Salesforce：配置数据保护 API 连接器

本文解释了如何为您的账户配置应用程序&数据 API 保护策略的销售云连接器，并在威胁防护和数据保护策略中创建使用此连接器的规则。

应用程序&数据 API 保护策略需要单独的 Cato 许可证。有关更多信息，请联系您的 Cato 代表或官方经销商。

Salesforce 连接器概览

Salesforce 的数据保护 API连接器监测导出的报告并扫描您在数据泄露防护配置文件中定义的敏感数据。连接器使用 Salesforce 事件日志 API 定期检查导出的报告。当报告被导出时，连接器下载报告并扫描其是否包含敏感数据。当连接器在报告中识别出敏感数据时，它会生成包含详细信息的事件。一旦连接器完成扫描，无论扫描结果如何，报告的内容都会从 Cato 服务器中删除（对 Salesforce 帐户中的数据没有影响）。

为您的组织的生产或沙盒 Salesforce 帐户创建连接器。然后在威胁防护和数据保护策略中定义包括 Salesforce 连接器的规则，并定义被扫描和监控的用户。您可以为每个 Salesforce 帐户创建一个连接器。

先决条件

Salesforce Shield 或 Salesforce 事件监控组件的有效订阅
以下设置的只读用户权限：
- 事件监控分析应用程序（权限集许可证）
- 查看事件日志文件
- API 启用
- 查看实时事件监控数据
- 查看公共文件夹中的报告
- 管理所有私人报告和仪表板
验证这些 Salesforce 许可证是否有效：Analytics Platform和Event Monitoring Analytics Apps（设置 > 设置 > 公司信息 > 公司设置 > 权限集许可证）
验证报告事件的存储是否启用（事件 > 事件管理器）

Salesforce API 连接器的必需权限

为了启用数据保护 API扫描导出的 Salesforce 报告，连接器授予 Cato 以下与 Salesforce 帐户的权限和操作：

访问身份网址服务
访问分析 REST API 资源
通过 API 管理用户数据
随时执行请求

与 Salesforce 连接器合作

本节说明如何创建用于扫描导出报告以检测敏感数据和威胁的 Salesforce API 连接器。创建连接器后，更新刷新令牌策略以确保数据保护 API可以持续访问 Salesforce 数据。

创建 Salesforce 连接器

使用 Cato 管理应用程序创建 Salesforce 连接器，然后登录到生产或沙盒 Salesforce 帐户。

Salesforce 连接器允许 Cato SaaS API 引擎扫描您在数据保护策略中定义的内容的报告。

要为 Salesforce 创建连接器：

从导航菜单中选择Resources > Integrations并单击Integrated APIs标签页。
点击新建。 “新连接器”面板打开。
在 SaaS应用程序 下拉菜单中，选择销售云。
在功能部分，选择 数据和威胁防护。
输入连接器名称。
在Salesforce环境中，选择此连接器监控“生产环境”或“沙盒环境”。
点击保存。

Salesforce 登录屏幕将在新的浏览器标签中打开。
输入特定环境的Salesforce管理员用户名和密码。
授予您的 Cato 账户访问销售云应用的权限。
1. 允许Cato访问Salesforce应用的权限。
2. 屏幕显示已成功为租户应用权限。
您可以关闭浏览器标签并返回到 Cato 管理应用程序。 Salesforce 处理请求可能需要几秒钟，因此如果收到错误，请刷新浏览器。

在Salesforce处理请求期间，连接器的状态为等待用户同意（参见下文理解连接器状态）。

Salesforce SaaS应用程序已添加到Integrated APIs标签页。

更新刷新令牌策略

Salesforce刷新令牌定义了数据保护API连接器有权限扫描Salesforce数据的时间长度。为了最大限度地保证安全性，我们建议您将刷新令牌策略配置为刷新令牌直到被撤销。这可以确保数据保护API连接器继续访问Salesforce数据。

有关如何配置刷新令牌策略的更多信息，请参阅Salesforce 文档。

为数据保护API连接器重新提供同意

注意

注意：刷新令牌的推荐配置为刷新令牌直到被撤销。

如果您为刷新令牌配置了到期时间，则需要在令牌到期前主动提供重新同意，以便数据保护API连接器能够访问Salesforce数据。提供重新同意确保数据保护API连接器保持对Salesforce数据的访问。如果令牌在未提供重新同意的情况下过期，数据保护API连接器将无法访问Salesforce数据。

