para a ligação e selecione Próximo.
Em Siga a ligação, selecione Ligar ao Salesforce.
Esta ação abre a página de login do Salesforce. Introduza as suas credenciais para permitir Defender for Cloud Apps acesso à aplicação Salesforce da sua equipa.
A Salesforce pergunta se quer permitir que o Defender for Cloud Apps aceda às informações e registo de atividades da sua equipa e realize qualquer atividade como qualquer membro da equipa. Selecione Permitir para continuar.
Recebe um aviso de sucesso ou fracasso para a missão. Defender for Cloud Apps está agora autorizado no Salesforce.com.
De volta à consola do Defender for Cloud Apps, vê a mensagem O Salesforce foi ligado com êxito.
No portal Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Aplicações ligadas, selecione Conectores de Aplicações. Certifique-se de que o estado do Conector de Aplicações ligado está Ligado.
Depois de se ligar ao Salesforce, o Defender for Cloud Apps recolhe eventos de início de sessão e entradas do registo de auditoria da configuração dos sete dias anteriores à ligação, bem como dados do Event Monitoring dos 30 dias anteriores ou do dia anterior, consoante a sua licença do Salesforce Event Monitoring.
O Defender for Cloud Apps chama diretamente as APIs do Salesforce. Como o Salesforce limita o número de chamadas de API por período, Defender for Cloud Apps lê os contadores de API devolvidos em cada resposta do Salesforce e mantém sempre 10% das chamadas disponíveis em reserva.
Quando ativa a monitorização em tempo real de eventos (Preview) do Salesforce, a latência de deteção para ataques de identidade e OAuth diminui de horas para minutos. As deteções também incluem mais contexto, como o nome e ID da aplicação ligada, permissões da aplicação, agente de utilizador, endereço IP e informações de sessão.
Nota
- A limitação do Defender for Cloud Apps é calculada exclusivamente com base nas suas próprias chamadas à API ao Salesforce, e não nas chamadas à API de quaisquer outras aplicações que efetuem chamadas à API ao Salesforce. Limitar as chamadas de API devido ao throttling pode abrandar temporariamente a ingestão de dados no Defender for Cloud Apps, mas o processo normalmente recupera o atraso da noite para o dia.
- Se a instância do Salesforce não estiver em inglês, selecione o valor de atributo de idioma adequado para a conta de administrador do serviço de integração. Para alterar o atributo de idioma, vá a Administração>Utilizadores>Utilizador e abra a conta do administrador do sistema de integração. Agora, vá a Definições regionais>Idioma e selecione o idioma desejado.
O Defender for Cloud Apps processa eventos Salesforce no seguinte calendário:
- Eventos de início de sessão a cada 15 minutos
- Configurar registos de auditoria a cada 15 minutos
- Registos de eventos a cada 1 hora. Para obter mais informações sobre os eventos do Salesforce, veja Utilizar a monitorização de eventos.
Ativar a monitorização de eventos em tempo real do Salesforce (Pré-visualização)
Para obter a maior cobertura de deteção e o contexto de investigação mais rico do conector Salesforce, um administrador Salesforce deve ativar o armazenamento de dados para um conjunto de eventos no Salesforce Event Manager. Defender for Cloud Apps então ingere esses eventos do Salesforce Real-Time Event Monitoring em minutos e usa-os para melhorar a cobertura de deteção de abuso OAuth, sequestro de sessões, enchimento de credenciais e atividade anómala da API.
O inventário de aplicações Salesforce OAuth inclui também Aplicações Conectadas e Aplicações Externas de Cliente (ECAs), juntamente com as permissões concedidas e a data de última utilização de cada aplicação. As informações sobre aplicações altamente privilegiadas e não utilizadas do Salesforce ajudam-no a identificar aplicações OAuth que necessitam de revisão. Para mais informações, consulte Inventário de aplicações e Ver os detalhes da sua aplicação com a governação de aplicações.
Ative estes eventos para a melhor cobertura de deteção. Ativar estes eventos dá-lhe melhor latência e deteções mais robustas.
Ativar os eventos no Salesforce Event Manager
Faça login no Salesforce como administrador.
Aceder a
https://YOURDOMAIN.lightning.force.com/lightning/setup/EventManager/home.Procure cada um dos seguintes eventos e ative o Armazenamento de dados:
- Evento de anomalia da API
- Evento API
- Evento de Recheio de Credenciais
- Evento de anomalia de utilizador convidado
- Evento do Fornecedor de Identidade
- Evento de Verificação de Identidade
- Evento de conjunto de permissões
- Reportar Evento de Anomalia
- Relatório do Evento
- Evento de Sequestro de Sessão
Passos seguintes
Se tiver problemas ao ligar a aplicação, veja Resolução de Problemas dos Conectores de Aplicações.