Salesforce : Configuration du connecteur API de protection des données

Cet article explique comment configurer le connecteur Salesforce pour la politique App & Protection des données API de votre compte et créer des règles qui utilisent ce connecteur dans la politique de protection contre les menaces et la protection des données.

La politique App & Protection des données API nécessite une licence Cato séparée. Veuillez contacter votre représentant Cato ou revendeur officiel pour plus d'informations.

Vue d'ensemble du connecteur Salesforce

Le connecteur Protection des données API de Salesforce surveille les rapports exportés et recherche les données sensibles que vous définissez dans les profils de contenu DLP. Le connecteur utilise l'API du journal des événements Salesforce pour vérifier périodiquement les rapports exportés. Lorsqu'un rapport est exporté, le connecteur télécharge le rapport et le scanne pour voir s'il contient des données sensibles. Lorsque le connecteur identifie des données sensibles dans le rapport, il génère un événement avec les détails. Une fois que le connecteur a fini de scanner, le contenu du rapport est supprimé du serveur Cato, quel que soit le résultat du scan (aucun impact sur les données du compte Salesforce).

Créez le connecteur pour le compte Salesforce de production ou de bac à sable de votre organisation. Ensuite, définissez des règles dans les politiques de protection contre les menaces et de protection des données qui incluent le connecteur Salesforce et définissez les utilisateurs qui sont scannés et surveillés. Vous pouvez créer un seul connecteur pour chaque compte Salesforce.

Prérequis

  • Abonnement actif à Salesforce Shield ou au composant de surveillance des événements Salesforce

  • Autorisations en lecture seule pour les paramètres suivants :

    • Analytique des applications de surveillance des événements (licence d'ensemble d'autorisations)

    • Afficher les fichiers journaux des événements

    • API activée

    • Afficher les données de surveillance des événements en temps réel

    • Afficher les rapports dans les dossiers publics

    • Gérer tous les rapports et tableaux de bord privés

  • Vérifiez que ces licences Salesforce sont valides : Plateforme Analytique et Analytique des applications de surveillance des événements (Configuration > Paramètres > Informations de l'entreprise > Paramètres de l'entreprise > Licences d'ensemble d'autorisations)

  • Vérifiez que le stockage est activé pour Rapport d'événements (Événements > Gestionnaire d'événements)

Autorisations requises pour les connecteurs API pour Salesforce

Pour activer la Protection des données API pour scanner les rapports Salesforce exportés, le connecteur donne à Cato les autorisations et actions suivantes avec le compte Salesforce :

  • Accéder au service d'URL d'identité

  • Accéder aux ressources de l'API REST des analyses

  • Gérer les données utilisateurs via les API

  • Effectuer des requêtes à tout moment

Travailler avec les connecteurs Salesforce

Cette section explique comment créer le connecteur API pour Salesforce afin de scanner les rapports exportés pour détecter des données sensibles et des menaces. Une fois que vous avez créé le connecteur, mettez à jour la Politique de Refresh Token pour vous assurer que la Protection des données API continue d'avoir accès aux données Salesforce.

Création du connecteur Salesforce

Utilisez l'Application de gestion Cato pour créer le connecteur Salesforce, puis connectez-vous au compte Salesforce de production ou de bac à sable.

Le connecteur Salesforce permet au moteur API SaaS de Cato de scanner les rapports pour le contenu que vous définissez dans la politique de Protection des données.

Pour créer le connecteur pour Salesforce :

  1. Dans le menu de navigation, sélectionnez Resources > Integrations et cliquez sur l'onglet API Intégrées.

  2. Cliquez sur Nouveau. Le panneau Nouveau connecteur s'ouvre.

  3. Dans le Connecteur d'application déroulant, choisissez Salesforce.

  4. Dans la section Capacité, sélectionnez Protection des données et contre les menaces.

  5. Entrez le Nom du connecteur.

  6. Dans Environnement Salesforce, sélectionnez si ce connecteur surveille l'environnement Production ou Bac à sable.

  7. Cliquez sur Sauvegarder.

    L'écran de connexion Salesforce s'ouvre dans un nouvel onglet du navigateur.

