Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=identity-detection-findings

Befunde

Die Seite Befunde zeigt eine Tabelle aller Befunde, die nach Risiko sortiert sind. Befunde sind das Ergebnis der Posture-Prüfungen, die auf Ihrer Identitätsinfrastruktur durchgeführt werden. Jeder Befund hat einen Status, eine zugewiesene Risikostufe und Kategorie.

Identitätsbefunde.

Befundstatus

Neue Befunde haben den Status Offen, den Sie in den Befunddetails ändern können, während Sie Probleme priorisieren und Maßnahmen ergreifen. Der Status kann einen der folgenden Werte haben:

  • Offen: Der Befund wurde noch nicht behoben oder ist immer noch in der Umgebung vorhanden.
  • Behoben: Der Befund wurde behoben oder abgemildert.
  • Ignoriert: Der Befund war zu erwarten und muss nicht behandelt werden.

Risikostufe der Befunde

Jedem Befund wird anhand der zugrunde liegenden Prüfung und des potenziellen Sicherheitsrisikos, das er für Ihre Organisation darstellt, eine der folgenden Risikostufen zugeordnet:

  • Kritisch: Der Befund sollte umgehend bearbeitet werden, da er ein erhebliches Risiko darstellt.
  • Hoch: Der Befund sollte umgehend bearbeitet werden.
  • Mittel: Der Befund sollte bearbeitet werden, aber er birgt kein signifikantes Risiko.
  • Niedrig: Der Befund birgt ein geringes Risiko.
  • Info: Der Befund birgt nur ein geringes Risiko, sollte jedoch überprüft werden, sobald Sie Zeit haben.

Risikostufen von Identitäten.

Kategorie des Befunds

Befunde werden basierend auf dem Typ der durchgeführten Prüfung wie folgt kategorisiert und ggf. an das MITRE ATT&CK Framework angepasst:

  • Benutzerverhalten
  • Konfiguration
  • Entra-Lückenanalyse für bedingten Zugriff
  • Inaktive Ressourcen
  • Seitwärtsbewegung
  • Kompromittierung von Anmeldeinformationen
  • Beständigkeit
  • Rechteausweitung
  • Umgehung der Abwehr
  • Ausschleusen

Befunde priorisieren

Priorisieren Sie Befunde, indem Sie diejenigen mit der höchsten Risikostufe zuerst bearbeiten. So können Sie Ihre Identitätsangriffsfläche am schnellsten reduzieren und Ihre Posture-Bewertung verbessern.

Warning

Bewerten Sie jeden Befund und dessen Empfehlung basierend auf Ihren Geschäftsanforderungen, Ihrer individuellen Umgebung, Ihrer Risikotoleranz und Ihrer Fähigkeit, den Befund zu beheben. Dies ist wichtig, da Konfigurationsänderungen einen Nachteil für Benutzer, Anwendungen und Zugriff haben könnten. Stellen Sie sicher, dass Sie diese potenziellen Auswirkungen basierend auf Ihrer Umgebung bewerten und testen – wenn möglich, bevor Sie die Empfehlung umsetzen.

Sie können nicht alle Befunde beheben, da es möglicherweise Probleme gibt, die außerhalb Ihrer Kontrolle liegen, z. B. Drittanbieteranwendungen, die erhöhte Berechtigungen erfordern oder nur schwächere Authentifizierungsmethoden unterstützen. Allerdings stellen diese Befunde nach wie vor ein potentielles Risiko für Ihre Organisation dar, über das Sie sich im Klaren sein und das Sie weiterhin überwachen sollten.

Nachdem die Untersuchung ausgewertet wurde, führen Sie eine der folgenden Aktionen aus:

  • Lösen Sie den Befund auf, indem Sie das Problem im Identitätssystem, in dem es identifiziert wurde, beheben. Dadurch entfernen Sie es aus Ihrer Gesamtrisikobewertung, wenn diese beim nächsten Mal berechnet wird (alle 24 Stunden).
  • Ignorieren Sie den Befund, was zukünftige Vorkommnisse dieses Befunds für das betreffende Objekt unterdrücken und ihn aus Ihrer Gesamtrisikobewertung ausschließen wird. Der Befund bleibt weiterhin in der Befundtabelle verfügbar, wird jedoch nicht im Dashboard angezeigt.
  • Lassen Sie den Befund offen, um Befunde zu verfolgen, die nicht bearbeitet werden können. Dies trägt weiterhin zu Ihrer Gesamtrisikobewertung bei.

Tabelle „Identitätsbefunde“

Die Tabelle Identitätsbefunde enthält Steuerelemente zum Sortieren, Filtern und Anordnen von Daten. Verwenden Sie das ausklappbare Filtermenü auf der linken Seite der Tabelle, um die Liste der Befunde zu verkleinern.

Beim Auswählen von Filtern werden die Tabelle und die URL dynamisch aktualisiert, um Ihre Auswahl widerzuspiegeln. Sie können die URL mit Kollegen teilen oder speichern, um eine spezifische Liste von Befunden zu sehen.

Ausgewählte Filter werden über der Tabelle angezeigt. Klicken Sie auf X, um einen einzelnen Filter zu entfernen, oder auf Alle löschen, um alle Filter zu entfernen und alle Ergebnisse anzuzeigen.

Befunde filtern

Filtern Sie die Tabelle Identitätsbefunde anhand einer Kombination der folgenden Filter:

  • Risiko: Risikostufe des Befunds.

  • Status: Der Status des Befunds, der einer der folgenden sein kann:

    • Öffnen
    • Behoben
    • Ignoriert

  • Referenztyp: Der Typ des Objekts, auf das sich der Befund bezieht, kann eine der folgenden sein:

    • Benutzerobjekt
    • Anwendung
    • Gruppenobjekt
    • Geräteobjekt
    • Mandantenkonfiguration

  • Kategorie: Kategorie des Befunds.

  • Ist neu: Befunde, die innerhalb der letzten sieben Tage zum ersten Mal aufgerufen wurden.
  • Befund: Titel des Befunds.
  • Zum ersten Mal gesehen: Wann der Befund zum ersten Mal aufgerufen wurde.
  • Zuletzt gesehen: Wann der Befund zum letzten Mal aufgerufen wurde.

Befunddetails anzeigen

Klicken Sie auf einen Link in der Befunde-Spalte, um den Detailbereich anzuzeigen, der die primäre Referenz, weitere Referenzen, das Risiko, den Zeitstempel Zum ersten Mal gesehen, den Zeitstempel Zuletzt gesehen, den Zeitstempel Letzte Änderung und eine Empfehlung enthält.

Um weitere Details des Befunds anzuzeigen, klicken Sie auf das Symbol oben links im Bereich, um die Vollbildansicht in einer neuen Registerkarte zu öffnen. In beiden Ansichten werden folgende Informationen angezeigt:

  • Befunddetails: Zusammenfassung der Befunde mit Risikostufe, Status, Kommentaren, Zeitstempeln und Tags.
  • Beschreibung: Eine Beschreibung des Befunds.
  • Definition: Informationen über die zugehörige Identitätsprüfung und Referenzen.
  • Empfehlung: Empfehlungen von Sophos zur Behebung des Befunds.

Feld „Befunddetails“.

Tip

Klicken Sie auf die Primäre Referenz oder Weitere Referenzen, um direkt zum Objekt innerhalb von Entra ID zu gelangen.

Befundstatus aktualisieren

Aktualisieren Sie den Status eines Befunds, indem Sie auf das Status-Menü klicken und den gewünschten Status auswählen:

  • Öffnen: Der Befund wurde noch nicht behoben oder ist immer noch in der Umgebung vorhanden.
  • Ignoriert: Der Befund war zu erwarten und muss nicht behandelt werden. Neue Befunde zu diesem Problem werden nicht generiert.
  • Behoben: Der Befund wurde behoben oder abgemildert.

Nachdem der Status als Behoben oder Ignoriert festgelegt wurde, wird der Befund nicht mehr als Risiko für Ihre Umgebung betrachtet. Wenn ein Befund manuell gelöst wird und wir ihn erneut sehen, wird der Befund vom System wieder geöffnet. Vergewissern Sie sich, dass die erforderlichen Minderungsmaßnahmen oder Abschlussaufgaben abgeschlossen wurden.

Die Befunde wurden automatisch vom System gelöst, wenn sie nicht mehr angezeigt werden. Die vom System gelösten Befunde enthalten einen entsprechenden Kommentar.

Registerkarte „Ergebnis“

Die Registerkarte Ergebnis zeigt die Rohausgabe der durchgeführten Prüfung im JSON-Format an. Hier können Sie zusätzliche Details zum generierten Befund anzeigen.

Registerkarte „Verlauf“

Die Registerkarte Verlauf zeigt vorherige Aktionen, die für den Befund durchgeführt wurden. Klicken Sie auf Untersch. anzeigen, um die genauen Änderungsdetails zu sehen.