SalesforceのSaaSセキュリティAPIコネクタの設定

この記事では、アカウントのSaaSセキュリティAPIポリシー用のSalesforceコネクタを設定し、脅威保護およびデータ保護ポリシーでこのコネクタを使用するルールを作成する方法を説明します。

SaaS セキュリティ API ポリシーには、別途Catoライセンスが必要です。 詳細は、Catoの代表者または公式リセラーにお問い合わせください。

Salesforceコネクタの概要

Salesforce SaaSセキュリティAPIコネクタは、エクスポートされたレポートを監視し、DLPコンテンツプロファイルで定義された機密データをスキャンします。 コネクタはSalesforceのイベントログAPIを使用して、エクスポートされたレポートを定期的に確認します。 レポートがエクスポートされると、コネクタはレポートをダウンロードして、機密データが含まれているかどうかをスキャンします。 コネクタがレポート内に機密データを識別すると、詳細を伴うイベントを生成します。 コネクタがスキャンを完了すると、スキャンの結果にかかわらず、レポートの内容はCatoサーバーから削除されます(Salesforceアカウントのデータには影響しません)。

組織のプロダクションまたはサンドボックスSalesforceアカウントのためのコネクタを作成します。 次に、脅威保護およびデータ保護ポリシーにSalesforceコネクタを含め、スキャンおよび監視されるユーザーを定義するルールを設定します。 各Salesforceアカウントに対して1つのコネクタを作成できます。

前提条件

  • Salesforce Shield または Salesforce イベントモニタリングコンポーネントのアクティブサブスクリプション

  • 次の設定に対する参照のみのユーザー権限:

    • イベントモニタリング分析アプリケーション (権限セットライセンス)

    • イベントログファイルの表示

    • API 有効

    • リアルタイムイベントモニタリングデータの表示

    • パブリックフォルダー内のレポートの表示

    • すべてのプライベートレポートとダッシュボードの管理

  • 以下のSalesforceライセンスが有効であることを確認してください:アナリティクスプラットフォームおよびイベントモニタリング分析アプリケーション(設定 > 設定 > 会社情報 > 会社設定 > 権限セットライセンス)

  • レポートイベントのストレージが有効になっていることを確認してください(イベント > イベントマネージャ)

Salesforce用のAPIコネクタに必要な権限

CatoのSaaSセキュリティAPIでエクスポートされたSalesforceレポートをスキャンできるようにするために、コネクタはSalesforceアカウントに以下の権限およびアクションをCatoに提供します:

  • アイデンティティURLサービスにアクセスする

  • アナリティクスREST APIリソースにアクセスする

  • APIを介してユーザーデータを管理する

  • いつでもリクエストを実行します

Salesforceコネクタの作業

このセクションでは、拡張したレポートをスキャンして機密データや脅威を検出するためのSalesforce APIコネクタの作成方法を説明します。 コネクタを作成したら、SaaSセキュリティAPIがSalesforceデータに継続的にアクセスできるように、トークンの更新ポリシーを更新してください。

Salesforceコネクタの作成

Salesforceコネクタを作成するには、Cato管理画面を使用し、その後、プロダクションもしくはサンドボックス環境のSalesforceアカウントにサインインしてください。

Salesforceコネクタは、Cato SaaS APIエンジンがデータ保護ポリシーで定義したコンテンツ用にレポートをスキャンすることを可能にします。

Salesforceコネクタを作成するには:

  1. ナビゲーションメニューから、リソース > 統合を選択し、データ保護 APIをクリックします。

  2. 新規をクリックします。 新規コネクタパネルが表示されます。

  3. 新しいSalesforce SaaSアプリケーションを作成します。

  4. コネクタ名を入力します。

  5. 権限で、参照のみを選択します。

    注意: 参照と編集の権限は、エクスポートされたSalesforceレポートの監視には使用されません。

  6. Salesforce環境で、このコネクタが本番環境またはサンドボックス環境を監視しているか選択してください。

  7. 保存をクリックしてください。

    新しいブラウザタブでSalesforceのログイン画面が開きます。

    SF_login.png

  8. 特定の環境のためにSalesforce管理者のユーザ名パスワードを入力します。

  9. CatoアカウントがSalesforceアプリにアクセスする権限を付与します。

    1. CatoがSalesforceアプリにアクセスするために許可の権限を与えます。

      Allow_Cato_SF_Access.png

    2. 画面に、テナントに対する権限が正常に適用されたことが表示されます。

      Success_Connector_Permissions.png

  10. ブラウザタブを閉じてCato管理画面に戻ることができます。 Salesforceがリクエストを処理するのに数秒かかる場合があるため、エラーを受け取った場合はブラウザを更新してください。

