Salesforce セキュリティガイド
j検知イベントは明らかに異常ながら、悪意はないと思われる場合
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
2015 年 7 月 27 日、Alice のアカウントを使用して、比較的新しい IP アドレスからレポートが生成されました。Alice の組織のシステム管理者である Bob が、このレポート生成アクティビティに関する ReportAnomalyEvent に気が付きました。このイベントには次の情報が示されています。
| ReportAnomalyEvent 項目 | 値 |
|---|---|
| Score | 95.0158 |
| SourceIp | 96.43.144.27 |
| EventDate | 2015-07-27T07:45:07.192Z |
| UserId | 00530000009M944 |
| Report | 00OD0000001leVCMAY |
| SecurityEventData | (次の表を参照) |
SecurityEventData 項目には次の情報が示されています。
| featureName | featureValue | featureContribution |
|---|---|---|
| autonomousSystem | Softbank Corp | 73.4% |
| rowCount | 50876 | 15.6% |
| userAgent | - | 9.9% |
| numberFilters | 11 | 0.81% |
| periodOfDay | Night | 0.21% |
Bob は、最上位の特性が IP アドレスから判明した自律システムで、寄与度が 73.4% であることを知ります。この比率は、Alice がこの自律システムをめったに使用しないことを示しています。Bob はまた、レポートの行数が約 5 万行であることにも気が付きました。この組織にとって 5 万行は小さな数値ではありません。そこで、Bob は UserId からユーザが Alice であることを突き止めました。ReportEvent イベントを見ると、Alice が通常生成するレポートの行数は 1,000 ~ 10,000 の範囲です。ただし、ごく稀に 5 万行を超えるレポートを生成することもありました。userAgent 特性の寄与度は比較的小さく、これは Alice が出張中はモバイルデバイスを使用することが少ないことに起因している可能性があります。numberFilters 特性と periodOfDay 特性の寄与度は小さいため、重要ではありません。
Alice はこの自律システムをめったに使用せず、Alice が通常生成するものよりもレポートが大きかったため、Bob はこのレポートを通常のアクティビティの範疇外と結論付けます。けれども、この悪意のある行為の実行者が Alice なのか攻撃者なのかを実証できません。脅威の軽減策を講じる前に、この件に関する情報をさらに収集することにします。