您在此处:
事件管理器
用于激活 50 多种事件类型的实时存储和流的中央控制台,通过大对象进行历史分析,并通过 SIEM/安全平台的发布/订阅 API 进行即时外部消耗。
控件名称
事件管理器(选择“启用存储”和/或“启用流”,以在实时 Event Monitoring 中捕获事件数据)。
控制概览
用于激活 50 多种事件类型的实时存储和流的中央控制台,通过大对象进行历史分析,并通过 SIEM/安全平台的发布/订阅 API 进行即时外部消耗。
描述
在“设置>事件管理器”中,按事件切换控制 LoginEvent、ReportEvent、URIEvent 等是填充事件日志文件(存储)还是发布到流渠道。支持双模式,以实现全面覆盖。
推荐配置
选择“事件管理器”->选择“启用存储”和/或“启用流”以在实时 Event Monitoring 中捕获事件数据;为关键事件(登录、报表、API)启用两者,流仅用于高用量/低保留期需求。
安全影响
实时向安全工具提供完整的用户活动遥测,同时为取证保留 1-24 个月的历史数据;这是 UEBA、威胁猎杀和合规的基础。
业务影响
消除了外部系统的轮询/同步延迟,启用了实时仪表板,并支持成本优化的保留(高用量流,有选择地存储)。
安全风险(如果未配置)
禁用用于监控的实时事件数据流会对时间敏感的威胁造成检测缺口,例如客户泄露或正在进行的数据泄露。
威胁场景
禁用实时监控会阻止及时检测安全事件,并延迟事件响应;攻击者会在检测前完成批量导出或权限升级。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
流增加了最少的成本,但价值很高;存储随着活动量而变化;首先根据威胁模型确定高风险事件的优先级。
高风险
启用了外部/合作伙伴访问、API 密集型集成、受监管的数据 (PHI/PII) 或现有的 SIEM 需要 Salesforce RTEM 摘要。
低风险
仅限内部用户,工作流简单,本地登录历史足够,没有实时外部监控要求。
业务和集成注意事项
在生产启用之前测试流端点;计划用于存储的大对象存储预算选项。
安全健康审查指导
强烈推荐。
谁受到影响
配置 SIEM 流的安全工程师、构建仪表板的分析师、需要完整审计跟踪的合规团队、集成架构师。
