Salesforce: Configurando o Conector de API de Proteção de Dados

Este artigo explica como configurar o conector do Salesforce para a Política de Proteção de Dados e API de Aplicativos para sua conta e criar regras que usem este conector na Proteção contra Ameaças e Política de Proteção de Dados.

A Política de Proteção de Dados e API de Aplicativos requer uma licença Cato separada. Por favor, entre em contato com seu representante da Cato ou revendedor oficial para mais informações.

Visão geral do conector Salesforce

O conector API de Proteção de Dados da Salesforce monitora relatórios exportados e escaneia dados sensíveis que você define nos Perfis de Conteúdo DLP. O conector usa a API de registro de eventos da Salesforce para verificar periodicamente os relatórios exportados. Quando um relatório é exportado, o conector faz o download do relatório e escaneia para ver se contém dados sensíveis. Quando o conector identifica dados sensíveis no relatório, ele gera um evento com os detalhes. Uma vez que o conector completa a varredura, o conteúdo do relatório é excluído do servidor Cato, independentemente do resultado da varredura (sem impacto para os dados na conta do Salesforce).

Crie o conector para a conta de produção ou sandbox do Salesforce para sua organização. Em seguida, defina regras nas políticas de Proteção contra Ameaças e Proteção de Dados que incluam o conector Salesforce e definam os usuários que são escaneados e monitorados. Você pode criar um único conector para cada conta Salesforce.

Pré-requisitos

Assinatura ativa no Salesforce Shield ou componente de Monitoramento de Eventos do Salesforce
Permissões de usuário somente leitura para as seguintes configurações:
- Aplicativos de Análise de Monitoramento de Eventos (Licença de Conjunto de Permissões)
- Visualizar arquivos de registro de eventos
- API ativada
- Visualizar dados de monitoramento de eventos em tempo real
- Visualizar relatórios em pastas públicas
- Gerenciar todos os relatórios e dashboards privados
Verifique se estas licenças Salesforce são válidas: Plataforma de Análise e Aplicativos de Análise de Monitoramento de Eventos (Configuração > Configurações > Informações da Empresa > Configurações da Empresa > Licenças de Conjunto de Permissões)
Verifique se o armazenamento está habilitado para Relatório de Evento (Eventos > Gerenciador de Eventos)

Permissões obrigatórias para os conectores de API para Salesforce

Para habilitar a API de Proteção de Dados para escanear relatórios exportados do Salesforce, o conector concede à Cato as seguintes permissões e ações com a conta do Salesforce:

Acessar o serviço de URL de identidade
Acessar recursos da API REST de Análise
Gerenciar dados do usuário através das APIs
Realizar solicitações a qualquer momento

Trabalhar com Conectores Salesforce

Esta seção explica como criar o conector de API para Salesforce para escanear relatórios exportados em busca de dados sensíveis e ameaças. Depois de criar o conector, atualize a Política de Token de Atualização para garantir que a API de Proteção de Dados tenha acesso contínuo aos dados do Salesforce.

Criando o Conector Salesforce

Use o Aplicativo de Gerenciamento Cato para criar o conector Salesforce e, em seguida, faça login na conta de produção ou sandbox do Salesforce.

O conector Salesforce permite que o motor API de Segurança SaaS da Cato escaneie relatórios para o conteúdo que você define na Política de Proteção de Dados.

Para criar o conector para o Salesforce:

No menu de navegação, selecione Recursos > Integrações e clique na aba APIs Integradas.
Clique em Novo. O painel Novo Conector é aberto.
Em Conector de Aplicativo, escolha Salesforce.
Na seção Capacidade, selecione Proteção de Dados e contra Ameaças.
Digite o Nome do Conector.
Em Ambiente Salesforce, selecione se este conector está monitorando o ambiente de Produção ou Sandbox.
Clique em Salvar.

