PARTNERS

Monitoring von Real-Time Events von Salesforce mit Splunk

ISalesforce Logom Jahr 2019 gab Salesforce die allgemeine Verfügbarkeit von Real-Time Event Monitoring (RTEM) bekannt, das 19 verschiedene Events umfasst, die das Monitoring und den Schutz eurer Salesforce-Daten unterstützen. Real-Time Event Monitoring speichert Ereignisse 6 Monate lang in Form von Salesforce Big Objects und führt das Streaming von Events nahezu in Echtzeit mithilfe der Salesforce Streaming-API durch. Auf diese Weise können Kunden bis zu 6 Monate Benutzer- und Anwendungsaktivitäten überprüfen und die Ereignisse nahezu in Echtzeit mit den Systemen von Drittanbietern ihrer Wahl verbinden.

Salesforce-Kunden können das Event Monitoring für eine Vielzahl von Anwendungsfällen nutzen, die sich um Sicherheit, Anwendungsleistung und Produktinformationen drehen.

Event Monitoring-Anwendungsfall | SFDC und Splunk

Mit RTEM-Daten erhaltet ihr in Echtzeit Einblick in die Art und Weise, wie sensible Daten angezeigt, exportiert oder über die API abgefragt werden. So können Insider-Bedrohungen und böswillige/versehentliche Daten-Incidents rechtzeitig erkannt werden. Real Time Event Monitoring verleiht Security-Teams die Fähigkeit, verschiedene Akteure zu überwachen und zu untersuchen, denen ein hohes Risiko zugeschrieben wird, etwa ausscheidende Mitarbeiter, privilegierte Benutzer (Salesforce-Administratoren) und Entwickler.

Personen mit hohem Risiko | SFDC und Splunk

 

Zum Real-Time Event Monitoring gehört außerdem die Bedrohungserkennung, die Machine Learning verwendet, um Bedrohungen zu identifizieren und aufzudecken, die mit API-/Berichtsinteraktionen, Angriffen durch Sitzungsübernahme und Credential Stuffing in Zusammenhang stehen.

Eine weitere Funktion in RTEM ist Transaktionssicherheit, die von Salesforce-Kunden verwendet werden kann, um benutzerdefinierte Sicherheitsrichtlinien einzurichten. Auf diese Weise können Warnmeldungen erfolgen oder potenziell böswillige Benutzer daran gehindert werden, risikobehaftetes Verhalten fortzusetzen, etwa das Herunterladen großer Mengen an vertraulichen Daten.

Real Time Event Monitoring ist für Salesforce-Kunden als Add-On-Produkt erhältlich. Es bildet einen Teil der Suite von Premium-Sicherheitsprodukten von Salesforce, Shield, die für moderne Security-Teams unverzichtbar ist, um in der heutigen Welt voller Cyber-Bedrohungen ein hohes Sicherheitsniveau zu gewährleisten. Wenn ihr Salesforce-Kunde seid und mehr über Real-Time Event Monitoring erfahren möchtet, seht euch den RTEM Trailhead an.

Splunk und das Real-Time Event Monitoring von Salesforce

Viele Salesforce-Kunden nutzen Splunk sehr gerne mit dem auf Badge-Logs basierenden Angebot in Event Monitoring v1 - EventLogFiles - und dem weithin eingesetzten Splunk Add-On for Salesforce. Die Kombination aus Salesforce und Splunk wird aber noch besser, wenn Real-Time Events als unterstützte Datenquelle in Splunk hinzugefügt wird, wodurch sich die Latenzzeit, mit der Salesforce-Ereignisse an Splunk übermittelt werden, drastisch reduziert.

Diese tolle Demo, die vom Splunk-Team entwickelt wurde, veranschaulicht die Leistungsstärke der ganz neuen Splunk-Integration von Real-Time Event Monitoring, bei deren Entwicklung Salesforce und mehrere Hauptkunden mitgewirkt haben. Die Demo vermittelt eine umfassende Übersicht der verschiedenen Salesforce-Datenquellen, die in Splunk importiert werden können, und zeigt, wie einfach es ist, Splunk-Dashboards zum Nachverfolgen von Sicherheitsproblemen wie fehlgeschlagenen Anmeldungen, verdächtigen Login-as-Aktivitäten und mit hohem Risiko verbundenen Änderungen von Berechtigungen zu verwenden. Sie zeigt außerdem, wie Kunden Splunk SOAR nutzen können, um robuste Strategien zur Reaktion auf Bedrohungen zu implementieren und Bedrohungen zu entschärfen, die mithilfe von Event Monitoring erkannt wurden. Einen Höhepunkt erreicht die Demo, wenn Splunk uns schrittweise durch die Einrichtung benutzerdefinierter Warnmeldungen durch Sicherheitsteams führt, die auf Real-Time Events basieren und auf die direkt in Slack reagiert werden kann!

Die Kombination aus der umfangreichen Sammlung von Aktivitätsdaten von Event Monitoring mit den robusten Funktionen von Splunk ergibt eine unglaubliche Lösung für gemeinsame Kunden von Salesforce und Splunk. Mehr über die Integration und die App erfahrt ihr in der Demo hier.


Über den Autor
Dies ist ein Gast-Blogbeitrag von Trevor Scott, Product Manager für Event Monitoring bei Salesforce.

*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.

Splunk
Posted by

Splunk