    Salesforceがリクエストを処理している間、コネクタのステータスはユーザ承諾の保留です(下記のステータスを理解するを参照)。

    SalesforceのSaaSアプリケーションがSaaSセキュリティAPIデータ保護ページに追加されます。

    SF_installed_app.png

リフレッシュトークンポリシーの更新

Salesforceのリフレッシュトークンは、SaaSセキュリティAPIコネクタがSalesforceデータをスキャンする許可期間を定義します。 最大限のセキュリティを確保するために、リフレッシュトークンポリシーをリフレッシュトークンは取り消しまで有効に設定することをお勧めします。 これにより、SaaSセキュリティAPIコネクタがSalesforceデータへのアクセスを継続できるようになります。

リフレッシュトークンポリシーの設定方法についての詳細は、Salesforceのドキュメントを参照してください。

SaaSセキュリティAPIコネクタへの再同意を提供する

注意

注意:リフレッシュトークンの推奨設定は、リフレッシュトークンは取り消しまで有効です。

リフレッシュトークンの有効期限を設定した場合、トークンが期限切れになる前に、SalesforceデータへのアクセスのためにSaaSセキュリティAPIコネクタに積極的に再同意を提供する必要があります。 再同意を提供することで、SaaSセキュリティAPIコネクタがSalesforceデータへのアクセスを維持することが保証されます。 トークンが再同意なしで期限切れになると、SaaSセキュリティAPIコネクタはSalesforceデータにアクセスできません。

SF.png

To provide re-consent to the SaaS Security API connector:

  1. ナビゲーションメニューからリソース > 統合を選択し、SaaSセキュリティAPIデータ保護をクリックします。

  2. Salesforceコネクタの横にある3つのドットをクリックします。

  3. 再同意をクリックします。

ステータスを理解する

インストール済みSaaSアプリケーションページのステータス列には、SalesforceアカウントとCatoアカウント間の接続の状態が表示されます。 These are the explanations of the statuses:

  • 接続済み - アカウントに接続済みで正しく動作しています

  • 接続エラー - セールスフォースコネクタとの接続性または権限の問題です。 サポートへチケットを発行してください。

  • ユーザ承諾の保留 - 接続設定ページでセールスフォースコネクタが作成されましたが、セールスフォースへの認証が成功していません。

セールスフォースルールをデータ保護ポリシーに追加する

このセクションでは、エクスポートされたセールスフォースレポートをモニタリングするためにデータ保護ポリシーを使用する方法について説明します。

セールスフォースルールの設定

データ保護ページを使用して、データ保護ポリシーにSaaSアプリケーションルールを追加します。

Slack_データ保護_ルール.png

セールスフォースアプリの新しいデータ保護ルールを作成するには:

  1. ナビゲーションペインからセキュリティ > SaaS セキュリティ API ポリシーを選択し、データ保護を選択または展開します。

  2. 新規をクリックします。 新規ルールパネルが表示されます。

  3. アプリケーションコネクタでセールスフォースアプリを選択します。

  4. 一般セクションで、ルールの設定を入力します。

  5. ユーザーで、監視しているセールスフォースユーザーを定義します:

    • すべて - 全てのセールスフォースユーザーがエクスポートしたレポートをモニタリングする

    • Salesforceユーザー - エクスポートされたレポートが監視されているSalesforceアカウントから特定のユーザーを選択する

  6. コンテンツプロファイルで、このルールに対応するDLPコンテンツプロファイルを選択します。

    DLPコンテンツプロファイルの詳細については、Creating DLP Content Profilesをご覧ください。

  7. アクションで、監視を選択します。

  8. (オプション) イベントを生成し、通知を送信するためにトラッキングオプションを設定します。

    通知に関する詳細情報は、アラートセクションのサブスクリプショングループ、メーリングリスト、統合の関連記事を参照してください。

  9. 保存をクリックしてください。 このルールはデータ保護ポリシーに追加されます。

順序付けされたデータ保護ルールの作業

SaaSセキュリティAPIエンジンは、データを順次検査し、ルールに一致するか確認します。 データがルールに一致しない場合は、検査されません。 ルールベースの上にあるルールは優先順位が高く、下にあるルールよりも先に適用されます。 各アプリケーションまたはコネクタの種類は、データに一度しか適用されません。

ベストプラクティス - ルールベースの効率を最大化するため、各コネクタタイプに対して、特定のユーザ向けのルールがどのようなアクセス権限でも可能ユーザに適用されるルールより高い優先度を持つことをお勧めします。

例え, データがルール#2のコネクタに一致する場合、SaaSセキュリティAPIエンジンによってデータが検査されます。 エンジンは同じコネクタに対してルール#3以下を適用し続けません。 しかし、データは異なるコネクタを持つ低優先度のルールに一致することもあります。

