Salesforce セキュリティガイド
j脅威検知
脅威検知では、統計および機械学習の手法を駆使して、Salesforce 組織に対する脅威を検知します。Salesforce ではすべての Salesforce 顧客についてこれらの脅威を識別しますが、必要に応じて、イベント監視で脅威検知のあるイベントに情報を表示し、さらに調査することができます。
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
脅威検知では次が識別されます。
- ユーザセッションが乗っ取られたかどうか。
- 特定したクレデンシャルスタッフィング攻撃の最中にユーザが正常にログインした状況。クレデンシャルスタッフィングが発生するのは、大規模な自動ログイン要求が、盗取したログイン情報を使用して Salesforce にアクセスした場合です。
- ユーザによるレポートの表示またはエクスポートの異常。
- ユーザが API コールを行う方法の異常。
検知された脅威イベントへの応答
脅威検知を使用して、データの安全を確保する適切な応答を計画および実装します。リアルタイムに応答できるように、脅威検知イベントにはトランザクションセキュリティポリシーおよびフローとの互換性があります。
- トランザクションセキュリティポリシーを使用した脅威の監視
- Salesforce が脅威を検知したときにメールまたはアプリケーション内通知を生成するトランザクションセキュリティポリシーを脅威セキュリティイベントに作成します。検知された脅威を調査した後、ユーザの行動を制御するポリシーを作成することを検討します。
たとえば、リードに関するレポートのレコードを普段より多くエクスポートしたユーザに関する複数の ReportAnomalyEvents を受信したとします。ReportAnomalyEventStore にトランザクションセキュリティポリシーを作成しているため、この異常が発生するたびに通知を受信します。リードオブジェクトの保護を強化するために、ユーザが 11 行以上エクスポートできないようにする ReportEvent ポリシーをレポートに作成することが考えられます。
- プラットフォームイベントトリガフローによる応答の自動化
- ApiAnomalyEvent、CredentialStuffingEvent、ReportAnomalyEvent、SessionHijackingEvent で検知された異常に応答するフローを作成できます。たとえば、フォローアップ調査のケースを生成するフローを作成したり、セキュリティスペシャリストにメールを送信したり、さらなる調査が行われるまで影響を受けるユーザを無効化したりします。
- セキュリティセンターで検知された脅威の集計
- セキュリティセンターの脅威検知アプリケーションを使用して、Salesforce ロールアウト全体で検知された脅威に関する情報を 1 か所で集計することで、時間を節約できます。詳細は、「脅威検知イベントの確認」を参照してください。https://help.salesforce.com/s/articleView?id=sf.security_center_threat_detection_events.htm&type=5