セールスフォース: データ保護APIコネクタの設定

この記事では、アカウントのアプリケーション&データ保護APIポリシー用のセールスフォースコネクタを設定し、脅威保護およびデータ保護ポリシーでこのコネクタを使用するルールを作成する方法について説明します。

アプリケーション&データ保護APIポリシーには、別途Catoのライセンスが必要です。 詳細については、Catoの代表者または公式リセラーにお問い合わせください。

Salesforceコネクタの概要

Salesforceのデータ保護APIコネクタは、エクスポートされたレポートを監視し、DLPコンテンツプロファイルで定義した機密データをスキャンします。 コネクタはSalesforceイベントログAPIを使用して、エクスポートされたレポートを定期的にチェックします。 レポートがエクスポートされると、コネクタはレポートをダウンロードし、機密データが含まれているかどうかをスキャンします。 コネクタがレポート内で機密データを識別すると、詳細を含むイベントを生成します。 コネクタがスキャンを完了すると、スキャンの結果に関係なく、レポートの内容はCatoサーバーから削除されます。(セールスフォースアカウント内のデータへの影響はありません)。

組織の本番環境またはサンドボックスのSalesforceアカウント用にコネクタを作成します。 次に、Salesforceコネクタを含む脅威保護およびデータ保護のポリシーで、スキャンおよび監視されるユーザーを定義するルールを作成します。 Salesforceアカウントごとに1つのコネクタを作成できます。

前提条件

  • Salesforce ShieldまたはSalesforceイベントモニタリングコンポーネントへのアクティブなサブスクリプション

  • 以下の設定に対する読み取り専用のユーザー権限:

    • イベントモニタリングアナリティクスアプリ (権限セットライセンス)

    • イベントログファイルの閲覧

    • APIが有効化されている

    • リアルタイムイベントモニタリングデータの閲覧

    • 公開フォルダのレポートの閲覧

    • すべてのプライベートレポートとダッシュボードの管理

  • アナリティクスプラットフォームイベントモニタリングアナリティクスアプリが有効であることを確認してください (設定 > 設定 > 会社情報 > 会社設定 > 権限セットライセンス)

  • レポートイベントの記憶装置が有効になっていることを確認してください (イベント > イベントマネージャ)

SalesforceのAPIコネクタに必要な権限

データ保護APIを有効にしてエクスポートされたセールスフォースのレポートをスキャンするために、このコネクタはセールスフォースアカウントに対してCatoに以下の権限とアクションを与えます:

  • アイデンティティURLサービスへのアクセス

  • アナリティクスREST APIリソースへのアクセス

  • APIを介してユーザーデータを管理

  • いつでもリクエストを実行

Salesforceコネクタの使用

このセクションでは、機密データと脅威を検出するためにエクスポートされたレポートをスキャンするためのSalesforceのAPIコネクタを作成する方法について説明します。 コネクタを作成したら、データ保護APIがSalesforceデータへのアクセスを継続できるようにリフレッシュトークンポリシーを更新します。

Salesforceコネクタの作成

Cato管理アプリケーションを使用してSalesforceコネクタを作成し、その後、本番環境またはサンドボックスのSalesforceアカウントにサインインします。

Salesforceコネクタは、Cato SaaS APIエンジンがデータ保護ポリシーで定義した内容をスキャンすることを可能にします。

セールスフォースのコネクタを作成するには:

