销售人员

您可以将Salesforce实例与InsightIDR连接,以监控Salesforce用户帐户和身份验证事件。这种集成依赖于对Salesforce API的访问,以便在InsightIDR中发出API调用并接收结果。

但是,请确保您符合以下Salesforce要求和最佳实践:

  • 您有Salesforce企业版。
  • URLhttps://login.salesforce.com已打开,可供InsightIDR收集器使用。
  • 您有一个Salesforce的生产实例。InsightIDR收集器不能用于试用或开发实例。

最佳做法是使用具有“启用API”权限的专用只读用户进行此集成。此用户必须至少具有对的只读访问权限用户LoginHistory对象,以及启用API许可。

不要使用Salesforce管理用户。

建议Salesforce系统管理员完成本指南中提供的说明。

要成功配置此事件源,请执行以下操作:

  1. Salesforce配置权限
  2. 创建Salesforce令牌
  3. 为InsightIDR配置Salesforce

配置Salesforce API权限

您必须通过一个名为“API Enabled”的设置为用户提供对API的访问。您可以通过两种不同的方式授予此权限:

  1. 用户配置文件权限
  2. 应用于集成用户的权限集

用户配置文件权限

将某个配置文件分配给用户时,该用户将继承该配置文件的权限。

通过用户的配置文件添加“API启用”权限:

  1. 登录到您的Salesforce实例。
  2. 引导到安装>管理>用户>用户并找到要用于此集成的用户。或者,您可以搜索集成用户。
  3. 单击轮廓提供链接。
  1. 在“个人资料”页面,点击编辑按钮在页面的顶部。
  2. 在“管理权限”部分下,确保启用API复选框已选中。如果不是,请选中该框并单击拯救按钮

用户现在有“API启用”的权限从他们的链接的Profile权限。任何共享这个概要文件的用户也可以访问这个API。

权限集

向用户授予必要的API权限的第二种方法是创建权限集并将权限集分配给用户。权限集是附加的,这意味着与配置文件不同,用户可以拥有零、一个或多个权限集。

要为“启用API”设置创建权限集,请执行以下操作:

  1. 登录到您的Salesforce实例。
  2. 引导到设置>管理>用户>权限集。
  3. 搜索现有的权限集或按照以下说明创建新的权限集:https://help.salesforce.com/articleView?id=perm_sets_create.htm&type=5
  1. 在搜索栏中搜索“API Enabled”,或者在“System Permissions”一节中找到它。
  1. 确保选中“API已启用”框。如果不是,请单击编辑按钮并选中该框,然后单击拯救按钮
  2. 在页面顶部,单击管理任务按钮并查找此集成的指定用户。
  3. 选择要分配此权限集的用户名。

该用户现在可以通过链接的权限集访问API。

创建Salesforce令牌

在用户拥有适当的API权限之后,您必须为他们提供一个安全令牌。

要为该用户创建安全令牌,请执行以下操作:

  1. 以集成用户身份登录Salesforce。
  2. 展开右上角的轮廓并选择设置链接
  3. 在左侧菜单上,展开我的个人资料页面并选择重置我的安全令牌
  4. 单击重置安全令牌按钮
  5. 令牌将通过电子邮件发送到集成用户的电子邮件地址。复制此文件以供以后在InsightIDR中使用。

为InsightIDR配置Salesforce

要在InsightIDR中设置Salesforce,您需要以下信息:

  • 登录网址
  • 资质
  • 暗语
  • 安全令牌
  • 用户帐户刷新率(天)
  • 用户登录信息刷新率(小时)

要配置此事件源,请执行以下操作:

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当数据收集页面出现时,单击设置事件源下拉选择添加事件源.
  3. 从“安全数据”部分,单击云服务偶像此时会出现“添加事件源”面板。
  4. 选择您的收集器并选择Salesforce.com作为事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配的。
  6. 选择发送未过滤原木.
  7. 在“登录URL”字段中,提供Salesforce帐户的登录URL。
  8. 选择您的Salesforce凭据,或者(可选)创建新凭据.
  9. 在“密码”字段中,输入Salesforce帐户的密码。
  10. 在“安全令牌”字段中,提供从Salesforce帐户生成的安全令牌。
  11. 在“用户帐户刷新率”中,输入用户帐户刷新率(以天为单位)。此字段指示从应用程序收集Salesforce用户列表以将帐户映射到用户身份的频率。
  12. 在“用户登录信息刷新率”字段中,输入用户登录信息刷新率(以天为单位)。此字段指示收集与Salesforce用户相关的登录和进入活动的频率。
  13. 配置您的默认域还有高级事件源设置.
  14. 单击拯救按钮

当此事件源成功运行时,您将看到入口活动和禁用的帐户事件。

Salesforce使用开放源码身份验证标准OAuth与其他应用程序集成。有关更多信息,请阅读本文:https://developer.salesforce.com/docs/atlas.en-us.api_streaming.meta/api_streaming/code_sample_auth_oauth.htm.

故障排除

如果您看到错误代码[LoginFault[APIFULT exceptionCode='INVALID\u LOGIN'exceptionMessage='无效的用户名、密码、安全令牌;或用户被锁定。']]那么你必须重置安全令牌.