Schnelleinstieg: Ereignisüberwachung

Zuweisen der Berechtigung "Ereignisüberwachung"

Richten Sie die Ereignisüberwachung mit einer Berechtigung ein. Mit der Berechtigung "Benutzer der Ereignisüberwachung" erhalten Sie Zugriff auf Ereignisprotokolldateien (ELFs), Ereignisprotokollobjekte (ELOs), Echtzeitereignisse und die Anwendung "Bedrohungserkennung".

1. Geben Sie unter "Setup" im Feld "Schnellsuche" den Text Berechtigungen ein und klicken Sie dann auf Berechtigungssätze.
2. Klicken Sie auf Ereignisüberwachungsbenutzer | Zuweisungen verwalten .
3. Wählen Sie einen Benutzer aus und klicken Sie dann auf Zuweisungen hinzufügen.

Aktivieren der Ereignisüberwachung

Aktivieren Sie wichtige ELF-Einstellungen.

1. Geben Sie unter "Setup" im Feld "Schnellsuche" den Text Ereignisüberwachung ein und wählen Sie dann Ereignisüberwachungseinstellungen aus.
2. Aktivieren Sie:
   1. Anzeigen von Ereignisprotokolldaten in Analyseanwendungen: Zeigt ELF-Daten in CRM Analytics an.
   2. Ereignisprotokolldateien generieren: Generiert über 70 verschiedene ELF-Typen. "Ereignisprotokolldateien generieren" ist für Kunden von Shield & Event Monitoring standardmäßig aktiviert.
   3. Ereignisprotokolldateien beibehalten: Speichert ELF-Daten ein Jahr lang.
      

      Hinweis Bei Bedarf kann "Backup & Recover" ELF-Daten länger als ein Jahr aufbewahren.
   4. (Optional) Löschen von Ereignisüberwachungsdaten: Ermöglicht das manuelle Löschen von ELF-Daten, was manchmal erforderlich ist, um behördliche und Datenschutzanforderungen wie die DSGVO zu erfüllen.
   5. (Optional) Lightning Logger aktivieren: Mit der API für die Instrumentierung benutzerdefinierter Komponenten können Sie Ihre Lightning Webkomponenten (LWCs) besser beobachten. Instrumentieren Sie die LWCs Ihrer Organisation manuell mithilfe des Lightning Logger. Vom Lightning Logger generierte Protokolle werden über den Lightning Logger Event Type veröffentlicht.
   

Aktivieren der Echtzeit-Ereignisüberwachung für Speicher und Streaming

Die Echtzeit-Ereignisüberwachung veröffentlicht Benutzerereignisse nahezu in Echtzeit. Sie können RTE-Daten in großen Salesforce-Objekten zu Überwachungs- und Berichtszwecken speichern und abfragen.

In Salesforce gespeicherte RTEM-Ereignisse werden nicht auf Ihre Datenspeicherobergrenzen angerechnet. Viele der Speicherereignisse sind große Salesforce-Objekte, die sich ideal zum Speichern großer Datenmengen eignen. Entsprechende Informationen finden Sie unter Echtzeit-Ereignisüberwachungsdatenspeicher.

Hinweis Es wird empfohlen, den Speicher für alle Echtzeitereignisse zu aktivieren.

Sie können von Salesforce veröffentlichte Echtzeitereignisse abonnieren, um die Aktivitäten in Ihrer Organisation zu überwachen. Entsprechende Informationen finden Sie unter Echtzeit-Ereignisüberwachungsdaten-Streaming.

Hinweis Aktivieren Sie Streaming nur, wenn Sie planen, einen Abonnenten mithilfe von CometD oder der Pub/Sub-API einzurichten.

1. Geben Sie unter "Setup" im Feld "Schnellsuche" den Text Ereignis-Manager ein und klicken Sie dann auf Ereignis-Manager.
2. Klicken Sie im Dropdown-Menü neben einem Ereignis auf Speicher aktivieren und Streaming aktivieren.

Einrichten von Event Log Object Analytics

Verschaffen Sie sich einen Einblick in die Plattformleistung, Sicherheitsbedrohungen und das Benutzerverhalten, wenn Sie Protokolldaten mithilfe von Event Log Objects (ELO)-Analysen umwandeln. Mithilfe von handlungsrelevanten Statistiken können Sie latente Systemengpässe proaktiv identifizieren und beheben und Sicherheitsanomalien erkennen, bevor sie sich auf die Produktionsumgebung auswirken.