    SF_login.png

  8. Entrez le Nom d'utilisateur et le Mot de passe de l'administrateur Salesforce pour l'environnement spécifique.

  9. Accordez l'autorisation à votre compte Cato d'accéder à l'application Salesforce.

    1. Autoriser les permissions pour que Cato accède à l'application Salesforce.

      Allow_Cato_SF_Access.png

    2. L'écran montre que vous avez appliqué avec succès les permissions pour le locataire.

      Success_Connector_Permissions.png

  10. Vous pouvez fermer l'onglet du navigateur et revenir à l'Application de gestion Cato. Il peut prendre quelques secondes à Salesforce pour traiter la demande, donc si vous recevez une erreur, rafraîchissez le navigateur.

    Pendant que Salesforce traite la demande, le statut pour le connecteur est Consentement de l'utilisateur en attente (voir ci-dessous Comprendre le statut du connecteur).

    L'application SaaS Salesforce est ajoutée à l'onglet API Intégrées.

Mise à jour de la politique du Refresh Token

Le Refresh Token Salesforce définit la durée pendant laquelle le connecteur Protection des données API est autorisé à scanner les données Salesforce. Pour une sécurité maximale, nous vous recommandons de configurer la politique du Refresh Token sur Le token de rafraîchissement est valide jusqu'à révocation. Cela garantit que le connecteur Protection des données API continue d'avoir accès aux données Salesforce.

Pour plus d'informations sur la configuration de la politique du Refresh Token, consultez la documentation Salesforce.

Fournir un nouveau consentement au connecteur Protection des données API

Remarque

Remarque : La configuration recommandée pour le token de rafraîchissement est Le token de rafraîchissement est valide jusqu'à révocation.

Si vous configurez un temps d'expiration pour le Refresh Token, vous devez fournir proactivement un nouveau consentement pour que le connecteur Protection des données API accède aux données Salesforce avant l'expiration du token. Fournir un nouveau consentement garantit que le connecteur Protection des données API maintient l'accès aux données Salesforce. Si le token expire sans fournir de nouveau consentement, le connecteur Protection des données API n'aura pas accès aux données Salesforce.

Pour fournir un nouveau consentement au connecteur Protection des données API :

  1. Dans le menu de navigation, sélectionnez Resources > Integrations et cliquez sur l'onglet API Intégrées.

  2. Cliquez sur les trois points à côté du connecteur Salesforce.

  3. Cliquez sur Reconsenter.

Comprendre le statut du connecteur

La colonne Statut sur la page Applications SaaS installées montre le statut de la connexion entre le compte Salesforce et votre compte Cato. Voici les explications des statuts :

  • Connecté - Votre compte est connecté au compte et fonctionne correctement

  • Erreur de connexion - Problème de connectivité ou d'autorisations avec le connecteur Salesforce. Veuillez ouvrir un ticket avec le Support.

  • Consentement de l'utilisateur en attente - Le connecteur Salesforce est créé sur la page des paramètres de connexion, mais vous n'avez pas encore authentifié Salesforce avec succès.

Ajouter des règles Salesforce à la politique de Protection des données

Cette section explique comment utiliser la politique de Protection des données pour surveiller les rapports Salesforce exportés.

Configuration des règles Salesforce

Utilisez la page de Protection des données pour ajouter les règles d'application SaaS dans votre politique de Protection des données.

Slack_Data_Protection_Rule.png

Pour créer une nouvelle règle de Protection des données pour l'application Salesforce :

  1. Dans le volet de navigation, sélectionnez Sécurité > App & Protection des données API et sélectionnez ou développez Protection des données.

  2. Cliquez sur Nouveau. Le panneau Nouvelle Règle s'ouvre.

  3. Dans Connecteur d'application déroulant, sélectionnez l'application Salesforce.

  4. Dans Connecteur d'application, sélectionnez l'application Salesforce.

  5. Dans la section Général, entrez les paramètres pour la règle.

  6. Dans Utilisateurs, définissez les utilisateurs Salesforce que vous surveillez.

    • N'importe lequel: Surveiller les rapports exportés par tous les utilisateurs Salesforce

    • Utilisateur Salesforce: Sélectionnez les utilisateurs spécifiques du compte Salesforce dont les rapports exportés sont surveillés

  7. Dans le Profil de contenu, sélectionnez le Profil de contenu DLP pour cette règle.

    Pour plus d'informations sur les profils de contenu, voir Créer des profils de contenu DLP.

