为Salesforce配置SaaS安全API连接器

本文说明如何为您的帐户配置Salesforce的SaaS安全API策略连接器,并在威胁防护和数据保护策略中使用此连接器创建规则。

SaaS安全API策略需要单独的Cato许可证。 请联系您的Cato代表或官方经销商以获取更多信息。

Salesforce连接器概览

Salesforce SaaS安全API连接器监控导出报告,并扫描您在数据泄露防护配置文件中定义的敏感数据。 连接器使用Salesforce事件日志API定期检查导出的报告。 当报告被导出时,连接器下载报告并扫描其中是否包含敏感数据。 当连接器在报告中识别出敏感数据时,它会生成一个包含详细信息的事件。 一旦连接器完成扫描报告的内容将从Cato服务器删除,无论扫描结果如何(对销售云帐户中的数据没有影响)。

为您的组织创建用于生产或沙盒环境的Salesforce连接器。 然后在威胁防护和数据保护策略中定义规则,包括Salesforce连接器,并定义被扫描和监控的用户。 您可以为每个Salesforce帐户创建一个连接器。

先决条件

  • 活跃订阅Salesforce Shield或Salesforce事件监控组件

  • 以下设置的只读用户权限:

    • 事件监控分析应用(权限集许可证)

    • 查看事件日志文件

    • API已启用

    • 查看实时事件监控数据

    • 查看公共文件夹中的报告

    • 管理所有私有报告和仪表板

  • 验证这些销售云许可证是否有效:分析平台事件监控分析应用(设置 > 设置 > 公司信息 > 公司设置 > 权限集许可证)

  • 验证存储是否为报告事件启用(事件 > 事件管理器)

Salesforce API连接器的所需权限

为了使Cato的SaaS安全API扫描导出的Salesforce报告,连接器给予Cato以下权限和操作:

  • 访问身份网址服务

  • 访问Analytics REST API资源

  • 通过API管理用户数据

  • 随时请求执行

与Salesforce连接器的配合

本节说明如何创建用于扫描导出的Salesforce报告以查找敏感数据和威胁的API连接器。 一旦创建连接器,请更新刷新令牌策略以确保SaaS安全API继续访问Salesforce数据。

创建Salesforce连接器

使用Cato管理应用程序创建Salesforce连接器,然后登录到生产或沙盒环境的Salesforce账户。

Salesforce连接器让Cato SaaS API引擎扫描您在数据保护策略中定义的内容。

要创建Salesforce连接器:

  1. 在导航菜单中,选择资源 > 集成并点击数据保护 API

  2. 点击新建新连接器面板打开。

  3. 创建一个新的Salesforce SaaS应用程序

  4. 输入连接器名称

  5. 权限中,选择读取

    注意: 读/写权限不用于监控导出的Salesforce报告。

  6. Salesforce环境中,选择此连接器是监控生产还是沙箱环境。

  7. 点击保存

    Salesforce登录屏幕将在新的浏览器选项卡中打开。

    SF_login.png

  8. 输入特定环境的Salesforce管理员用户名密码

  9. 给予您的Cato帐户访问Salesforce应用程序的权限。

    1. 允许Cato访问Salesforce应用程序的权限。

      Allow_Cato_SF_Access.png

    2. 屏幕显示您已成功为租户应用了权限。

      Success_Connector_Permissions.png

  10. 您可以关闭浏览器选项卡并返回到Cato管理应用程序。 Salesforce可能需要几秒钟来处理请求,因此如果您收到错误,请刷新浏览器。

    销售云处理请求时,连接器状态等待用户同意(见下文了解连接器状态)。

    Salesforce SaaS应用程序已添加到SaaS API数据保护页面中。

    SF_installed_app.png

更新刷新令牌策略

Salesforce刷新令牌定义了SaaS安全API连接器扫描Salesforce数据的许可时间长度。 为了最大限度地提高安全性,我们建议您将刷新令牌策略配置为刷新令牌有效直到撤销。 这确保了SaaS安全API连接器对Salesforce数据的持续访问。

有关如何配置刷新令牌策略的更多信息,请参阅Salesforce文档

向SaaS安全API连接器提供重新同意

注意

注意: 刷新令牌的推荐配置是刷新令牌在撤销前有效

如果您为刷新令牌配置了过期时间,您需要在令牌过期之前主动重新同意SaaS安全API连接器访问Salesforce数据。 提供重新同意可确保SaaS安全API连接器维护对Salesforce数据的访问。 如果令牌过期而未提供重新同意,SaaS安全API连接器将无法访问Salesforce数据。

SF.png

为SaaS安全API连接器提供重新同意:

  1. 从导航菜单中选择资源 > 集成并点击SaaS安全API数据保护

  2. 点击Salesforce连接器旁边的三个点。

  3. 点击重新同意

了解连接器状态

已安装的SaaS应用程序页面中的状态列显示Salesforce账户与您的Cato账户之间连接的状态。 这些是状态的解释:

  • 已连接 - 您的账户已连接到该账户并正常工作

  • 连接错误 - 与Salesforce连接器的连接或权限问题。 请与支持开具工单。

  • 等待用户同意 - 在连接设置页面中创建了Salesforce连接器,但您尚未成功认证到Salesforce。

将Salesforce规则添加到数据保护策略

本节说明如何使用数据保护策略来监控导出的Salesforce报告。

配置Salesforce规则

使用数据保护页面将SaaS应用程序规则添加到您的数据保护策略中。

Slack_Data_Protection_Rule.png

为Salesforce应用程序创建新的数据保护规则:

  1. 从导航窗格中选择安全性 > SaaS安全API策略并选择或展开数据保护

  2. 点击新建。 The New Rule panel opens.

