Como Defender for Cloud Apps ajuda a proteger o seu ambiente do Salesforce

Enquanto principal fornecedor de cloud crm, o Salesforce incorpora grandes quantidades de informações confidenciais sobre clientes, manuais de procedimentos de preços e negócios importantes dentro da sua organização. Sendo uma aplicação crítica para o negócio, as pessoas dentro da sua organização e outros fora dela (como parceiros e contratados) acedem e utilizam o Salesforce para vários fins. Em muitos casos, uma grande parte dos seus utilizadores que acedem ao Salesforce têm pouca consciência da segurança e podem colocar as suas informações confidenciais em risco ao partilhá-la involuntariamente. Noutros casos, os atores maliciosos podem obter acesso aos seus recursos mais confidenciais relacionados com o cliente.

Ligar o Salesforce ao Defender for Cloud Apps fornece informações melhoradas sobre as atividades dos seus utilizadores, fornece deteção de ameaças através de deteções de anomalias baseadas em machine learning e deteções de proteção de informações (como detetar a partilha de informações externas). O Defender for Cloud Apps também permite controlos automáticos de remediação e deteta ameaças provenientes de aplicações de terceiros ativadas na sua organização.

Utilize este conector de aplicações para aceder às funcionalidades da Gestão da Postura de Segurança (SSPM) SaaS, através de controlos de segurança refletidos na Classificação de Segurança da Microsoft. Saiba mais.

Principais ameaças ao seu ambiente Salesforce

  • Contas comprometidas e ameaças internas
  • Fuga de dados
  • Privilégios elevados
  • Consciencialização insuficiente para a segurança
  • Aplicações maliciosas de terceiros e complementos do Google
  • Ransomware
  • Dispositivo pessoal não gerido (BYOD)

Pré-requisitos

Antes de ligar o Salesforce ao Defender for Cloud Apps, cumpra os seguintes pré-requisitos:

  • Instale e autorize a Aplicação Ligada do Salesforce na organização do Salesforce de destino antes de iniciar o processo de ligação. O Salesforce impõe restrições de utilização nas Aplicações Ligadas. Para obter mais informações, veja:Preparar a Alteração das Restrições de Utilização de Aplicações Ligadas

  • Atribua a permissão Aprovar Aplicações Ligadas Desinstaladas à conta de serviço do Salesforce utilizada para ligar Microsoft Defender for Cloud Apps. O Salesforce requer esta permissão para ligar aplicações de terceiros através do OAuth.

Como Defender for Cloud Apps ajuda a proteger o seu ambiente

O Defender for Cloud Apps ajuda a proteger o seu ambiente Salesforce das seguintes formas:

Gestão da configuração de segurança SaaS para Salesforce

Ligue o Salesforce para obter automaticamente recomendações de segurança para o Salesforce na Classificação de Segurança da Microsoft.

No Secure Score, selecione Ações recomendadas e filtre por Produto = Salesforce. Por exemplo, as recomendações para o Salesforce incluem:

  • Exigir verificação de identidade durante o registo de autenticação multifator (MFA)
  • Impor intervalos de IP de início de sessão em cada pedido
  • Máximo de tentativas de início de sessão inválidas
  • Requisito de complexidade da palavra-passe

Para mais informações, consulte:

Controlar o Salesforce com políticas e modelos de política incorporados

Utilize os seguintes modelos de políticas incorporados para detetar e receber notificações sobre potenciais ameaças:

Importante

As políticas de ficheiros serão descontinuadas a 6 de janeiro de 2027. Para manter a proteção de dados baseada em ficheiros para esta aplicação, migre para o Microsoft Purview DLP ou para políticas de rotulagem automática.

Tipo Name
Política de deteção de anomalias incorporada Atividade de endereços IP anónimos
Atividade de país pouco frequente
Atividade de endereços IP suspeitos
Viagem impossível
Atividade realizada pelo utilizador terminado (requer Microsoft Entra ID como IdP)
Várias tentativas de início de sessão falhadas
Atividades administrativas invulgares
Atividades de eliminação de ficheiros invulgares (Temporariamente não suportadas devido a limitação na API do Salesforce)
Atividades de partilha de ficheiros invulgares
Atividades invulgares com identidade falsificada
Atividades invulgares de transferência de múltiplos ficheiros
Modelo de política de atividade Início de sessão a partir de um endereço IP arriscado
Transferência em massa por um único utilizador
Modelo de política de ficheiros Detetar um ficheiro partilhado com um domínio não autorizado
Detetar um ficheiro partilhado com endereços de e-mail pessoais

Para obter mais informações sobre como criar políticas, veja Criar uma política.