  1. ナビゲーションメニューからリソース > 統合を選択し、統合 APIタブをクリックします。

  2. 新規をクリックします。 新規コネクタパネルが開きます。

  3. SaaS アプリケーション ドロップダウンで、セールスフォースを選択します。

  4. 機能セクションで、データおよび脅威保護を選択します。

  5. コネクタ名を入力します。

  6. Salesforce環境で、このコネクタが本番環境またはサンドボックス環境を監視しているかを選択します。

  7. 保存をクリックしてください。

    Salesforceのログイン画面が新しいブラウザタブで開きます。

    SF_login.png

  8. 特定の環境のSalesforce管理者のユーザ名パスワードを入力します。

  9. CatoアカウントがSalesforceアプリケーションにアクセスするための権限を与えます。

    1. CatoがSalesforceアプリケーションにアクセスするための権限を許可します。

      Allow_Cato_SF_Access.png

    2. 画面には、テナントに対して権限が正常に適用されたことを示しています。

      Success_Connector_Permissions.png

  10. ブラウザタブを閉じて、Cato管理アプリケーションに戻ることができます。 Salesforceがリクエストを処理するのに数秒かかる場合があるので、エラーが発生した場合は、ブラウザを更新してください。

    Salesforceがリクエストを処理している間、コネクタのステータスはユーザ承諾の保留です (下記のコネクタステータスの理解を参照)。

    Salesforce SaaS アプリケーションが統合 APIタブに追加されます。

リフレッシュトークンポリシーの更新

Salesforceリフレッシュトークンは、データ保護APIコネクタがSalesforceデータをスキャンする権限の有効期間を定義します。 最大限のセキュリティを確保するために、リフレッシュトークンポリシーをリフレッシュトークンが取り消されるまで有効に設定することをお勧めします。 これにより、データ保護APIコネクタがSalesforceデータへのアクセスを継続できるようになります。

リフレッシュトークンポリシーの設定方法の詳細については、Salesforceのドキュメントを参照してください。

データ保護APIコネクタへの再同意の提供

注意

注意: リフレッシュトークンの推奨設定は、取り消されるまで有効です。

リフレッシュトークンの有効期限を設定する場合、トークンが失効する前に、Salesforceデータにアクセスするためにデータ保護 APIコネクタに再同意を積極的に提供する必要があります。 再同意を提供することで、データ保護 APIコネクタがSalesforceデータへのアクセスを維持することを保証します。 再同意を提供せずにトークンが失効した場合、データ保護 APIコネクタはSalesforceデータにアクセスできません。

データ保護 APIコネクタに再同意を提供するには:

  1. ナビゲーションメニューからリソース > 統合を選択し、統合 APIタブをクリックします。

  2. Salesforceコネクタの隣の三点リーダーをクリックします。

  3. 再同意をクリックします。

コネクタのステータスを理解する

インストール済みSaaSアプリケーションページのステータス列は、SalesforceアカウントとCatoアカウントの接続ステータスを示します。 これらはステータスの説明です:

  • 接続済み - アカウントは正常に接続されています

  • 接続エラー - Salesforceコネクタの接続性または権限の問題。 サポートと共にチケットを開いてください。

  • ユーザ承諾の保留 - Connect設定ページでSalesforceコネクタが作成されますが、Salesforceに正常に認証されていません。

Salesforceルールをデータ保護ポリシーに追加する

このセクションでは、データ保護ポリシーを使用してエクスポートされたSalesforceレポートを監視する方法を説明します。

Salesforceルールの設定

データ保護ページを使用して、データ保護ポリシーにSaaSアプリケーションルールを追加します。

Slack_Data_Protection_Rule.png

Salesforceアプリの新しいデータ保護ルールを作成するには:

  1. ナビゲーションペインから、セキュリティ > App & データ API 保護を選択し、データ保護を選択または展開します。

  2. 新規をクリックします。 新規ルールパネルが表示されます。

  3. SaaS アプリケーション ドロップダウンで、セールスフォースアプリを選択します。

  4. アプリケーションコネクタで、セールスフォースアプリを選択します。

  5. 一般セクションで、ルールの設定を入力します。

  6. ユーザーで、監視しているセールスフォースユーザーを定義します。

    • すべて: すべてのセールスフォースユーザーによってエクスポートされたレポートをモニタします

    • Salesforceユーザー: エクスポートされたレポートが監視されているセールスフォースアカウントの特定のユーザーを選択します

  7. コンテンツプロファイルで、このルールのDLP コンテンツプロファイルを選択します。

    DLPコンテンツプロファイルの詳細については、DLPコンテンツプロファイルの作成をご覧ください。

  8. アクションで、モニタを選択します。

  9. (オプション) 追跡オプションを設定して、イベントを生成し、通知を送信します。

    通知に関する詳細情報は、アラートセクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事を参照してください。