A tela de login do Salesforce é aberta em uma nova aba do navegador.
Digite o Nome de Usuário e a Senha do administrador do Salesforce para o ambiente específico.
Dê permissões para a sua conta Cato acessar o aplicativo Salesforce.
1. Permitir as permissões para a Cato acessar o aplicativo Salesforce.
2. A tela mostra que você aplicou com sucesso as permissões para o locatário.
Você pode fechar a aba do navegador e retornar ao Aplicativo de Gerenciamento Cato. Pode levar vários segundos para o Salesforce processar a solicitação, então se você receber um erro, atualize o navegador.

Enquanto o Salesforce processa a solicitação, o Status do conector é Consentimento do usuário pendente (veja abaixo Entendendo o Status do Conector).

O aplicativo SaaS do Salesforce é adicionado à aba APIs Integradas.

Atualizando a Política do Token de Atualização

O Token de Atualização do Salesforce define o tempo de duração que o conector da API de Proteção de Dados tem permissão para escanear dados do Salesforce. Para máxima segurança, recomendamos que você configure a Política do Token de Atualização para O token de atualização é válido até ser revogado. Isso garante que o conector da API de Proteção de Dados continue a ter acesso aos dados do Salesforce.

Para mais informações sobre como configurar a Política do Token de Atualização, consulte a documentação do Salesforce.

Fornecendo Reconcentimento ao Conector da API de Proteção de Dados

Nota

Nota: A configuração recomendada para o token de atualização é O token de atualização é válido até ser revogado.

Se você configurar um tempo de expiração para o Token de Atualização, precisará fornecer proativamente um novo consentimento para o conector API de Proteção de Dados acessar dados do Salesforce antes do token expirar. Fornecer novo consentimento garante que o conector API de Proteção de Dados mantenha acesso aos dados do Salesforce. Se o token expirar sem fornecer novo consentimento, o conector API de Proteção de Dados não terá acesso aos dados do Salesforce.

Para fornecer novo consentimento ao conector API de Proteção de Dados:

No menu de navegação, selecione Recursos > Integrações e clique na aba APIs Integradas.
Clique nos três pontos ao lado do conector do Salesforce.
Clique em Reconsentir.

Entendendo o Status do Conector

A coluna Status na página de Aplicações SaaS Instaladas mostra o status da conexão entre a conta Salesforce e sua conta Cato. Estas são as explicações dos status:

Conectado - Sua conta está conectada à conta e funcionado corretamente
Erro de conexão - Problema de conectividade ou permissões com o conector Salesforce. Por favor abra um ticket com Suporte.
Consentimento do usuário pendente - O conector Salesforce é criado na página de Configurações de Conexão, no entanto, você ainda não autenticou com sucesso no Salesforce.

Adicionando Regras do Salesforce à Política de Proteção de Dados

Esta seção explica como usar a política de Proteção de Dados para monitorar relatórios do Salesforce exportados.

Configurando Regras do Salesforce

Use a página de Proteção de Dados para adicionar as regras do aplicativo SaaS na sua política de Proteção de Dados.

Para criar uma nova regra de Proteção de Dados para o aplicativo Salesforce:

No painel de navegação, selecione Segurança > App & Proteção de Dados de API e selecione ou expanda Proteção de Dados.
Clique em Novo. O painel Nova Regra abre.
Em Conector de Aplicativo, selecione o aplicativo Salesforce.
Em Seletor de Conector de Aplicativo, selecione o aplicativo Salesforce.
Na seção Geral, insira as configurações para a regra.
Em Usuários, defina os usuários Salesforce que você está monitorando.
- Qualquer: Monitorar relatórios exportados por todos os usuários Salesforce
- Usuário Salesforce: Selecione os usuários específicos da conta Salesforce cujos relatórios exportados são monitorados
Em Perfil de Conteúdo, selecione o Perfil de Conteúdo DLP para esta regra.

Para mais informações sobre Perfis de Conteúdo, consulte Creating DLP Content Profiles.
Em Ações, selecione Monitorar.
(Opcional) Configure opções de rastreamento para gerar Eventos e enviar notificações.

