Inicio rápido: Monitoreo de eventos

Asignar el permiso Monitoreo de eventos

Configure Monitoreo de eventos con un permiso. El permiso Usuario de Event Monitoring le proporciona acceso a archivos de registro de eventos (ELF), objetos de registro de eventos (ELO), eventos en tiempo real y la aplicación Detección de amenazas.

1. Desde Configuración, en el cuadro Búsqueda rápida, ingrese Permiso y, a continuación, haga clic en Conjuntos de permisos.
2. Haga clic en Usuario de Monitoreo de eventos | Gestionar asignaciones .
3. Seleccione un usuario y luego haga clic en Agregar asignaciones.

Activar Monitoreo de eventos

Active la configuración ELF crítica.

1. Desde Configuración, en el cuadro Búsqueda rápida, ingrese Monitoreo de eventos y, a continuación, seleccione Configuración de monitoreo de eventos.
2. Active:
   1. Ver datos de registro de eventos en aplicaciones de análisis: Muestra datos de ELF en CRM Analytics.
   2. Generar archivos de registro de eventos: Genera más de 70 tipos de ELF diferentes. Generar archivos de registro de eventos está activada de forma predeterminada para clientes de Shield y Event Monitoring.
   3. Retener archivos de registro de eventos: Almacena datos de ELF durante un año.
      

      Nota Si es necesario, Copia de seguridad y recuperación puede retener datos de ELF durante más de un año.
   4. (Opcional) Eliminar datos de monitoreo de eventos: Permite la eliminación manual de datos de ELF, que a veces se requiere para cumplir requisitos legales y de privacidad como el RGPD.
   5. (Opcional) Activar Lightning Logger: Agrega observabilidad a sus componentes web Lightning (LWC) utilizando la API de instrumentación de componentes personalizados. Instrumente manualmente los LWC de su organización utilizando Lightning Logger. Los registros generados por Lightning Logger se publican a través del Tipo de evento Lightning Logger.
   

Activar almacenamiento y transmisión de monitoreo de eventos en tiempo real

Monitoreo de eventos en tiempo real (RTEM) publica eventos de usuario casi en tiempo real. Puede almacenar y consultar datos de RTE en Big Objects de Salesforce para fines de auditoría y creación de reportes.

Los eventos RTEM almacenados en Salesforce no cuentan en sus límites de almacenamiento de datos. Muchos de los eventos de almacenamiento son Big Objects de Salesforce, ideales para almacenar grandes volúmenes de datos. Consulte Almacenamiento de datos de Monitoreo de eventos en tiempo real.

Nota Recomendamos activar el almacenamiento para todos los eventos en tiempo real.

Puede suscribirse a eventos en tiempo real publicados por Salesforce para monitorear la actividad en su organización. Consulte Transmisión de datos de Monitoreo de eventos en tiempo real.

Nota Solo active la transmisión si planea configurar un suscriptor utilizando CometD o la API Pub/Sub.

1. Desde Configuración, en el cuadro Búsqueda rápida, ingrese Gestor de eventos y, a continuación, haga clic en Gestor de eventos.
2. Desde el menú desplegable junto a un evento, haga clic en Activar almacenamiento y Activar transmisión.

Configurar Event Log Object Analytics

Obtenga visibilidad sobre el desempeño de la plataforma, las amenazas de seguridad y el comportamiento de los usuarios cuando transforme datos de registro utilizando análisis de objetos de registro de eventos (ELO). Las perspectivas con capacidad de acción le ayudan a identificar y resolver de forma proactiva cuellos de botella latentes del sistema y detectar anomalías de seguridad antes de que afecten al entorno de producción.

1. Desde el Iniciador de aplicación, busque y seleccione Analytics Studio.
2. Haga clic en Crear y seleccione Aplicación.
3. En la barra Búsqueda, ingrese Event Monitoring Event Log Objects Analytics.
4. Haga clic en la plantilla Event Monitoring Event Log Objects Analytics y luego haga clic en Continuar.
5. Asigne un nombre a su aplicación y haga clic en Crear.
   

Consultar y visualizar objetos de registro de eventos

Acceda y analice datos de registro visual rápidamente para una detección más temprana de incidentes de seguridad y desempeño.

1. Desde Configuración, en el cuadro Búsqueda rápida, ingrese Analytics Studio y luego seleccione Analytics Studio.
2. Para crear un tablero, haga clic en Crear y luego, desde la lista desplegable, seleccione Tablero.
3. Arrastre la opción Gráfico a su tablero.
4. Para seleccionar un origen de datos, haga clic en el nuevo gráfico.
5. En la ventana de origen de datos, vaya a la ficha Objeto de Salesforce.
6. Para ver todos los objetos de registro de eventos, busque registro de eventos.
7. Seleccione los datos del objeto de registro de eventos que desea visualizar. Consulte Visualizar datos con gráficos.
8. Puede visualizar sus datos en una variedad de tipos de gráficos utilizando Salesforce Direct. Limite el número de paneles en su tablero para evitar cualquier tiempo de espera. Consulte Consultas de datos Salesforce Direct.
   

