| CurrentIp |
- 型
- string
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- 以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントの IP アドレス。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前の IP アドレスについては、PreviousIp 項目を参照してください。確認されたフィンガープリントの逸脱に IP アドレスが寄与していない場合、この項目の値は PreviousIp 項目の値と同じです。たとえば、「126.7.4.2.」などです。
|
| CurrentPlatform |
- 型
- string
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- 以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのプラットフォーム。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のプラットフォームについては、PreviousPlatform 項目を参照してください。確認されたフィンガープリントの逸脱にプラットフォームが寄与していない場合、この項目の値は PreviousPlatform 項目の値と同じです。たとえば、MacIntel または Win32 です。
|
| CurrentScreen |
- 型
- string
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- 以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントの画面。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前の画面については、PreviousScreen 項目を参照してください。確認されたフィンガープリントの逸脱に画面が寄与していない場合、この項目の値は PreviousScreen 項目の値と同じです。たとえば、(900.0,1440.0) または (720,1280) です。
|
| CurrentUserAgent |
- 型
- textarea
- プロパティ
- Nillable
- 説明
- 以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのユーザーエージェント。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のユーザーエージェントについては、PreviousUserAgent 項目を参照してください。確認されたフィンガープリントの逸脱にユーザーエージェントが寄与していない場合、この項目の値は PreviousUserAgent 項目の値と同じです。たとえば、「Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36」などです。
|
| CurrentWindow |
- 型
- string
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- 以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのブラウザーウィンドウ。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のウィンドウについては、PreviousWindow 項目を参照してください。確認されたフィンガープリントの逸脱にウィンドウが寄与していない場合、この項目の値は PreviousWindow 項目の値と同じです。たとえば、「(1200.0,1920.0)」などです。
|
| EvaluationTime |
- 型
- double
- プロパティ
- Filter、Nillable、Sort
- 説明
- ポリシーの評価にかかった時間 (ミリ秒単位)。
|
| EventDate |
- 型
- dateTime
- プロパティ
- Filter、Sort
- 説明
- 必須。異常が検出された時間。たとえば、「2020-01-20T19:12:26.965Z」などです。最も細かい設定はミリ秒です。
|
| EventIdentifier |
- 型
- string
- プロパティ
- Filter、Group、Sort
- 説明
- 必須。イベントの一意の ID。たとえば、0a4779b0-0da1-4619-a373-0a36991dff90 です。
|
| LastReferencedDate |
- 型
- dateTime
- プロパティ
- Filter、Nillable、Sort
- 説明
- 現在のユーザーがこのレコードに関連するレコードを最後に表示したときのタイムスタンプ。
|
| LastViewedDate |
- 型
- dateTime
- プロパティ
- Filter、Nillable、Sort
- 説明
- 現在のユーザーがこのレコードを最後に表示したときのタイムスタンプ。この値が null の場合、このレコードは表示ではなく参照 (LastReferencedDate) された可能性があります。
|
| LoginKey |
- 型
- string
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- 特定のユーザーのログインセッションのすべてのイベントを結び付ける文字列。このセッションはログインイベントで開始され、ログアウトイベントまたはユーザーセッションの期限切れで終了します。たとえば、lUqjLPQTWRdvRG4 です。
|
| PolicyId |
- 型
- reference
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- このイベントに関連付けられたトランザクションポリシーの ID。たとえば、0NIB000000000KOOAY です。
|
| PolicyOutcome |
- 型
- picklist
- プロパティ
- Filter、Group、Nillable、Restricted picklist、Sort
- 説明
- トランザクションポリシーの結果。可能な値は次のとおりです。
-
Error - ポリシーの実行時にポリシーによって未定義のエラーが発生しました。
-
ExemptNoAction — このユーザーはトランザクションセキュリティポリシーの対象外のため、ポリシーがトリガーされませんでした。
-
MeteringBlock — ポリシーの処理に 3 秒以上かかったため、操作を実行できないようにユーザーがブロックされました。
-
MeteringNoAction — ポリシーの処理に 3 秒以上かかりましたが、ユーザーは操作の実行をブロックされませんでした。
-
NoAction - ポリシーがトリガーしませんでした。
-
Notified - 受信者に通知が送信されました。
|
| PreviousIp |
- 型
- string
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- 以前のフィンガープリントの IP アドレス。新しく確認されたフィンガープリントの IP アドレスはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認された IP アドレスについては、CurrentIp 項目を参照してください。たとえば、「128.7.5.2」などです。
|
| PreviousPlatform |
- 型
- string
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- 以前のフィンガープリントのプラットフォーム。新しく確認されたフィンガープリントのプラットフォームはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたプラットフォームについては、CurrentPlatform 項目を参照してください。たとえば、Win32 または iPhone です。
|
| PreviousScreen |
- 型
- string
