Быстрый пуск: Отслеживание событий

Назначение полномочия мониторинга событий

Настройте мониторинг событий с одним полномочием. Полномочие пользователя отслеживания событий предоставляет доступ к файлам журнала событий (ELF), объектам журнала событий (ELO), событиям в реальном времени и приложению обнаружения угроз.

1. Введите строку «Полномочия» в поле «Быстрый поиск» меню «Настройка» и выберите пункт «Наборы полномочий».
2. Нажмите Пользователь отслеживания событий | Управление назначениями .
3. Выберите пользователя и нажмите «Добавить назначения».

Включение мониторинга событий

Включите критические параметры ELF.

1. Введите строку «Отслеживание событий» в поле «Быстрый поиск» меню «Настройка» и выберите пункт «Параметры мониторинга событий».
2. Включите:
   1. Просмотр данных журнала событий в приложениях аналитики: отображаются данные ELF в CRM Analytics.
   2. Создание файлов журнала событий: создает более 70 разных типов ELF. Создание файлов журнала событий включено по умолчанию для клиентов Shield & Event Monitoring.
   3. Сохранение файлов журнала событий: хранение данных ELF в течение одного года.
      

      Примечание При необходимости, функция «Резервная копия и восстановление» может хранить данные ELF более года.
   4. (Дополнительно) Удаление данных мониторинга событий: позволяет вручную удалять данные ELF, которые иногда требуются для соответствия нормативным требованиям и требованиям конфиденциальности, например, GDPR.
   5. (Дополнительно) Включить Lightning Logger: добавляет возможность наблюдения к веб-компонентам Lightning (LWC) посредством API инструментов настраиваемого компонента. Инструментируйте вручную LWC вашей организации посредством Lightning Logger. Журналы, созданные Lightning Logger, публикуются посредством типа события Lightning Logger.
   

Включение хранилища мониторинга событий и потоковой передачи в реальном времени

Мониторинг событий в реальном времени (RTEM) публикует события пользователя практически в режиме реального времени. Вы можете хранить и запрашивать данные RTE в больших объектах Salesforce для целей аудита и составления отчетов.

События RTEM, сохраненные в Salesforce, не учитываются ограничениями хранилища данных. Многие события хранилища являются большими объектами Salesforce, которые идеально подходят для хранения больших объемов данных. См. Хранилище данных мониторинга событий в реальном времени.

Примечание Рекомендуем включить хранилище для всех событий в реальном времени.

Вы можете подписаться на события в реальном времени, опубликованные Salesforce для отслеживания действий в вашей организации. См. Потоковая передача данных мониторинга событий в реальном времени.

Примечание Включите потоковую передачу, только если планируете настроить подписчика посредством CometD или Public/Sub API.

1. Введите строку «Менеджер событий» в поле «Быстрый поиск» меню «Настройка» и нажмите «Менеджер событий».
2. В раскрывающемся списке рядом с событием нажмите «Включить хранилище» и «Включить потоковую передачу».

Настройка объекта Event Log Analytics

Получите доступ к производительности платформы, угрозам безопасности и поведению пользователя при трансформации данных журнала посредством аналитики объектов журнала событий (ELO). Активные важные данные помогают активно выявлять и устранять скрытые системные преграды и обнаруживать аномалии безопасности до их влияния на производственную среду.

1. В средстве запуска приложений найдите и выберите Analytics Studio.
2. Нажмите «Создать» и выберите «Приложение».
3. Введите строку «Объекты Analytics журнала событий мониторинга событий» в поле поиска.
4. Нажмите на шаблон «Объекты журнала событий Event Monitoring Analytics», а потом нажмите «Продолжить».
5. Присвойте имя своему приложению и нажмите «Создать».
   

Запрос и визуализация объектов журнала событий

Быстро открывайте и анализируйте данные визуального журнала для более раннего обнаружения инцидентов безопасности и производительности.

1. Введите строку «Analytics Studio» в поле «Быстрый поиск» меню «Настройка» и выберите пункт «Analytics Studio».
2. Чтобы создать панель мониторинга, нажмите кнопку «Создать», а затем выберите пункт «Панель мониторинга» в раскрывающемся списке.
3. Перетащите параметр «Диаграмма» на панель мониторинга.
4. Чтобы выбрать источник данных, нажмите на новую диаграмму.
5. В окне источника данных перейдите во вкладку «Объект Salesforce».
6. Для просмотра всех объектов журнала событий найдите журнал событий.
7. Выберите данные объекта журнала событий для визуализации. См. Визуализация данных с помощью диаграмм.
8. Данные можно визуализировать в разных типах диаграмм посредством Salesforce Direct. Ограничьте количество панелей на панели мониторинга, чтобы избежать истечения срока действия. См. Прямые запросы данных Salesforce.
   

