この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

検知イベントに悪意のあることが確定した場合

サンフランシスコを拠点とする営業担当の John は出張することがよくあります。週 1 回の営業プレゼンテーションのために、担当するリードのレポートを定期的にダウンロードしています。John は 500 ~ 1,000 人のリードにアクセスでき、週次レポートのダウンロードに含まれる行数は通常 500 ~ 1,000 行です。
使用可能なインターフェース: Salesforce Classic および Lightning Experience
使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition

Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。


2019 年 5 月 12 日、John のアカウントを使用して、996,262 行のレポートがダウンロードされました。John の組織のシステム管理者である Kate が、このレポート生成アクティビティに関する ReportAnomalyEvent に気が付きました。このイベントには次の情報が示されています。

ReportAnomalyEvent 項目
Score 95.48515
SourceIp 96.43.144.26
EventDate 2019-05-12T12:22:10.298+00:00
UserId 00530000009M943
Report 00OD0000001leVCMAY
SecurityEventData (次の表を参照)

SecurityEventData 項目には次の情報が示されています。

featureName featureValue featureContribution
rowCount 996262 99.37%
autonomousSystem Starbucks Coffee Company 0.27%
dayOfWeek Sunday 0.13%
averageRowSize 1507 0.06%
userAgent - 0.02%

Kate は詳しい調査に取りかかります。UserId から、John のアカウントを使用してレポートがダウンロードされたことが判明しました。そこで、John の ReportEvent イベントを検索したところ、John は週次レポートを生成していますが、その行数はわずか 500 ~ 1,000 行で��ることを知ります。表に、この異常に対する rowCount の寄与度がほぼ 100% であると示されています。この特性の寄与度の値は、このレポート生成アクティビティに異常のフラグを設定するうえでの rowCount の重要性を示す数値です。John はこれまで一貫して小規模なレポート (500 ~ 1,000 行) を生成していたため、100 万行のレポートはその傾向から著しく逸脱しています。このために特性の寄与度の値が高くなっています。

Kate はさらなる調査で、John のアカウントが乗っ取られ、攻撃者が営業チーム全体のデータにアクセスできるように John のアクセス権を昇格させていたことを突き止めました。その結果、John が担当するセールスリードだけでなく、営業チーム全体のセールスリードがレポートに記載されていました。

Kate は、この検知イベントには悪意があると結論付け、脅威のさらなる軽減策を講じます。