Usted está aquí:
Control de gestor de eventos
Consola central para activar el almacenamiento y la transmisión en tiempo real para más de 50 tipos de eventos, lo que permite tanto el análisis histórico a través de Big Objects como el consumo externo inmediato a través de la API Pub/Sub para plataformas SIEM/de seguridad.
Nombre de control
Gestor de eventos (Seleccione 'Activar almacenamiento' y/o 'Activar transmisión' para capturar datos de eventos en Monitoreo de eventos en tiempo real).
Descripción general de control
Consola central para activar el almacenamiento y la transmisión en tiempo real para más de 50 tipos de eventos, lo que permite tanto el análisis histórico a través de Big Objects como el consumo externo inmediato a través de la API Pub/Sub para plataformas SIEM/de seguridad.
Descripción
La alternancia por evento en Configuración>Gestor de eventos controla si LoginEvent, ReportEvent, URIEvent, etc. rellenan Archivos de registro de eventos (almacenamiento) o publican en canales de transmisión. Admite el modo dual para una cobertura integral.
Configuración recomendada
Seleccione 'Gestor de eventos' ->Seleccione 'Activar almacenamiento' y/o 'Activar transmisión' para capturar datos de eventos en Monitoreo de eventos en tiempo real; active ambos para eventos críticos (Inicio de sesión, Reporte, API), transmisión solo para necesidades de alto volumen/baja retención.
Impacto de seguridad
Entrega telemetría de actividad de usuario completa a herramientas de seguridad en tiempo real preservando al mismo tiempo datos históricos de 1 a 24 meses para análisis forenses; fundamentales para UEBA, caza de amenazas y cumplimiento.
Repercusión de negocio
Elimina los retrasos de sondeo/sincronización para sistemas externos, activa tableros en vivo y admite la retención optimizada en costos (retransmisión de gran volumen, almacenamiento selectivo).
Riesgo de seguridad si no está configurado
La transmisión desactivada de datos de eventos en tiempo real para el monitoreo crea brechas de detección para amenazas urgentes como compromiso de cuenta o exfiltración de datos en curso.
Escenarios de amenazas
El monitoreo en tiempo real desactivado evita la detección oportuna de incidentes de seguridad y retrasa la respuesta a incidentes; los atacantes completan exportaciones masivas o distribución de privilegios antes de la detección.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
La transmisión agrega un costo mínimo pero un alto valor; el almacenamiento se amplía con el volumen de actividad; dé prioridad a eventos de alto riesgo primero basándose en el modelo de amenazas.
Mayor riesgo cuando
Acceso externo/socio activado, integraciones con API intensa, datos regulados (PHI/PII) o SIEM existente esperando noticias en tiempo real de Salesforce RTEM.
Bajo riesgo cuando
Solo usuarios internos, flujos de trabajo sencillos, Historial de inicio de sesión nativo suficiente, sin requisitos de monitoreo externo en tiempo real.
Consideraciones de negocio e integración
Pruebe extremos de transmisión antes de la activación de producción; planifique presupuestos de almacenamiento de Big Object para la opción de almacenamiento.
Directrices de revisión del estado de seguridad
Muy recomendable.
Quién se ve afectado
Ingenieros de seguridad que configuran transmisiones SIEM, analistas que crean tableros, equipos de cumplimiento que requieren seguimientos de auditoría completos, arquitectos de integración.