  3. 应用连接器中,选择Salesforce应用程序。

  4. 常规部分中,输入规则的设置。

  5. 用户中,定义您正在监控的Salesforce用户:

    • 任何 - 监控所有Salesforce用户导出的报告

    • Salesforce用户 - 从Salesforce账户中选择特定用户,监控他们导出的报告

  6. 内容配置文件中,为此规则选择DLP内容配置文件。

    For more about DLP Content Profiles, see Creating DLP Content Profiles.

  7. 操作中,选择监控

  8. (Optional) Configure tracking options to generate Events and Send Notifications.

    For more information about notifications, see the relevant article for Subscription Groups, Mailing Lists, and Alert Integrations in the Alerts section.

  9. 点击保存。 该规则已添加到数据保护策略中。

使用有序数据保护规则

SaaS安全API引擎按顺序检查数据,并检查它是否与规则匹配。 如果数据与规则不匹配,则不进行检查。 在规则库顶部的规则具有更高的优先级,并且在规则库中更低的位置应用规则之前应用。 每种类型的应用程序或连接器仅应用于数据一次。

最佳实践 - 为了最大化规则库的效率,我们建议对于每种连接器类型,特定用户的规则优先于适用于任何人用户的规则。

例如,如果数据匹配规则2中的连接器,则数据由SaaS安全API引擎检查。 引擎不继续应用规则3及其后的连接器。 但是,数据可以与优先级较低的具有不同连接器的规则匹配。

为连接器添加威胁防护

您可以为连接器创建威胁防护规则,使用为您的账户启用的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。 SaaS安全API引擎扫描连接器流量并应用您为规则配置的操作和跟踪选项:

  • Monitor the traffic (block will be supported soon)

  • 生成事件

  • 发送电子邮件通知

When you create a SaaS Security API Threat Protection rule, the Anti-Malware engines that are enabled for your account (Security > Anti-Malware) perform malware scans on the files that are sent for that connector application.

以下截图显示了用于OneDrive连接器的威胁防护规则,该规则扫描内部用户或访客发送的文件:

CAS_Threat_Protection.png

为文件创建例外

有时候Cato的SaaS安全API引擎会阻止您知道安全的文件,您需要在网络中允许它。 The Events page lets you use the file hash to create exceptions that bypass the Threat Protection scans. 打开已阻止的特定文件的事件后,点击文件哈希,打开例外配置面板,并将文件添加为该账户的例外。 您可以选择文件例外的持续时间,也可以将例外设置为永久。

反恶意软件和SaaS安全API的文件例外

文件例外适用于反恶意软件SaaS 安全 API 威胁防护策略。 当您从反恶意软件和下一代反恶意软件事件创建例外时,这些例外也适用于SaaS安全API威胁防护策略。 同样,当您从SaaS安全API反恶意软件事件创建文件例外时,这些例外也适用于反恶意软件策略。 完整的文件例外列表显示在反恶意软件页面和SaaS安全API威胁防护页面上。

要为文件创建例外:

  1. 从导航菜单中,选择主页 > 事件

  2. 使用SaaS安全API反恶意软件子类型过滤事件。

  3. 时间列展开事件。

  4. 在事件中,点击文件哈希值链接。

    例外配置面板打开。

    exception_configuration.png

  5. 持续时间下拉菜单中,选择文件从反恶意软件和下一代反恶意软件引擎中排除的时间。

    要创建永久例外,选择永久

  6. 点击应用

    例外已创建并添加到威胁防护选项卡中的文件例外部分和反恶意软件页面中。

    AM_FileExceptions.png

删除文件例外

当对威胁防护策略不再必要时,移除例外。

要删除威胁防护策略的文件例外:

  1. 从导航菜单中,点击安全 > SaaS 安全 API 策略

  2. 选择威胁防护选项卡。

  3. 文件例外部分,点击Delete.png来移除您想要的例外。

  4. 点击保存

    例外已被移除。

分析SaaS安全API事件

主页 > 事件页面显示您账户的所有SaaS安全API事件。 强大的搜索工具让您深入分析并识别包含您需要的相关数据的少数事件。

SaaS安全API事件可以通过以下字段识别:

  • 事件类型 - 安全

  • 子类型 - SaaS安全API数据保护和SaaS安全API反恶意软件

您可以在这里了解更多关于使用事件屏幕的内容。 您可以使用SaaS 安全 API 数据保护预设来过滤事件。

解释SaaS安全API事件字段

字段名称

描述

连接器名称

为规则定义的连接器名称

连接类型

为此连接器定义的SaaS应用程序

数据泄露防护配置文件

生成此事件的数据泄露防护内容配置文件

文件名称

导出报告的文件名称

完整路径 URL

导出报告的链接

匹配的数据类型

内容配置文件中与规则匹配的数据类型

规则

数据保护策略中的规则名称

所有者

导出报告的Salesforce用户

严重程度

为规则定义的严重程度

已知限制

  • 由于Salesforce API访问限制,Salesforce连接器无法扫描私有报告

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论