Automatizar controlos de governação

Além da monitorização de potenciais ameaças, pode aplicar e automatizar as seguintes ações de governação do Salesforce para remediar ameaças detetadas:

Tipo Ação
Governação de utilizadores - Notificar os utilizadores de alertas pendentes
- Enviar resumo da violação de DLP aos proprietários de ficheiros
- Suspender utilizador
- Notificar o utilizador em alerta (através de Microsoft Entra ID)
- Exigir que o utilizador inicie sessão novamente (através de Microsoft Entra ID)
- Suspender utilizador (através de Microsoft Entra ID)
Governação de aplicações OAuth - Revogar a aplicação OAuth para utilizadores

Para obter mais informações sobre como remediar ameaças a partir de aplicações, veja Governar aplicações ligadas.

Proteger o Salesforce em tempo real

Reveja as nossas melhores práticas para proteger e colaborar com utilizadores externos e bloquear e proteger a transferência de dados confidenciais para dispositivos não geridos ou de risco.

Ligar o Salesforce ao Microsoft Defender for Cloud Apps

Use os seguintes pré-requisitos e passos para ligar o Salesforce ao Microsoft Defender for Cloud Apps.

Pré-requisitos

  • Para todas as integrações exceto a gestão de postura de segurança SaaS (SSPM), certifique-se de que o Salesforce Shield está disponível para a sua instância Salesforce.

Use as seguintes instruções para ligar o Microsoft Defender for Cloud Apps à sua conta Salesforce existente usando a API do conector de aplicações. O conector de aplicação Salesforce dá-lhe visibilidade e controlo sobre o uso do Salesforce.

Utilize este conector de aplicações para aceder às funcionalidades da Gestão da Postura de Segurança (SSPM) SaaS, através de controlos de segurança refletidos na Classificação de Segurança da Microsoft. Saiba mais.

  • Instale e autorize a Aplicação Ligada do Salesforce na organização do Salesforce de destino antes de iniciar o processo de ligação. O Salesforce impõe restrições de utilização nas Aplicações Ligadas. Para mais informações, consulte Preparar-se para a Alteração das Restrições de Utilização de Aplicações Conectadas.
  • Atribua a permissão Aprovar Aplicações Ligadas Desinstaladas à conta de serviço do Salesforce utilizada para ligar Microsoft Defender for Cloud Apps. O Salesforce requer esta permissão para ligar aplicações de terceiros através do OAuth.
  • Certifique-se de que a conta Salesforce está atribuída a uma das seguintes edições, que suportam acesso à API REST:
    • Desempenho
    • Enterprise
    • Ilimitado
    • Desenvolvedor
    • Profissional. A API REST tem de ser adicionada à edição Professional separadamente.

Configurar o Salesforce

  1. Na sua conta do Salesforce, crie uma conta de administrador de serviço dedicada para Defender for Cloud Apps.

  2. Crie um novo perfil para a conta de serviço Defender for Cloud Apps. Use este perfil para configurar o conector da App.

  3. Certifique-se de que o perfil da conta de serviço inclui as seguintes permissões:

    • API Ativada
    • Ver Todos os Dados
    • Gerir Conteúdo Salesforce CRM
    • Gerir Utilizadores
    • Consultar Todos os Ficheiros
    • Modificar Metadados através das Funções da API de Metadados
    • Ver Configuração e Instalação
  4. Se Salesforce CRM Content estiver ativo na sua organização:

    • Conceda Salesforce CRM acesso de Conteúdo à conta de administrador do serviço Defender for Cloud Apps.
    • Desative a opção Bloquear sessões ao endereço IP de onde tiveram origem no perfil da conta de serviço.
    • Ative Entregas de Conteúdo e Ligações Públicas.

Nota

Para consultar dados de partilha de ficheiros, ative a funcionalidade Content Deliveries para o Defender for Cloud Apps. Para obter mais informações, consulte ContentDistribution.

Configurar Defender for Cloud Apps

Execute os seguintes passos para ligar o Defender for Cloud Apps ao Salesforce:

  1. Na consola do Defender for Cloud Apps, selecione Investigar e, em seguida, Aplicações ligadas.

  2. Na página Conectores de aplicações , selecione +Ligar uma aplicação seguido do Salesforce.

    Captura de ecrã que mostra como adicionar o conector de aplicações do Salesforce no portal do Defender.

  3. Na janela seguinte, introduza um nome para a ligação e selecione Próximo.

  4. Em Siga a ligação, selecione Ligar ao Salesforce.

  5. Esta ação abre a página de login do Salesforce. Introduza as suas credenciais para permitir Defender for Cloud Apps acesso à aplicação Salesforce da sua equipa.

