この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

SessionHijackingEventStore

未承認ユーザが、いつ盗まれたセッション識別子を使用して Salesforce ユーザのセッションの所有権を取得したかを追跡します。このようなイベントを検出するために、Salesforce は、確率的に推測された有意な変化を使用して、ユーザの現在のブラウザフィンガープリントが以前の既知のフィンガープリントからどの程度有意に異なるかを評価します。SessionHijackingEventStore は、SessionHijackingEvent のイベントデータを格納するオブジェクトです。このオブジェクトは API バージョン 49.0 以降で使用できます。

サポートされているコール

describeLayout()describeSObjects()getDeleted()getUpdated()query()

特別なアクセスルール

このオブジェクトにアクセスするには、Salesforce Shield または Event Monitoring アドオンサブスクリプションと、「リアルタイムイベントモニタリングデータを表示」ユーザ権限が必要です。

項目

項目 詳細
CurrentIp
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントの IP アドレス。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前の IP アドレスについては、PreviousIp 項目を参照してください。確認されたフィンガープリントの逸脱に IP アドレスが寄与していない場合、この項目の値は PreviousIp 項目の値と同じです。たとえば、「126.7.4.2.」などです。
CurrentPlatform
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのプラットフォーム。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のプラットフォームについては、PreviousPlatform 項目を参照してください。確認されたフィンガープリントの逸脱にプラットフォームが寄与していない場合、この項目の値は PreviousPlatform 項目の値と同じです。たとえば、MacIntel または Win32 です。
CurrentScreen
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントの画面。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前の画面については、PreviousScreen 項目を参照してください。確認されたフィンガープリントの逸脱に画面が寄与していない場合、この項目の値は PreviousScreen 項目の値と同じです。たとえば、(900.0,1440.0) または (720,1280) です。
CurrentUserAgent
textarea
プロパティ
Nillable
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのユーザエージェント。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のユーザエージェントについては、PreviousUserAgent 項目を参照してください。確認されたフィンガープリントの逸脱にユーザエージェントが寄与していない場合、この項目の値は PreviousUserAgent 項目の値と同じです。たとえば、「Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36」などです。
CurrentWindow
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのブラウザウィンドウ。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のウィンドウについては、PreviousWindow 項目を参照してください。確認されたフィンガープリントの逸脱にウィンドウが寄与していない場合、この項目の値は PreviousWindow 項目の値と同じです。たとえば、「(1200.0,1920.0)」などです。
EvaluationTime
double
プロパティ
Filter、Nillable、Sort
説明
ポリシーの評価にかかった時間 (ミリ秒単位)。
EventDate
dateTime
プロパティ
Filter、Sort
説明
必須。異常が検出された時間。たとえば、「2020-01-20T19:12:26.965Z」などです。最も細かい設定はミリ秒です。
EventIdentifier
string
プロパティ
Filter、Group、Sort
説明
必須。イベントの一意の ID。たとえば、0a4779b0-0da1-4619-a373-0a36991dff90 です。
LastReferencedDate
dateTime
プロパティ
Filter、Nillable、Sort
説明
現在のユーザがこのレコードに関連するレコードを最後に表示したときのタイムスタンプ。
LastViewedDate
dateTime
プロパティ
Filter、Nillable、Sort
説明
現在のユーザがこのレコードを最後に表示したときのタイムスタンプ。この値が null の場合、このレコードは表示ではなく参照 (LastReferencedDate) された可能性があります。
LoginKey
string
プロパティ
Filter、Group、Nillable、Sort
説明
特定のユーザのログインセッションのすべてのイベントを結び付ける文字列。このセッションはログインイベントで開始され、ログアウトイベントまたはユーザセッションの期限切れで終了します。たとえば、lUqjLPQTWRdvRG4 です。
PolicyId
reference
プロパティ
Filter、Group、Nillable、Sort
説明
このイベントに関連付けられたトランサクションポリシーの ID。たとえば、0NIB000000000KOOAY です。
PolicyOutcome
picklist
プロパティ
Filter、Group、Nillable、Restricted picklist、Sort
説明
トランサクションポリシーの結果。値は次のとおりです。
  • Error - ポリシーの実行時にポリシーによっ���未定義のエラーが発生しました。
  • NoAction - ポリシーがトリガしませんでした。
  • Notified - 受信者に通知が送信されました。
PreviousIp
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントの IP アドレス。新しく確認されたフィンガープリントの IP アドレスはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認された IP アドレスについては、CurrentIp 項目を参照してください。たとえば、「128.7.5.2」などです。
PreviousPlatform
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントのプラットフォーム。新しく確認されたフィンガープリントのプラットフォームはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたプラットフォームについては、CurrentPlatform 項目を参照してください。たとえば、Win32 または iPhone です。
PreviousScreen
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントの画面。新しく確認されたフィンガープリントの画面はこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認された画面については、CurrentScreen 項目を参照してください。たとえば、「(1200.0,1920.0)」などです。
PreviousUserAgent
textarea
プロパティ
Nillable
説明
以前のフィンガープリントのユーザエージェント。新しく確認されたフィンガープリントのユーザエージェントはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたユーザエージェントについては、CurrentUserAgent 項目を参照してください。たとえば、「Mozilla/5.0 (iPhone; CPU iPhone OS 13_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko)」などです。
PreviousWindow
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントのブラウザウィンドウ。新しく確認されたフィンガープリントのウィンドウはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたウィンドウについては、CurrentWindow 項目を参照してください。たとえば、「(1600.0,1920.0)」などです。
Score
double
プロパティ
Filter、Nillable、Sort
説明
新しいブラウザフィンガープリントが以前のブラウザフィンガープリントからどの程度有意に逸脱しているかを示します。スコアは 6.0 ~ 21.0 の数値です。イベントは、5 つの項目ペア (CurrentIpPreviousIp など) を公開し、この異常に寄与した最も興味深い 5 つのブラウザ機能の異常前後のデータを表示します。すべての寄与した機能 (JSON 形式) については、SecurityEventData 項目を参照してください。

