この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

SessionHijackingEvent

未承認ユーザーが、いつ盗まれたセッション識別子を使用して Salesforce ユーザーのセッションの所有権を取得したかを追跡します。このようなイベントを検出するために、Salesforce は、確率的に推測された有意な変化を使用して、ユーザーの現在のブラウザーフィンガープリントが以前の既知のフィンガープリントからどの程度有意に異なるかを評価します。このオブジェクトは API バージョン 49.0 以降で使用できます。

サポートされているコール

describeSObjects()

サポートされているサブスクライバー

サブスクライバー サポートされているかどうか
Apex トリガー
フロー はい
プロセス
Pub/Sub API はい
ストリーミング API (CometD) はい

登録チャネル

/event/SessionHijackingEvent

特別なアクセスルール

このオブジェクトにアクセスするには、Salesforce Shield または Event Monitoring アドオンサブスクリプションと、「リアルタイムイベント監視データを表示」ユーザー権限が必要です。

イベント配信割り当ての適用

いいえ

項目

項目 詳細
CurrentIp
string
プロパティ
Nillable
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントの IP アドレス。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前の IP アドレスについては、PreviousIp 項目を参照してください。確認されたフィンガープリントの逸脱に IP アドレスが寄与していない場合、この項目の値は PreviousIp 項目の値と同じです。たとえば、「126.7.4.2」などです。
CurrentPlatform
string
プロパティ
Nillable
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのプラットフォーム。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のプラットフォームについては、PreviousPlatform 項目を参照してください。確認されたフィンガープリントの逸脱にプラットフォームが寄与していない場合、この項目の値は PreviousPlatform 項目の値と同じです。たとえば、MacIntel または Win32 です。
CurrentScreen
string
プロパティ
Nillable
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントの画面。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前の画面については、PreviousScreen 項目を参照してください。確認されたフィンガープリントの逸脱に画面が寄与していない場合、この項目の値は PreviousScreen 項目の値と同じです。たとえば、(900.0,1440.0) または (720,1280) です。
CurrentUserAgent
textarea
プロパティ
Nillable
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのユーザーエージェント。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のユーザーエージェントについては、PreviousUserAgent 項目を参照してください。確認されたフィンガープリントの逸脱にユーザーエージェントが寄与していない場合、この項目の値は PreviousUserAgent 項目の値と同じです。たとえば、「Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36」などです。
CurrentWindow
string
プロパティ
Nillable
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのブラウザーウィンドウ。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のウィンドウについては、PreviousWindow 項目を参照してください。確認されたフィンガープリントの逸脱にウィンドウが寄与していない場合、この項目の値は PreviousWindow 項目の値と同じです。たとえば、「(1200.0,1920.0)」などです。
EvaluationTime
double
プロパティ
Nillable
説明
ポリシーの評価にかかった時間 (ミリ秒単位)。
EventDate
dateTime
プロパティ
Nillable
説明
異常が検出された時間。たとえば、「2020-01-20T19:12:26.965Z」などです。最も細かい設定はミリ秒です。
EventIdentifier
string
プロパティ
Nillable
説明
対応するストレージオブジェクトと共有される、イベントの一意の ID。たとえば、0a4779b0-0da1-4619-a373-0a36991dff90 です。この項目は、イベントとそのストレージオブジェクトを相関させるために使用します。
EventUuid
string
プロパティ
Nillable
説明
プラットフォームイベントメッセージを識別するユニバーサル一意識別子 (UUID)。この項目は、API バージョン 52.0 以降で使用できます。
LoginKey
string
プロパティ
Nillable
説明
特定のユーザーのログインセッションのすべてのイベントを結び付ける文字列。このセッションはログインイベントで開始され、ログアウトイベントまたはユーザーセッションの期限切れで終了します。たとえば、lUqjLPQTWRdvRG4 です。
PolicyId
reference
プロパティ
Nillable
説明
このイベントに関連付けられたトランザクションポリシーの ID。たとえば、0NIB000000000KOOAY です。
リレーション項目。
リレーション名
Policy
リレーション種別
Lookup
参照先
TransactionSecurityPolicy
PolicyOutcome
picklist
プロパティ
Nillable、Restricted picklist
説明
トランザクションポリシーの結果。可能な値は次のとおりです。
  • Error - ポリシーの実行時にポリシーによって未定義のエラーが発生しました。
  • ExemptNoAction — このユーザーはトランザクションセキュリティポリシーの対象外のため、ポリシーがトリガーされませんでした。
  • MeteringBlock — ポリシーの処理に 3 秒以上かかったため、操作を実行できないようにユーザーがブロックされました。
  • MeteringNoAction — ポリシーの処理に 3 秒以上かかりましたが、ユーザーは操作の実行をブロックされませんでした。
  • NoAction - ポリシーがトリガーしませんでした。
  • Notified - 受信者に通知が送信されました。
PreviousIp
string
プロパティ
Nillable
説明
以前のフィンガープリントの IP アドレス。新しく確認されたフィンガープリントの IP アドレスはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認された IP アドレスについては、CurrentIp 項目を参照してください。たとえば、「128.7.5.2」などです。
PreviousPlatform
string
プロパティ
Nillable
説明
以前のフィンガープリントのプラットフォーム。新しく確認されたフィンガープリントのプラットフォームはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたプラットフォームについては、CurrentPlatform 項目を参照してください。たとえば、Win32 または iPhone です。
PreviousScreen
string
プロパティ
Nillable
説明
以前のフィンガープリントの画面。新しく確認されたフィンガープリントの画面はこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認された画面については、CurrentScreen 項目を参照してください。例: (1200.0,1920.0)
PreviousUserAgent
textarea
プロパティ
Nillable
説明
以前のフィンガープリントのユーザーエージェント。新しく確認されたフィンガープリントのユーザーエージェントはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたユーザーエージェントについては、CurrentUserAgent 項目を参照してください。たとえば、「Mozilla/5.0 (iPhone; CPU iPhone OS 13_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko)」などです。
PreviousWindow
string
プロパティ
Nillable
説明
以前のフィンガープリントのブラウザーウィンドウ。新しく確認されたフィンガープリントのウィンドウはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたウィンドウについては、CurrentWindow 項目を参照してください。たとえば、「(1600.0,1920.0)」などです。
ReplayId
string
プロパティ
Nillable
説明
システムによって生成された ID 値を表し、イベントストリーム内のイベントの位置を参照します。連続するイベントに対して再生 ID の値に連番が振られるという保証はありません。サブスクライバーは再生 ID の値を保存し、再登録時にその値を使用して、保持ウィンドウ内の欠落したイベントを取得できます。
Score
double
プロパティ
Nillable
説明
新しいブラウザーフィンガープリントが以前のブラウザーフィンガープリントからどの程度有意に逸脱しているかを示します。スコアは 0.0 (最低偏差量) ~ 1.0 (最高偏差量) の数値です。イベントは、5 つの項目ペア (CurrentIpPreviousIp など) を公開し、この異常に寄与した最も興味深い 5 つのブラウザー機能の異常前後のデータを表示します。すべての寄与した機能 (JSON 形式) については、SecurityEventData 項目を参照してください。