  8. Dans Actions, sélectionnez Surveiller.

  9. (Optionnel) Configurez les options de suivi pour générer Événements et Envoyer des Notifications.

    Pour plus d'informations sur les notifications, voir l'article pertinent pour les Groupes d'Abonnement, Listes de Diffusion, et Intégrations d'Alerte dans la section Alertes.

  10. Cliquez sur Sauvegarder. La règle est ajoutée à la Politique de Protection des données.

Travailler avec des règles de Protection des données ordonnées

Le moteur Protection des données API inspecte les données de manière séquentielle et vérifie si elles correspondent à une règle. Si les données ne correspondent pas à une règle, elles ne sont pas inspectées. Les règles situées en haut de la base de règles ont une priorité plus élevée et sont appliquées avant les règles inférieures dans la base de règles. Chaque type d'application ou de connecteur n'est appliqué aux données qu'une seule fois.

Meilleures pratiques - Pour maximiser l'efficacité de votre base de règles, nous recommandons que pour chaque type de connecteur, les règles pour des utilisateurs spécifiques aient une priorité plus élevée que les règles qui s'appliquent à N'importe utilisateurs.

Par exemple, si les données correspondent à un connecteur dans la règle #2, les données sont inspectées par le moteur Protection des données API. Le moteur ne continue pas à appliquer les règles #3 et au-delà pour le même connecteur. Cependant, les données pourraient correspondre à une règle de priorité inférieure avec un connecteur différent.

Ajouter la protection contre les menaces au connecteur

Vous pouvez créer des règles de Protection contre les menaces pour le connecteur afin d'analyser les fichiers et les pièces jointes à la recherche de logiciels malveillants et de virus, en utilisant les moteurs Anti-Malware et NG Anti-Malware qui sont activés pour votre compte. Le moteur API de Protection des Données analyse le trafic du connecteur et applique les options d'action et de suivi que vous configurez pour la règle :

  • Surveiller le trafic (le blocage sera pris en charge bientôt)

  • Générer des événements

  • Envoyer des notifications par e-mail

Lorsque vous créez une règle de Protection API pour Applications & Données, les moteurs Anti-Malware activés pour votre compte (Sécurité > Anti-Malware) effectuent des analyses de logiciels malveillants sur les fichiers envoyés pour cette application de connecteur.

La capture d'écran suivante montre une règle de protection contre les menaces pour le connecteur OneDrive qui analyse les fichiers envoyés par les utilisateurs internes ou les invités :

CAS_Threat_Protection.png

Créer une exception pour un fichier

Parfois, il y a un fichier bloqué par les moteurs API de Protection des données de Cato que vous savez être sûr, et vous devez l'autoriser dans le réseau. Les exceptions anti-malware dans la politique de hachage de fichier s'appliquent également à la Protection API de l'application & des données. Pour plus d'informations sur l'ajout de fichiers à la Politique de Hachage de Fichier, voir Gérer les exceptions anti-malware.

Analyser les événements de l'API de Protection des Données

La page Accueil > Événements affiche tous les événements API de Protection des Données pour votre compte. Les outils de recherche puissants vous permettent de vous affiner et d'identifier les quelques événements qui contiennent les données pertinentes dont vous avez besoin.

Les événements API de Protection des Données peuvent être identifiés par les champs suivants :

  • Type d'événement - Sécurité

  • Sous-Type - Protection des Données d'API de Sécurité SaaS et Anti Malware API de Sécurité SaaS

Vous pouvez en apprendre davantage sur l'utilisation de la page des Événements ici.

Explication des champs des événements API de Protection des Données

Nom du champ

Description

Nom du connecteur

Nom pour le connecteur qui est défini pour la règle

Type de connecteur

Application SaaS qui est définie pour ce connecteur

Profil de protection contre la perte de données (DLP)

Profil de contenu DLP qui a généré cet événement

Nom du Fichier

Nom du fichier pour le rapport exporté

URL Complète

Lien pour le rapport exporté

Types de données correspondant

Types de données dans le profil de contenu qui correspondent à la règle

Règle

Nom de la règle dans la politique de Protection des Données

Propriétaire

Utilisateur Salesforce qui a exporté le rapport

Gravité

Gravité définie pour la règle

Limitations Connues

  • En raison des restrictions d'accès à l'API Salesforce, le connecteur Salesforce ne peut pas analyser les rapports privés

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire