詳細情報:
イベントマネージャー
50 以上のイベント種別のリアルタイムストレージとストリーミングを有効化する中央コンソール。Big Object による履歴分析と、SIEM/セキュリティプラットフォームの Pub/Sub API による即時外部消費の両方が可能です。
コントロール名
イベントマネージャー (リアルタイムイベント監視でイベントデータを取得するには、[保存を有効化] または [ストリーミングを有効化]、あるいはその両方を選択します)。
制御の概要
50 以上のイベント種別のリアルタイムストレージとストリーミングを有効化する中央コンソール。Big Object による履歴分析と、SIEM/セキュリティプラットフォームの Pub/Sub API による即時外部消費の両方が可能です。
説明
[設定] > [イベントマネージャー] のイベントごとの切り替えでは、LoginEvent、ReportEvent、URIEvent などでイベントログファイルに入力 (保存) するか、ストリーミングチャネルに公開するかを制御します。包括的なカバー率を実現するデュアルモードをサポートします。
推奨設定
[Event Manager (イベントマネージャー)] -> [Enable Storing (保存を有効化)] または [Enable Streaming (ストリーミングを有効化)] (リアルタイムイベント監視でイベントデータを取得するには) を選択します。重要なイベント (ログイン、レポート、API) では両方とも有効化し、大量/低保存のニーズでのみストリーミングを有効にします。
セキュリティへの影響
UEBA、脅威ハンティング、コンプライアンスの基礎となるフォレンジック用の 1 ~ 24 か月の履歴データを保持しながら、セキュリティツールに完全なユーザーアクティビティテレメトリーをリアルタイムで提供します。
ビジネスへの影響
外部システムのポーリング/同期の遅延をなくし、ライブダッシュボードを有効にして、コストを最適化した保持 (大量のストリーミング、選択的な保存) をサポートします。
設定されていない場合のセキュリティリスク
監視用のリアルタイムイベントデータのストリーミングを無効にすると、アカウント侵害や進行中のデータ持ち出しなど、時間的制約のある脅威の検出ギャップが生じます。
脅威のシナリオ
リアルタイム監視を無効にすると、セキュリティインシデントがタイムリーに検出されなくなり、インシデント対応が遅れます。攻撃者は検出前に一括エクスポートまたは権限のエスカレーションを完了します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
ストリーミングは、最小限のコストで高い価値をもたらします。ストレージは活動量に応じて拡張でき、脅威モデルに基づいて高リスクのイベントを最初に優先します。
より高いリスク
外部/パートナーアクセスが有効、API 負荷の高いインテグレーション、規制されたデータ (PHI/PII)、または既存の SIEM で Salesforce RTEM フィードが予期されている。
低リスク
内部ユーザーのみ、シンプルなワークフロー、ネイティブのログイン履歴で十分、リアルタイムの外部監視要件なし。
ビジネスと統合に関する考慮事項
本番環境を有効にする前にストリーミングエンドポイントをテストし、保存オプションの Big Object ストレージ予算を計画します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
強くお勧めします。
影響を受けるユーザー
SIEM ストリームを設定するセキュリティエンジニア、ダッシュボードを作成するアナリスト、完全な監査履歴を必要とするコンプライアンスチーム、インテグレーションアーキテクト。
