Salesforce セキュリティガイド
jレポートの異常を調査する場合のベストプラクティス
普段とは異なるユーザ行動を調査するときは、次のヒントやベストプラクティスを参考にしてください。データの安全性について、十分な情報に基づく結論を下すために必要な情報を見つけることができます。
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
- 関係のあるユーザを特定する。
- お客様のプライバシーに対する配慮により、Salesforce が顧客データやレポート内のデータにアクセスすることはできません。したがって、Salesforce が提供できるのは、異常とマークされたレポートを生成したユーザのユーザ ID のみです。このユーザ ID を使用して、検知イベントに関連付けられている人物のユーザ名や他の詳細を割り出します。
項目: ReportAnomalyEvent.UserId
- タイムスタンプを利用する。
- Salesforce の検知モデルではすでに、タイムスタンプから得られるさまざまな特性を検討し、レポート生成活動が異常かどうかを判断しています。このタイムスタンプを使用して、確認する必要のあるイベントを絞り込むことができます。また、レポートを生成したユーザにとって、レポート生成時刻が普段と異なっているかどうかも判断できます。
項目: ReportAnomalyEvent.EventDate
- 異常に寄与している要因に着目する。
- 寄与要因の JSON 出力に、特性のリストが寄与度の高い順に示されます。イベントログを調査するときは、寄与度が上位の特性から見ていきます。上位の特性が普段とは異なると思われる場合には、異常を確定する証拠が判明したり、データ侵害の可能性が示唆されたりすることがあります。
項目: ReportAnomalyEvent.SecurityEventData
- ユーザの典型的な行動に照らして異常を検討する。
- ReportAnomalyEvent 項目値を使用して、検知イベント内のユーザ活動がそのユーザにとって典型的なものかどうかを判断します。たとえば、特定した IP アドレスからレポートを生成することが、そのユーザにとって典型的なことかどうかを検討します。
項目: ReportAnomalyEvent.SourceIp
- レポートのサイズを検討する。
- Salesforce では、レポートのサイズからレポート生成が異常かどうかを判断します。通常より大きなレポートを生成しているユーザは、データの不正エクスポートを試みている可能性があります。たとえば、ユーザのアカウントへのアクセス権を不正に取得した攻撃者が、アクセス権が失効する前にできるだけ多くのデータを盗取していることがあります。あるいは、不満を抱いている従業員が、雇用主のニーズの範疇を超えた用途のためにデータを盗み出している��かもしれません。
項目: ReportAnomalyEvent.SecurityEventData (特に RowCount の特性名)
- すべての異常に悪意があるわけではない。
- 異常の中には、悪意をはらむ可能性のあるものもあれば、普段とは異なるものの、正当である場合もあります。Salesforce の検知モデルでは、普段とは異なるが、悪意のない検知イベントが生成されることがあります。たとえば、ある従業員が新しい役職に昇進し、以前より大きなレポートを生成するようになった場合、Salesforce のモデルによってこの行動に異常のフラグが設定されることがあります。