Создание политик безопасности транзакций

Используйте конструктор условий безопасности транзакций для создания политик безопасности транзакций (TSP), которые могут уведомить вас или заблокировать действие, когда пользователь выполняет потенциально злонамеренное или рискованное действие в Salesforce.

Примечание Совместно с InfoSec или группами безопасности выберите соответствующие события и настройте политики безопасности транзакций корректно. Взаимодействие заинтересованных лиц в области безопасности помогает согласовать мониторинг событий с общей стратегией безопасности и целями соответствия.

Дополнительную информацию о добавленных TSP, примерах и использовании Apex для расширенных способов использования см. в разделе «Основные политики безопасности транзакций для улучшения состояния безопасности».

Данный пример создает политику, уведомляющую о загрузке отчета, содержащего более 10 000 записей.

1. На странице настроек в поле быстрого поиска введите «Безопасность транзакций», а затем выберите «Политики безопасности транзакций».
2. Нажмите «Создать», а потом выберите «Конструктор условий».
3. Нажмите кнопку «Далее».
4. Выберите или введите:
   1. Событие: Событие отчета
   2. Логика условия: Соответствие всем условиям (AND)
   3. Условие: Операция равно ReportExported
   4. Условие: Обработано более 10 000 строк
5. Нажмите кнопку «Далее».
6. Выберите или введите:
   1. Действие: Отсутствует
   2. Уведомление: Электронное уведомление
   3. Получатель: Выберите себя
   4. Имя: Введите имя
   5. Статус: Включено
7. Нажмите «Готово».

Настройка обнаружения угроз

Прежде чем просматривать события обнаружения угроз в Salesforce и предоставлять отзыв, необходимо сделать приложение доступным для пользователей. Вы также указываете, какие вкладки доступны разным профилям пользователей.

Примечание Рекомендуем создать политики безопасности транзакций, уведомляющие о публикации событий обнаружения угроз.

Убедитесь в наличии набора полномочий пользователя мониторинга событий, содержащего «Просмотр событий обнаружения угроз».

1. Используйте менеджер событий для включения потоковой передачи и хранения для событий обнаружения угроз: ReportAnomalyEvent, SessionHijackingEvent, GuestUserAnomalyEvent, LoginAnomalyEvent и CredentialStuffingEvent.Создайте набор полномочий, связанный с лицензией Salesforce.
2. Отредактируйте параметры вкладки каждого профиля пользователя, использующего приложение обнаружения угроз, и укажите доступность вкладок. Вкладки называются «Магазин событий аномалий отчетов», «Магазин событий перехвата сеансов», «Магазин событий стаффинга регистрационных данных» и «Отзыв об обнаружении угроз».
   Например, системные администраторы обычно имеют доступ ко всему в пользовательском интерфейсе, поэтому установите доступность всех вкладок на «Включены стандартные параметры» для профиля «Системный администратор». Если вы создали профиль администратора обнаружения угроз, установите такую же доступность. Если вы не хотите, чтобы стандартные пользователи видели отзыв, установите доступность «Отзыва об обнаружении угроз» для профиля стандартного пользователя на «Вкладка скрыта».
3. Введите строку «Менеджер приложений» в поле «Быстрый поиск» меню «Настройка».
4. Отредактируйте приложение обнаружения угроз, выбрав «Правка» в раскрывающемся списке справа от приложения.
   
5. В разделе «Назначение профилям» выберите профили для доступа к приложению обнаружения угроз.
   
6. Сохраните внесенные изменения.

Просмотр сведений об обнаружении угроз и предоставление отзывов

Обнаружение угроз использует статистические методы и методы компьютерного обучения для обнаружения угроз организации Salesforce и собирает эти данные в объектах событий в реальном времени. Просмотрите недавние или все события обнаружения угроз в приложении обнаружения угроз в пользовательском интерфейсе Salesforce.

1. В средстве запуска приложений найдите и откройте «Обнаружение угроз».
2. Нажмите на вкладки для списковых представлений недавних или всех событий, сохраненных в объектах обнаружения угроз.
3. Для просмотра сведений о событии нажмите на событие.
   См. Обнаружение угроз для получения сведений о том, как читать сведения о событии угрозы.
4. Для просмотра отзыва, связанного с событием, нажмите «Связанные ».

Дополнительные ресурсы

Теперь, когда у вас есть доступ к функциям отслеживания событий, узнайте больше о том, что еще можно сделать.

Сторонние интеграции

Большинство решений по безопасности, управлению событиями (SIEM) и наблюдению могут импортировать данные мониторинга событий посредством наших API. Эти партнеры и решения SIEM поддерживают подключения, упрощающие импорт данных мониторинга событий.