Вы находитесь здесь:
Включить «Создание файлов журнала событий»
Базовый параметр, активирующий создание подробных файлов журнала событий (ELF), собирающих комплексные действия пользователя и системы в организации для мониторинга безопасности, соответствия и судебно-медицинского анализа.
Управление именем
Параметры мониторинга событий (Включить «Создание файлов журнала событий»)
Общие сведения о контроле
Базовый параметр, активирующий создание подробных файлов журнала событий (ELF), собирающих комплексные действия пользователя и системы в организации для мониторинга безопасности, соответствия и судебно-медицинского анализа.
Описание
При включении в настройках>Параметры мониторинга событий Salesforce начинает регистрировать 50+ типов событий (URI, API, LoginGeo, ReportEvent, BulkDataServicesEvent и прочие) в больших объектах с сохранением до 1-24 месяцев; необходимое условие для аналитики, потоковой передачи и внешней интеграции SIEM.
Рекомендованная конфигурация
Включите «Создание файлов журнала событий» в качестве первого шага в любом развертывании Event Monitoring (требуется дополнительная лицензия Shield/Event Monitoring).
Влияние на безопасность
Предоставляет полный доступ ко всем действиям пользователя, схемам доступа к данным и системным событиям, что позволяет обнаруживать инсайдерские угрозы, атаки грубой силы, аномальные экспорты и злоупотребления конфигурацией.
Влияние на бизнес
Создает единую основу телеметрии безопасности, поддерживающую интеграцию SIEM, UEBA, составление отчетов о соответствии и оперативную аналитику без экспорта сторонних данных.
Риск безопасности, если он не настроен
Выключенное создание журналов событий безопасности для организации устраняет основную возможность обнаружения для отслеживания поведения пользователя и реагирования на инциденты.
Сценарии угроз
Полное закрытие зоны для вредоносной инсайдерской деятельности, злоупотребления привилегиями, извлечения данных посредством отчетов/API, индикаторов компрометации организаций и схем разведки; злоумышленники действуют незамеченными.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Нет заменителей смягчения для ELF. Влияние расширяется экспоненциально с количеством пользователей, внешним доступом и регулируемыми данными; затраты на хранение управляемы по сравнению с расходами на нарушение и несоблюдение.
Повышенный риск при
Внешним пользователям и порталам доступны ценные данные (PHI, PII, Financial), интеграции с высоким уровнем API или журнал инцидентов безопасности, требующих судебно-медицинского восстановления.
Низкий риск при
Отдельная небольшая группа внутреннего администратора без внешнего доступа и простой конфигурации; даже в этом случае рекомендуется для базовой доступности.
Рекомендации по бизнесу и интеграции
Включите немедленно после приобретения лицензии Event Monitoring. Планируйте хранение больших объектов и полномочия пользователя в нисходящем направлении перед активацией.
Руководство по проверке состояния безопасности
Наверное.
На кого влияет
Все пользователи Salesforce (внутренние и внешние), операции безопасности, группы соответствия, аудиторы и любые системы, использующие данные событий посредством API/экспорта.
