Usted está aquí:
Detección de amenazas
Detección de amenazas utiliza métodos de aprendizaje estadísticos y automático para detectar amenazas en su organización de Salesforce. Aunque Salesforce identifica estas amenazas para todos los clientes de Salesforce, puede ver la información en los eventos con Detección de amenazas en Supervisión de eventos e investigar más si es necesario. Los eventos de Detección de amenazas no cuentan en los límites de almacenamiento de objetos estándar.
Ediciones necesarias
| Disponible en Salesforce Classic (no disponible en todas las organizaciones) y Lightning Experience. |
Disponible en: Enterprise Edition, Performance Edition y Unlimited Edition Requiere suscripciones de complementos de Salesforce Shield o Supervisión de eventos de Salesforce. |
Detección de amenazas identifica:
- Si se secuestra una sesión de usuario
- Cuando las solicitudes de inicio de sesión automatizadas a gran escala utilizan credenciales de usuario robadas para obtener acceso a Salesforce
- Anomalías en las vistas o exportaciones de informes de un usuario
- Anomalías en cómo los usuarios realizan llamadas de API
- Anomalías en la actividad de usuario invitado
- Anomalías en los intentos de inicio de sesión
Responder a eventos de amenazas detectados
Utilice Detección de amenazas para planificar e implementar respuestas apropiadas que mantienen sus datos seguros. Cuando detectamos actividad anómala, los eventos de Detección de amenazas resultantes son compatibles con flujos y políticas de seguridad de transacciones.
| Método de respuesta | Descripción |
|---|---|
| Utilizar políticas de seguridad de transacciones para c amenazas | Cree una política de seguridad de transacciones en los eventos de Detección de amenazas que genere notificaciones de correo electrónico o dentro de la aplicación cuando Salesforce detecta una amenaza. Tras investigar la amenaza detectada, considere crear una política para controlar el comportamiento de los usuarios. Por ejemplo, recibe múltiples ReportAnomalyEvents acerca de un usuario que exportó muchos más registros de un informe sobre candidatos de lo habitual. Como creó una política de seguridad de transacciones en ReportAnomalyEventStore, recibirá una notificación cada vez que se produzca esta anomalía. Para proteger más el objeto Candidato, puede crear una política de ReportEvent en el informe para bloquear a los usuarios que exporten más de 10 filas. |
| Automatizar respuestas con flujos desencadenados por eventos de plataforma | Puede crear flujos para responder a anomalías detectadas en ApiAnomalyEvent, CredentialStuffingEvent, ReportAnomalyEvent y SessionHijackingEvent. Por ejemplo, cree flujos que generen un caso para una investigación de seguimiento, envíe un mensaje de correo electrónico a un especialista en seguridad o desactive un usuario afectado pendiente de más investigación. |
| Agregar amenazas detectadas con Centro de seguridad | Puede ahorrar tiempo agregando información sobre amenazas detectadas en toda su implementación de Salesforce en un solo lugar con la aplicación Detección de amenazas en Centro de seguridad. Para obtener más información, consulte Revisar eventos de detección de amenazas |
- Secuestro de sesión
El secuestro de sesiones es un ataque dirigido a los clientes donde los atacantes intentan robar información empleando el acceso de un cliente a una aplicación web. En nuestro caso, esta aplicación es Salesforce. Cuando un cliente se autentica correctamente con Salesforce, recibe un token de sesión. El atacante intenta secuestrar la sesión del cliente obteniendo su token de sesión. - Relleno de credenciales
El relleno de credenciales es un tipo de ciberataque que utiliza credenciales de cuenta robadas. También se conoce como “password spraying” (spray de contraseñas) o “credential spills” (vertido de credenciales). Los atacantes obtienen gran número de nombres de usuario y contraseñas a través brechas en los datos u otros tipos de ciberataques. A continuación utilizan estas credenciales para obtener el acceso no autorizado a las cuentas de usuario a través de solicitudes de inicio de sesión automatizadas a gran escala en una aplicación web como Salesforce. - Anomalía de informe
Una anomalía es cualquier actividad de usuario que sea suficientemente diferente de la actividad histórica del mismo usuario. Utilizamos los metadatos en los registros de la aplicación principal de Salesforce sobre la generación de informes y las actividades relacionadas para construir un modelo de línea de base de la actividad histórica. A continuación, comparamos cualquier nueva actividad de generación de informes con esta línea de base para determinar si la nueva actividad es suficientemente diferente como para denominarse anomalía. No miramos los datos reales con los que interactúa un usuario: miramos cómo interactúa el usuario con los datos. - Anomalía de API
Una anomalía es cualquier actividad de usuario que sea suficientemente diferente de la actividad histórica del mismo usuario. Utilizamos los metadatos en los registros de la aplicación principal de Salesforce sobre la generación de API y las actividades relacionadas para construir un modelo de línea de base de la actividad histórica. A continuación, comparamos cualquier nueva actividad de generación de API con esta línea de base para determinar si la nueva actividad es suficientemente diferente como para denominarse anomalía. No miramos los datos reales con los que interactúa un usuario: miramos cómo interactúa el usuario con los datos. - Anomalía de usuario invitado
Una anomalía es cualquier actividad de usuario que sea suficientemente diferente de los otros usuarios. Utilizamos los metadatos en registros de aplicaciones de Salesforce Core para crear perfiles que representan actividades de acceso de datos de usuarios invitados. Este evento de detección de amenazas identifica intentos sospechosos de usuarios invitados de acceder a datos de la organización. - Ver eventos de detección de amenazas y proporcionar comentarios
Inicie la aplicación Detección de amenazas y vea todas las amenazas detectadas que se produjeron en su organización de Salesforce. Las amenazas incluyen anomalías en el modo en que los usuarios ejecutan informes, intentos de secuestro de sesión y relleno de credenciales. Utilice la misma aplicación para proporcionar comentarios fácilmente acerca de la gravedad de una amenaza específica. - Anomalía de inicio de sesión
Un inicio de sesión anómalo hace referencia a la detección de un posible atacante que intenta obtener acceso no autorizado a la cuenta de un usuario legítimo. Este evento de detección de amenazas identifica intentos de inicio de sesión que se desvían significativamente del comportamiento de inicio de sesión habitual de un usuario, como horas inusuales del día, dispositivos desconocidos (extremos) o ubicaciones inesperadas. La detección temprana de estas anomalías es fundamental ya que un inicio de sesión correcto es a menudo el primer paso en actividades maliciosas más amplias como la exfiltración de datos o la implementación de campañas de malware y phishing.
Consulte también:
- Guía del desarrollador de eventos de plataforma: Objetos de Supervisión de eventos en tiempo real
- Guía del desarrollador de eventos de plataforma: Suscribirse a mensajes de eventos de plataforma con flujos
- Seguridad de transacciones
- Cómo Salesforce le ayuda a protegerse de amenazas de infiltrados
- Cómo Salesforce le ayuda a protegerse de rellenadores de credenciales
