Salesforce セキュリティガイド
jAPI 検知イベントに悪意のあることが確定した場合
Salesforce ユーザの Alan は、API を使用して商談オブジェクトを照会し、1,000 万件のレコードを抽出します。Alan が商談オブジェクトを照会するのは初めてであり、この IP アドレスを使用してログインします。
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
このイベントには次の情報が含まれています。
| APIAnomalyEvent 項目 | 値 |
|---|---|
| Score | .95851 |
| SourceIp | 96.43.144.26 |
| EventDate | 2019-05-12T12:22:10.298+00:00 |
| UserId | 00530000009M943 |
| SecurityEventData | (次の表を参照) |
SecurityEventData 項目には次の情報が含まれています。
| featureName | featureValue | featureContribution |
|---|---|---|
| rowCount | 1937568 | 95.00% |
| autonomousSystem | Bigleaf Networks, Inc. | 1.62% |
| dayOfWeek | Sunday | 1.42% |
| userAgent | Mozilla/5.0 (Windows NT 10.0、Win64、x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36} | 29.21% |
| periodOfDay | Evening | 0.09% |
| averageRowSize | 744 | 0.08% |
| screenResolution | 900x1440 | 0.07% |
セキュリティ監査人である Kate が調査を開始します。彼女は UserId を使用して、Alan のアカウントが商談オブジェクトの照会に使用されたと判断します。次に、Alan の行動を検索し、商談オブジェクトを照会したことがないことに気づきます。この表から、この異常に対する rowCount の寄与度がほぼ 100% であることがわかります。この特性の寄与度の値は、この���ポート生成活動に異常のフラグを設定するうえでの rowCount の重要性を示す数値です。Alan は小規模なレポート (500 ~ 1,000 行) を生成したことがないため、100 万行のレポートはその傾向から著しく逸脱しています。このために特性の寄与度の値が高くなっています。
Kate は次に、Alan のアカウントが乗っ取られ、攻撃者が営業チーム全体のデータにアクセスできるように Alan のアクセス権を昇格させていたことを突き止めました。その結果、Alan が担当するセールスリードだけでなく、営業チーム全体のセールスリードがレコードに含まれています。
Kate は、この検知イベントに悪意があると結論付けます。