Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=identity-detection-credential-compromise

Dark Web Intelligence

Sie können sich alle Datenlecks ansehen, die wir basierend auf Ihren konfigurierten Domänen auf der Seite Dark Web Intelligence gesammelt haben. Wir generieren nur Befunde für aktive Identitäten, sammeln und speichern aber historische Daten, die wir in Bezug auf Ihre Domänen finden. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu ITDR.

Auf die Seite „Dark Web Intelligence“ zugreifen

Wenn Sie direkt von Meine Produkte > Identität auf die Seite Dark Web Intelligence zugreifen, wird die Tabelle standardmäßig nach dem Leckstatus Aktiv und dem Identitätsstatus Aktiv gefiltert.

Klicken Sie alternativ auf eine Metrik im Widget Zugangsdatenlecks unter Risiko-Posture der Identität – Übersicht, um die Seite Dark Web Intelligence aufzurufen, die je nach angeklickter Metrik gefiltert ist:

  • Quellen: Gefiltert nach Leckstatus Aktiv.
  • Nur-Text-Kennwörter: Nach dem Nur-Text-Kennworttyp mit Leckstatus Aktiv gefiltert.
  • Gehashte Kennwörter: Nach dem Hash-Kennworttyp mit Leckstatus Aktiv gefiltert.
  • E-Mails: Gefiltert nach Leckstatus Aktiv.
  • Eindeutige Kennwörter: Gefiltert nach Leckstatus Aktiv.
  • Administrator-E-Mails: Gefiltert nach Admin-Konten mit Leckstatus Aktiv.

Hinweis

E-Mails und eindeutige Kennwörter sind allgemeine Metriken der zugrunde liegenden Daten, daher sind keine Filter damit verbunden.

Dark Web Intelligence-Metriken

Die Metriken oben auf der Seite sind dieselben Metriken, die im Widget Zugangsdatenlecks in Risiko-Posture der Identität – Übersicht enthalten sind und Daten zu aktiven Lecks anzeigen.

Dark Web Intelligence-Metriken.

Ein Leck gilt als aktiv, wenn eine Identität innerhalb der konfigurierten Identitätsanbieter aktiv ist und die letzte Kennwortänderung für das zugehörige Konto vor dem ursprünglichen Leckdatum erfolgt ist.

Wenn es keine übereinstimmende Identität für den Leck-Datensatz gibt, werden diese Datensätze als inaktiv betrachtet. Diese Datensätze beziehen sich häufig auf alte Benutzer und gelöschte Konten.

Metrikdefinitionen

  • Quellen: Die Anzahl der aktiven eindeutigen Leckquellen, in denen Daten für Ihre Domänen beobachtet wurden.
  • Nur-Text-Kennwörter: Die Anzahl der aktiven Lecks, in denen Nur-Text-Kennwörter in den Daten des Lecks gefunden wurden.
  • Gehashte Kennwörter: Die Anzahl der aktiven Lecks, bei denen gehashte Kennwörter in den Daten des Lecks gefunden wurden.
  • E-Mails: Anzahl der aktiven eindeutigen E-Mail-Konten, die in den Leckdaten beobachtet wurden.
  • Administrator-E-Mails: Anzahl der aktiven Konten, die als Administrator identifiziert wurden und in den Leckdaten beobachtet wurden.
  • Eindeutige Kennwörter: Anzahl der aktiven eindeutigen Kennwörter, die in den Leckdaten beobachtet wurden.

Lecks ansehen

Sehen Sie sich die Daten an. Verwenden Sie dabei eine Kombination von Filtern, die sowohl Informationen über die verknüpften Benutzer als auch die Leckdatensätze enthalten. Zusätzlich können Sie zur Sortierung der Daten die folgenden Zeitstempel verwenden, die mit den Datensätzen verknüpft sind:

  • Veröffentlichungsdatum: Wann der Datensatz ursprünglich in den Datasets gefunden wurde.
  • Leckdatum: Wann der Datensatz öffentlich verfügbar wurde.
  • Datum des Vorfalls: Wann der Vorfall aufgetreten ist. Diese Daten sind möglicherweise nicht immer verfügbar.

Es kann mehrere Datensätze für denselben Benutzer in einem Leck geben. Dies kann passieren, wenn die Daten in einer generischen Leckquelle, z. B. in Kombinationslisten, identifiziert wurden oder wenn der Benutzer mehrmals im Datensatz genannt wurde. Als Ergebnis sehen Sie innerhalb einer Leckquelle mehrere Datensätze für denselben Benutzer.

Leckstatus

Die Seite Dark Web Intelligence zeigt Lecks mit einem Status von Aktiv oder Inaktiv an.

Aktive Leaks

Lecks haben den Status Aktiv, wenn eine übereinstimmende Identität vorhanden ist und die letzte Kennwortänderung für das zugehörige Konto vor dem ursprünglichen Leckdatum erfolgt ist.

Inaktive Leaks

Lecks haben in den folgenden Szenarien den Status Inaktiv:

  • Es gibt keine übereinstimmende Identität innerhalb der konfigurierten Identitätsanbieter, mit der sie korreliert werden können.
  • Die letzte Kennwortänderung erfolgte nach dem Leckdatum.
  • Das Kennwort des Kontos wurde kürzlich geändert.
  • Das Konto wurde deaktiviert oder gelöscht.
  • Ein zugehöriger Befund wurde aufgelöst oder verworfen.

Leckdetails anzeigen

Klicken Sie auf das Feld „Quelle“, um einen Bereich mit zusätzlichen Details zum Leck und zur verknüpften Identität anzuzeigen, sofern verfügbar.

Leckdetails.

Reaktionsmaßnahmen durchführen

Wenn Sie Reaktionsmaßnahmen autorisieren möchten, können Sie diese für jede der verknüpften Identitäten aus der Tabelle oder den Details zum Datenleck ausführen.

  1. Klicken Sie auf Aktionen.
  2. Wählen Sie aus, welche Reaktionsmaßnahme Sie ausführen möchten.
  3. Folgen Sie den Anweisungen.

Hinweis

Die Schaltfläche Aktionen ist deaktiviert, wenn keine übereinstimmende Identität gefunden wird.