レポートの異常を調査する場合のベストプラクティス
普段とは異なるユーザー行動を調査するときは、次のヒントやベストプラクティスを参考にしてください。データの安全性について、十分な情報に基づく結論を下すために必要な情報を見つけることができます。
必要なエディション
| Salesforce Classic (使用できない組織もあります) および Lightning Experience の両方で使用できます。 |
使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
- 関係のあるユーザーを特定する。
- お客様のプライバシーに対する配慮により、Salesforce が顧客データやレポート内のデータにアクセスすることはできません。したがって、Salesforce が提供できるのは、異常とマークされたレポートを生成したユーザーのユーザー ID のみです。このユーザー ID を使用して、検知イベントに関連付けられている人物のユーザー名や他の詳細を割り出します。
項目: ReportAnomalyEvent.UserId
- タイムスタンプを利用する。
- Salesforce の検知モデルではすでに、タイムスタンプから得られるさまざまな特性を検討し、レポート生成活動が異常かどうかを判断しています。このタイムスタンプを使用して、確認する必要のあるイベントを絞り込むことができます。また、レポートを生成したユーザーにとって、レポート生成時刻が普段と異なっているかどうかも判断できます。
項目: ReportAnomalyEvent.EventDate
- 異常に寄与している要因に着目する。
- 寄与要因の JSON 出力に、特性が寄与度の高い順に示されます。イベントログを調査するときは、寄与度が上位の特性から見ていきます。上位の特性が普段とは異なると思われる場合には、異常を確定する証拠が判明したり、データ侵害の可能性が示唆されたりすることがあります。
項目: ReportAnomalyEvent.SecurityEventData
- ユーザーの典型的な行動に照らして異常を検討する。
- ReportAnomalyEvent 項目値を使用して、検知イベント内のユーザー活動がそのユーザーにとって典型的なものかどうかを判断します。たとえば、特定した IP アドレスからレポートを生成することが、そのユーザーにとって典型的なことかどうかを検討します。
項目: ReportAnomalyEvent.SourceIp
- レポートのサイズを検討する。
- Salesforce では、レポートのサイズからレポート生成が異常かどうかを判断します。通常より大きなレポートを生成しているユーザーは、データの不正エクスポートを試みている可能性があります。たとえば、ユーザーのアカウントへのアクセス権を不正に取得した攻撃者が、アクセス権が失効する前にできるだけ多くのデータを盗取していることがあります。あるいは、不満を抱いている従業員が、雇用主のニーズの範疇を超えた用途のためにデータを盗み出しているのかもしれません。
項目: ReportAnomalyEvent.SecurityEventData (特に RowCount の特性名)
- すべての異常に悪意があるわけではない。
- 異常の中には、悪意をはらむ可能性のあるものもあれば、普段とは異なるものの、正当である場合もあります。Salesforce の検知モデルでは、普段とは異なるが、悪意のない検知イベントが生成されることがあります。たとえば、ある従業員が新しい役職に昇進し、以前より大きなレポートを生成するようになった場合、Salesforce のモデルによってこの行動に異常のフラグが設定されることがあります。
この記事で問題は解決されましたか?
ご意見をお待ちしております。
