Hurtigstart: Hendelsesovervåking

Tildele tillatelsen Hendelsesovervåking

Konfigurer Hendelsesovervåking med én tillatelse. Tillatelsen Hendelsesovervåking-bruker gir deg tilgang til hendelsesloggfiler (ELF-er), hendelsesloggobjekter (ELOs), sanntidshendelser og Trusseldeteksjon-appen.

1. Skriv inn Tillatelse i Hurtigsøk-feltet i Oppsett, og klikk deretter på Tillatelsessett.
2. Klikk på Event Monitoring-bruker | Behandle tildelinger .
3. Velg en bruker, og klikk deretter på Legg til tildelinger.

Slå på hendelsesovervåking

Slå på kritiske ELF-innstillinger.

1. Skriv inn Event Monitoring i Hurtigsøk-feltet i Oppsett, og velg deretter Innstillinger for hendelsesovervåking.
2. Slå på:
   1. Vise hendelsesloggdata i analyseapper: Viser ELF-data i CRM Analytics.
   2. Generer hendelsesloggfiler: Genererer over 70 forskjellige ELF-typer. Generering av hendelsesloggfiler er aktivert som standard for Shield & Event Monitoring-kunder.
   3. Oppbevar hendelsesloggfiler – Oppbevarer ELF-data i ett år.
      

      Merk Om nødvendig kan Sikkerhetskopier og gjenoppretting oppbevare ELF-data i mer enn et år.
   4. (Valgfritt) Slett hendelsesovervåkingsdata: Tillater manuell sletting av ELF-data, noe som noen ganger kreves for å oppfylle lovpålagte krav og personvernkrav som GDPR.
   5. (Valgfritt) Aktiver Lightning Logger: Legger til observabilitet i Lightning (LWC-er) ved å bruke APIen for instrumentering av tilpassede komponenter. Bruk Lightning Logger til å instrumentere organisasjonens LWC-er manuelt. Logger som genereres av Lightning Logger, publiseres via Lightning Logger-hendelsestypen.
   

Slå på lagring og strømming av hendelsesovervåking i sanntid

Sanntids hendelsesovervåking (RTEM) publiserer brukerhendelser i nær sanntid. Du kan lagre og spørre RTE-data i store Salesforce-objekter for revisjons- og rapporteringsformål.

RTEM-hendelser som er lagret i Salesforce, teller ikke mot datalagringsgrensene dine. Mange av lagringshendelsene er store Salesforce-objekter, som er ideelle for lagring av store mengder data. Se Sanntids datalagring for hendelsesovervåking.

Merk Vi anbefaler å slå på lagring for alle sanntidshendelser.

Du kan abonnere på sanntidshendelser publisert av Salesforce for å overvåke aktivitet i organisasjonen. Se Strømmede data i Sanntids hendelsesovervåking.

Merk Slå på strømming bare hvis du planlegger å konfigurere en abonnent med CometD eller Pub/Sub API.

1. Skriv inn Event Manager i Hurtigsøk-feltet i Oppsett, og klikk deretter på Event Manager.
2. Klikk på Aktiver lagring og Aktiver strømming fra rullegardinlisten ved siden av en hendelse.

Konfigurere Event Log Object Analytics

Få innsikt i plattformytelse, sikkerhetstrusler og brukervirkemåte når du transformerer loggdata ved å bruke analyse av hendelsesloggobjekter (ELO). Handlingsorienterte innsikter hjelper deg å proaktivt identifisere og løse latente systemflaskehalser og oppdage sikkerhetsavvik før de påvirker produksjonsmiljøet.

1. Fra appstarteren () finner du og åpner Analytics Studio.
2. Klikk på Opprett, og velg App.
3. Skriv inn Event Monitoring Event Log Objects Analytics i søkefeltet.
4. Klikk på malen Event Monitoring Event Log Objects Analytics , og klikk deretter på Fortsett.
5. Gi appen et navn og klikk på Opprett.
   

Spørre og visualisere hendelsesloggobjekter

Få raskt tilgang til og analyser visuelle loggdata for å oppdage sikkerhets- og ytelseshendelser tidligere.

1. Skriv inn Analytics Studio i Hurtigsøk-feltet i Oppsett, og velg Analytics Studio.
2. Hvis du vil opprette et kontrollpanel, klikker du på Opprett, og deretter velger du Kontrollpanel fra rullegardinlisten.
3. Dra Diagram-alternativet til kontrollpanelet.
4. Klikk på det nye diagrammet for å velge en datakilde.
5. Gå til fanen Salesforce Object i datakildevinduet.
6. Hvis du vil se alle hendelsesloggobjekter, søker du etter hendelseslogg.
7. Velg hendelsesloggobjektdataene du vil visualisere. Se Visualisere data med diagrammer.
8. Du kan visualisere dataene i en rekke diagramtyper med Salesforce Direct. Begrens antall paneler i kontrollpanelet for å unngå tidsavbrudd. Se Salesforce-direktedataspørringer.
   

