API 検知イベントが異常だが明らかに悪意があるわけではない場合
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
2020 年 7 月 27 日、Alice のアカウントは、比較的新しい IP アドレスからオブジェクトを照会するために使用されていました。Alice の Salesforce 組織のシステム管理者である Bob が、このレポート生成活動に関する APIAnomalyEvent に気が付きました。このイベントには次の情報が示されています。
| APIAnomalyEvent 項目 | 値 |
|---|---|
| Score | .8671 |
| SourceIp | 96.43.144.27 |
| EventDate | 2015-07-27T07:45:07.192Z |
| UserId | 00530000009M944 |
| SecurityEventData | (次の表を参照) |
SecurityEventData 項目には次の情報が含まれています。
| featureName | featureValue | featureContribution |
|---|---|---|
| rowCount | 50568 | 95.00 % |
| autonomousSystem | Bigleaf Networks, Inc. | 73.4 % |
| dayOfWeek | Sunday | 1.42 % |
| userAgent | Mozilla/5.0 (Windows NT 10.0、Win64、x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36} | 29.21% |
| periodOfDay | Evening | 0.09 % |
| averageRowSize | 744 | 0.08 % |
| screenResolution | 900x1440 | 0.07 % |
Salesforce システム管理者である Bob は、最上位の特性が IP アドレスから��明した自律システムで、寄与度が 73.4% であることを知ります。この比率は、Alice がこの自律システムをめったに使用しないことを示しています。Bob はまた、rowCount が約 5 万行であることにも気が付きました。この組織にとって 5 万行は小さな数値ではありません。そこで、Bob は UserId からユーザが Alice であることを突き止めました。<ここにイベント名が必要> イベントを見ると、Alice が通常生成するレポートの行数は 1,000 ~ 10,000 の範囲です。ただし、ごく稀に 5 万行を超えるレポートを生成することもありました。userAgent 特性の寄与度は比較的小さく、これは Alice が出張中はモバイルデバイスを使用することが少ないことに起因している可能性があります。numberFilters 特性と periodOfDay 特性の寄与度は小さいため、重要ではありません。
Alice はこの自律システムをめったに使用せず、Alice が通常生成するものよりもレポートが大きかったため、Bob はこのレポートを通常の活動の範疇外と結論付けます。けれども、この悪意のある行為の実行者が Alice なのか攻撃者なのかを実証できません。この件に関する情報をさらに収集することにします。