この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Salesforce セキュリティガイド

Salesforce セキュリティガイド
Salesforce のセキュリティの基本
ユーザの認証
ユーザへのデータアクセス権の付与
オブジェクトと項目の共有
Shield Platform Encryption でのデータのセキュリティの強化
組織のセキュリティの監視
リアルタイムイベント監視
リアルタイムイベント監視の定義
リアルタイムイベント監視の使用に関する考慮事項
リアルタイムイベント監視へのアクセス権の有効化
イベントデータのストリーミングと保存
ログアウトイベントトリガの作成
ReportEvent および ListViewEvent でのチャンクの機能
拡張トランザクションセキュリティ
脅威検知
セッションハイジャック
クレデンシャルスタッフィング
レポートの異常
トレーニングステップと推測ステップ
レポートの異常の調査
レポートの異常を調査する場合のベストプラクティス
レポートの異常検知の例
API 異常
脅威検知イベントの表示とフィードバックの提供
Apex および Visualforce 開発のセキュリティガイドライン
API の有効期限
PDF

レポートの異常の調査

異常を無害として排除するため、またはデータ侵害が発生したかどうかを判断するために、レポートの異常を詳しく調査する必要のあることがよくあります。
使用可能なインターフェース: Salesforce Classic および Lightning Experience
使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition

Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。

Shield ユーザの場合は、リアルタイムイベント監視イベントに、調査を実施するために必要な情報が提示されます。具体的には、次のようになります。
  • ReportAnomalyEvent (とその情報を保存する ReportAnomalyEventStore) は、レポートを実行中またはエクスポート中のユーザに関する異常が検知された状況を追跡します。これらのオブジェクトが調査の出発点になります。
  • ReportEventStream (とその情報を保存する ReportEvent) は、ユーザが組織でレポートを実行またはエクスポートする一般的な状況を追跡します。これらのオブジェクトは、リアルタイムのレポート実行またはレポート実行履歴を確認するために使用します。
  • LoginEventStream (とその情報を保存する LoginEvent) は、組織のすべてのログイン活動を追跡します。
たとえば、ユーザのレポート実行における異常の可能性を示す ReportAnomalyEvent を組織が受信したとします。ここで最初にすることは、イベントの関連する項目を確認し、異常に関する次のような基本情報を得ることです。
  • Score: このユーザのレポート実行が通常の活動とどれほど異なっているかを表す数値。数値が大きいほど、逸れていることになります。
  • UserId: ユーザの一意の ID。
  • EventDate: この異常がいつ発生したか。
  • Report: この異常が検知されたレポート ID。
  • SecurityEventData: 行数や曜日など、この異常検知に対する寄与度が最大の特性を示す JSON 項目。寄与する可能性のある特性の完全リストについては、この表を参照してください。
  • Summary: イベントのテキスト形式の概要。

項目の完全リストについては、API ドキュメントを参照してください。

次の SOQL クエリのサンプルは、上記の項目値を返します。

1SELECT Score, UserId, EventDate, Report, SecurityEventData, Summary
2FROM ReportAnomalyEventStore

SecurityEventData 項目には、この異常検知をトリガした寄与要因が示されるため、詳しく見ていきましょう。サンプルデータは次のようになります。

1[
2{
3"featureName": "rowCount",
4"featureValue": "1937568",
5"featureContribution": “95.00 %"
6},
7{
8"featureName": "autonomousSystem",
9"featureValue": "Bigleaf Networks, Inc.",
10"featureContribution": “1.62 %"
11},
12{
13"featureName": "dayOfWeek",
14"featureValue": "Sunday",
15"featureContribution": “1.42 %"
16},
17{
18"featureName": "userAgent",
19"featureValue": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36}",
20"featureContribution": “1.21 %"
21},
22{
23"featureName": "periodOfDay",
24"featureValue": “Evening”,
25"featureContribution": “.09 %"
26},
27{
28"featureName": "averageRowSize",
29"featureValue": "744",
30"featureContribution": “0.08 %"
31},
32{
33"featureName": "screenResolution",
34"featureValue": "900x1440",
35"featureContribution": “0.07 %"
36}
37]

この異常検知に対する寄与度が最大 (95.00%) の特性は rowCount で、値は 1937568 です。この特性は、ユーザが 1,937,568 行のレポートを表示またはエクスポートしたことを示します。履歴データを見ると、このユーザがこれほど多くのデータを表示またはエクスポートすることはほとんどありません。スコアに対する他の特性の寄与度ははるかに小さくなっています。たとえば、このユーザはレポートを日曜日に実行していますが、この特性による全体スコアに対する寄与度はわずか 1.42% です。

こうしたデータがあれば、調査をさらに進めることができます。