この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

SessionHijackingEvent

未承認ユーザが、いつ盗まれたセッション識別子を使用して Salesforce ユーザのセッションの所有権を取得したかを追跡します。このようなイベントを検出するために、Salesforce は、確率的に推測された有意な変化を使用して、ユーザの現在のブラウザフィンガープリントが以前の既知のフィンガープリントからどの程度有意に異なるかを評価します。このオブジェクトは API バージョン 49.0 以降で使用できます。

サポートされているコール

describeSObjects()

サポートされている登録者

登録者 サポートされているかどうか
Apex トリガ
フロー はい
プロセス
ストリーミング API (CometD) はい

ストリーミング API 登録チャネル

/event/SessionHijackingEvent

特別なアクセスルール

このオブジェクトにアクセスするには、Salesforce Shield または Event Monitoring アドオンサブスクリプションと、「リアルタイムイベント監視データを表示」ユーザ権限が必要です。

項目

項目 詳細
CurrentIp
string
プロパティ
Nillable
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントの IP アドレス。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前の IP アドレスについては、PreviousIp 項目を参照してください。確認されたフィンガープリントの逸脱に IP アドレスが寄与していない場合、この項目の値は PreviousIp 項目の値と同じです。たとえば、「126.7.4.2」などです。
CurrentPlatform
string
プロパティ
Nillable
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのプラットフォーム。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のプラットフォームについては、PreviousPlatform 項目を参照してください。確認されたフィンガープリントの逸脱にプラットフォームが寄与していない場合、この項目の値は PreviousPlatform 項目の値と同じです。たとえば、MacIntel または Win32 です。
CurrentScreen
string
プロパティ
Nillable
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントの画面。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前の画面については、PreviousScreen 項目を参照してください。確認されたフィンガープリントの逸脱に画面が寄与していない場合、この項目の値は PreviousScreen 項目の値と同じです。たとえば、(900.0,1440.0) または (720,1280) です。
CurrentUserAgent
textarea
プロパティ
Nillable
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのユーザエージェント。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のユーザエージェントについては、PreviousUserAgent 項目を参照してください。確認されたフィンガープリントの逸脱にユーザエージェントが寄与していない場合、この項目の値は PreviousUserAgent 項目の値と同じです。たとえば、「Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36」などです。
CurrentWindow
string
プロパティ
Nillable
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのブラウザウィンドウ。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のウィンドウについては、PreviousWindow 項目を参照してください。確認されたフィンガープリントの逸脱にウィンドウが寄与していない場合、この項目の値は PreviousWindow 項目の値と同じです。たとえば、「(1200.0,1920.0)」などです。
EvaluationTime
double
プロパティ
Nillable
説明
ポリシーの評価にかかった時間 (ミリ秒単位)。
EventDate
dateTime
プロパティ
Nillable
説明
異常が検出された時間。たとえば、「2020-01-20T19:12:26.965Z」などです。最も細かい設定はミリ秒です。
EventIdentifier
string
プロパティ
Nillable
説明
対応するストレージオブジェクトと共有される、イベントの一意の ID。たとえば、0a4779b0-0da1-4619-a373-0a36991dff90 です。この項目は、イベントとそのストレージオブジェクトを相関させるために使用します。
EventUuid
string
プロパティ
Nillable
説明
プラットフォームイベントメッセージを識別するユニバーサル一意識別子 (UUID)。この項目は、API バージョン 52.0 以降で使用できます。
LoginKey
string
プロパティ
Nillable
説明
特定のユーザのログインセッションのすべてのイベントを結び付ける文字列。このセッションはログインイベントで開始され、ログアウトイベントまたはユーザセッションの期限切れで終了します。たとえば、lUqjLPQTWRdvRG4 です。
PolicyId
reference
プロパティ
Nillable
説明
このイベントに関連付けられたトランサクションポリシーの ID。たとえば、0NIB000000000KOOAY です。
リレーション項目。
リレーション名
Policy
リレーション種別
参照関係
参照先
TransactionSecurityPolicy
PolicyOutcome
picklist
プロパティ
Nillable、Restricted picklist
説明
トランサクションポリシーの結果。可能な値は次のとおりです。
  • Error - ポリシーの実行時にポリシーによって未定義のエラーが発生しました。
  • NoAction - ポリシーがトリガしませんでした。
  • Notified - 受信者に通知が送信されました。
PreviousIp
string
プロパティ
Nillable
説明
以前のフィンガープリントの IP アドレス。新しく確認されたフィンガープリントの IP アドレスはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認された IP アドレスについては、CurrentIp 項目を参照してください。たとえば、「128.7.5.2」などです。
PreviousPlatform
string
プロパティ
Nillable
説明
以前のフィンガープリントのプラットフォーム。新しく確認されたフィンガープリントのプラットフォームはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたプラットフォームについては、CurrentPlatform 項目を参照してください。たとえば、Win32 または iPhone です。
PreviousScreen
string
プロパティ
Nillable
説明
以前のフィンガープリントの画面。新しく確認されたフィンガープリントの画面はこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認された画面については、CurrentScreen 項目を参照してください。例: (1200.0,1920.0)
PreviousUserAgent
textarea
プロパティ
Nillable
説明
以前のフィンガープリントのユーザエージェント。新しく確認されたフィンガープリントのユーザエージェントはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたユーザエージェントについては、CurrentUserAgent 項目を参照してください。たとえば、「Mozilla/5.0 (iPhone; CPU iPhone OS 13_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko)」などです。
PreviousWindow
string
プロパティ
Nillable
説明
以前のフィンガープリントのブラウザウィンドウ。新しく確認されたフィンガープリントのウィンドウはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたウィンドウについては、CurrentWindow 項目を参照してください。たとえば、「(1600.0,1920.0)」などです。
ReplayId
string
プロパティ
Nillable
説明
システムによって生成された ID 値を表し、イベントストリーム内のイベントの位置を参照します。連続するイベントに対して再生 ID の値に連番が振られるという保証はありません。登録者は再生 ID の値を保存し、再登録時にその値を使用して、保持ウィンドウ内の欠落したイベントを取得できます。
Score
double
プロパティ
Nillable
説明
新しいブラウザフィンガープリントが以前のブラウザフィンガープリントからどの程度有意に逸脱しているかを示します。スコアは 6.0 ~ 21.0 の数値です。イベントは、5 つの項目ペア (CurrentIpPreviousIp など) を公開し、この異常に寄与した最も興味深い 5 つのブラウザ機能の異常前後のデータを表示します。すべての寄与した機能 (JSON 形式) については、SecurityEventData 項目を参照してください。