Opprette transaksjonssikkerhetspolicyer

Bruk Transaksjonssikkerhetsbetingelsesbygger til å opprette transaksjonssikkerhetspolicyer (TSP-er) som kan varsle deg eller blokkere en handling når en bruker utfører en potensielt skadelig eller risikabel handling i Salesforce.

Merk Samarbeid med InfoSec- eller sikkerhetsteamene for å velge riktige hendelser og konfigurere transaksjonssikkerhetspolicyer riktig. Engasjement av sikkerhetsinteressenter bidrar til å tilpasse hendelsesovervåking til den generelle sikkerhetsstrategien og overholdelsesmålene.

Hvis du vil ha informasjon om inkluderte TSP-er, eksempler og bruk av Apex for avanserte brukstilfeller, kan du se Viktige transaksjonssikkerhetspolicyer for å forbedre sikkerhetstilstanden.

Dette eksemplet oppretter en policy som varsler deg når noen laster ned en rapport som inneholder mer enn 10 000 poster.

1. Skriv inn Transaksjonssikkerhet i Hurtigsøk-feltet i Oppsett, og velg deretter Transaksjonssikkerhetspolicyer.
2. Klikk på Ny, og velg Betingelsesbygger.
3. Klikk på Neste.
4. Velg eller skriv inn:
   1. Hendelse: Rapporthendelse
   2. Betingelseslogikk: Alle betingelser er oppfylt (AND)
   3. Betingelse: Operasjon Er lik ReportExported
   4. Betingelse: Rader behandlet større enn 10 000
5. Klikk på Neste.
6. Velg eller skriv inn:
   1. Handling: Ingen
   2. Varsel: E-postvarsel
   3. Mottaker: Velg selv
   4. Navn: Skriv inn et navn
   5. Status: Aktivert
7. Klikk på Fullfør.

Konfigurere trusseldeteksjon

Før du kan vise trusseldeteksjonshendelsene i Salesforce og gi tilbakemeldinger, må du gjøre appen synlig for brukere. Du angir også hvilke av fanene som skal være synlige for forskjellige brukerprofiler.

Merk Vi anbefaler at du oppretter transaksjonssikkerhetspolicyer som varsler deg når trusseldeteksjonshendelser publiseres.

Kontroller at du har tillatelsessettet Hendelsesovervåking-bruker som inkluderer Vis trusseldeteksjonshendelser.

1. Bruk Hendelsesbehandling til å aktivere strømming og lagring for trusseldeteksjonshendelsene: ReportAnomalyEvent, SessionHijackingEvent, GuestUserAnomalyEvent, LoginAnomalyEvent og CredentialStuffingEvent.Opprett et tillatelsessett som er knyttet til Salesforce-lisensen.
2. Rediger faneinnstillingene for hver brukerprofil som bruker Trusseldeteksjon-appen, og angi fanenes synlighet. Fanene har navnene Rapportavvik-hendelsesbutikk, Hendelsesbutikk for øktkapring, Hendelsesbutikk for legitimasjonsstopping og Tilbakemelding om trusseldeteksjon.
   Systemadministratorer får for eksempel vanligvis tilgang til alt i grensesnittet, så sett synligheten for alle faner til Standard på for Systemadministrator-profilen. Hvis du opprettet en Trusseldeteksjonsadministrator-profil, angir du samme synlighet. Hvis du ikke vil at standardbrukere skal kunne vise tilbakemeldinger, setter du synligheten av Tilbakemelding om trusseldeteksjon for Standardbruker-profilen til Fane skjult.
3. Skriv inn Appbehandling i Hurtigsøk-feltet i Oppsett.
4. Rediger Trusseldeteksjon-appen ved å velge Rediger i rullegardinlisten til høyre for appen.
   
5. I delen Tildel til profiler velger du profilene Trusseldeteksjon-appen skal være synlig for.
   
6. Lagre endringene.

Vise trusseldeteksjonsdetaljer og gi tilbakemelding

Trusseldeteksjon bruker statistiske metoder og maskinlæringsmetoder til å oppdage trusler mot Salesforce-organisasjonen, og fanger opp disse dataene i sanntidshendelsesobjekter. Vis nylige eller alle trusseldeteksjonshendelser med Trusseldeteksjon-appen i Salesforce-grensesnittet.

1. Finn og velg Trusseldeteksjon fra Appstarter.
2. Klikk på fanene for listevisninger av nylige eller alle hendelser som er lagret i Trusseldeteksjon-objektene.
3. Klikk på hendelsen for å vise hendelsesdetaljer.
   Se Trusseldeteksjon for å få informasjon om hvordan du leser detaljer om trusselhendelser.
4. Klikk på Relatert for å vise tilbakemeldinger knyttet til en hendelse.

Valgfrie ressurser

Nå som du har tilgang til Hendelsesovervåking-funksjoner, kan du finne ut mer om hva du ellers kan gjøre.

Tredjeparts integrasjoner

De fleste løsninger for sikkerhetsinformasjon og hendelsesbehandling (SIEM) og observabilitet kan importere hendelsesovervåking-data via våre API-er. Disse partnerne og SIEM-løsningene støtter tilkoblinger som gjør det enkelt å importere hendelsesovervåking-data.