您位於此處:
啟用「產生事件記錄檔」
可啟用產生詳細事件記錄檔案 (ELF) 的基礎設定,此設定會針對安全性監視、合規性和鑑識分析,在整個組織中捕捉全方位的使用者和系統活動。
控制名稱
事件監視設定 (啟用「產生事件記錄檔」)
控制概觀
可啟用產生詳細事件記錄檔案 (ELF) 的基礎設定,此設定會針對安全性監視、合規性和鑑識分析,在整個組織中捕捉全方位的使用者和系統活動。
描述
在「設定」>「事件監視設定」中啟用時,Salesforce 會開始將 50 多個事件類型 (URI、API、LoginGeo、ReportEvent、BulkDataServicesEvent 等) 記錄至「大型物件」,保留時間最多可達 1-24 個月;此為分析、串流和外部 SIEM 整合的先決條件。
建議組態
啟用「產生事件記錄檔」作為任何「事件監視」部署中的第一個步驟 (需要 Shield/Event Monitoring 附加元件授權)。
安全性影響
提供所有使用者動作、資料存取模式和系統事件的完整可視性,可偵測內部威脅、暴力攻擊、異常匯出和組態濫用。
業務影響
建立組織範圍安全性遠端測試基礎,支援 SIEM 整合、UEBA、合規性報告和作業分析,而不需要協力廠商資料匯出。
未設定安全性風險
針對組織停用的安全性事件記錄產生會消除使用者行為監視和事件回應的主要偵測功能。
威脅情況
完全隱藏惡意內部活動、濫用權限、透過報告/API、帳戶入侵指標和偵測模式的資料外洩;攻擊者未偵測到作業。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
沒有 ELF 的緩解措施替代者。影響會依使用者計數、外部存取權和受監管的資料以指數的方式調整;儲存成本可管理與缺口與合規性失敗成本。
風險愈高時機
已啟用外部使用者和入口網頁、高價值資料 (PHI、PII、財務)、高 API 整合,或需要鑑識重建的安全性事件歷程記錄。
低度風險時機
單一的小型內部管理小組,沒有外部存取權和簡單的組態;即使如此,仍建議使用基準可視性。
業務與整合考量事項
立即在取得「事件監視」授權時啟用。請在啟用前規劃「大型物件」儲存空間和下游取用者權限。
安全性健康檢閱指南
必須。
受影響的人員
所有 Salesforce 使用者 (內部與外部)、安全性作業、規範小組、稽核員,以及任何透過 API/匯出取用事件資料的系統。