Salesforce は、特定のユーザセッションのブラウザフィンガープリントを比較し、新しく確認されたフィンガープリントが既存のブラウザフィンガープリントからどの程度有意に逸脱しているかを評価することで、セッションハイジャックを検出します。セッション内の 2 つのフィンガープリント間の逸脱スコアが大きい (6.0 以上) 場合、同一セッション内で 2 つの異なるブラウザが有効になっていることを示します。通常、2 つの有効なブラウザが存在する場合、セッションハイジャックが発生していることを意味します。

SecurityEventData
string
プロパティ
Nillable
説明
このイベントをトリガしたセッションハイジャックに関するブラウザフィンガープリント機能のセット。可能な機能の一覧については、脅威の検出に関するドキュメントを参照してください。

たとえば、ユーザの現在のブラウザフィンガープリントが以前の既知のフィンガープリントと異なっていたとします。Salesforce がそのセッションはハイジャックされたと結論付けた場合、このイベントが起動され、寄与した機能がこの項目で JSON 形式で捕捉されます。各機能で特定のブラウザフィンガープリントプロパティ (ブラウザのユーザエージェント、ウィンドウ、プラットフォームなど) が記述されます。各機能のデータには、現在および以前の値が含まれます。

1[
2{
3"featureName": "userAgent",
4"featureContribution": "0.45 %", 
5"previousValue": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142", 
6"currentValue": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36."
7},
8{
9"featureName": "ipAddress",
10"featureContribution": "0.23 %",
11"previousValue": "201.17.237.77",
12"currentValue": "182.64.210.144"
13},
14{
15"featureName": "platform",
16"featureContribution": "0.23 %",
17"previousValue": "Win32",
18"currentValue": "MacIntel"
19},
20{
21"featureName": "screen",
22"featureContribution": "0.23 %",
23"previousValue":"(1050.0,1680.0)",
24"currentValue": "(864.0,1536.0)"
25},
26{
27"featureName": "window",
28"featureContribution": "0.17 %",
29"previousValue": "1363x1717",
30"currentValue": "800x1200"
31}
32]
SessionKey
string
プロパティ
Nillable
説明
ユーザの一意のセッション ID。この値を使用して、セッション内のすべてのユーザイベントを識別します。ユーザがログアウトしてから再びログインすると、新しいセッションが開始されます。たとえば、vMASKIU6AxEr+Op5 です。
SourceIp
string
プロパティ
Nillable
説明
ログインしているクライアントの供給元 IP アドレス。たとえば、126.7.4.2 など。
Summary
textarea
プロパティ
Nillable
説明
このイベントが作成される原因となった脅威の概要テキスト。概要には、脅威の検出に最も寄与したブラウザフィンガープリント機能が合計スコアへの寄与度と共に表示されます。
  • Changes to (userAgent, platform, ipAddress) were not expected based on this user's profile.These top 3 deviations contributed (1, 1, 0.922) to the total score, respectively
  • Changes to (ipAddress, userAgent, platform, languages, color) were not expected based on this user's profile.These top 5 deviations contributed (1, 0.695, 0.695, 0.25, 0.223) to the total score, respectively
UserId
reference
プロパティ
Nillable
説明
発生元ユーザの一意の ID。たとえば、「005000000000123」などです。
多態的なリレーション項目です。
リレーション名
ユーザ
リレーション種別
参照関係
参照先
ユーザ
Username
string
プロパティ
Nillable
説明
イベントが作成された時点での user@company.com 形式の発生元のユーザ名。