Salesforce は、特定のユーザセッションのブラウザフィンガープリントを比較し、新しく確認されたフィンガープリントが既存のブラウザフィンガープリントからどの程度有意に逸脱しているかを評価することで、セッションハイジャックを検出します。セッション内の 2 つのフィンガープリント間の逸脱スコアが大きい (6.0 以上) 場合、同一セッション内で 2 つの異なるブラウザが有効になっていることを示します。通常、2 つの有効なブラウザが存在する場合、セッションハイジャックが発生していることを意味します。

SecurityEventData
textarea
プロパティ
Nillable
説明
このイベントをトリガしたセッションハイジャックに関するブラウザフィンガープリント機能のセット。可能な機能の一覧については、脅威の検出に関するドキュメントを参照してください。

たとえば、ユーザの現在のブラウザフィンガープリントが以前の既知のフィンガープリントとは十分に異なっているため、Salesforce がそのセッションはハイジャックされたと結論付けたとします。このイベントがトリガされ、寄与した機能がこの項目で JSON 形式で捕捉されます。各機能で特定のブラウザフィンガープリントプロパティ (ブラウザのユーザエージェント、ウィンドウ、プラットフォームなど) が記述されます。各機能のデータには、現在および以前の値が含まれます。

1{
2"window": {
3"previous": "(869.0,746.0)",
4"current": "(1057.0,960.0)"
5},
6"fonts": {
7"previous": "MDA=",
8"current": "9wAt8IYAgO8AEBwGkIAjhQIAcARAAAgEAgAAgEaAAhDHgAAAIAAQA=="
9},
10"timestamp": {
11"previous": "2020-02-14T00:12:24Z",
12"current": "2020-02-14T01:41:55Z"
13},
14"originApp": {
15"previous": "Core",
16"current": "Core"
17},
18"userAgent": {
19"previous": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.122 Safari/537.36",
20"current": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.120 Safari/537.36"
21},
22"ipAddress": {
23"previous": "217.118.92.2",
24"current": "91.190.85.116"
25},
26"screen": {
27"previous": "(1024.0,768.0)",
28"current": "(768.0,1366.0)"
29},
30"dnt": {
31"previous": "enabled",
32"current": "empty"
33},
34"platform": {
35"previous": "MacIntel",
36"current": "Win32"
37}
38}
SessionHijackingEventNumber
string
プロパティ
Autonumber、Defaulted on create、Filter、idLookup、Sort
説明
イベントが作成されたときに自動的に割り当てられる一意の番号。この項目の形式や値は変更できません。
SessionKey
string
プロパティ
Filter、Group、Nillable、Sort
説明
ユーザの一意のセッション ID。この値を使用して、セッション内のすべてのユーザイベントを識別します。ユーザがログアウトしてから再びログインすると、新しいセッションが開始されます。たとえば、vMASKIU6AxEr+Op5 です。
SourceIp
string
プロパティ
Filter、Group、Nillable、Sort
説明
ログインしているクライアントの供給元 IP アドレス。たとえば、126.7.4.2 など。
Summary
textarea
プロパティ
Nillable
説明
このイベントが作成される原因となった脅威の概要テキスト。概要には、脅威の検出に最も寄与したブラウザフィンガープリント機能が合計スコアへの寄与度と共に表示されます。
  • Changes to (userAgent, platform, ipAddress) were not expected based on this user's profile.These top 3 deviations contributed (1, 1, 0.922) to the total score, respectively
  • Changes to (ipAddress, userAgent, platform, languages, color) were not expected based on this user's profile.These top 5 deviations contributed (1, 0.695, 0.695, 0.25, 0.223) to the total score, respectively
UserId
reference
プロパティ
Filter、Group、Nillable、Sort
説明
発生元ユーザの一意の ID。たとえば、「005000000000123」などです。
Username
string
プロパティ
Filter、Group、Nillable、Sort
説明
イベントが作成された時点での user@company.com 形式の発生元のユーザ名。

関連付けられたオブジェクト

このオブジェクトには次の関連するオブジェクトがあります。これはこのオブジェクトと同じ API バージョンで使用できます。

SessionHijackingEventStoreFeed
このオブジェクトに対してフィード追跡を実行できます。