Salesforce は、特定のユーザーセッションのブラウザーフィンガープリントを比較し、新しく確認されたフィンガープリントが既存のブラウザーフィンガープリントからどの程度有意に逸脱しているかを評価することで、セッションハイジャックを検出します。セッション内の 2 つのフィンガープリント間の逸脱スコアが大きい (0.8 以上) 場合、同一セッション内で 2 つの異なるブラウザーが有効になっていることを示します。通常、2 つの有効なブラウザーが存在する場合、セッションハイジャックが発生していることを意味します。

SecurityEventData
string
プロパティ
Nillable
説明
このイベントをトリガーしたセッションハイジャックに関するブラウザーフィンガープリント機能のセット。可能な機能の一覧については、脅威の検出に関するドキュメントを参照してください。

たとえば、ユーザーの現在のブラウザーフィンガープリントが以前の既知のフィンガープリントと異なっていたとします。Salesforce がそのセッションはハイジャックされたと結論付けた場合、このイベントが起動され、寄与した機能がこの項目で JSON 形式で捕捉されます。各機能で特定のブラウザーフィンガープリントプロパティ (ブラウザーのユーザーエージェント、ウィンドウ、プラットフォームなど) が記述されます。各機能のデータには、現在および以前の値が含まれます。

1[
2{
3"featureName": "userAgent",
4"featureContribution": "0.45 %", 
5"previousValue": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142", 
6"currentValue": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36."
7},
8{
9"featureName": "ipAddress",
10"featureContribution": "0.23 %",
11"previousValue": "201.17.237.77",
12"currentValue": "182.64.210.144"
13},
14{
15"featureName": "platform",
16"featureContribution": "0.23 %",
17"previousValue": "Win32",
18"currentValue": "MacIntel"
19},
20{
21"featureName": "screen",
22"featureContribution": "0.23 %",
23"previousValue":"(1050.0,1680.0)",
24"currentValue": "(864.0,1536.0)"
25},
26{
27"featureName": "window",
28"featureContribution": "0.17 %",
29"previousValue": "1363x1717",
30"currentValue": "800x1200"
31}
32]
SessionKey
string
プロパティ
Nillable
説明
ユーザーの一意のセッション ID。この値を使用して、セッション内のすべてのユーザーイベントを識別します。ユーザーがログアウトしてから再びログインすると、新しいセッションが開始されます。たとえば、vMASKIU6AxEr+Op5 です。
SourceIp
string
プロパティ
Nillable
説明
ログインしているクライアントの供給元 IP アドレス。たとえば、126.7.4.2 など。
Summary
textarea
プロパティ
Nillable
説明
このイベントが作成される原因となった脅威の概要テキスト。概要には、脅威の検出に最も寄与したブラウザーフィンガープリント機能が合計スコアへの寄与度と共に表示されます。
  • Changes to (userAgent, platform, ipAddress) were not expected based on this user's profile.These top 3 deviations contributed (1, 1, 0.922) to the total score, respectively
  • Changes to (ipAddress, userAgent, platform, languages, color) were not expected based on this user's profile.These top 5 deviations contributed (1, 0.695, 0.695, 0.25, 0.223) to the total score, respectively
UserId
reference
プロパティ
Nillable
説明
発生元ユーザーの一意の ID。たとえば、「005000000000123」などです。
多態的なリレーション項目です。
リレーション名
User
リレーション種別
Lookup
参照先
User
Username
string
プロパティ
Nillable
説明
イベントが作成された時点での user@company.com 形式の発生元のユーザー名。