Sicherheitsüberwachung in Salesforce: Ein Überblick – Anmeldungsverlauf
In dieser Blogreihe Onapsis Research Labs Ihnen die verschiedenen Arten von Audit-Funktionen von Salesforce vor, analysiert diese und zeigt auf, wie sie sich gegenseitig ergänzen.
Angemessene Überwachungsfunktionen (und die Auswertung der Ergebnisse) sind entscheidend für die Aufrechterhaltung eines hohen Sicherheitsniveaus. Ohne sie haben Unternehmen keinen Überblick darüber, was in ihren wichtigsten Systemen und Prozessen vor sich geht. Eine angemessene Überwachung hilft dabei, ungewöhnliches Verhalten schnell zu erkennen, das oft ein Hinweis auf Missbrauch oder – schlimmer noch – auf eine Kompromittierung ist.
In dieser Reihe möchte ich folgende Themen behandeln:
- Anmeldeverlauf
- Prüfpfad einrichten
- Ereignisüberwachung
- Ereignisüberwachung in Echtzeit
Hinweis: Salesforce bietet eine weitere interessante Funktion namens „Field History Tracking“ an, die Änderungen in ausgewählten Feldern nachverfolgt. Obwohl diese Funktion wichtig und sehr nützlich ist, werde ich sie in dieser Reihe nicht behandeln.
Anmeldungsverlauf bei Salesforce
Der Anmeldeverlauf ist eine der gängigsten Protokollierungsfunktionen. Sie finden ihn im Menü unter „Einstellungen“ → „Anmeldeverlauf“.Damit können Salesforce-Sicherheitsadministratoren Anmeldeversuche bei der Salesforce-Instanz der Organisation überprüfen und nachverfolgen. Standardmäßig können Sie verschiedene Informationen zu einem Anmeldeversuch abrufen, darunter Benutzername, Datum und Uhrzeit, IP-Adresse sowie die Angabe, ob die Anmeldung erfolgreich war oder nicht. Wenn Sie zusätzliche Daten benötigen, können Sie eine benutzerdefinierte Ansicht erstellen und Felder wie das Land, aus dem die Anmeldung stammt, und die verwendete HTTP-Methode hinzufügen.
Der Anmeldeverlauf speichert Anmeldeinformationen der letzten sechs Monate, die Sie als CSV-Datei oder komprimiert herunterladen können. (Hinweis: Falls Ihr Unternehmen über eine Aufbewahrungsrichtlinie verfügt, nach der Anmeldeversuche über einen längeren Zeitraum gespeichert werden müssen, müssen Sie diese manuell herunterladen und speichern.) Der Anmeldeverlauf ist ohne zusätzliche Kosten für Add-ons enthalten – ein großer Unterschied zu anderen nützlichen Tools wie dem Add-on „Ereignisüberwachung“.
Einschränkungen beim Anmeldeverlauf
Ein erwähnenswertes Verhalten ist, dass der Anmeldungsverlauf keine Anmeldeversuche von Benutzern erfasst, die in der Organisation nicht vorhanden sind. Berücksichtigen Sie bei der Analyse der bereitgestellten Informationen, wie lange Benutzersitzungen dauern, bevor das Zeitlimit erreicht ist. Es kann vorkommen, dass Sie nach einem Anmeldeereignis an einem bestimmten Tag suchen, aber wenn Ihre Organisation lange Inaktivitätszeiträume (beispielsweise 12 oder 24 Stunden) konfiguriert hat, können sich Benutzersitzungen über zwei Tage erstrecken, sodass Sie für den betreffenden Tag kein Anmeldeereignis finden.
Ein weiterer Sonderfall, der vom Anmeldungsverlauf nicht erfasst wird, ist die Funktion „Als anderer Benutzer anmelden“. Diese Funktion ermöglicht es Salesforce-Administratoren, sich als anderer Benutzer anzumelden, was nützlich ist, um Fehler zu reproduzieren oder fehlende Berechtigungen zu beheben. Wenn diese Funktion in Ihrer Organisation aktiviert ist und sich ein Salesforce-Administrator als anderer Benutzer anmeldet, wird dies nicht im Anmeldungsverlauf protokolliert, da diese Anmeldung über einen anderen Mechanismus als die herkömmliche Anmeldung erfolgt. Wenn Sie Anmeldungen überprüfen möchten, die über diese Methode durchgeführt wurden, können Sie den „Setup-Prüfpfad“ verwenden. Wir werden dies in einem zukünftigen Blogbeitrag behandeln.
Anwendungsfälle für den Anmeldeverlauf
Der Anmeldeverlauf kann sehr nützlich sein, um verschiedene Angriffe aufzudecken oder die Einhaltung von Compliance-Richtlinien zu überprüfen, zum Beispiel:
- Versuche, Passwörter zu erraten (eine große Anzahl ungültiger Anmeldeversuche, die ein oder mehrere Konten betreffen)
- Gestohlene Zugangsdaten oder gemeinsame Nutzung eines Kontos (mehrere Anmeldungen beim selben Konto von verschiedenen IP-Adressen aus)
- Einhaltung der Anmelderichtlinien (Verwendung bestimmter Anmeldemethoden)
Wenn Sie komplexe Suchvorgänge durchführen müssen, können Sie mithilfe von SOQL-Abfragen auf den Anmeldeverlauf zugreifen. Nachstehend finden Sie ein einfaches Beispiel:
Eine weitere Möglichkeit besteht darin, den Anmeldeverlauf über SOAP-API-Aufrufe abzurufen, doch angesichts der Komplexität dieses Themas werde ich dies für den nächsten Blogbeitrag aufheben.
Wie Sie sehen, können Sie die Daten aus der Funktion „Anmeldungsverlauf“ von Salesforce nutzen, um zu verfolgen, wer sich wo bei Ihrer Organisation anmeldet – und entsprechend zu reagieren. Im nächsten Blogbeitrag werde ich weitere Alternativen untersuchen, die den Anmeldungsverlauf ergänzen und uns dabei helfen, die Sicherheit unserer Organisation zu gewährleisten. Bleiben Sie dran!
Literaturverzeichnis
- https://developer.salesforce.com/docs/atlas.en-us.232.0.object_reference.meta/object_reference/sforce_api_objects_user.htm
- https://developer.salesforce.com/docs/atlas.en-us.sfFieldRef.meta/sfFieldRef/salesforce_field_reference_LoginHistory.htm
Weiterführende Literatur
- Die monatlichen „SAP Patch Tuesday“-BlogbeiträgeOnapsis Research Labs.
- Schützen Sie Ihre geschäftskritischen SAP-Anwendungen vor aktuellen Bedrohungen – mit diesem gemeinsamen Bericht von SAP und Onapsis.