1. Suchen und öffnen Sie Analytics Studio im App Launcher ().
2. Klicken Sie auf Erstellen und wählen Sie Anwendung aus.
3. Geben Sie in der Suchleiste den Text Event Monitoring Event Log Objects Analytics (Ereignisüberwachungs-Ereignisprotokollobjekte – Analytics) ein.
4. Klicken Sie auf die Vorlage Event Monitoring Event Log Objects Analytics << und dann auf Fortfahren.
5. Geben Sie einen Namen für Ihre Anwendung ein und klicken Sie auf Erstellen.
   

Abfragen und Visualisieren von Ereignisprotokollobjekten

Greifen Sie schnell auf visuelle Protokolldaten zu und analysieren Sie sie, um Sicherheits- und Leistungsvorfälle früher zu erkennen.

1. Geben Sie unter "Setup" im Feld "Schnellsuche" den Text Analytics Studio ein und wählen Sie dann Analytics Studio aus.
2. Klicken Sie zum Erstellen eines Dashboards auf Erstellen und wählen Sie dann in der Dropdown-Liste Dashboard aus.
3. Ziehen Sie die Option Diagramm in Ihr Dashboard.
4. Klicken Sie zum Auswählen einer Datenquelle auf das neue Diagramm.
5. Navigieren Sie im Datenquellenfenster zur Registerkarte "Salesforce-Objekt".
6. Suchen Sie zum Anzeigen aller Ereignisprotokollobjekte nach Ereignisprotokoll.
7. Wählen Sie die Ereignisprotokollobjektdaten aus, die Sie visualisieren möchten. Entsprechende Informationen finden Sie unter Visualisieren von Daten mit Diagrammen.
8. Mit Salesforce Direct können Sie Ihre Daten in einer Vielzahl von Diagrammtypen visualisieren. Begrenzen Sie die Anzahl der Bereiche in Ihrem Dashboard, um Zeitüberschreitungen zu vermeiden. Entsprechende Informationen finden Sie unter Salesforce-Direktdatenabfragen.
   

Erstellen von Transaktionssicherheitsrichtlinien

Verwenden Sie den Transaktionssicherheitsbedingungsgenerator, um Transaktionssicherheitsrichtlinien zu erstellen, die Sie benachrichtigen oder eine Aktion blockieren können, wenn ein Benutzer eine potenziell bösartige oder riskante Aktion in Salesforce ausführt.

Hinweis Wenden Sie sich an Ihre InfoSec- oder Sicherheitsteams, um geeignete Ereignisse auszuwählen und Transaktionssicherheitsrichtlinien richtig zu konfigurieren. Die Einbindung von Sicherheitsbeteiligten hilft Ihnen, die Ereignisüberwachung mit Ihrer allgemeinen Sicherheitsstrategie und Ihren Compliance-Zielen abzustimmen.

Informationen zu enthaltenen TSPs, Beispielen und zur Verwendung von Apex für erweiterte Anwendungsfälle finden Sie unter Wesentliche Transaktionssicherheitsrichtlinien zur Verbesserung Ihres Sicherheitsstatus.

In diesem Beispiel wird eine Richtlinie erstellt, die Sie benachrichtigt, wenn jemand einen Bericht herunterlädt, der mehr als 10.000 Datensätze enthält.

1. Geben Sie unter "Setup" im Feld "Schnellsuche" den Text Transaktionssicherheit ein und wählen Sie dann Transaktionssicherheitsrichtlinien aus.
2. Klicken Sie auf Neu und wählen Sie dann Bedingungsgenerator aus.
3. Klicken Sie auf Weiter.
4. Wählen Sie Folgendes aus oder geben Sie Folgendes ein:
   1. Ereignis: Berichtsereignis
   2. Bedingungslogik: Alle Bedingungen sind erfüllt (AND)
   3. Bedingung: Vorgang gleich ReportExported
   4. Bedingung: Verarbeitete Zeilen größer als 10.000
5. Klicken Sie auf Weiter.
6. Wählen Sie Folgendes aus oder geben Sie Folgendes ein:
   1. Aktion: Keine
   2. Benachrichtigung: E-Mail-Benachrichtigung
   3. Empfänger: Wählen Sie sich selbst aus
   4. Name: Namen eingeben
   5. Status: Aktiviert
7. Klicken Sie auf Fertigstellen.

