この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

SessionHijackingEventStore

未承認ユーザーが、いつ盗まれたセッション識別子を使用して Salesforce ユーザーのセッションの所有権を取得したかを追跡します。このようなイベントを検出するために、Salesforce は、確率的に推測された有意な変化を使用して、ユーザーの現在のブラウザーフィンガープリントが以前の既知のフィンガープリントからどの程度有意に異なるかを評価します。SessionHijackingEventStore は、SessionHijackingEvent のイベントデータを格納するオブジェクトです。このオブジェクトは API バージョン 49.0 以降で使用できます。

サポートされているコール

describeLayout()describeSObjects()getDeleted()getUpdated()query()

特別なアクセスルール

このオブジェクトにアクセスするには、Salesforce Shield または Event Monitoring アドオンサブスクリプションと、「リアルタイムイベント監視データを表示」ユーザー権限が必要です。

項目

項目 詳細
CurrentIp
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントの IP アドレス。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前の IP アドレスについては、PreviousIp 項目を参照してください。確認されたフィンガープリントの逸脱に IP アドレスが寄与していない場合、この項目の値は PreviousIp 項目の値と同じです。たとえば、「126.7.4.2.」などです。
CurrentPlatform
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのプラットフォーム。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のプラットフォームについては、PreviousPlatform 項目を参照してください。確認されたフィンガープリントの逸脱にプラットフォームが寄与していない場合、この項目の値は PreviousPlatform 項目の値と同じです。たとえば、MacIntel または Win32 です。
CurrentScreen
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントの画面。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前の画面については、PreviousScreen 項目を参照してください。確認されたフィンガープリントの逸脱に画面が寄与していない場合、この項目の値は PreviousScreen 項目の値と同じです。たとえば、(900.0,1440.0) または (720,1280) です。
CurrentUserAgent
textarea
プロパティ
Nillable
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのユーザーエージェント。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のユーザーエージェントについては、PreviousUserAgent 項目を参照してください。確認されたフィンガープリントの逸脱にユーザーエージェントが寄与していない場合、この項目の値は PreviousUserAgent 項目の値と同じです。たとえば、「Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36」などです。
CurrentWindow
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントから逸脱している、新しく確認されたフィンガープリントのブラウザーウィンドウ。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。以前のウィンドウについては、PreviousWindow 項目を参照してください。確認されたフィンガープリントの逸脱にウィンドウが寄与していない場合、この項目の値は PreviousWindow 項目の値と同じです。たとえば、「(1200.0,1920.0)」などです。
EvaluationTime
double
プロパティ
Filter、Nillable、Sort
説明
ポリシーの評価にかかった時間 (ミリ秒単位)。
EventDate
dateTime
プロパティ
Filter、Sort
説明
必須。異常が検出された時間。たとえば、「2020-01-20T19:12:26.965Z」などです。最も細かい設定はミリ秒です。
EventIdentifier
string
プロパティ
Filter、Group、Sort
説明
必須。イベントの一意の ID。たとえば、0a4779b0-0da1-4619-a373-0a36991dff90 です。
LastReferencedDate
dateTime
プロパティ
Filter、Nillable、Sort
説明
現在のユーザーがこのレコードに関連するレコードを最後に表示したときのタイムスタンプ。
LastViewedDate
dateTime
プロパティ
Filter、Nillable、Sort
説明
現在のユーザーがこのレコードを最後に表示したときのタイムスタンプ。この値が null の場合、このレコードは表示ではなく参照 (LastReferencedDate) された可能性があります。
LoginKey
string
プロパティ
Filter、Group、Nillable、Sort
説明
特定のユーザーのログインセッションのすべてのイベントを結び付ける文字列。このセッションはログインイベントで開始され、ログアウトイベントまたはユーザーセッションの期限切れで終了します。たとえば、lUqjLPQTWRdvRG4 です。
PolicyId
reference
プロパティ
Filter、Group、Nillable、Sort
説明
このイベントに関連付けられたトランザクションポリシーの ID。たとえば、0NIB000000000KOOAY です。
PolicyOutcome
picklist
プロパティ
Filter、Group、Nillable、Restricted picklist、Sort
説明
トランザクションポリシーの結果。可能な値は次のとおりです。
  • Error - ポリシーの実行時にポリシーによって未定義のエラーが発生しました。
  • ExemptNoAction — このユーザーはトランザクションセキュリティポリシーの対象外のため、ポリシーがトリガーされませんでした。
  • MeteringBlock — ポリシーの処理に 3 秒以上かかったため、操作を実行できないようにユーザーがブロックされました。
  • MeteringNoAction — ポリシーの処理に 3 秒以上かかりましたが、ユーザーは操作の実行をブロックされませんでした。
  • NoAction - ポリシーがトリガーしませんでした。
  • Notified - 受信者に通知が送信されました。
PreviousIp
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントの IP アドレス。新しく確認されたフィンガープリントの IP アドレスはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認された IP アドレスについては、CurrentIp 項目を参照してください。たとえば、「128.7.5.2」などです。
PreviousPlatform
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントのプラットフォーム。新しく確認されたフィンガープリントのプラットフォームはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたプラットフォームについては、CurrentPlatform 項目を参照してください。たとえば、Win32 または iPhone です。
PreviousScreen
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントの画面。新しく確認されたフィンガープリントの画面はこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認された画面については、CurrentScreen 項目を参照してください。たとえば、「(1200.0,1920.0)」などです。
PreviousUserAgent
textarea
プロパティ
Nillable
説明
以前のフィンガープリントのユーザーエージェント。新しく確認されたフィンガープリントのユーザーエージェントはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたユーザーエージェントについては、CurrentUserAgent 項目を参照してください。たとえば、「Mozilla/5.0 (iPhone; CPU iPhone OS 13_0 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko)」などです。
PreviousWindow
string
プロパティ
Filter、Group、Nillable、Sort
説明
以前のフィンガープリントのブラウザーウィンドウ。新しく確認されたフィンガープリントのウィンドウはこの値から逸脱しています。現在の値と以前の値の違いは、セッションハイジャック攻撃が発生したことを示す 1 つの指標です。新しく確認されたウィンドウについては、CurrentWindow 項目を参照してください。たとえば、「(1600.0,1920.0)」などです。
Score
double
プロパティ
Filter、Nillable、Sort
説明
新しいブラウザーフィンガープリントが以前のブラウザーフィンガープリントからどの程度有意に逸脱しているかを示します。スコアは 0.0 (最低偏差量) ~ 1.0 (最高偏差量) の数値です。イベントは、5 つの項目ペア (CurrentIpPreviousIp など) を公開し、この異常に寄与した最も興味深い 5 つのブラウザー機能の異常前後のデータを表示します。すべての寄与した機能 (JSON 形式) については、SecurityEventData 項目を参照してください。