Crear políticas de seguridad de transacciones

Utilice el Generador de condiciones de seguridad de transacciones para crear políticas de seguridad de transacciones (TSP) que pueden notificarle o bloquear una acción cuando un usuario realiza una acción potencialmente maliciosa o arriesgada en Salesforce.

Nota Trabaje con sus equipos de seguridad o InfoSec para elegir eventos apropiados y configurar políticas de seguridad de transacciones correctamente. Implicar a las partes interesadas en la seguridad ayuda a alinear Monitoreo de eventos con su estrategia de seguridad general y objetivos de cumplimiento.

Para obtener información sobre los TSP incluidos, ejemplos y cómo utilizar Apex para casos de uso avanzados, consulte Políticas esenciales de seguridad de transacciones para mejorar su postura de seguridad.

Este ejemplo crea una política que le notifica cuando alguien descarga un reporte que contiene más de 10.000 registros.

1. Desde la Configuración, en el cuadro Búsqueda rápida, ingrese Seguridad de transacciones y, a continuación, seleccione Políticas de seguridad de transacciones.
2. Haga clic en Nuevo y luego seleccione Generador de condiciones.
3. Haga clic en Siguiente.
4. Seleccione o ingrese:
   1. Evento: Evento de reporte
   2. Lógica de condiciones: Se cumplen todas las condiciones (AND)
   3. Condición: Operación igual a ReportExported
   4. Condición: Filas procesadas superiores a 10.000
5. Haga clic en Siguiente.
6. Seleccione o ingrese:
   1. Acción: Ninguna
   2. Notificación: Notificación de email
   3. Destinatario: Seleccionarse
   4. Nombre: Ingrese un nombre
   5. Estado: Activado
7. Haga clic en Finalizar.

Configurar Detección de amenazas

Antes de poder ver los eventos de Detección de amenazas en Salesforce y proporcionar comentarios, debe hacer que la aplicación sea visible para los usuarios. También especifica cuáles de las fichas son visibles para diferentes perfiles de usuario.

Nota Recomendamos crear políticas de seguridad de transacciones que le notifiquen cuando se publiquen eventos de detección de amenazas.

Confirme que tiene el conjunto de permisos Usuario de monitoreo de eventos que incluye Ver eventos de detección de amenazas.

1. Utilice el Gestor de eventos para activar la transmisión y el almacenamiento para los eventos Detección de amenazas: ReportAnomalyEvent, SessionHijackingEvent, GuestUserAnomalyEvent, LoginAnomalyEvent y CredentialStuffingEvent.Cree un conjunto de permisos asociado con la licencia de Salesforce.
2. Modifique la configuración de fichas de cada perfil de usuario que utilice la aplicación Detección de amenazas y especifique la visibilidad de las fichas. Las fichas se denominan Almacén de eventos de anomalía de reporte, Almacén de eventos de secuestro de sesión, Almacén de eventos de relleno de credenciales y Comentarios de detección de amenazas.
   Por ejemplo, los administradores del sistema suelen acceder a todo en la interfaz de usuario, de modo que establezca la visibilidad de todas las fichas como Valor predeterminado activado para el perfil Administrador del sistema. Si creó un perfil de administrador de Detección de amenazas, establezca la misma visibilidad. Si no desea que los usuarios estándar vean los comentarios, establezca la visibilidad de Comentarios de Detección de amenazas para el perfil de Usuario estándar como Ficha oculta.
3. Desde Configuración, en el cuadro Búsqueda rápida, ingrese Gestor de aplicaciones.
4. Modifique la aplicación Detección de amenazas seleccionando Modificar en el menú desplegable a la derecha de la aplicación.
   
5. En la sección Asignar a perfiles, seleccione los perfiles para los que la aplicación Detección de amenazas es visible.
   
6. Guarde sus cambios.

Ver detalles de detección de amenazas y proporcionar comentarios

Detección de amenazas utiliza métodos estadísticos y de aprendizaje automático para detectar amenazas en su organización de Salesforce, y captura esos datos en objetos de eventos en tiempo real. Vea todos los eventos de Detección de amenazas o los recientes utilizando la aplicación Detección de amenazas en la interfaz de usuario de Salesforce.

1. Desde el Iniciador de aplicación, busque y seleccione Detección de amenazas.
2. Haga clic en las fichas de vistas de lista de eventos recientes o todos los eventos almacenados en los objetos Detección de amenazas.
3. Para ver detalles del evento, haga clic en el evento.
   Consulte Detección de amenazas para obtener información sobre cómo leer detalles de eventos de amenazas.
4. Para ver comentarios asociados con un evento, haga clic en Relacionados.

Recursos opcionales

Ahora que tiene acceso a funciones de Monitoreo de eventos, obtenga más información acerca de qué más puede hacer.

Integraciones externas

La mayoría de las soluciones de observabilidad y gestión de eventos e información de seguridad (SIEM) pueden importar datos de Monitoreo de eventos a través de nuestras API. Estos socios y soluciones SIEM admiten conexiones que facilitan la importación de datos de Event Monitoring.