検知イベントがおそらく異常である場合
Rob は最近カスタマーサクセス担当として入社しました。2019 年 1 月 15 日、Rob のアカウントを使用してレポートが生成されました。組織の Salesforce システム管理者である Tony が、このレポート生成活動に関する ReportAnomalyEvent に気が付きました。
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
このイベントには次の情報が示されています。
| ReportAnomalyEvent 項目 | 値 |
|---|---|
| Score | 96.4512 |
| SourceIp | 96.43.144.28 |
| EventDate | 2019-01-15T07:45:07.192Z |
| UserId | 00530000009M945 |
| Report | 00OD0000001leVCMAY |
| SecurityEventData | (次の表を参照) |
SecurityEventData 項目には次の情報が示されています。
| featureName | featureValue | featureContribution |
|---|---|---|
| rowCount | 46008 | 58.65% |
| userAgent | - | 30.23% |
| averageRowSize | 1534 | 6.58% |
| browserCodecs | - | 2.33% |
| acceptedLanguages | - | 2.19% |
Tony は組織にとって rowCount 特性がやや高いことに気が付きました。2 番目に高い特性は userAgent で、寄与度は約 30% です。この比率は、このユーザエージェントが組織にとって一般的なものではないことを示唆します。Tony は調査を進め、UserId 項目から Rob を突き止めます。そして、Rob が最近入社した従業員であることを知ります。ReportEvent イベントを確認した Tony は、Rob が時々 46,000 行のレポートを生成していることに気が付きました。Rob が比較的新しい従業員であることから、Tony はこのレポートが Rob の典型的な活動パターンと一致するのかどうか確信が持てません。
Tony は、この検知が異常である可能性があるものの、現時点では脅威の軽減策を講じないと結論付けます。