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- 以前のフィンガープリントの画面。新しく確認されたフィンガープリントの画面はこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認された画面については、CurrentScreen 項目を参照してください。たとえば、「(1200.0,1920.0)」などです。
|
| PreviousUserAgent |
- 型
- textarea
- プロパティ
- Nillable
- 説明
- 以前のフィンガープリントのユーザーエージェント。新しく確認されたフィンガープリントのユーザーエージェントはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたユーザーエージェントについては、CurrentUserAgent 項目を参照してください。たとえば、「Mozilla/5.0 (iPhone; CPU iPhone OS 13_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko)」などです。
|
| PreviousWindow |
- 型
- string
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- 以前のフィンガープリントのブラウザーウィンドウ。新しく確認されたフィンガープリントのウィンドウはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたウィンドウについては、CurrentWindow 項目を参照してください。たとえば、「(1600.0,1920.0)」などです。
|
| Score |
- 型
- double
- プロパティ
- Filter、Nillable、Sort
- 説明
- 新しいブラウザーフィンガープリントが以前のブラウザーフィンガープリントからどの程度有意に逸脱しているかを示します。スコアは 0.0 (最低偏差量) ~ 1.0 (最高偏差量) の数値です。イベントは、5 つの項目ペア (CurrentIp、PreviousIp など) を公開し、この異常に寄与した最も興味深い 5 つのブラウザー機能の異常前後のデータを表示します。すべての寄与した機能 (JSON 形式) については、SecurityEventData 項目を参照してください。
Salesforce は、特定のユーザーセッションのブラウザーフィンガープリントを比較し、新しく確認されたフィンガープリントが既存のブラウザーフィンガープリントからどの程度有意に逸脱しているかを評価することで、セッションハイジャックを検出します。セッション内の 2 つのフィンガープリント間の逸脱スコアが大きい (0.8 以上) 場合、同一セッション内で 2 つの異なるブラウザーが有効になっていることを示します。通常、2 つの有効なブラウザーが存在する場合、セッションハイジャックが発生していることを意味します。
|
| SecurityEventData |
- 型
- textarea
- プロパティ
- Nillable
- 説明
- このイベントをトリガーしたセッションハイジャックに関するブラウザーフィンガープリント機能のセット。可能な機能の一覧については、脅威の検出に関するドキュメントを参照してください。
たとえば、ユーザーの現在のブラウザーフィンガープリントが以前の既知のフィンガープリントと異なっていたとします。Salesforce がそのセッションはハイジャックされたと結論付けた場合、このイベントが起動され、寄与した機能がこの項目で JSON 形式で捕捉されます。各機能で特定のブラウザーフィンガープリントプロパティ (ブラウザーのユーザーエージェント、ウィンドウ、プラットフォームなど) が記述されます。各機能のデータには、現在および以前の値が含まれます。
- 例
-
1[
2{
3"featureName": "userAgent",
4"featureContribution": "0.45 %",
5"previousValue": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142",
6"currentValue": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36."
7},
8{
9"featureName": "ipAddress",
10"featureContribution": "0.23 %",
11"previousValue": "201.17.237.77",
12"currentValue": "182.64.210.144"
13},
14{
15"featureName": "platform",
16"featureContribution": "0.23 %",
17"previousValue": "Win32",
18"currentValue": "MacIntel"
19},
20{
21"featureName": "screen",
22"featureContribution": "0.23 %",
23"previousValue":"(1050.0,1680.0)",
24"currentValue": "(864.0,1536.0)"
25},
26{
27"featureName": "window",
28"featureContribution": "0.17 %",
29"previousValue": "1363x1717",
30"currentValue": "800x1200"
31}
32]
|
| SessionHijackingEventNumber |
- 型
- string
- プロパティ
- Autonumber、Defaulted on create、Filter、idLookup、Sort
- 説明
- Salesforce でイベントを受信した後にシステムが割り当てる一意の番号。この ID は、ストリーミングイベント SessionHijackingEvent の replayID 項目とは異なります。この項目の形式や値は変更できません。
|
| SessionKey |
- 型
- string
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- ユーザーの一意のセッション ID。この値を使用して、セッション内のすべてのユーザーイベントを識別します。ユーザーがログアウトしてから再びログインすると、新しいセッションが開始されます。たとえば、vMASKIU6AxEr+Op5 です。
|
| SourceIp |
- 型
- string
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- ログインしているクライアントの供給元 IP アドレス。たとえば、126.7.4.2 など。
|
| Summary |
- 型
- textarea
- プロパティ
- Nillable
- 説明
- このイベントが作成される原因となった脅威の概要テキスト。概要には、脅威の検出に最も寄与したブラウザーフィンガープリント機能が合計スコアへの寄与度と共に表示されます。
- 例
-
- Changes to (userAgent, platform, ipAddress) were not expected based on this user's profile.These top 3 deviations contributed (1, 1, 0.922) to the total score, respectively
- Changes to (ipAddress, userAgent, platform, languages, color) were not expected based on this user's profile.These top 5 deviations contributed (1, 0.695, 0.695, 0.25, 0.223) to the total score, respectively
|
| UserId |
- 型
- reference
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- 発生元ユーザーの一意の ID。たとえば、「005000000000123」などです。
|
| Username |
- 型
- string
- プロパティ
- Filter、Group、Nillable、Sort
- 説明
- イベントが作成された時点での user@company.com 形式の発生元のユーザー名。
|