  10. 保存をクリックしてください。 ルールはデータ保護ポリシーに追加されます。

順序付けされたデータ保護ルールで作業する

データ保護 APIエンジンはデータを順次検査し、ルールに一致するかどうかを確認します。 データがルールに一致しない場合、それは検査されません。 ルールベースの上にあるルールは優先順位が高く、ルールベースの下にあるルールよりも先に適用されます。 各タイプのアプリケーションまたはコネクタは、データに対して一度だけ適用されます。

ベストプラクティス - ルールベースの効率を最大化するには、各コネクタタイプに対して、特定ユーザー向けルールがいずれかのユーザーに適用されるルールよりも高い優先順位を持つことをお勧めします。

例えば、データがルール#2のコネクタに一致する場合、データはデータ保護 APIエンジンによって検査されます。 同じコネクタに対してルール#3以降を適用し続けません。 しかし、データは別のコネクタで優先順位の低いルールに一致する可能性があります。

コネクタに脅威保護を追加する

アカウントで有効になっているアンチマルウェアエンジンと次世代アンチマルウェアエンジンを使用して、マルウェアとウイルスをスキャンするための脅威保護ルールをコネクタに作成できます。 データ保護 APIエンジンはコネクタトラフィックをスキャンし、ルールに対して設定されたアクションとトラッキングオプションを適用します:

  • トラフィックを監視します(ブロックは近日中にサポートされます)

  • イベントを生成

  • メール通知を送信

App & データ API 保護ルールを作成すると、アカウントで有効になっているアンチマルウェアエンジン(セキュリティ > アンチマルウェア)がコネクタアプリケーションに送信されるファイルに対してマルウェアスキャンを実行します。

次のスクリーンショットは、内部ユーザーまたはゲストによって送信されたファイルをスキャンするためのOneDriveコネクタの脅威保護ルールを示しています:

CAS_Threat_Protection.png

ファイルの例外を作成する

Catoのデータ保護APIエンジンによってブロックされている、問題ないと知っているファイルがある場合は、ネットワーク内で許可する必要があります。 ファイルハッシュポリシーのアンチマルウェア例外は、アプリ & データ API 保護にも適用されます。 ファイルハッシュポリシーにファイルを追加する方法については、マルウェア対策例外の管理を参照してください。

データ保護 APIイベントを分析する

ホーム > イベントページには、アカウントの全データ保護 APIイベントが表示されます。 強力な検索ツールを使用して絞り込み、必要なデータを含むいくつかのイベントを識別できます。

データ保護 APIイベントは以下のフィールドで識別できます:

  • イベントタイプ - セキュリティ

  • サブタイプ - SaaSセキュリティAPIデータ保護およびSaaSセキュリティAPIアンチマルウェア

イベントページの使用についての詳細はこちらをご覧ください。

データ保護 APIイベントフィールドの説明

フィールド名

説明

コネクタ名

ルールに定義されたコネクタの名前

コネクタタイプ

このコネクタに定義されたSaaSアプリ

DLPプロファイル

このイベントを生成したDLPコンテンツプロファイル

ファイル名

エクスポートされたレポートのファイル名

フローのフルパスURL

エクスポートされたレポートのリンク

一致したデータタイプ

ルールと一致したコンテンツプロファイル内のデータタイプ

ルール

データ保護ポリシー内のルールの名前

所有者

レポートをエクスポートしたSalesforceユーザー

セベリティ

ルールに定義されたセベリティ

既知の制限

  • Salesforce API アクセス制限のため、Salesforce コネクタはプライベートレポートをスキャンできません

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント