Salesforce logSalesforce

API 検知イベントがおそらく異常である場合

比較的新しい営業業務リードである Rob は、API を使用して商談オブジェクトを照会し、1,000 万件のレコードを抽出します。以前は異なるブラウザを使用して、異なる IP アドレスから同じオブジェクトを照会していました。
使用可能なインターフェース: Salesforce Classic および Lightning Experience
使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition

Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。


このイベントには次の情報が含まれています。

APIAnomalyEvent 項目
Score .7212
SourceIp 96.43.144.28
EventDate 2019-01-15T07:45:07.192Z
UserId 00530000009M945
SecurityEventData (次の表を参照)

SecurityEventData 項目には次の情報が含まれています。

featureName featureValue featureContribution
rowCount 1937568 95.00%
autonomousSystem Bigleaf Networks, Inc. 1.62%
dayOfWeek Sunday 1.42%
userAgent Mozilla/5.0 (Windows NT 10.0、Win64、x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36} 29.21%
periodOfDay Evening 0.09%
averageRowSize 744 0.08%
screenResolution 900x1440 0.07%

セキュリティ監査人である Tony は Salesforce 組織にとって rowCount 特性がやや高いことに気が付きました。2 番目に高い特性は userAgent で、寄与度は約 30% です。この比率は、このユーザエージェント、つまりブラウザが組織にとって一般的なものではないことを示唆します。Tony は UserId 項目を使用して Rob を検索します。そして、Rob が最近入社した従業員であることを知ります。Tony は <項目または特性名が必要> イベントを参照し、Rob が以前に別のブラウザと IP アドレスを使用していたことに気が付きます。Rob が比較的新しい従業員であることから、Tony はこのレポートが Rob の典型的な活動パターンと一致するのかどうか確信が持てません。

Tony は、この検知が異常である可能性があると結論付けます。