Para mais informações sobre as notificações, consulte o artigo relevante para Grupos de Assinatura, Listas de Email e Integrações de Alerta na seção Alertas.
Clique em Salvar. A regra é adicionada à Política de Proteção de Dados.

Trabalhando com Regras de Proteção de Dados Encomendadas

O motor da API de Segurança SaaS inspeciona os dados sequencialmente e verifica se eles correspondem a uma regra. Se os dados não corresponderem a uma regra, eles não são inspecionados. Regras que estão no topo da base de regras têm uma prioridade mais alta e são aplicadas antes das regras mais baixas na base de regras. Cada tipo de aplicação ou conector é aplicado aos dados apenas uma vez.

Melhores práticas - Para maximizar a eficiência de sua base de regras, recomendamos que para cada tipo de conector, regras para usuários específicos tenham prioridade mais alta do que as regras que se aplicam a Qualquer usuários.

Por exemplo, se os dados corresponderem a um conector na regra #2, os dados são inspecionados pelo motor da API de Segurança SaaS. O motor não continua a aplicar as regras #3 e abaixo para o mesmo conector. No entanto, os dados podem corresponder a uma regra de prioridade menor com um conector diferente.

Adicionando Proteção contra Ameaças ao Conector

Você pode criar Regras de Proteção contra Ameaças para o conector para escanear arquivos e anexos em busca de malware e vírus usando os motores Anti-Malware e Próxima Geração de Anti-Malware que estão habilitados para sua conta. O motor da API de Segurança SaaS escaneia o tráfego do conector e aplica as ações e opções de rastreamento que você configurou para a regra:

Monitorar o tráfego (bloqueio será suportado em breve)
Gerar Eventos
Enviar Notificações por Email

Quando você cria uma regra de Proteção de Aplicação & Dados API, os motores Anti-Malware que estão habilitados para sua conta (Segurança > Anti-Malware) realizam varreduras de malware nos arquivos enviados para essa aplicação de conector.

A seguinte captura de tela mostra uma regra de Proteção contra Ameaças para o conector OneDrive que escaneia arquivos enviados por usuários Interno ou Convidados:

Criando uma Exceção para um Arquivo

Às vezes há um arquivo bloqueado pelos mecanismos da API de Proteção de Dados da Cato que você sabe que é seguro e precisa permitir na rede. Exceções de Anti-Malware na política de Hash de Arquivo também se aplicam à Proteção de API de Aplicativo & Dados. Para mais informações sobre como adicionar arquivos à Política de Hash de Arquivo, consulte Managing Anti-Malware Exceptions.

Analisando eventos da API de Proteção de Dados

A página Inicial > Eventos mostra todos os eventos da API de Proteção de Dados para sua conta. As poderosas ferramentas de busca permitem que você aprofunde e identifique os poucos eventos que contêm os dados relevantes de que você precisa.

Eventos da API de Proteção de Dados podem ser identificados pelos seguintes campos:

Tipo de Evento - Segurança
Sub-Tipo - Proteção de Dados da API de Segurança SaaS e Proteção Anti-Malware da API de Segurança SaaS

Você pode aprender mais sobre como usar a página de Eventos aqui.

Explicando os Campos de Eventos da API de Proteção de Dados

Nome do campo	Descrição
Nome do Conector	Nome para o conector que é definido para a regra
Tipo de Conector	Aplicativo SaaS definido para este conector
Perfil DLP	Perfil de Conteúdo DLP que gerou este evento
Nome do Arquivo	Nome do arquivo para o relatório exportado
URL Completo	Link para o relatório exportado
Tipos de Dados Correspondentes	Tipos de Dados no Perfil de Conteúdo que corresponderam à regra
Regra	Nome da regra na Política de Proteção de Dados
Proprietário	Usuário Salesforce que exportou o relatório
Gravidade	Gravidade definida para a regra

Limitações Conhecidas

Devido à restrição de acesso à API do Salesforce, o conector Salesforce não é capaz de escanear relatórios privados