    Captura de ecrã que mostra um pop-up e como introduzir as suas credenciais Salesforce.

  6. A Salesforce pergunta se quer permitir que o Defender for Cloud Apps aceda às informações e registo de atividades da sua equipa e realize qualquer atividade como qualquer membro da equipa. Selecione Permitir para continuar.

  7. Recebe um aviso de sucesso ou fracasso para a missão. Defender for Cloud Apps está agora autorizado no Salesforce.com.

  8. De volta à consola do Defender for Cloud Apps, vê a mensagem O Salesforce foi ligado com êxito.

  9. No portal Microsoft Defender, selecione Definições. Em seguida, selecione Aplicações na Cloud. Em Aplicações ligadas, selecione Conectores de Aplicações. Certifique-se de que o estado do Conector de Aplicações ligado está Ligado.

Depois de se ligar ao Salesforce, o Defender for Cloud Apps recolhe eventos de início de sessão e entradas do registo de auditoria da configuração dos sete dias anteriores à ligação, bem como dados do Event Monitoring dos 30 dias anteriores ou do dia anterior, consoante a sua licença do Salesforce Event Monitoring.

O Defender for Cloud Apps chama diretamente as APIs do Salesforce. Como o Salesforce limita o número de chamadas de API por período, Defender for Cloud Apps lê os contadores de API devolvidos em cada resposta do Salesforce e mantém sempre 10% das chamadas disponíveis em reserva.

Quando ativa a monitorização em tempo real de eventos (Preview) do Salesforce, a latência de deteção para ataques de identidade e OAuth diminui de horas para minutos. As deteções também incluem mais contexto, como o nome e ID da aplicação ligada, permissões da aplicação, agente de utilizador, endereço IP e informações de sessão.

Nota

  • A limitação do Defender for Cloud Apps é calculada exclusivamente com base nas suas próprias chamadas à API ao Salesforce, e não nas chamadas à API de quaisquer outras aplicações que efetuem chamadas à API ao Salesforce. Limitar as chamadas de API devido ao throttling pode abrandar temporariamente a ingestão de dados no Defender for Cloud Apps, mas o processo normalmente recupera o atraso da noite para o dia.
  • Se a instância do Salesforce não estiver em inglês, selecione o valor de atributo de idioma adequado para a conta de administrador do serviço de integração. Para alterar o atributo de idioma, vá a Administração>Utilizadores>Utilizador e abra a conta do administrador do sistema de integração. Agora, vá a Definições regionais>Idioma e selecione o idioma desejado.

O Defender for Cloud Apps processa eventos Salesforce no seguinte calendário:

  • Eventos de início de sessão a cada 15 minutos
  • Configurar registos de auditoria a cada 15 minutos
  • Registos de eventos a cada 1 hora. Para obter mais informações sobre os eventos do Salesforce, veja Utilizar a monitorização de eventos.

Ativar a monitorização de eventos em tempo real do Salesforce (Pré-visualização)

Para obter a maior cobertura de deteção e o contexto de investigação mais rico do conector Salesforce, um administrador Salesforce deve ativar o armazenamento de dados para um conjunto de eventos no Salesforce Event Manager. Defender for Cloud Apps então ingere esses eventos do Salesforce Real-Time Event Monitoring em minutos e usa-os para melhorar a cobertura de deteção de abuso OAuth, sequestro de sessões, enchimento de credenciais e atividade anómala da API.

O inventário de aplicações Salesforce OAuth inclui também Aplicações Conectadas e Aplicações Externas de Cliente (ECAs), juntamente com as permissões concedidas e a data de última utilização de cada aplicação. As informações sobre aplicações altamente privilegiadas e não utilizadas do Salesforce ajudam-no a identificar aplicações OAuth que necessitam de revisão. Para mais informações, consulte Inventário de aplicações e Ver os detalhes da sua aplicação com a governação de aplicações.

Ative estes eventos para a melhor cobertura de deteção. Ativar estes eventos dá-lhe melhor latência e deteções mais robustas.

Ativar os eventos no Salesforce Event Manager

  1. Faça login no Salesforce como administrador.

  2. Aceder a https://YOURDOMAIN.lightning.force.com/lightning/setup/EventManager/home.

  3. Procure cada um dos seguintes eventos e ative o Armazenamento de dados:

    • Evento de anomalia da API
    • Evento API
    • Evento de Recheio de Credenciais
    • Evento de anomalia de utilizador convidado
    • Evento do Fornecedor de Identidade
    • Evento de Verificação de Identidade
    • Evento de conjunto de permissões
    • Reportar Evento de Anomalia
    • Relatório do Evento
    • Evento de Sequestro de Sessão

Passos seguintes