コネクタへの脅威保護の追加

コネクタに対して、アカウント用に有効化されたアンチマルウェアおよび次世代アンチマルウェアエンジンを使用して、マルウェアおよびウイルスをスキャンするための脅威保護ルールを作成できます。 SaaSセキュリティAPIエンジンはコネクタのトラフィックをスキャンし、ルールに対して設定したアクションおよびトラッキングオプションを適用します:

  • トラフィックを監視する(ブロックは間もなくサポートされます)

  • イベントを生成する

  • メール通知を送信する

SaaSセキュリティAPI脅威保護ルールを作成すると、アカウント用に有効化されたアンチマルウェアエンジン(セキュリティ>アンチマルウェア)が、そのコネクタアプリケーションに送信されたファイルに対してマルウェアスキャンを実行します。

以下のスクリーンショットは、内部ユーザーまたはゲストが送信したファイルをスキャンするOneDriveコネクタ用の脅威保護ルールを示しています:

CAS_Threat_Protection.png

ファイルに対する例外の作成

カトのSaaSセキュリティAPIエンジンによってブロックされるファイルがあり、それが安全であると分かっている場合、ネットワークで許可する必要があります。 イベントページでは、ファイルハッシュを使用して、脅威保護スキャンをバイパスする例外を作成できます。 特定のファイルがブロックされたイベントを開いた後、ファイルハッシュをクリックして例外の構成パネルを開き、ファイルをアカウントの例外として追加します。 ファイル例外の時間の長さを選択することも、永続的に例外を設定することもできます。

アンチマルウェアおよびSaaSセキュリティAPIのファイル例外

ファイル例外はアンチマルウェアおよびSaaSセキュリティAPI脅威保護ポリシーに適用されます。 アンチマルウェアおよびNGアンチマルウェアイベントから例外を作成する場合、それらの例外はSaaSセキュリティAPI脅威保護ポリシーにも適用されます。 同様に、SaaSセキュリティAPIアンチマルウェアイベントからファイル例外を作成すると、その例外はアンチマルウェアポリシーにも適用されます。 完全なファイル例外リストは、アンチマルウェアページとSaaSセキュリティAPI脅威保護ページの両方に表示されます。

ファイルの例外を作成するには:

  1. ナビゲーションメニューから、ホーム > イベントを選択します。

  2. SaaSセキュリティAPIアンチマルウェアサブタイプを使用して、イベントをフィルターします。

  3. 時間列からイベントを展開します。

  4. イベントで、ファイルハッシュリンクをクリックします。

    例外の構成パネルが開きます。

    exception_configuration.png

  5. 期間ドロップダウンメニューから、ファイルがアンチマルウェアとNGアンチマルウェアエンジンから除外される期間を選択します。

    永続的な例外を作成するには、永遠を選択します。

  6. 適用をクリックします。

    例外が作成され、脅威保護タブのファイル例外セクションおよびアンチマルウェアページに追加されます。

    AM_FileExceptions.png

ファイル例外の削除

もはや必要でない場合は、脅威保護ポリシーの例外を削除します。

脅威保護ポリシーのファイル例外を削除するには:

  1. ナビゲーションメニューから、セキュリティ > SaaS セキュリティ API ポリシー をクリックします。

  2. 脅威保護 タブを選択します。

  3. ファイル例外セクションで、削除したい例外のDelete.pngをクリックします。

  4. 保存をクリックしてください。

    例外が削除されます。

SaaS セキュリティ API イベントの分析

ホーム > イベントページで、アカウントのすべてのSaaS セキュリティ API イベントが表示されます。 強力な検索ツールを使って、必要な関連データを含む少数のイベントを絞り込んで識別できます。

SaaSセキュリティAPIイベントは以下のフィールドで識別できます:

  • イベントタイプ - セキュリティ

  • サブタイプ - SaaSセキュリティAPIデータ保護およびSaaSセキュリティAPIマルウェア対策

イベント画面の使用についての詳細はこちらで学ぶことができます。 イベントをフィルターするためにSaaS セキュリティ API データ保護プリセットを使用できます。

SaaS セキュリティ API イベントフィールドの説明

フィールド名

説明

コネクタ名

ルールのために定義されているコネクタ名

コネクタの種類

このコネクタのために定義されているSaaSアプリ

DLPプロファイル

このイベントを生成したDLPコンテンツプロファイル

ファイル名

エクスポートされたレポートのためのファイル名

フローのフルパスURL

エクスポートされたレポートのためのリンク

一致したデータの種類

ルールと一致するコンテンツプロファイル内のデータの種類

ルール

データ保護ポリシーのルール名

所有者

レポートをエクスポートしたSalesforceユーザー

セベリティ

ルールのために定義済みのセベリティ

既知の制限

  • Salesforce APIのアクセス制限により、Salesforceコネクタはプライベートレポートをスキャンできません

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント