この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

API 検知イベントが異常だが明らかに悪意があるわけではない場合

Alice はセントルイスを拠点とする営業担当です。クライアントを訪問するために出張することが多々あります。出張時は大概、会社の VPN を使用して Salesforce にログインしますが、使用しないこともあります。
使用可能なインターフェース: Salesforce Classic および Lightning Experience
使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition

Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。


2020 年 7 月 27 日、Alice のアカウントは、比較的新しい IP アドレスからオブジェクトを照会するために使用されていました。Alice の Salesforce 組織のシステム管理者である Bob が、このレポート生成アクティビティに関する APIAnomalyEvent に気が付きました。このイベントには次の情報が示されています。

APIAnomalyEvent 項目
Score .8671
SourceIp 96.43.144.27
EventDate 2015-07-27T07:45:07.192Z
UserId 00530000009M944
SecurityEventData (次の表を参照)

SecurityEventData 項目には次の情報が含まれています。

featureName featureValue featureContribution
rowCount 50568 95.00 %
autonomousSystem Bigleaf Networks, Inc. 73.4 %
dayOfWeek Sunday 1.42 %
userAgent Mozilla/5.0 (Windows NT 10.0、Win64、x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36} 29.21%
periodOfDay Evening 0.09 %
averageRowSize 744 0.08 %
screenResolution 900x1440 0.07 %

Salesforce システム管理者である Bob は、最上位の特性が IP アドレスから判明した自律システムで、寄与度が 73.4% であることを知ります。この比率は、Alice がこの自律システムをめったに使用しないことを示しています。Bob はまた、rowCount が約 5 万行であることにも気が付きました。この組織にとって 5 万行は小さな数値ではありません。そこで、Bob は UserId からユーザが Alice であることを突き止めました。<ここにイベント名が必要> イベントを見ると、Alice が通常生成するレポートの行数は 1,000 ~ 10,000 の範囲です。ただし、ごく稀に 5 万行を超えるレポートを生成することもありました。userAgent 特性の寄与度は比較的小さく、これは Alice が出張中はモバイルデバイスを使用することが少ないことに起因している可能性があります。numberFilters 特性と periodOfDay 特性の寄与度は小さいため、重要ではありません。

Alice はこの自律システムをめったに使用せず、Alice が通常生成するものよりもレポートが大きかったため、Bob はこのレポートを通常のアクティビティの範疇外と結論付けます。けれども、この悪意のある行為の実行者が Alice なのか攻撃者なのかを実証できません。この件に関する情報をさらに収集することにします。