为数据保护API连接器重新提供同意：

从导航菜单中选择Resources > Integrations并单击Integrated APIs标签页。
点击 Salesforce 连接器旁的三个点。
点击重新同意。

了解连接器状态

已安装 SaaS 应用程序页面上的状态列显示 Salesforce 账户与您的 Cato 账户之间的连接状态。以下是状态的解释：

已连接 - 您的账户已连接到账户并正常运作
连接错误 - Salesforce 连接器的连接性或权限问题。请打开工单与支持。
等待用户同意 - Connect 设置页面中已创建 Salesforce 连接器，但您尚未成功认证 Salesforce。

将 Salesforce 规则添加到数据保护策略中

本节说明如何使用数据保护策略来监控导出的 Salesforce 报告。

配置 Salesforce 规则

使用数据保护页面将 SaaS 应用程序规则添加到数据保护策略中。

要为 Salesforce 应用创建新的数据保护规则：

从导航窗格中选择安全 > 应用程序 & 数据 API 保护并选择或展开数据保护。
点击新建。 新建规则面板打开。
在 SaaS应用程序 下拉菜单中，选择销售云应用。
在 应用连接器 中，选择销售云应用。
在常规部分中，输入规则的设置。
在用户中，定义您正在监控的销售云用户。
- 任何: 监控所有销售云用户导出的报告。
- Salesforce 用户: 从销售云账户中选择被监控其导出报告的特定用户。
在内容配置文件中，选择此规则的数据丢失防护内容配置文件。

有关数据泄露防护内容配置文件的更多信息，请参见创建DLP内容配置文件。
在操作中，选择监控。
（可选） 配置跟踪选项以生成事件并发送通知。

有关通知的更多信息，请参阅警报部分中关于订阅组、邮件列表和警报集成的相关文章。
点击保存。规则已添加到数据保护策略。

处理有序的数据保护规则

数据保护 API 引擎按顺序检查数据，并核对其是否匹配某个规则。如果数据不匹配某个规则，那么就不会被检查。规则库中优先级高的规则比优先级低的规则先被应用。每种应用程序或连接器类型仅应用于数据一次。

最佳实践 - 为了最大化您的规则库的效率，我们建议对于每种连接器类型，特定用户的规则优先于应用于任意用户的规则。

例如，如果数据在规则 #2 中匹配连接器，数据将由数据保护 API 引擎检查。引擎不会继续对相同连接器应用规则 #3 及以下的规则。然而，数据可能与不同连接器的低优先级规则相匹配。

将威胁防护添加到连接器

您可以为连接器创建威胁防护规则，使用为您的账户启用的反恶意软件和下一代反恶意软件引擎来扫描文件和附件，以检测恶意软件和病毒。数据保护 API 引擎扫描连接器流量并应用您为规则配置的操作和跟踪选项：

监控流量（阻止功能即将推出）
生成事件
发送电子邮件通知

当您创建应用与数据 API 保护规则时，为您的账户启用的反恶意软件引擎（安全性 > 反恶意软件）会对发送到该连接器应用程序的文件执行恶意软件扫描。

以下屏幕截图显示了 OneDrive 连接器的一个威胁防护规则，扫描由内部用户或访客发送的文件：

为文件创建例外

有时Cato的数据保护API引擎会阻止一个您知道安全的文件，您需要在网络中允许它。文件哈希政策中的反恶意软件例外也适用于应用程序和数据API保护。有关添加文件到文件哈希政策的更多信息，请参见管理反恶意软件例外。

分析数据保护 API事件

主页 > 事件页面显示您账户的所有数据保护 API事件。强大的搜索工具让您深入查找并识别包含您所需相关数据的少数事件。

数据保护 API事件可以通过以下字段识别：

事件类型 - 安全性
子类型 - SaaS 安全 API 数据保护和 SaaS 安全 API 反恶意软件

您可以在此处了解有关使用事件页面的更多信息。

解释数据保护 API事件字段

字段名称	描述
连接器名称	规则中定义的连接器的名称
连接类型	为此连接器定义的SaaS应用
数据泄露防护配置文件	生成此事件的数据泄露防护内容配置文件
文件名称	导出报告的文件名称
完整路径 URL	导出报告的链接
匹配的数据类型	与规则匹配的内容配置文件中的数据类型
规则	数据保护策略中规则的名称
所有者	导出报告的Salesforce 用户
严重程度	已定义规则的严重程度

已知限制

由于Salesforce API访问限制，Salesforce 连接器无法扫描私有报告