Salesforce は、特定のユーザーセッションのブラウザーフィンガープリントを比較し、新しく確認されたフィンガープリントが既存のブラウザーフィンガープリントからどの程度有意に逸脱しているかを評価することで、セッションハイジャックを検出します。セッション内の 2 つのフィンガープリント間の逸脱スコアが大きい (0.8 以上) 場合、同一セッション内で 2 つの異なるブラウザーが有効になっていることを示します。通常、2 つの有効なブラウザーが存在する場合、セッションハイジャックが発生していることを意味します。

SecurityEventData
textarea
プロパティ
Nillable
説明
このイベントをトリガーしたセッションハイジャックに関するブラウザーフィンガープリント機能のセット。可能な機能の一覧については、脅威の検出に関するドキュメントを参照してください。

たとえば、ユーザーの現在のブラウザーフィンガープリントが以前の既知のフィンガープリントと異なっていたとします。Salesforce がそのセッションはハイジャックされたと結論付けた場合、このイベントが起動され、寄与した機能がこの項目で JSON 形式で捕捉されます。各機能で特定のブラウザーフィンガープリントプロパティ (ブラウザーのユーザーエージェント、ウィンドウ、プラットフォームなど) が記述されます。各機能のデータには、現在および以前の値が含まれます。

1[
2{
3"featureName": "userAgent",
4"featureContribution": "0.45 %", 
5"previousValue": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142", 
6"currentValue": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36."
7},
8{
9"featureName": "ipAddress",
10"featureContribution": "0.23 %",
11"previousValue": "201.17.237.77",
12"currentValue": "182.64.210.144"
13},
14{
15"featureName": "platform",
16"featureContribution": "0.23 %",
17"previousValue": "Win32",
18"currentValue": "MacIntel"
19},
20{
21"featureName": "screen",
22"featureContribution": "0.23 %",
23"previousValue":"(1050.0,1680.0)",
24"currentValue": "(864.0,1536.0)"
25},
26{
27"featureName": "window",
28"featureContribution": "0.17 %",
29"previousValue": "1363x1717",
30"currentValue": "800x1200"
31}
32]
SessionHijackingEventNumber
string
プロパティ
Autonumber、Defaulted on create、Filter、idLookup、Sort
説明
Salesforce でイベントを受信した後にシステムが割り当てる一意の番号。この ID は、ストリーミングイベント SessionHijackingEvent の replayID 項目とは異なります。この項目の形式や値は変更できません。
SessionKey
string
プロパティ
Filter、Group、Nillable、Sort
説明
ユーザーの一意のセッション ID。この値を使用して、セッション内のすべてのユーザーイベントを識別します。ユーザーがログアウトしてから再びログインすると、新しいセッションが開始されます。たとえば、vMASKIU6AxEr+Op5 です。
SourceIp
string
プロパティ
Filter、Group、Nillable、Sort
説明
ログインしているクライアントの供給元 IP アドレス。たとえば、126.7.4.2 など。
Summary
textarea
プロパティ
Nillable
説明
このイベントが作成される原因となった脅威の概要テキスト。概要には、脅威の検出に最も寄与したブラウザーフィンガープリント機能が合計スコアへの寄与度と共に表示されます。
  • Changes to (userAgent, platform, ipAddress) were not expected based on this user's profile.These top 3 deviations contributed (1, 1, 0.922) to the total score, respectively
  • Changes to (ipAddress, userAgent, platform, languages, color) were not expected based on this user's profile.These top 5 deviations contributed (1, 0.695, 0.695, 0.25, 0.223) to the total score, respectively
UserId
reference
プロパティ
Filter、Group、Nillable、Sort
説明
発生元ユーザーの一意の ID。たとえば、「005000000000123」などです。
Username
string
プロパティ
Filter、Group、Nillable、Sort
説明
イベントが作成された時点での user@company.com 形式の発生元のユーザー名。

関連付けられたオブジェクト

このオブジェクトには次の関連するオブジェクトがあります。これはこのオブジェクトと同じ API バージョンで使用できます。

SessionHijackingEventStoreFeed
このオブジェクトにはフィード追跡を利用できます。