Usted está aquí:
Activar 'Generar archivos de registro de eventos'
Configuración fundacional que activa la generación de Archivos de registro de eventos (ELF) detallados capturando la actividad integral del usuario y el sistema en toda la organización para la supervisión de la seguridad, el cumplimiento y el análisis forense.
Nombre de control
Configuración de Supervisión de eventos (Active 'Generar archivos de registro de eventos')
Descripción general de control
Configuración fundacional que activa la generación de Archivos de registro de eventos (ELF) detallados capturando la actividad integral del usuario y el sistema en toda la organización para la supervisión de la seguridad, el cumplimiento y el análisis forense.
Descripción
Cuando se activa en Configuración>Configuración de supervisión de eventos, Salesforce comienza a registrar más de 50 tipos de eventos (URI, API, LoginGeo, ReportEvent, BulkDataServicesEvent, etc.) en Big Objects con una retención de hasta 1-24 meses; requisito previo para la integración de análisis, transmisión y SIEM externo.
Configuración recomendada
Active 'Generar archivos de registro de eventos' como el primer paso en cualquier implementación de Supervisión de eventos (requiere licencia complementaria Shield/Event Monitoring).
Repercusión en la seguridad
Proporciona visibilidad completa de todas las acciones de usuario, patrones de acceso a datos y eventos del sistema, permitiendo la detección de amenazas internas, ataques de fuerza bruta, exportaciones anómalas y abuso de configuración.
Repercusión comercial
Establece una base de telemetría de seguridad de toda la organización que admite la integración de SIEM, UEBA, informes de cumplimiento y análisis operativos sin exportaciones de datos externas.
Riesgo de seguridad si no está configurado
La generación desactivada de registros de eventos de seguridad para la organización elimina la función de detección principal para la supervisión del comportamiento del usuario y la respuesta a incidentes.
Escenarios de amenazas
Complete el punto ciego a la actividad interna maliciosa, el abuso de privilegios, la exfiltración de datos a través de informes/API, indicadores de compromiso de cuenta y patrones de reconocimiento; los atacantes operan sin ser detectados.
Intervalo de puntuación de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
Sin sustitutos de mitigación para ELF. El impacto se amplía exponencialmente con recuento de usuarios, acceso externo y datos regulados; costes de almacenamiento gestionables frente a costes de fallos de incumplimiento y cumplimiento.
Riesgo más alto cuando
Los portales y usuarios externos están activados, los datos de alto valor (PHI, PII, financieros), las integraciones con API pesada o el historial de incidentes de seguridad que requieren reconstrucción forense.
Bajo riesgo cuando
Pequeño equipo de administrador interno único sin acceso externo y configuración sencilla; incluso entonces, recomendado para visibilidad de línea base.
Consideraciones comerciales y de integración
Active inmediatamente al adquirir una licencia de Supervisión de eventos. Planifique el almacenamiento de Big Object y los permisos de consumidor descendentes antes de la activación.
Directrices de revisión del estado de seguridad
Debe haberlo hecho.
Quién se ve afectado
Todos los usuarios de Salesforce (internos y externos), operaciones de seguridad, equipos de cumplimiento, auditores y cualquier sistema que consuma datos de eventos a través de API/exportación.
