検知イベントに悪意のあることが確定した場合
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
2019 年 5 月 12 日、John のアカウントを使用して、996,262 行のレポートがダウンロードされました。John の組織のシステム管理者である Kate が、このレポート生成アクティビティに関する ReportAnomalyEvent に気が付きました。このイベントには次の情報が示されています。
| ReportAnomalyEvent 項目 | 値 |
|---|---|
| Score | 95.48515 |
| SourceIp | 96.43.144.26 |
| EventDate | 2019-05-12T12:22:10.298+00:00 |
| UserId | 00530000009M943 |
| Report | 00OD0000001leVCMAY |
| SecurityEventData | (次の表を参照) |
SecurityEventData 項目には次の情報が示されています。
| featureName | featureValue | featureContribution |
|---|---|---|
| rowCount | 996262 | 99.37% |
| autonomousSystem | Starbucks Coffee Company | 0.27% |
| dayOfWeek | Sunday | 0.13% |
| averageRowSize | 1507 | 0.06% |
| userAgent | - | 0.02% |
Kate は詳しい調査に取りかかります。UserId から、John のアカウントを使用してレポートがダウンロードされたことが判明しました。そこで、John の ReportEvent イベントを検索したところ、John は週次レポートを生成していますが、その行数はわずか 500 ~ 1,000 行で��ることを知ります。表に、この異常に対する rowCount の寄与度がほぼ 100% であると示されています。この特性の寄与度の値は、このレポート生成アクティビティに異常のフラグを設定するうえでの rowCount の重要性を示す数値です。John はこれまで一貫して小規模なレポート (500 ~ 1,000 行) を生成していたため、100 万行のレポートはその傾向から著しく逸脱しています。このために特性の寄与度の値が高くなっています。
Kate はさらなる調査で、John のアカウントが乗っ取られ、攻撃者が営業チーム全体のデータにアクセスできるように John のアクセス権を昇格させていたことを突き止めました。その結果、John が担当するセールスリードだけでなく、営業チーム全体のセールスリードがレポートに記載されていました。
Kate は、この検知イベントには悪意があると結論付け、脅威のさらなる軽減策を講じます。