Einrichten der Bedrohungserkennung

Bevor Sie Ereignisse der Bedrohungserkennung in Salesforce anzeigen und Feedback abgeben können, müssen Sie die Anwendung für Benutzer sichtbar machen. Sie können auch angeben, welche der Registerkarten für verschiedene Benutzerprofile sichtbar sind.

Hinweis Es wird empfohlen, Transaktionssicherheitsrichtlinien zu erstellen, die Sie benachrichtigen, wenn Ereignisse zur Bedrohungserkennung veröffentlicht werden.

Vergewissern Sie sich, dass Sie über den Berechtigungssatz "Ereignisüberwachungsbenutzer" verfügen, der Ereignisse der Bedrohungserkennung anzeigen enthält.

1. Verwenden Sie den Ereignis-Manager, um Streaming und Speichern für Ereignisse der Bedrohungserkennung zu aktivieren: ReportAnomalyEvent, SessionHijackingEvent, GuestUserAnomalyEvent, LoginAnomalyEvent und CredentialStuffingEvent.Erstellen Sie einen Berechtigungssatz, der der Salesforce-Lizenz zugeordnet ist.
2. Bearbeiten Sie die Registerkarteneinstellungen jedes Benutzerprofils, das die Anwendung "Bedrohungserkennung" verwendet, und geben Sie die Sichtbarkeit der Registerkarten an. Die Registerkarten heißen "Berichtsanomalie-Ereignisspeicher", "Sitzungs-Hijacking-Ereignisspeicher", "Ereignisspeicher für Credential Stuffing" und "Feedback zur Bedrohungserkennung".
   Beispielsweise greifen Systemadministratoren in der Regel auf alle Benutzeroberflächen zu. Legen Sie daher die Sichtbarkeit aller Registerkarten für das Profil "Systemadministrator" auf "Standard: Ein" fest. Stellen Sie für das Profil "Bedrohungserkennungsadministrator" dieselbe Sichtbarkeit ein. Sollen Standardbenutzer nicht in der Lage sein, Feedback einzusehen, sollten Sie für das Profil "Standardbenutzer" die Sichtbarkeit von "Feedback zur Erkennung von Bedrohungen" auf "Registerkarte ausgeblendet" festlegen.
3. Geben Sie unter "Setup" im Feld "Schnellsuche" den Text Anwendungs-Manager ein.
4. Bearbeiten Sie die Anwendung "Bedrohungserkennung", indem Sie im Dropdown-Menü rechts neben der Anwendung Bearbeiten auswählen.
   
5. Wählen Sie im Abschnitt "Zu Profilen zuweisen" die Profile aus, für die die Anwendung "Bedrohungserkennung" sichtbar ist.
   
6. Speichern Sie Ihre Änderungen.

Anzeigen von Details zur Bedrohungserkennung und Abgeben von Feedback

Die Bedrohungserkennung verwendet statistische und maschinelle Lernmethoden, um Bedrohungen für Ihre Salesforce-Organisation zu erkennen, und erfasst diese Daten in Echtzeit-Ereignisobjekten. Mit der Anwendung "Bedrohungserkennung" auf der Salesforce-Benutzeroberfläche können Sie kürzliche oder alle Ereignisse der Bedrohungserkennung einsehen.

1. Suchen Sie im App Launcher nach Bedrohungserkennung und wählen Sie diese Option aus.
2. Klicken Sie auf die Registerkarten für Listenansichten der letzten oder aller Ereignisse, die in den Objekten der Bedrohungserkennung gespeichert sind.
3. Klicken Sie zum Anzeigen der Ereignisdetails auf das Ereignis.
   Informationen zum Lesen von Details zu Bedrohungsereignissen finden Sie unter Bedrohungserkennung.
4. Klicken Sie zum Anzeigen des einem Ereignis zugeordneten Feedbacks auf Verwandt <.

Optionale Ressourcen

Da Sie nun über Zugriff auf die Funktionen der Ereignisüberwachung verfügen, erfahren Sie mehr darüber, was Sie noch tun können.

Drittanbieterintegrationen

Die meisten Lösungen für die Sicherheitsinformationen und die Ereignisverwaltung (SIEM) und die Beobachtbarkeit können Ereignisüberwachungsdaten über unsere APIs importieren. Diese Partner und SIEM-Lösungen unterstützen Verbindungen, die das Importieren von Ereignisüberwachungsdaten erleichtern.